工信部:加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全工作

6月24日消息(顏翊)據(jù)工信部網(wǎng)站消息,為加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全管理工作,提升網(wǎng)絡(luò)安全保障能力,促進車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)產(chǎn)業(yè)規(guī)范健康發(fā)展,工信部起草了《關(guān)于加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知(征求意見稿)》。

《通知》提出四方面要求:加強車聯(lián)網(wǎng)安全防護、加強平臺安全防護、保障數(shù)據(jù)安全、強化安全漏洞管理。其中包括建立車聯(lián)網(wǎng)網(wǎng)絡(luò)安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負責(zé)人;建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制和技術(shù)手段,對于網(wǎng)絡(luò)安全事件或異常行為留存相關(guān)的網(wǎng)絡(luò)日志不少于6個月等措施。

以下為通知全文:

關(guān)于加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知

(征求意見稿)

各省、自治區(qū)、直轄市工業(yè)和信息化主管部門、通信管理局,中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司,有關(guān)車聯(lián)網(wǎng)運營企業(yè)、智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè):

為貫徹《中華人民共和國網(wǎng)絡(luò)安全法》,落實《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2021-2035年)》《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)產(chǎn)業(yè)行動計劃》,指導(dǎo)基礎(chǔ)電信企業(yè)、車聯(lián)網(wǎng)運營企業(yè)、智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全管理工作,加快提升網(wǎng)絡(luò)安全保障能力,促進車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)產(chǎn)業(yè)規(guī)范健康發(fā)展。現(xiàn)將有關(guān)事項通知如下。

一、加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護

(一)保護車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和系統(tǒng)安全。落實企業(yè)網(wǎng)絡(luò)安全主體責(zé)任,建立車聯(lián)網(wǎng)網(wǎng)絡(luò)安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負責(zé)人,定期開展符合性評測和風(fēng)險評估,及時消除網(wǎng)絡(luò)安全風(fēng)險隱患。嚴格落實分級防護要求,加強網(wǎng)絡(luò)設(shè)施和系統(tǒng)資產(chǎn)管理,合理劃分網(wǎng)絡(luò)安全域,加強訪問控制管理,做好網(wǎng)絡(luò)邊界安全防護,采取防范木馬病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害車聯(lián)網(wǎng)安全行為的技術(shù)措施。

(二)保障車聯(lián)網(wǎng)通信安全。建立企業(yè)車聯(lián)網(wǎng)身份認證和安全信任機制,強化車與車、車與路、車與云、車與設(shè)備等場景安全通信能力建設(shè),推動跨車型、跨設(shè)施、跨企業(yè)互聯(lián)互認互通。加強商用密碼應(yīng)用,開展商用密碼應(yīng)用安全性評估。

(三)開展車聯(lián)網(wǎng)安全監(jiān)測預(yù)警。建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制和技術(shù)手段,面向智能網(wǎng)聯(lián)汽車、聯(lián)網(wǎng)系統(tǒng)等,開展運行安全監(jiān)測、流量與行為監(jiān)測分析,及時發(fā)現(xiàn)預(yù)警安全狀態(tài)異常、惡意軟件傳播、網(wǎng)絡(luò)通信異常、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)安全事件或異常行為,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個月。

(四)做好車聯(lián)網(wǎng)安全應(yīng)急處置。建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機制,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。定期開展應(yīng)急演練,及時處置安全威脅、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全風(fēng)險。在發(fā)生危害網(wǎng)絡(luò)安全的事件時,立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補救措施,并按照《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》向有關(guān)主管部門報告。

(五)做好車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護定級備案。按照車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護相關(guān)標(biāo)準,對所屬網(wǎng)絡(luò)設(shè)施和系統(tǒng)開展網(wǎng)絡(luò)安全防護定級工作,并向省級電信主管部門備案。對新建網(wǎng)絡(luò)設(shè)施和系統(tǒng),應(yīng)當(dāng)在規(guī)劃設(shè)計階段確定網(wǎng)絡(luò)安全防護等級。各省級電信主管部門會同工業(yè)和信息化主管部門做好定級備案審核工作。

二、加強平臺安全防護

(一)加強平臺網(wǎng)絡(luò)安全管理。采取必要的安全技術(shù)措施,加強智能網(wǎng)聯(lián)汽車、邊緣側(cè)設(shè)備等平臺接入安全,主機、數(shù)據(jù)存儲系統(tǒng)等平臺設(shè)施安全,以及微服務(wù)、資源管理、應(yīng)用程序編程接口(API)訪問等平臺應(yīng)用安全防護能力,防范網(wǎng)絡(luò)侵入、數(shù)據(jù)竊取、遠程控制安全風(fēng)險。涉及在線數(shù)據(jù)處理與交易處理、信息服務(wù)業(yè)務(wù)等電信業(yè)務(wù)的,應(yīng)依法取得電信業(yè)務(wù)經(jīng)營許可。認定為關(guān)鍵信息基礎(chǔ)設(shè)施的,要落實國家關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護有關(guān)規(guī)定。

(二)加強OTA服務(wù)安全和漏洞檢測評估。開展OTA服務(wù)及軟件包網(wǎng)絡(luò)安全檢測,及時發(fā)現(xiàn)服務(wù)和產(chǎn)品安全漏洞。加強OTA服務(wù)安全校驗?zāi)芰Γ扇∩矸菡J證、加密傳輸?shù)燃夹g(shù)措施,保障傳輸環(huán)境和執(zhí)行環(huán)境的網(wǎng)絡(luò)安全。加強OTA服務(wù)全過程網(wǎng)絡(luò)安全監(jiān)測和應(yīng)急響應(yīng),及時評估網(wǎng)絡(luò)安全狀況,防范軟件被篡改、損毀、泄露和病毒感染等網(wǎng)絡(luò)安全風(fēng)險。

(三)強化應(yīng)用程序安全管理。建立車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)應(yīng)用程序開發(fā)、上線、使用、升級等安全管理制度,提升應(yīng)用程序身份鑒別、通信安全、關(guān)鍵數(shù)據(jù)保護等安全能力。加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)應(yīng)用程序安全檢測,及時處置安全風(fēng)險,防范惡意應(yīng)用程序攻擊和傳播。

三、保障數(shù)據(jù)安全

(一)加強數(shù)據(jù)安全管理。建立健全數(shù)據(jù)安全管理制度,建立完善權(quán)限管理、監(jiān)測預(yù)警、應(yīng)急響應(yīng)、投訴受理等保障措施,明確責(zé)任部門和責(zé)任人,加強人員教育培訓(xùn)。建立數(shù)據(jù)資產(chǎn)管理臺賬,實施數(shù)據(jù)分類分級管理,加強個人信息與重要數(shù)據(jù)保護。定期開展數(shù)據(jù)安全風(fēng)險評估,強化隱患排查整改。

(二)提升數(shù)據(jù)安全技術(shù)保障能力。堅持“最小必要”原則采集數(shù)據(jù),針對數(shù)據(jù)全生命周期采取有效技術(shù)保護措施,防范數(shù)據(jù)泄露、毀損、丟失、篡改、誤用、濫用等風(fēng)險。強化數(shù)據(jù)安全監(jiān)測預(yù)警能力建設(shè),提升異常流動分析、違規(guī)跨境傳輸監(jiān)測、安全事件追蹤溯源等水平。及時處置數(shù)據(jù)安全事件,向省級電信主管部門、工業(yè)和信息化主管部門報告,并配合開展相關(guān)監(jiān)督檢查,提供必要技術(shù)支持。

(三)規(guī)范數(shù)據(jù)開發(fā)利用和共享使用。合理開發(fā)利用數(shù)據(jù)資源,防范在使用自動化決策技術(shù)處理數(shù)據(jù)時,侵犯用戶隱私權(quán)和知情權(quán)。明確數(shù)據(jù)共享和開發(fā)利用的安全管理和責(zé)任要求,對數(shù)據(jù)合作方的資質(zhì)和能力進行審核評估,對數(shù)據(jù)共享使用情況進行監(jiān)督管理。

(四)強化數(shù)據(jù)出境安全管理。在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)依法在境內(nèi)存儲。因業(yè)務(wù)需要確需向境外提供數(shù)據(jù)的,應(yīng)當(dāng)通過數(shù)據(jù)出境安全評估并向省級電信、工業(yè)和信息化等有關(guān)主管部門報備。各省級電信主管部門會同工業(yè)和信息化主管部門做好數(shù)據(jù)出境備案、安全評估、監(jiān)督檢查等工作。

四、強化安全漏洞管理

(一)建立安全漏洞管理機制。落實國家關(guān)于網(wǎng)絡(luò)產(chǎn)品安全漏洞管理有關(guān)規(guī)定,建立車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)安全漏洞管理機制,明確漏洞發(fā)現(xiàn)、分析、修補等工作程序,加強漏洞管理資源保障投入,確保漏洞得到及時修補和合理披露。

(二)加強安全漏洞發(fā)現(xiàn)收集。加強漏洞風(fēng)險的主動監(jiān)測、風(fēng)險評估、技術(shù)驗證等能力建設(shè)。建立漏洞信息接收渠道并保持暢通,主動收集用戶、上下游供應(yīng)商、網(wǎng)絡(luò)安全企業(yè)、研究機構(gòu)等發(fā)現(xiàn)的漏洞信息,加強與漏洞收集平臺的協(xié)同聯(lián)動。鼓勵建立漏洞獎勵機制。

(三)強化安全漏洞協(xié)同處置。發(fā)現(xiàn)或獲知本企業(yè)網(wǎng)絡(luò)設(shè)施和業(yè)務(wù)系統(tǒng)、智能網(wǎng)聯(lián)汽車產(chǎn)品存在漏洞后,應(yīng)當(dāng)立即采取補救措施,并向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送漏洞信息。加強上下游產(chǎn)品或組件存在漏洞的協(xié)同處置。對需要用戶采取軟件、固件升級等措施修補漏洞的,應(yīng)當(dāng)及時將漏洞風(fēng)險及修補方式告知可能受影響的用戶,并提供必要的技術(shù)支持。

工業(yè)和信息化部

2021年 月 日

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2021-06-24
工信部:加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全工作
工信部:加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全工作,C114訊 6月24日消息(顏翊)據(jù)工信部網(wǎng)站消息,為加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全管理工作,提

長按掃碼 閱讀全文