車企上云,數(shù)據(jù)的合規(guī)使用和安全防范將是重中之重��!
嚴(yán)格意義上來說���,汽車數(shù)字化的基礎(chǔ)是各種數(shù)據(jù)集成����,數(shù)據(jù)集成所被表現(xiàn)出來的���,則是軟件的大量應(yīng)用��。
而車內(nèi)的車機系統(tǒng)���、智能駕駛座艙、自動駕駛功能等����,都是汽車數(shù)字化的具體呈現(xiàn),同時也是車內(nèi)最容易出現(xiàn)網(wǎng)絡(luò)安全漏洞的部分�����。
一旦這些部分出現(xiàn)網(wǎng)絡(luò)安全問題,將會對用戶造成比較嚴(yán)重的影響���。
如當(dāng)前用戶可通過手機 APP 的藍牙功能實現(xiàn)遠(yuǎn)程控車��,如果 APP 設(shè)計或者接口不嚴(yán)謹(jǐn)�����,就有可能出現(xiàn)黑客批量控制用戶 APP的情況��,攻擊者就可以隨意開走任何車輛��。
相比智能手機�����,汽車數(shù)據(jù)網(wǎng)絡(luò)安全問題所能夠給人帶來的威脅以及損失更大���,這也注定車企需要花費更多的精力來投入到車上數(shù)據(jù)網(wǎng)絡(luò)安全的建設(shè)���。
2 月 24 日��,汽車之心與騰訊智慧出行聯(lián)合策劃了「行者有云」系列沙龍第二期《車企上云��,如何構(gòu)筑云上安全防線》正式播出�����。
本期沙龍邀請了上海帆一尚行科技有限公司網(wǎng)絡(luò)安全總監(jiān)��、上汽騰訊網(wǎng)絡(luò)安全實驗室聯(lián)合負(fù)責(zé)人陳寧��,以及騰訊安全策略發(fā)展中心總經(jīng)理呂一平�����。
此次沙龍主要圍繞數(shù)據(jù)安全和風(fēng)險防御問題���,共同探討了車企在系列新規(guī)背景下����,將會采用怎樣的新手段���、新模式來保證數(shù)據(jù)的合理開發(fā)利用��,并有效防范潛在網(wǎng)絡(luò)安全風(fēng)險�。
01、3 類數(shù)據(jù)���,5 方面舉措��,車企需合規(guī)使用數(shù)據(jù)
在智能網(wǎng)聯(lián)汽車發(fā)展早期階段���,數(shù)據(jù)的收集和應(yīng)用,并沒有明確的相關(guān)法律法規(guī)進行規(guī)定�,相比于被強制監(jiān)管數(shù)十年的金融領(lǐng)域,汽車數(shù)據(jù)安全防護還是「新兵」�。
去年 8 月,國家互聯(lián)網(wǎng)信息辦公室�、國家發(fā)展和改革委員會、工業(yè)和信息化部�、公安部、交通運輸部聯(lián)合發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》�,自 2021 年 10 月 1 日開始實施。
與汽車數(shù)據(jù)安全法前后發(fā)布的法規(guī)�,還有《個人信息保護法》《數(shù)據(jù)安全法》等,多項關(guān)于數(shù)據(jù)的法規(guī)密集發(fā)布����,以及當(dāng)時被制裁的某個海外車企,都讓車企們意識到�,數(shù)據(jù)合法合規(guī)使用����,是必然趨勢�。
畢竟�����,智能汽車每天收集到的數(shù)據(jù)非常龐大���,除駕駛員的個人信息數(shù)據(jù)之外�����,更重要的一點是���,智能網(wǎng)聯(lián)汽車的傳感器能夠?qū)崟r收集到高精度地圖數(shù)據(jù),這涉及到很多敏感的地理位置信息�。
因此,車企想要合法合規(guī)的使用數(shù)據(jù)�����,首先需要對這些數(shù)據(jù)進行分類��。
對此,呂一平認(rèn)為汽車行業(yè)主要有 3 大類數(shù)據(jù)比較重要:
汽車研發(fā)過程中車輛狀態(tài)的相關(guān)數(shù)據(jù)�,這一類數(shù)據(jù)一直被車企所收集,并留作自用����。
與用戶相關(guān)的隱私數(shù)據(jù)。當(dāng)前國家有明確的法律法規(guī)要求車企對這類數(shù)據(jù)進行保護����,并針對不同的使用場景,對數(shù)據(jù)要進行明確的分類分級����,并依據(jù)法規(guī)使用用戶隱私相關(guān)數(shù)據(jù)。
敏感數(shù)據(jù)的使用�����,比如傳感器收集到的地理位置數(shù)據(jù)���、高精度地圖數(shù)據(jù)�,這一塊主要涉及到國家安全部分��,是車企需要非常關(guān)注的點。
數(shù)據(jù)分類分級之后�,則是數(shù)據(jù)的合規(guī)使用問題。
對此��,陳寧根據(jù)目前的相關(guān)法規(guī)���,總結(jié)了 5 方面舉措:
在使用數(shù)據(jù)前,車企的相關(guān)車輛應(yīng)用服務(wù)必須要通過等保測評��,并建立起相關(guān)的網(wǎng)絡(luò)安全或數(shù)據(jù)安全的配套防護措施和防范的管理體系����。
當(dāng)前法規(guī)明確要求,默認(rèn)車企不得收集用戶上車數(shù)據(jù)����,如果需要收集,則必須告知用戶�,以及需要收集的數(shù)據(jù)信息。
在收集數(shù)據(jù)狀態(tài)中����,讓用戶知道正在收集其數(shù)據(jù),如果有些信息用戶不希望被收集���,則需要允許用戶進行屏蔽��。
車企要盡量將車內(nèi)敏感數(shù)據(jù)模糊化處理�����,防止通過數(shù)據(jù)清晰定義用戶的情況出現(xiàn)����。
在數(shù)據(jù)流通和共享上,按照數(shù)據(jù)安全法和汽車數(shù)據(jù)安全法相關(guān)規(guī)定�,車企每年 12 月份要上報數(shù)據(jù)安全報告。同時���,汽車在向海外發(fā)展的過程中�����,如果數(shù)據(jù)要向境外輸出�,則需要經(jīng)過相關(guān)評審�。
建立數(shù)據(jù)的分級分類,并合法合規(guī)的使用�����,僅僅是建立數(shù)據(jù)安全防護的基礎(chǔ)。
在分級分類防護數(shù)據(jù)之后���,更為重要的是����,車企要建立針對網(wǎng)絡(luò)安全問題的應(yīng)對和響應(yīng)機制����,以及相對應(yīng)的處理技術(shù)能力����。
此前,傳統(tǒng)的汽車產(chǎn)業(yè)中�,如果汽車出現(xiàn)了某些安全問題,車企一般都會通過召回的方式解決這些問題�����,但召回的周期很長��,很難適應(yīng)網(wǎng)絡(luò)安全問題的節(jié)奏變化�����。
陳寧表示:「如果車企能夠建立起針對網(wǎng)絡(luò)安全問題的 48 小時之內(nèi)的安全補丁或修復(fù)能力,這將是未來車企很大的競爭力�。」
02�、加大研發(fā)投入,車企要加速建立網(wǎng)絡(luò)安全防護體系
不過����,現(xiàn)階段車企針對汽車數(shù)據(jù)網(wǎng)絡(luò)安全防護仍處于探索初期,其想要逐漸構(gòu)建自己的安全防護網(wǎng)絡(luò)體系��,將是一個相當(dāng)漫長的過程��。
一方面��,數(shù)據(jù)安全僅僅是車企網(wǎng)絡(luò)安全建設(shè)中一部分內(nèi)容���,想要做好數(shù)據(jù)安全����,車企還要打好很多地基工作���。
如云上安全���,技術(shù)架構(gòu)安全等�,還包括很多相關(guān)網(wǎng)絡(luò)安全建設(shè)����,如云上的邊界防護、安全監(jiān)測���、網(wǎng)絡(luò)安全的漏洞或者網(wǎng)絡(luò)安全響應(yīng)的能力等��。
另一方面����,人才問題也是影響汽車網(wǎng)絡(luò)安全建設(shè)進程的一個重要因素����。
陳寧表示���,在網(wǎng)絡(luò)安全領(lǐng)域���,中國高校每年輸送的畢業(yè)生大概是 10 萬人左右,但自去年開始�,出現(xiàn)非常大的缺口,未來的趨勢也是缺口逐漸變大���,相對應(yīng)的�����,涉及到汽車網(wǎng)絡(luò)安全的人才缺口���,將會更大���。
雖然汽車數(shù)據(jù)網(wǎng)絡(luò)安全建設(shè)是一個長周期的持續(xù)投入,但在當(dāng)前各項法規(guī)要求的倒逼下��,車企也應(yīng)該逐漸加快自身在網(wǎng)絡(luò)安全防護體系的建設(shè)���。
從車企本身汽車網(wǎng)絡(luò)安全建設(shè)進程來說��,陳寧以上汽為例��,闡述了上汽的汽車產(chǎn)品從研發(fā)�����,到生產(chǎn)��,再到交付以及交付之后的相關(guān)防御措施����。
在汽車投產(chǎn)之前,對于產(chǎn)品的零件或者整車����,會在技術(shù)和流程上,從安全設(shè)計��、滲透測試���、投產(chǎn)運營等方面做一系列的測試研發(fā)��。
針對車內(nèi)安全網(wǎng)絡(luò)防護���,上汽現(xiàn)階段所建立的防御體系主要是從云管邊端逐層防護,同時�,傳統(tǒng)云驅(qū)動安全內(nèi)容也適用于當(dāng)下。
通道方面���,則主要是從云端到車端的通訊鏈路,用加密方法進行加密�,確保上汽的鏈路不會被截斷或者被中間人截取掉。
同時���,上汽也對車與車之間進行傳輸?shù)男畔⒔o予加密保護�����,保證數(shù)據(jù)的安全性和唯一性����。
在車輛交付之后,上汽也會建立相關(guān)的防御措施�,比如網(wǎng)關(guān)或者 IDPS 等,通過它將車輛相關(guān)的模塊或者相關(guān)的服務(wù)隔開�����,確保車輛在行駛過程中關(guān)鍵通信和關(guān)鍵指令不會被人惡意篡改掉�。
除了車企本身的自我網(wǎng)絡(luò)安全防護體系建設(shè)外,車企也會尋求外部網(wǎng)絡(luò)安全公司的合作���。
其中����,騰訊一直是將自己定位為汽車行業(yè)助手的角色���,助力汽車行業(yè)在安全方面形成自身的能力���。
騰訊在與車企的合作過程中���,主要為車企提供4 方面的能力,幫助車企構(gòu)建數(shù)據(jù)網(wǎng)絡(luò)安全:
騰訊云助力車企云上安全��,幫助車企在云服務(wù)端構(gòu)建安全防護體系����,形成有效的安全防護能力。
針對車端存在的 security 和 safety 風(fēng)險問題�����,騰訊具備研發(fā)和測試等合規(guī)的品牌和工具���,助力車企在這方面的能力建設(shè)�。
在數(shù)字化營銷場景下可能存在的「黑產(chǎn)」問題��,騰訊可以提供相對應(yīng)的解決方案���,保證車企在營銷過程中更好的觸達用戶,大大降低「黑產(chǎn)」薅羊毛的機率��。
騰訊能夠通過自身能力幫助車企對數(shù)據(jù)進行分類分級,界定清楚各類數(shù)據(jù)的重要性��,并在此基礎(chǔ)上助力車企構(gòu)建數(shù)據(jù)安全保護方案�。
在實際的合作案例中,此前騰訊已經(jīng)與上汽組建了聯(lián)合實驗室��,上汽在設(shè)計了相關(guān)防御測試后�,需要建立自己的驗證和測試體系。
而騰訊則參與到了上汽部分車輛中智能座艙的設(shè)計和規(guī)劃工作��,在設(shè)計和研發(fā)早期��,基于安全防護方面的能力��,助力上汽產(chǎn)品的研發(fā)����。
前文也有所言,在數(shù)字化網(wǎng)絡(luò)安全防護方面��,汽車行業(yè)還是「新兵」��,車企雖然逐漸在加強對這方面的重視�����,但目前仍是處于早期投入階段。
騰訊安全策略發(fā)展中心總經(jīng)理呂一平
呂一平表示�����,在金融行業(yè)�����,一般在網(wǎng)絡(luò)安全方面的研發(fā)投入可能是在 6%-8% 之間����,而當(dāng)前汽車行業(yè)的投入則普遍在 2% 左右。
事實上����,從法規(guī)密集發(fā)布情況來看,網(wǎng)絡(luò)安全給汽車行業(yè)做響應(yīng)時間并不多了���。
如果車企不能夠加快節(jié)奏�,逐漸提高在該領(lǐng)域的研發(fā)投入��,極有可能面臨著極大的風(fēng)險��,一旦出現(xiàn)大規(guī)模的網(wǎng)絡(luò)安全事件,則將是對整個行業(yè)的重大打擊�����。
來源:第一電動網(wǎng)
作者:汽車之心
本文地址:http://www.medic-health.cn/kol/169153
返回第一電動網(wǎng)首頁 >
文中圖片源自互聯(lián)網(wǎng)��,如有侵權(quán)請聯(lián)系admin#d1ev.com(#替換成@)刪除�。
京公網(wǎng)安備
11010502033163號
