汽車網(wǎng)絡安全與數(shù)據(jù)安全測試評估研究與實踐

2022年12月7日，智能網(wǎng)聯(lián)汽車數(shù)據(jù)治理和發(fā)展論壇成功召開。中汽研軟件測評（天津）有限公司軟件與信息安全測試研究部副部長邵學彬發(fā)表“汽車網(wǎng)絡安全與數(shù)據(jù)安全測試評估研究與實踐”主題報告。

邵學彬表示，隨著汽車智能化、網(wǎng)聯(lián)化的發(fā)展，智能網(wǎng)聯(lián)汽車引發(fā)的網(wǎng)絡安全和數(shù)據(jù)安全問題日益凸顯。針對智能網(wǎng)聯(lián)汽車的數(shù)據(jù)安全問題，數(shù)據(jù)分級分類保護是先決條件，數(shù)據(jù)全生命周期保障體系是核心，產(chǎn)業(yè)鏈上下游統(tǒng)籌協(xié)調(diào)是關鍵；同時要依法依規(guī)開展數(shù)據(jù)安全檢測評估，推動企業(yè)安全水平能力的提升。

以下為演講摘要：

報告主要從四個方面展開，第一部分是標準政策的建設進展，第二部分是合規(guī)的要點以及應對的建議，第三部分是數(shù)據(jù)安全合規(guī)方案，最后一個部分是數(shù)據(jù)安全測試方案。

一、標準政策的建設進展

汽車智能化、網(wǎng)聯(lián)化的快速發(fā)展既帶來了機遇，也帶來了更多的數(shù)據(jù)安全挑戰(zhàn)，數(shù)據(jù)安全問題日益凸顯。為了保障汽車數(shù)據(jù)安全，汽車網(wǎng)絡安全與數(shù)據(jù)安全領域相關法律法規(guī)和政策密集出臺，如國外的GDPR，國內(nèi)的《關于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》《關于加強車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全工作的通知》等法律法規(guī)，國內(nèi)外數(shù)據(jù)安全監(jiān)管力度逐步加強。不僅僅是法律法規(guī)，汽車數(shù)據(jù)安全的標準體系也在持續(xù)完善中，以指導行業(yè)全面性落實法律法規(guī)要求，如GB/T《智能網(wǎng)聯(lián)汽車 數(shù)據(jù)通用要求》（公開征求意見）、GB/T 41871《信息安全技術(shù) 汽車數(shù)據(jù)處理安全要求》等等。

二、合規(guī)的要點以及應對的建議

面對日益凸顯的數(shù)據(jù)安全問題，報告提出了幾點合規(guī)要點以及應對建議：第一是建立數(shù)據(jù)分類分級保護制度。智能網(wǎng)聯(lián)汽車數(shù)據(jù)面臨的安全風險較高，除涉及種類更為繁雜的車內(nèi)數(shù)據(jù)，還涉及車云通信、車與設備通信、車車/車路通信過程中產(chǎn)生和收集的數(shù)據(jù)，應建立數(shù)據(jù)分類分級保護制度。第二是汽車數(shù)據(jù)處理鏈中各環(huán)節(jié)技術(shù)復雜，各數(shù)據(jù)處理環(huán)節(jié)都會引入不同的數(shù)據(jù)安全問題，保護難度大。第三是汽車產(chǎn)業(yè)鏈較長，并涉及整車企業(yè)、元器件供應商、網(wǎng)絡運營商、內(nèi)容和服務供應商等眾多的參與方，數(shù)據(jù)流通大、安全風險難以把控。第四是要提升企業(yè)數(shù)據(jù)安全管理能力，總體思路是以數(shù)據(jù)資產(chǎn)管理為基礎，與產(chǎn)品研發(fā)相結(jié)合，以合規(guī)為主要導向。最后是強化數(shù)據(jù)安全技術(shù)能力，針對數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期，采取相應的安全技術(shù)措施等，通過關閉相應數(shù)據(jù)傳輸通道、訪問建立數(shù)據(jù)出境接口動態(tài)監(jiān)管、建立結(jié)構(gòu)化保護模塊等措施避免數(shù)據(jù)不知情出境。

三、數(shù)據(jù)安全合規(guī)方案

針對數(shù)據(jù)安全合規(guī)的解決方案，首先需要進行數(shù)據(jù)資產(chǎn)盤點，其次需要依托現(xiàn)行政策法規(guī)要求，列舉智能網(wǎng)聯(lián)汽車可能引發(fā)的數(shù)據(jù)安全風險，剖析風險點、風險原因、風險表現(xiàn)等，分門別類進行歸納分析，總結(jié)行業(yè)、企業(yè)的普遍做法及應對方案。再次，需要監(jiān)管部門建立滿足國內(nèi)、GDPR數(shù)據(jù)安全監(jiān)管要求的管理體系。此外，還需要進行數(shù)據(jù)安全測試，對車外人臉/車牌數(shù)據(jù)進行匿名化測試，對車輛數(shù)據(jù)出境、個人信息的處理進行測試。最后，需要構(gòu)建國內(nèi)首個汽車數(shù)據(jù)安全與個人信息保護自愿性認證（CADP），依托相關標準規(guī)定，從體系、產(chǎn)品測試兩個維度提出要求。

四、數(shù)據(jù)安全測試方案

最后，報告針對上文方案中提到的數(shù)據(jù)安全測試方案做出具體解讀。

1、針對車外人臉信息等匿名化處理測試，車外人臉或車牌信息在無法征得個人同意，且需向車外提供的情況，檢測是否對圖片/視頻中的人臉及車牌信息進行了匿名化處理且是否達到要求，通過自動化檢測與人工核驗結(jié)合的方式，對檢出率、誤檢率、交并比等指標進行計算，驗證匿名化處理的效果。報告還列舉了車牌和人臉的匿名化案例。

2、需要開展個人信息處理測試，測試驗證個人信息處理的合法性、安全性以及是否存在個人信息過度采集的情況。

3、針對車輛向外傳輸?shù)臄?shù)據(jù)，利用自研工具分析通信流量是否存在境外IP，檢測是否存在數(shù)據(jù)出境情況。

審核編輯 ：李倩