点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
2
车联网数据安全
企业应基于数据安全法律法规要求,通过采取一系列车联网安全保障与支撑措施,保障智能网联汽车、车联网平台、车载应用服务内的数据安全和个人信息保护。
1.车联网数据分类分级
(1)车联网数据盘点
为更加清晰、直观地认知车联网数据处理活动,开展针对性的风险评估、审计和安全管理工作,并以明文、可读形式向国家监管部门展示车联网数据处理情况。企业应对车联网数据进行盘点,明确数据资产基本情况以及数据全生命周期流转情况,包括但不限于如下内容:
√数据字段:明确车联网相关业务流程,并通过技术扫描和文档审阅等形式各车联网业务流程内涉及的数据字段及所在系统进行梳理,形成清册。
√数据数量:应识别、明确个人信息所涉及的个人信息主体数量、重要数据的存储量。
√数据全生命周期流转情况:应明确数据的来源、存储位置、处理方式与目的传输与提供的接收方情况、接收目的、保存期限、销毁方式。
(2)车联网数据分类分级
(3)车联网数据全生命周期安全管理
企业应基于不同类别与级别的车联网数据,明确车联网数据全生命周期安全管理要求,开展相应的安全管理工作。
√数据收集和产生:企业应遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。
√数据存储:企业应按照法律法规要求,和与数据主体约定的存储方式,对车联网数据进行存储,并采取加密、访问控制、备份等安全措施。
√数据处理:企业应通过采取访问控制、数据备份与恢复等措施保障车联网数据处理过程中的安全。
√数据传输与提供:企业应根据传输的数据类型、级别和应用场景,制定相应的安全传输策略,如对个人信息与重要数据进行加密传输。若存在向第三方提供数据的情况,企业应明确与数据接收方的关系,并通过合同、协议等方式明确向第三方提供的车联网数据范围、双方的数据安全管理责任义务等。
√数据公开:企业应分析车联网数据公开是否对国家安全、公共利益产生影响,若存在重大影响的情况,企业不得将车联网数据公开。
√数据删除:车联网数据保存期限到期时,企业应开展数据删除工作,并对删除活动进行记录。
2.车联网个人信息保护
○个人信息全生命周期管理:企业应明确车联网个人信息在其全生命周期各环节安全要求,对不同类别的个人信息建立差异化管控要求和技术保护措施。
○个人信息主体权利的行使:企业应建立便利的车联网个人信息主体行权渠道与投诉渠道,并建立内部的响应流程,确保车联网个人信息主体可以行使知情权、决定权、查阅权、复制权、转移权、更正权、补充权、删除权,且保留相关处理记录等。
○个人信息保护影响评估:企业应针对敏感个人信息处理、个人信息出境、基于个人信息的自动决策、委托处理个人信息、向其他个人信息处理者等法律规定的特定场景进行个人信息保护影响评估,对其处理活动的合法性、正当性、必要性,以及所采取的保护措施与其风险程度是否相适应并有效等方面进行评估。
3.车联网应用数据安全
企业应对车联网特定应用所开展的数据采集和处理使用等活动进行安全保护,包括以下方面:
○车联网数据安全保护能力评估:企业应从技术、管理和人员能力等多个角度对车联网数据安全保护能力进行评估,重点评估数据保密性、数据完整性、数据可用性、认证和授权、安全监测和响应等方面。
○车联网应用服务数据脱敏:企业可采用去标识化、数据加密、数据掩码、数据截断、数据混淆等技术开展车联网应用服务数据脱敏工作。
4.车联网数据出境
外资、合资车联网企业常见出境场景
3
车联网应用服务安全
企业应建立车联网服务平台和应用程序的安全要求,以及典型业务应用服务场景下的安全要求,包括平台安全、应用程序安全和服务安全。
1.车联网应用程序安全
2.车联网服务与车联网平台安全
企业应采取必要的技术措施来加强车联网服务平台安全,包括但不限于:智能网联汽车、路侧设备等平台接入安全,主机、数据存储系统等平台设施安全,以及资源管理、服务访问接口等平台应用安全防护能力;加强在线升级服务(OTA)、电动汽车远程信息服务等相关平台安全和漏洞检测;做好车联网相关平台网络安全防护定级工作,防范网络侵入、数据窃取、远程控制等安全风险。同时,企业应对车联网典型业务场景下所开展的服务进行保护,包括车联网服务平台与车载终端交互安全、车联网汽车远程诊断服务网络安全、车联网高级辅助驾驶系统与远程平台交互网络安全、车联网车路协同服务网络安全等。
4
车联网网联通信安全
智能网联车辆常见通信网络
5
车联网终端与设施网络安全
企业应建立车联网终端和基础设施等相关网络安全要求,包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全。
1.车载设备网络安全
企业应加强智能网联汽车关键智能设备和组件安全防护和安全检测,包括汽车网关安全、电子控制单元(ECU)安全、车用安全芯片网络安全、车载计算平台网络安全、车载可插卸物联网设备安全、车载综合信息处理系统(IVI)安全、远程车载信息交互系统(T-Box)安全等。
2.车端网络安全
企业应加强车端网络安全防护和安全检测,包括整车电子电气架构安全、总线架构安全、系统架构安全等。
3.路侧通信设备网络安全
企业应加强车联网路侧通信设备网络安全防护和安全检测,包括路侧单元(RSU)、摄像机、线图传感器、雷达等。
4.网络设施与系统安全
企业应加强车联网网络设施和网络系统安全防护和安全检测,包括落实网络安全分级防护,网络安全域合理划分,做好网络边界安全防护,加强网络设施和网络系统资产管理,加强网络访问控制管理,采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施等。
总结
中国的汽车行业正在迅猛地发展中,面对国产新势力的冲击和全新的消费者需求,对于外资、合资企业来说,智能网联是一个全新的赛道,更是立足中国市场的关键竞争要素。做好网络安全与数据安全的合规是长期、稳定发展智能网联汽车竞争力的基础。企业应当搭建并持续完善车联网安全体系,在车联网终端与设施网络安全、网联通信安全、应用服务安全、数据安全、安全保障与支撑等各个层面实现强健的安全体系,形成持续监督优化机制,满足监管合规要求,并切实提升车联网安全防护能力。
来源: 上海贸促
更多文章
华为蔡建永:智能网联汽车的数字安全和功能安全挑战与思考
汽车数据合规要点
车载以太网技术发展与测试方法
车载以太网防火墙设计
SOA:整车架构下一代的升级方向
会员权益: (点击可进入)谈思实验室VIP会员
原文始发于微信公众号(谈思实验室):网络与数据安全合规:在华智能网联汽车的新挑战