车联网安全之顶层设计纪实（上篇2015-2020）

• 2015年9月21日网信办刊登《互联网汽车“科技秀”背后暗藏安全隐忧》提出“安全将成互联网汽车软肋；互联网汽车需练金钟罩”。

安全将成互联网汽车软肋

——利用车联网系统软件的漏洞

——通过攻破与车联网相关联的智能手机、智能手表或者是云端数据库等进入车联网

——车载诊断系统OBD或是造成汽车网络风险的一个重要源头

互联网汽车需练“金钟罩”

——立法先行为智能汽车提供安全保障

——成立专职部门负责汽车网络安全

——产业联盟合作助智能汽车发展良性循环

——智能汽车时代需打造自主芯片和核心技术

• 2016年6月8日工信部对各通信管理局、运营商集团、域名注册管理服务机构、互联网机构、网安企业发函《工业和信息化部关于开展2016年电信和互联网行业网络安全试点示范工作的通知》，车联网首次被列入电信和互联网行业网络安全试点示范重点引导方向。次年的7月26日再次强调就该重点方向开展试点示范工作。

三、重点领域

2016年电信和互联网行业网络安全试点示范重点引导方向包括：

（六）新技术新业务网络安全。具备云计算、大数据、移动互联网、物联网、车联网、移动支付等新技术新业务的安全防护能力，能对以上各类业务场景提供特定可行有效的安全保护手段和解决方案。

三、重点领域

2017年电信和互联网行业网络安全试点示范重点引导方向包括：

（五）新业务及融合领域网络安全。面向公共云服务、物联网、车联网、工业互联网、智慧城市、智能家居、互联网支付等领域典型应用场景的安全防护，能对以上各领域的各种应用场景提供特定、可行、有效的安全保护手段。

• 2017年6月13日，为贯彻落实《中国制造2025》战略部署，加快推动我国智能网联汽车产业发展，发挥技术标准的引导和规范作用，装备工业司发布关于征求《国家车联网产业标准体系建设指南（智能网联汽车）（2017年）》（征求意见稿）意见的通知，公开征求社会意见。于同年12月29日向各工信主管部门、质量技术监督局、标准化技术组织、行业协会印发《国家车联网产业标准体系建设指南（智能网联汽车）》。

• 2017年9月25日，为加快推动我国车联网发展，发挥技术标准的规范和促进作用，科技司发布关于征求《国家车联网产业标准体系建设指南》意见的通知公开征求对《国家车联网产业标准体系建设指南（总体要求）（征求意见稿）》、《国家车联网产业标准体系建设指南（信息通信）（征求意见稿）》、《国家车联网产业标准体系建设指南（电子产品和服务）（征求意见稿）》三部分的意见。

• 2018年6月15日工信部与国家标准化管理委员会发布关于印发《国家车联网产业标准体系建设指南（总体要求）》等系列文件的通知。为发挥标准在车联网产业生态环境构建中的顶层设计和引领规范作用，推动相关产业转型升级，加快制造强国和网络强国建设步伐，工业和信息化部、国家标准化管理委员会共同组织制定了《国家车联网产业标准体系建设指南（总体要求）》《国家车联网产业标准体系建设指南（信息通信）》和《国家车联网产业标准体系建设指南（电子产品与服务）》系列文件。要求与此前印发的《国家车联网产业标准体系建设指南（智能网联汽车）》（工信部联科〔2017〕332号）配套使用，在标准化工作中贯彻执行。其中信息通信标准体系明确了“以共性基础技术和信息通信安全技术为支撑”。这系列的车联网标准体系指南发布，标志着自动驾驶发展迎来新机遇。

车联网产业（信息通信）标准体系技术结构图如图2，是从技术角度对车联网产业中涉及信息通信的关键标准进行全面梳理，分为感知层（端）、网络层（管）和应用层（云）三个层次，并以共性基础技术和信息通信安全技术为支撑。体系架构按照 “端—管—云”的方式进行划分，明确各项标准在车联网产业技术体系中的地位和作用，更好地发挥标准体系的顶层设计和指导作用。

image1.png

• 2018年8月13日工信部发函《工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知》，将车联网信息服务平台作为网络安全检查工作的重点对象。

二、检查重点

（一）重点检查对象。检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构（以下统称网络运行单位）建设与运营的网络和系统。重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。

• 2018年11月21日网络安全管理局发函《工业和信息化部办公厅关于开展网络安全技术应用试点示范项目推荐工作的通知》，为深入贯彻落实《网络安全法》，加快建设网络强国和制造强国，促进网络安全先进技术协同创新和应用部署，推广网络安全最佳实践，提升网络安全产业发展水平，决定开展网络安全技术应用试点示范项目（以下简称示范项目）推荐工作。其中车联网作为新技术新应用安全的系统，成为示范项目重点引导方向之一。次年4月18日遴选出101个网络安全技术应用试点示范项目，其中包含“智能网联车路协同通信安全研究应用平台”、“车联网应用安全平台项目”、“智能网联汽车车载安全防护系统”、“智能网联汽车网络安全检测评估平台建设”、“协同融合的车联网一体化安全服务系统”。遴选的这些示范项目具备较高的实用性、创新性、先进性、可推广性、成熟度和可复制性，可以充分发挥综合效益。具备实践基础并解决了应用单位实际存在的网络安全问题。

• 2018年12月28日为加快车联网（智能网联汽车）产业发展，大力培育新增长点、形成新动能，工信部发布关于印发《车联网（智能网联汽车）产业发展行动计划》的通知。《车联网（智能网联汽车）产业发展行动计划》按照“系统部署、统筹推进，创新引领、应用驱动，优势互补、开放合作，强化管理、保障安全”的原则，在深入调研基础上研究提出了五方面重点任务。一是突破关键技术，推动产业化发展。二是完善标准体系，推动测试验证与示范应用。三是合作共建，推动完善车联网产业基础设施。四是发展综合应用，推动提升市场渗透率。五是技管结合，推动完善安全保障体系。其中第五点任务要求“重点突破产业的功能安全、网络安全和数据安全的核心技术研发，支持安全防护、漏洞挖掘、入侵检测和态势感知等系列安全产品研发。督促企业强化网络安全防护和数据安全防护，构建智能网联汽车、无线通信网络、车联网数据和网络的全要素安全检测评估体系，开展安全能力评估。增强产业安全技术支撑能力，着力提升隐患排查、风险发现和应急处置水平，打造监测预警、威胁分析、风险评估、试验验证和数据安全等安全平台。推动企业加大安全投入，创新安全运维与咨询等服务模式，提升行业安全保障服务能力。”

• 2019年7月1日工信部办公厅发文关于印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》的通知。聚焦5大任务14项重点工作，目标要求基本建立行业网络数据安全保障体系。网络数据安全制度标准体系进一步完善，形成行业网络数据保护目录，制定15项以上行业网络数据安全标准规范，贯标试点企业不少于20家；行业网络数据安全管理和技术支撑平台基本建成，遴选网络数据安全技术能力创新示范项目不少于30个；基础电信企业和重点互联网企业网络数据安全管理体系有效建立。其中针对车联网这类新技术新应用带来的重大互联网数据安全问题，要求行业、跨部门联合开展网络数据安全风险评估工作。

三、重点任务

（二）开展合规性评估和专项治理

3.开展网络数据安全风险评估。出台网络数据安全合规性评估要点，依托互联网新技术新业务安全评估机制，部署基础电信企业（含专业公司）和重点互联网企业结合重点业务类型和场景，开展网络数据安全合规性自评估工作，提升企业网络数据安全风险防范能力。针对物联网、车联网、卫星互联网、人工智能等新技术新应用带来的重大互联网数据安全问题，及时开展行业评估和跨部门联合评估工作。

• 2019年11月21日为加快推动我国车联网产业发展，发挥技术标准的规范和促进作用；同时也为进一步听取社会各界意见，工信部公开征求对《国家车联网产业标准体系建设指南（车辆智能管理）》的意见。并于次年4月24日，联合公安部、国家标准化管理委员会发布关于印发《国家车联网产业标准体系建设指南（车辆智能管理）》的通知。该指南与《国家车联网产业标准体系建设指南（总体要求）》、《国家车联网产业标准体系建设指南（智能网联汽车）》、《国家车联网产业标准体系建设指南（信息通信）》、《国家车联网产业标准体系建设指南（电子产品与服务）》互为补充。该指南主要针对车联网环境下的车辆智能管理工作需求，指导智能网联汽车登记管理、身份认证与安全、道路运行管理及车路协同管控与服务等领域标准化工作，推动公安交通管理领域车联网技术应用与发展，提升我国智能网联汽车与智慧交通水平。

image2.png

• 2020年2月24日，发改委发布了关于印发《智能汽车创新发展战略》的通知。为顺应新一轮科技革命和产业变革趋势，抓住产业智能化发展战略机遇，加快推进智能汽车创新发展，发改委制定了《智能汽车创新发展战略》。该战略基本原则中提出“强化产业安全和风险防控，建立智能汽车安全管理体系，增强网络信息系统安全防护能力”。要求到2025年基本形成中国标准智能汽车的技术创新、产业生态、基础设施、法规标准、产品监管和网络安全体系。本战略提出了六条直接涉及信息基础设施、车联网安全的主要任务。

三、主要任务

（一）构建协同开放的智能汽车技术创新体系。

1. 突破关键基础技术。开展复杂系统体系架构、复杂环境感知、智能决策控制、人机交互及人机共驾、车路交互、网络安全等基础前瞻技术研发，重点突破新型电子电气架构、多源传感信息融合感知、新型智能终端、智能计算平台、车用无线通信网络、高精度时空基准服务和智能汽车基础地图、云控基础平台等共性交叉技术。

（二）构建跨界融合的智能汽车产业生态体系。

2. 创新产业发展形态。积极培育道路智能设施、高精度时空基准服务和智能汽车基础地图、车联网、网络安全、智能出行等新业态。

（三）构建先进完备的智能汽车基础设施体系。

3. 建设国家智能汽车大数据云控基础平台。充分利用现有设施和数据资源，统筹建设智能汽车大数据云控基础平台。重点开发建设逻辑协同、物理分散的云计算中心，标准统一、开放共享的基础数据中心，风险可控、安全可靠的云控基础软件，逐步实现车辆、基础设施、交通环境等领域的基础数据融合应用。

（六）构建全面高效的智能汽车网络安全体系。

4. 完善安全管理联动机制。严格落实国家网络安全法律法规和等级保护，完善智能汽车网络安全管理制度，建立覆盖汽车制造企业、电子零部件供应商、网络运营商、服务提供商等产业链关键环节的安全责任体系，建立风险评估、等级测评、监测预警、应急响应等机制，定期开展网络安全监督检查。

5. 提升网络安全防护能力。搭建多层纵深防御、软硬件结合的安全防护体系，加强车载芯片、操作系统、应用软件等安全可靠性设计，开展车载信息系统、服务平台及关键电子零部件安全检测，强化远程软件更新、监控服务等安全管理。实施统一身份权限认证管理。建立北斗系统抗干扰和防欺骗安全防护体系。按照国家网络安全等级保护相关标准规范，建设智能汽车网络安全态势感知平台，提升应急处置能力。

6. 加强数据安全监督管理。建立覆盖智能汽车数据全生命周期的安全管理机制，明确相关主体的数据安全保护责任和具体要求。实行重要数据分类分级管理，确保用户信息、车辆信息、测绘地理信息等数据安全可控。完善数据安全管理制度，加强监督检查，开展数据风险、数据出境安全等评估。

• 2020年8月3日工信部发布关于开展2020年网络安全技术应用试点示范工作的通知。本次试点示范工作中车联网安全单列为一个重点方向，要求就“结合先进驾驶辅助、自动驾驶、车路协同、智慧交通等典型场景，针对智能驾驶系统、车联网平台、无线通信、复杂环境感知、车用高精度时空服务等网络安全需求，在安全认证、安全防护、数据保护、威胁监测、测试验证等方面”示范安全解决方案。最后于本年11月30日公布出17个涉及车联网的示范项目。

• 2020年11月2日国务院办公厅关于印发《新能源汽车产业发展规划（2021—2035年）》的通知。该通知在推动新能源汽车于信息通信融合发展的规划中，提出了“推进以数据为纽带的“人—车—路—云”高效协同。基于汽车感知、交通管控、城市管理等信息，构建“人—车—路—云”多层数据融合与计算处理平台，开展特定场景、区域及道路的示范应用，促进新能源汽车与信息通信融合应用服务创新。打造网络安全保障体系。健全新能源汽车网络安全管理制度，构建统一的汽车身份认证和安全信任体系，推动密码技术深入应用，加强车载信息系统、服务平台及关键电子零部件安全检测，强化新能源汽车数据分级分类和合规应用管理，完善风险评估、预警监测、应急响应机制，保障“车端—传输管网—云端”各环节信息安全”的要求。