序言
2021 年 6 月 21 日,工信部发布了《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿),公开征集意见。同时一并发布《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)编制说明。为方便阅读,以下简称 「建设指南」 和 「建设指南编制说明」。
两天后,2021 年 6 月 23 日,工信部发布了《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》,同样是公开征集意见。以下简称 「加强工作」。
一周两次三文,体现了国家对于智能网联汽车在 「新四化」 方面发展的同时,对于网络安全的重视及其工作落实。「建设指南编制说明」 和 「建设指南」 系由工信部科技司发布,着重讲述智能网络汽车网络安全的整个标准体系的建设,「建设指南编制说明」 更多地回答了 「为什么做」 的问题,而 「建设指南」 则更多地回答了 「怎么做」 的问题。而 「加强工作」 系由工信部网络安全管理局发布,更主要地回答了 「谁来做、做什么」 的问题。
按照发文顺序,我们先来看看更新的 「加强工作」。下文划横线的部分,均为原文引用。
加强工作
谁来做?
「加强工作 」中开篇就指明了通知对象:
「各省、自治区、直辖市工业和信息化主管部门、通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司,有关车联网运营企业、智能网联汽车生产企业」
通知对象范围全面。对汽车行业从业者来说,重点是智能网联汽车的运营企业和生产企业都需要履行 「加强工作」中提到的网络安全相关工作。
做什么?
「加强工作」中系统性地阐述了智能网联汽车网络安全的工作重点:
一、 加强车联网网络安全防护
二、 加强平台安全防护
三、 保障数据安全
四、 强化安全漏洞管理
第一点着重讲述车联网(V2X)的安全,包括对网络设施、通信安全、安全监测预警、应急处置和防护定级备案。其中监测预警中提到要通过相关技术手段监测流量与行为方式等确保安全,而相应留存的网络日志则明确要求不少于 6 个月。另外应急处置中提到需要定期开展应急演练,及时处置网络安全风险。这让笔者想到类似于消防演习的 「网络安全入侵演习 」未来也许会进入大家视野。若是这样,车企肯定是这类演习的参与者,而普通驾驶员不知道是否也会要求一同演习?
第二点的平台安全包括网络平台的接入管理、OTA 安全和智能网联汽车 APP 的应用程序安全。笔者认为由此可见,目前汽车销售终端上常作为卖点的 「OTA」、「软件生态系统」等将会有更好的网络安全方面的管理。
第三点的数据安全包括数据管理制度和技术保证能力等。其中对于数据出境的安全管理也进行了重点描述。譬如现在许多国外车企生产的车上的地图信息、传感器采集的地理信息、人脸信息等,应该也会按照这一点得到更好的管理。
第四点的安全漏洞管理则包含了管理机制、能力建设和协同处置。其中明确规定了:「发现或获知本企业网络设施和业务系统、智能网联汽车产品存在漏洞后,应当立即采取补救措施,并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息。」
这也就规定了企业端的安全漏洞信息得和工信部平台的信息同步。
3
建设指南编制说明 & 建设指南
为什么做
「建设指南编制说明」 中详细讲述了编制背景和必要性,其中最吸引笔者的是以下一段:「车联网是新一代网络通信技术与汽车、电子、交通等领域深度融合的新业态,是 5G 垂直应用的主要领域之一,是实现 「车、路、云、网」 互联互通的新型网络基础设施。伴随汽车网联化发展,网络攻击威胁加速向车端、车联网平台蔓延,车联网网络安全事件不仅影响公民隐私、财产和生命安全,甚至可能危害社会安全和国家安全。亟需从智能网联汽车、V2X 通信网络、车联网服务平台、车联网应用程序、数据保护等车联网关键环节和重点对象出发,面向车联网典型应用场景,建立车联网(智能网联汽车)网络安全标准体系,发挥标准引领规范作用,支撑车联网安全健康发展。」
其中两个关键点:
1.「车联网是 5G 垂直应用的主要领域」,相信国家会大力推进车联网。
2.「车联网网络安全事件不仅影响公民隐私、财产和生命安全,甚至可能危害社会安全和国家安全」。都到生命财产安全和国家安全层面的事情,属于关键时候 「花钱买不来」 的 「卡脖子」 问题,重要性毋庸多说。
怎么做
企业有其利润追逐性,科技的发展需要时间和人才,需要有一个统一的方向,指挥大家集中力量办大事。建立相应的标准体系就可以提供这样的一个统一方向。
「建设指南」 围绕智能网联汽车网络安全标准的体系建设,从总体要求到建设思路,再到具体的建设内容都作了系统阐述。
其中建设思路章节中提出了下面的技术架构:
这与 「加强工作」 中的工作重点是一脉相承。
建设内容章节中详细而又富有层次地说明了网络安全标准体系的内容。下图是体系框架图,架构分了三层。而 「建设指南」 最后还附上了更详细的具体标准目录,亦即是下图第三层继续细化的 「第四层」。
其中与智能网联汽车生产企业的技术开发关系较直接的,笔者认为是 「201 车载设备安全」 和 「202 车端安全」。这些标准涵盖了通讯、诊断、应用功能,也包含了软件、操作系统、硬件、芯片等方面。
很多时候我们会碰到一个问题:「是不是车端的网关做了网络安全就行,其他车端节点就不用做了?」 从 「201 车载设备安全」 和 「202 车端安全」 这两个部分可以看出,答案是否定的。智能网联汽车的网络安全是个系统性工程,即使是车端范围内也需要各个控制器和各个部分的系统设计。
汽车行业工程师同仁们可以考虑往这些方向上进一步发展。企业家和投资者们也可以瞄准方向,集中发力。相信中国的智能网联汽车发展的越来越先进的同时,网络安全的发展也能同步迈进。
参考来源:
1.《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)
2.《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)编制说明
3.关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)
