工信部将建车联网安全标准体系
6月21日,据工业和信息化部官网消息,为落实《中华人民共和国网络安全法》等法律法规要求,加强车联网(智能网联汽车)网络安全标准化工作顶层设计,工信部组织编制了《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)。
征求意见稿提出了车联网(智能网联汽车)网络安全标准体系框架、重点标准化领域及方向,包括总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑六大类标准。
同时,根据征求意见稿,到2023年年底,初步构建起车联网(智能网联汽车)网络安全标准体系,完成50项以上重点急需安全标准的制订修订工作。到2025年,形成较为完备的车联网(智能网联汽车)网络安全标准体系,完成100项以上重点标准,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全发展。
此前,国家网信办曾向社会公示《汽车数据安全管理若干规定(征求意见稿)》,引发广泛关注。而记者注意到,此次工信部发布的征求意见稿,涉及范围则更加广泛。数据安全被列为了重点标准化领域的其中一个重要分类,主要包括通用安全、分类分级、出境安全、个人信息保护、应用数据安全等要求。
车联网(智能网联汽车)网络安全标准体系建设指南
(征求意见稿)
2021年6月
前 言
车联网(智能网联汽车)作为汽车、电子、信息通信等深度融合的新兴产业生态,已成为推动制造业高质量发展,加速经济转型,构建新发展格局的重要动力,呈现蓬勃发展的良好态势。与此同时,伴随车联网全方位跨域互联、融合开放和多样化业务应用等新技术新业务的加速推进,车联网(智能网联汽车)网络安全需求更为多样复杂,“人-车-路-网-云”各环节安全风险更为突出,亟需加快建立健全车联网(智能网联汽车)网络安全保障体系,为车联网安全健康发展提供支撑。
为落实《中华人民共和国网络安全法》《新能源产业汽车发展规划(2021-2035年)》《车联网(智能网联汽车)产业发展行动计划》等相关法律和政策要求,在已初步构建国家车联网产业标准体系基础上,面向车联网终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等方面需求,工业和信息化部组织编制了《车联网(智能网联汽车)网络安全标准体系建设指南》(以下简称《标准体系建设指南》),加强标准化工作顶层设计,指导标准制定有序开展,推动构建系统、科学、规范的车联网(智能网联汽车)网络安全标准体系,支撑和保障车联网产业高质量发展。
一、总体要求
(一) 指导思想
全面贯彻习近平新时代中国特色社会主义思想和党的十九大精神,贯彻落实党中央、国务院关于促进车联网产业发展的部署要求,推动制造强国和网络强国建设,着力构建车联网(智联网联汽车)网络安全标准体系,指导标准统筹规划,系统推进网络安全标准研制,注重与智能网联汽车、信息通信、电子产品和服务等相关标准体系的协调和衔接,促进强化标准落地实施,为保障车联网产业安全可持续发展提供标准支撑。
(二) 基本原则
统筹规划,全面布局。结合车联网产业发展及网络安全现状特点,加强统筹协调,整体规划覆盖汽车、通信等领域的车联网(智能网联汽车)网络安全标准体系,合理布局网络安全标准建设重点,满足车联网(智能网联汽车)网络安全管理和行业保障需求。
共性先立,急用先行。立足车联网(智能网联汽车)从测试示范走向先导应用和规模化部署的发展实际,着眼车联网(智能网联汽车)重要环节网络安全需求,合理安排标准制修订工作进度,加快基础、共性和关键技术标准等重要和急需标准项目的研究制定。
加强协作,协同发展。聚集整车及关键设备、云服务平台、汽车电子零部件、信息通信、网络安全等相关产业链主体,加强标准研制过程中的交流合作,凝聚共识,加速标准创新研制。以信息服务、车路协同、自动驾驶等安全典型应用场景为牵引,强化重点标准的宣标贯标与落地实施。
(三) 建设目标
到2023年底,初步构建起车联网(智能网联汽车)网络安全标准体系,重点研究基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点行业标准和国家标准,完成50项以上重点急需安全标准的制修订工作。
到2025年,形成较为完备的车联网(智能网联汽车)网络安全标准体系,完成100项以上重点标准,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全发展。
二、建设思路
(一) 建设思路
在《国家车联网产业标准体系建设指南》整体框架基础上,结合车联网(智能网联汽车)网络安全工作实际需求,统筹规划、突出重点、急用先行、循序渐进,进一步明确安全标准建设的对象和重点内容,建立统一协调的标准体系框架,指导车联网(智能网联汽车)网络安全标准化建设。
(二) 技术架构图
车联网(智能网联汽车)网络安全标准体系从车联网基本构成要素出发,针对车载联网设备、基础设施、网络通信、数据信息、平台应用、车联网服务等关键环节,提出覆盖终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等方面的技术架构,见图1。
图1 车联网(智能网联汽车)网络安全技术架构图
三、建设内容
(一) 标准体系框架
车联网(智能网联汽车)网络安全标准体系框架包括总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等六个部分,主要反映标准体系各部分的组成关系,见图2。
图2 车联网(智能网联汽车)网络安全标准体系框架图
总体与基础共性标准包括术语和定义、总体架构、密码应用等三类;终端与设施安全标准包括车载设备安全、车端安全、路侧通信设备安全和测试场设施安全等四类;网联通信安全包括通信安全、身份认证等两类;数据安全包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等五类;应用服务安全包括平台安全、应用程序安全、服务安全等三类;安全保障与支撑类标准包括风险评估、安全监测与应急管理、安全能力评估等三类。
(二) 重点标准化领域及方向
车联网(智能网联汽车)网络安全标准体系框架主要包括以下内容:
1.总体与基础共性标准
总体与基础共性标准主要规范车联网(智能网联汽车)网络安全的总体性、通用性和指导性标准,包括术语和定义、总体架构、密码应用等三类标准。
术语和定义标准用于统一车联网(智能网联汽车)网络安全主要概念,为车联网安全相关标准中的术语和定义提供依据支撑。
总体架构标准制定车联网(智能网联汽车)网络安全总体架构要求,明确和界定防护对象、防护措施、防护策略,指导企业体系化开展网络安全防护工作。
密码应用标准主要规范车联网(智能网联汽车)密码应用通用要求,明确数字证书格式、数字证书应用、设备密码应用等方面要求。
2.终端与设施安全标准
终端与设施安全标准主要规范车联网终端和基础设施等相关安全要求,包括车载设备安全、车端安全、路侧通信设备安全和测试场设施安全等四类标准。
车载设备安全标准主要针对智能网联汽车的关键智能设备和组件提出安全防护与检测要求,主要包括汽车信息感知设备、电子控制单元、车载计算平台,以及车载智能交互设备、车载智能网关、车载OBU设备、车联网智能通信终端等安全标准。
车端安全标准在车联网(智能网联汽车)总体安全架构要求基础上,以保障车辆安全、稳定、可靠运行为核心,主要针对车辆及车载系统通信、软硬件安全等,从系统和整车层面提出安全防护与检测要求。
路侧通信设备安全标准主要针对联网路侧设备安全问题,以保障路侧设备通信安全、稳定、可靠运行为核心,提出网络安全防护与检测要求。
测试场设施安全标准主要对汽车测试场地设施提出安全防护与检测要求。
3.网联通信安全标准
网联通信安全标准主要规范V2X通信网络安全、身份认证等相关安全要求,包括通信安全、身份认证等两类标准。
通信安全标准重点针对车内总线通信、LTE-V2X通信、5G LTE通信,以及应用于车联网的蜂窝移动通信(4G/5G)、卫星通信、无线射频识别、车内无线局域网、BLE、Zigbee等安全技术,提出安全防护与检测要求。
身份认证标准主要规范车联网(智能网联汽车)数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。
4.数据安全标准
数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等五类标准。
通用要求主要用于规范车联网(智能网联汽车)可采集和处理的数据类型、范围、质量、颗粒度等通用要求,包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。
分类分级标准主要用于指导车联网(智能网联汽车)数据分类分级保护,制定数据分类分级的维度、方法、示例等,明确重要数据类型和安全保护要求。
数据出境安全标准主要用于规范车联网(智能网联汽车)行业依法依规落实数据出境安全要求,包括数据出境安全评估要点、评估方法等标准。
个人信息保护标准主要用于规范车联网(智能网联汽车)用户个人信息保护机制及相关技术要求,明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括匿名化、去标识化、数据脱敏、异常行为识别等标准。
应用数据安全标准主要用于规范车联网(智能网联汽车)相关应用所开展的数据采集和处理使用等活动,包括车联网平台、网约车、车载应用程序等数据安全标准。
5.应用服务安全标准
应用服务安全标准主要规范车联网(智能网联汽车)应用服务平台和应用程序的安全要求,以及典型业务应用服务场景下的安全要求,包括平台安全、应用程序安全和服务安全等三类标准。
平台安全标准主要规范车联网云平台、业务应用平台和服务、信息服务平台、远程升级(OTA)服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护及检测要求。
应用程序安全标准主要规范车联网(智能网联汽车)应用程序等安全防护与检测要求。
服务安全标准主要规范车联网(智能网联汽车)典型业务服务场景下的安全要求,包括OTA、汽车远程诊断、高级辅助驾驶、高级自动驾驶、车路协同等服务安全要求。
6.安全保障与支撑标准
安全保障与支撑标准主要规范车联网(智能网联汽车)网络安全管理与支撑相关的安全要求,包括风险评估、安全监测与应急管理和安全能力评估等三类标准。
风险评估标准主要用于明确车联网(智能网联汽车)网络安全风险分类与安全等级划分,规范安全风险评估流程和方法,提出车联网(智能网联汽车)服务平台、整车网络安全风险评估规范等相关要求。
安全监测与应急管理标准用于规范车联网(智能网联汽车)网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求,以及安全管理平台接口、车联网业务HI接口、车联网卡实名登记数据采集接口等相关规范。
安全能力评估标准主要规范车联网(智能网联汽车)相关企业安全防护措施部署及安全服务实施,提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。
四、组织实施
(一)推进标准研制。在国家制造强国建设领导小组车联网产业发展专项委员会指导下,按照《标准体系建设指南》明确的标准研制路径,组织整车企业、车联网平台企业、汽车电子零部件供应商、基础电信企业、互联网企业、网络安全企业、科研院所、高校等相关单位,有序推进标准研制工作,注重车联网(智能网联汽车)网络安全标准化工作与网络安全防护最新研究成果、行业最佳实践的有机结合。
(二)实施动态更新。实施动态更新机制,跟踪车联网(智能网联汽车)技术和应用的发展趋势,结合网络安全相关法律法规的最新要求,通过持续强化行业间的协调、协作,适时修订《标准体系建设指南》,形成适应车联网技术和产业发展的网络安全标准体系。
(三)加强宣贯实施。充分发挥地方主管部门、标准化组织、行业协会和专业机构的作用,组织开展标准的宣标贯标和技术研讨活动,通过培训、咨询、论坛等方式推进标准的宣贯实施。组织开展贯标试点优秀企业和案例的遴选,形成最佳实践,促进标准应用推广。
(四)加强交流合作。加强与国际标准化组织的交流与合作,积极参与联合国世界车辆法规协调论坛(UN/WP29)、国际标准化组织(ISO)、国际电信联盟(ITU)、国际电工技术委员会(IEC)、国际自动化工程师学会(SAE)、第三代合作伙伴计划(3GPP)、欧洲电信标准化协会(ETSI)、欧洲标准化委员会(CEN)等国际组织活动及国际标准研制。促进国内标准与国际接轨,推动国内标准向国际标准转化。
附件:
车联网(智能网联汽车)网络安全相关标准项目明细表
《车联网(智能网联汽车)网络安全标准体系建设指南》编制说明
为落实《中华人民共和国网络安全法》《新能源产业汽车发展规划(2021-2035年)》《车联网(智能网联汽车)产业发展行动计划》等相关法律和政策文件要求,加强车联网(智能网联汽车)网络安全管理,有效提升车联网网络安全保障能力,工业和信息化部组织制定了《车联网(智能网联汽车)网络安全标准体系建设指南》(以下简称《标准体系建设指南》),加强车联网安全标准的顶层设计和方向引领,指导车联网安全工作规范有序开展。有关编制情况说明如下:
一、编制背景和必要性
(一)当前面临的形势和挑战
车联网是新一代网络通信技术与汽车、电子、交通等领域深度融合的新业态,是5G垂直应用的主要领域之一,是实现“车、路、云、网”互联互通的新型网络基础设施。伴随汽车网联化发展,网络攻击威胁加速向车端、车联网平台蔓延,车联网网络安全事件不仅影响公民隐私、财产和生命安全,甚至可能危害社会安全和国家安全。亟需从智能网联汽车、V2X通信网络、车联网服务平台、车联网应用程序、数据保护等车联网关键环节和重点对象出发,面向车联网典型应用场景,建立车联网(智能网联汽车)网络安全标准体系,发挥标准引领规范作用,支撑车联网安全健康发展。
(二)当前存在的主要问题
一是标准体系性不强,标准制定工作缺乏统筹协调,术语定义、安全体系等基础性标准尚不完善。二是部分关键标准内容相对笼统,车载关键设备、车联网平台、整车安全、数据安全等方面技术要求需进一步细化规范。三是部分重点方向相关标准仍存在空白,身份认证、漏洞管理、应急响应管理等重点方向的支撑作用有待加强。
(三)标准体系建设意义
紧扣我部职责定位,在初步构建国家车联网产业标准体系基础上,立足当前车联网网络安全面临的形势和挑战,制定车联网(智能网联汽车)网络安全标准体系框架,加强跨行业、跨领域标准制定工作的统筹协调,提升车联网(智能网联汽车)网络安全标准化水平,强化标准对车联网安全整体支撑作用,为车联网产业健康有序发展保驾护航。
二、《标准体系建设指南》编制过程
2019年10月,在工业和信息化部组织下,成立了由中国信息通信研究院牵头,中国通信标准化协会、全国汽车标准化技术委员会、相关企业和单位等参与的《标准体系建设指南》起草组,启动了文件编制工作。起草组深入分析了车联网(智能网联汽车)网络安全工作面临的形势和问题,充分融合国家车联网产业标准体系中已有标准建设内容,梳理车联网(智能网联汽车)网络安全标准化现状、需求及下一步重点推进工作,初步形成车联网(智能网联汽车)网络安全标准体系框架。
2020年6月至8月,起草组先后征求全国汽车标准化技术委员会、全国智能运输系统标准化技术委员会、全国道路交通管理标准化技术委员会等组织,以及国家工业信息安全发展研究中心、中国软件评测中心、中国工业互联网研究院、中国汽车技术研究中心有限公司等单位意见。起草组充分吸收相关单位意见,对《标准体系建设指南》进行修改完善。
2020年9月至2021年4月,起草组组织基础电信运营商、互联网企业、安全企业、汽车企业等多次召开专题研讨会,与会专家对《标准体系建设指南》结构、内容、标准项目提出了意见建议。起草组认真研究各单位意见并充分吸收采纳,进一步修改完善了《标准体系建设指南》。
三、《标准体系建设指南》主要内容
《标准体系建设指南》包括总体要求、建设思路、建设内容、组织实施四个部分。
(一)总体要求。明确了车联网(智能网联汽车)网络安全标准体系建设的指导思想、基本原则和建设目标。
(二)建设思路。在《国家车联网产业标准体系建设指南》整体框架基础上,结合车联网(智能网联汽车)网络安全工作实际需求,按照统筹规划、急用先行、循序渐进的原则,进一步明确安全标准建设的对象和重点内容,建立统一协调的标准体系框架,指导车联网(智能网联汽车)网络安全标准化建设。
(三)建设内容。提出了车联网(智能网联汽车)网络安全标准体系框架、重点标准化领域及方向,包括总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑六大类标准。
总体与基础共性标准包括术语和定义、总体架构、密码应用,可为各类标准制定提供基础性支撑。终端与设施标准从车载设备安全、车端安全、路侧通信设备安全和测试场设施安全进行规范。网联通信安全标准包括通信安全、身份认证相关规范。数据安全标准主要包括通用安全、分类分级、出境安全、个人信息保护、应用数据安全等要求。应用服务安全标准包括平台安全、应用程序安全、服务安全相关规范。安全保障与支撑标准包括风险评估、安全监测与应急管理、安全能力评估等相关规范。
(四)组织实施。通过实施动态更新、推进标准研制、加强宣贯实施、加强国际合作四方面工作,指导车联网(智能网联汽车)网络安全标准化工作规范有序开展。