新能源汽车国家大数据联盟微课堂自2022年底推出安全系列化课程,围绕网络安全、数据安全、车辆安全邀请专家大咖分享课程和观点,旨在服务国家数据安全治理体系的构建,促进数字经济的健康持续发展。
2023年8月24日联盟微课堂安全系列化课程第十次课程上,北京珞安科技有限责任公司副总裁关勇分享了《新能源汽车数据安全解决方案》的主题授课,对车联网概述及政策背景、车联网三大数据安全风险、车联网数据安全治理三方面进行了分析,以下为课程回顾。
联盟公众号后台回复关键词“数据安全解决方案”,获取完整课件内容。
随着5G、人工智能、大数据、云计算等数字技术的发展,中国车联网产业渐入佳境,开启全面迈入智能网联发展的新步伐。车联网是以车内网、车际网和车载移动互联网为基础,按照约定的通信协议和数据交互标准,在车-X(X:车、路、行人及互联网等)之间,进行无线通讯和信息交换的大系统网络,是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络。
车联网的快速发展并未同步建立与之匹配的数据安全防护能力,导致新能源汽车数据安全事件频发。在习总书记网络强国思想国家总体安全观的指引下,国家制定了《数据安全法》《网络安全法》《个人信息保护法》等一系列政策。具体到汽车信息网络安全,制定了《关于进一步加强新能源汽车企业安全体系建设的指导意见》等标准法律政策法规,以期推进汽车行业数据安全建设。
车联网三大数据安全风险
车联网中的数据来源于用户、ECU、传感器、IVI及操作系统、第三方应用及车联网服务平台等,种类包括用户身份信息、汽车运行状态、用户驾驶习惯、地理位置信息、用户关注内容等敏感信息,在车辆保险、用户行为分析等方面具备很大价值,将是未来车联网安全重点。谈及车联网数据安全风险种类,关勇从数据窃改、过度采集及越权使用、跨境流动三方面进行了分析——
传输和存储环节存在数据被窃改风险:由于数据的采集、传输、存储等环节没有统一的安全要求,可能因访问控制不严、数据存储不当等原因导致数据被窃。这其中包括汽车端数据可能被OBD外接设备非法读取,IVI数据可能被第三方应用越界读取,网络传输数据可能被攻击者嗅探或遭受中间人攻击,车联网服务平台端数据可能被非法和越权访问等。
数据过度采集和越权使用成为隐私保护的主要问题:由于车联网属于新兴行业,其管理还处于完善优化阶段,对于“数据采集范畴”、“数据如何利用”、“是否可以分享”等关键问题,还需要更加细化的管理要求。因此,目前数据采集和使用还存在侵犯用户隐私的风险。
数据跨境流动问题成为威胁国家安全潜在隐患:车联网数据包含道路、地理等信息,涉及国家安全,必须加强管理。目前车联网数据汇总于车联网服务平台,存储于云平台。数据跨境流动管理问题,主要体现在境外车联网服务商跨境服务隐患、境内外云平台数据共享隐患两方面。
车联网数据安全治理
新能源汽车安全的保护对象包括整车终端、路侧设备、车载设备及车联网平台。通过安全扫描、检测等方式构筑基础安全环境,结合新能源汽车本身在通信传输、隐私保护、出境安全、应用安全方面的特点,形成新能源汽车数据安全治理框架。
在终端安全防护方面,通过对车端、路侧、车载设备进行网络安全防护治理,构建数据安全基础环境。车端引入白名单安全管控,做好OBD、USB端口管理,强化安全认证及分域隔离;对摄像头、边缘计算节点、雷达等路侧设备,要充分实现数据加密存储和安全传输;对T-BOX、网关、安全芯片等车载设备,确保机密性、可用性及完整性。
在通信安全防护方面,构建全环节的身份认证体系,在车-车、车-路、车-平台、车-人的交互过程中,构建以公钥体系为基础的强安全加密认证机制,根据信息的重要程度选择不同的算法、密钥管理及安全加密的认证流程,落实不同设备之间通信的基础保障。
在隐私保护方面,引入AI算法建立目标识别模型,对人脸、车牌号等信息进行识别,实现存储数据、实时数据的脱敏处理。通过源系统CPU做脱敏处理时,可采用SDK方式集成、API接口、应用软件部署三种方式,实现每两周或每月的内容库的更新。除此之外,可以采取API接口、旁路代理等硬件外挂方式,最小化车企对数据脱敏处理能力建设的成本。
跨境数据防护方面,车企应在不同的采集点部署相应的监控措施,报备外发数据内容,记录API接口调用过程。对于第三方授权调用的数据,要做脱敏处理,以保证数据的可追溯性。
1、随着网络安全要求的提高,安全公司如何帮助车企降低安全成本?
车联网数据安全的主体责任方是车企,新能源车企可以与安全公司合作,从系统层面植入原生安全能力,构建安全防护组件,采用迭代的方式周期更新,逐步增强安全能力,降低车企安全负担。
2、新能源汽车出口增速加快,在安全领域有哪些商业机会?
国内外出台了大量的数据安全法规,国内出口的车辆在满足我国数据出境管控要求的情况下,也要遵循当地的数据监管法律法规要求。国外的相关政策如欧盟《一般数据保护法案》(General Data Protection Regulation (GDPR))提供了更多的安全保护维度,让安全企业有更多的市场能够服务新能源车企。
