汽车数据出境的检测方法研发与应用
按照国家互联网信息办公室印发的《汽车数据安全管理若干规定(试行)》要求,车辆生产企业涉及到个人信息、敏感个人信息和重要数据跨境传输,要按照相关部门的“规定动作”操作。汽车数据出境主可能存在三种场景:第一是OEM企业的境外数据使用场景,由OEM主动控制数据出境;第二是零部件企业的境外数据使用需求(这种场景下OEM可能并不知情),直接由零部件企业控制车上的零部件(尤其是带有通信功能的车载终端)发送数据出境;第三是由搭载在零部件上的应用程序,利用后门或者黑客注入的控制程序完成了向境外传送数据。这三种场景都存在OEM不了解零部件发送数据出境情况、零部件不清楚应用程序数据传输情况的风险。
在汽车数据出境被广泛关注的今天,管理部门、整车企业、零部件厂商和应用程序开发商都应该确认自己控制范围内的数据出境情况。因此无论是管理部门、整车企业还是零部件厂商都应该对整车及部件进行数据出境的核查,确认自己职责范围内的产品的所有数据传输都在自己控制范围内。然而,汽车的网络和数据安全属于新的话题,之前未形成较为切实可用的数据出境核查方法,这给企业带来极大挑战。中汽研软件测评(天津)有限公司作为汽车网络和数据安全测试方法的研究部门和汽车行业服务的实验室,为了更好的服务行业,经过长达3个月的深入研究,研发了一种可以快速进行整车和部件数据出境分析的方法,并开展了6个车型的数据出境情况摸底。
该方法使用微波暗室作为检查环境,以切断车辆和外界的网络连接并提供可用于检测的网络环境,通过检测设备对车辆发送的网络请求和数据包进行提取,获得车辆或者部件对外通信的实际数据,利用快速定位分析工具完成车辆数据传输目的IP地址的定位。该方法经过大量的车辆试验,目前已经能够精确定位到数据出境传输IP所在位置的精确经纬度,为车辆的出境核查提供了有力的证据。
图 1 汽车数据出境检测环境
图 2 检测结果示例
目前,经过该方法检测的来自5个品牌的6个车型中,有3个车型具有数据出境的情况。后续,中汽研软件测评(天津)有限公司信息安全检测实验室将持续的对该方法进行改进,以满足行业对于数据安全的需求。
汽车智能化网联化发展带来的网络安全和数据安全问题,隐含重大国家安全风险,尤其数据出境问题,作为汽车测试技术研发机构和国有企业,我们将积极研发对于汽车网络和数据安全的测试方法,应对错综复杂的汽车网络安全问题,从汽车网络安全角度支撑国家获得网络安全战中的主动权。
另外,在2021年10月10日举办的“2021中国(沈阳)智能网联汽车国际大会”中将有关于汽车网络安全的专项比赛和国内外专家的分享,对汽车网络安全感兴趣的朋友可以关注。本期分享就到这里,下一期我将于大家分享汽车网络安全中的数字钥匙与汽车防盗。
-
汽车测试网V课堂
-
微信公众号
-
汽车测试网手机站
最新资讯
-
荷兰Zepp氢燃料电池卡车-Europa
2024-12-22 10:13
-
NCACFE -车队油耗经济性报告(2024版)
2024-12-22 10:11
-
R54法规对商用车轮胎的要求(上)
2024-12-22 10:10
-
蔚来ET9数字架构解析
2024-12-22 09:53
-
4G/5G网络新时代的高效紧急呼叫系统NG-eCal
2024-12-20 22:33