车联网安全漏洞管理深度解读
2021-09-17 19:38:20 来源: 中国大数据平台
今日(2021年9月16日),工信部发布《关于加强车联网网络安全和数据安全工作的通知》(下称“《通知》”),强调加强智能网联汽车、车联网网络、车联网服务平台以及数据等多方面的安全防护。就在前几日(9月13日),工信部装备工业发展中心发布《关于开展汽车数据安全、网络安全等自查工作的通知》(下称“《自查通知》”),组织开展汽车数据安全、网络安全、软件在线升级(又称OTA升级)和驾驶辅助功能情况自查工作。而马上在今年10月1日,《汽车数据安全管理若干规定(试行)》将正式生效。汽车行业的网络安全和数据安全愈发受到重视,安全漏洞管理是车联网网络安全防护工作的重要组成部分。
一、
车联网安全漏洞管理的合规重要性
《通知》指出,要加强智能网联汽车安全防护,应落实安全漏洞管理责任,同时加强在线升级服务(OTA)安全和漏洞检测评估,维护车联网服务平台安全。
《自查通知》亦要求相关企业自查自身安全漏洞管理情况:
网络安全管理情况
1.产品安全漏洞管理机制建立情况;
2.网络安全缺陷、漏洞收集的渠道建立情况(如漏洞平台库);
3.网络安全缺陷、漏洞进行分析和相应处置情况(如修复漏洞或提供消减措施)
在线升级管理情况
是否对升级包进行安全检测,以确认是否存在安全漏洞
在线升级实施情况
网络安全漏洞修复情况
二、
车联网安全漏洞管理的责任主体
2021年9月1日正式生效的《网络产品安全漏洞管理规定》(下称“《漏洞管理规定》”)明确其适用范围包括,中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。
根据《智能交通 数据安全服务》(GB/T 37373-2019),车联网(Internet of Vehicles)是指以车内网、车际网和车载移动互联网为基础,按照约定的通信协议和数据交互标准,在车与外界(车、路、行人及互联网等)之间进行无线通信和信息交换的大系统网络,能够实现智能化交通管理,智能动态信息服务和车辆智能化控制的一体化网络。智能网联汽车搭载先进的车载传感器、控制器、执行器等装置,融合现代通信与网络技术,能实现车与车、路、人、云端等智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能。
将目光置于车联网场景,可将承担车联网安全漏洞管理的责任主体分为三类:
(1)智能网联汽车生产企业(包括联网主机、车载应用软件等网络产品提供者);
(2)车联网服务平台运营企业(网络运营者);
(3)车联网网络产品安全漏洞收集平台(从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人)。
三、
车联网安全漏洞管理的主要内容
(一) 日志留存义务
智能网联汽车生产企业、车联网服务平台运营企业及车联网网络产品安全漏洞收集平台均应建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
(二)安全漏洞管理义务
1. 智能网联汽车生产企业
智能网联汽车生产企业作为网络产品提供者,应确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施。
具体而言,智能网联汽车生产企业应明确本企业漏洞发现、验证、分析、修补、报告等工作程序。发现或获知汽车产品存在漏洞后,应立即采取补救措施,同时组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围。对属于其上游产品或者组件存在的安全漏洞,还应立即通知相关产品提供者。
智能网联汽车生产企业应在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息,报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。对需用户(含下游厂商)采取软件、固件升级等措施修补漏洞的,应及时将漏洞风险及修补方式告知可能受影响的用户,并提供必要技术支持。《漏洞管理规定》鼓励智能网联汽车生产企业等网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
在提供在线升级服务(OTA)时,智能网联汽车生产企业需注意履行如下安全漏洞管理义务:
软件安全
1.建立在线升级服务软件包安全验证机制,采用安全可信的软件;
2.开展在线升级软件包网络安全检测,及时发现产品安全漏洞
环境安全
加强在线升级服务安全校验能力,采取身份认证、加密传输等技术措施,保障传输环境和执行环境的网络安全
服务安全
1.加强在线升级服务全过程的网络安全监测和应急响应;
2.定期评估网络安全状况,防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险
2. 车联网服务平台运营企业
车联网服务平台运营企业发现或者获知其网络、信息系统及其设备存在安全漏洞后,应立即采取措施,及时对安全漏洞进行验证并完成修补。
3.车联网网络产品安全漏洞收集平台
《漏洞管理规定》鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。
任何组织或者个人设立的车联网网络产品安全漏洞收集平台,应向工业和信息化部备案。2021年9月13日,工信部发布《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》,对平台的备案义务作出明确规定。在车联网领域,车联网产品安全漏洞专业库(China Automobile Vulnerability Database,CAVD)、车辆安全漏洞预警与分析平台(China Vehicle Vulnerability Database,CVVD)等是目前比较知名的车联网网络产品安全漏洞收集平台。
车联网网络产品安全漏洞收集平台应遵循必要、真实、客观以及有利于防范网络安全风险的原则发布车联网网络产品安全漏洞信息,并加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。平台发布漏洞信息应遵守“八不得”要求:
(1)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;
认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(2)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(3)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(4)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(5)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(6)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(7)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(8)法律法规的其他相关规定。
(三)法律责任
主体
行为
罚则
相应条文
智能网联汽车生产企业
未按《漏洞管理规定》采取网络产品安全漏洞补救或者报告措施
由工业和信息化部、公安部依据各自职责依法处理
《漏洞管理规定》第十三条
对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告,拒不改正或导致危害网络安全等后果
处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款
《网络安全法》第六十条
车联网服务平台运营企业
未按《漏洞管理规定》采取网络产品安全漏洞修补或者防范措施
由有关主管部门依法处理
《漏洞管理规定》第十三条
拒不履行《网络安全法》规定的网络安全保护义务或导致危害网络安全等后果
处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款
《中华人民共和国网络安全法》第五十九条
若为关键信息基础设施运营者,拒不履行《网络安全法》规定的网络安全保护义务或导致危害网络安全等后果
处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款
车联网网络产品安全漏洞收集平台
违反《漏洞管理规定》收集、发布网络产品安全漏洞信息
由工业和信息化部、公安部依据各自职责依法处理
《漏洞管理规定》第十四条
拒不改正或情节严重
处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款
《网络安全法》第六十二条
共同适用
利用网络产品安全漏洞从事危害网络安全活动,或为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持
由公安机关依法处理
《漏洞管理规定》第十五条
利用网络产品安全漏洞从事危害网络安全的活动,或提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序、工具,或为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪
由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款
《网络安全法》第六十三条
情节较重
处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款
单位有前款行为
由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚
受到治安管理处罚的人员
五年内不得从事网络安全管理和网络运营关键岗位的工作
受到刑事处罚的人员
终身不得从事网络安全管理和网络运营关键岗位的工作
结语
车联网较之互联网,与用户的生命财产安全关系更为密切。在快速发展的同时,车联网安全风险亦日益凸显,构建全面有效的车联网安全漏洞管理体系具有必要性与紧迫性。车联网各主体应建立健全安全漏洞管理机制,加强漏洞监测能力,提升漏洞处置技术水平,及时报告和披露漏洞信息,实现车联网的安全运行与持续发展。