广告
中汽研邵学彬:汽车网络安全与数据安全测试评估研究与实践
2022年12月7日,智能网联汽车数据治理和发展论坛成功召开。论坛由北京市高级别自动驾驶示范区工作办公室主办,ICMA智联出行研究院、北京国际数字经济治理研究院、清华大学国家治理研究院承办。
本次论坛以线上的形式举行,智能网联汽车行业相关单位和企业代表近300位嘉宾在线参会。论坛以“数据安全与发展”为主题,中汽研软件测评(天津)有限公司软件与信息安全测试研究部副部长邵学彬发表“汽车网络安全与数据安全测试评估研究与实践”主题报告。
邵学彬表示,随着汽车智能化、网联化的发展,智能网联汽车引发的网络安全和数据安全问题日益凸显。针对智能网联汽车的数据安全问题,数据分级分类保护是先决条件,数据全生命周期保障体系是核心,产业链上下游统筹协调是关键;同时要依法依规开展数据安全检测评估,推动企业安全水平能力的提升。
以下为演讲摘要:
报告主要从四个方面展开,第一部分是标准政策的建设进展,第二部分是合规的要点以及应对的建议,第三部分是数据安全合规方案,最后一个部分是数据安全测试方案。
一、标准政策的建设进展
汽车智能化、网联化的快速发展既带来了机遇,也带来了更多的数据安全挑战,数据安全问题日益凸显。为了保障汽车数据安全,汽车网络安全与数据安全领域相关法律法规和政策密集出台,如国外的GDPR,国内的《关于加强智能网联汽车生产企业及产品准入管理的意见》《关于加强车联网网络安全和数据安全工作的通知》等法律法规,国内外数据安全监管力度逐步加强。不仅仅是法律法规,汽车数据安全的标准体系也在持续完善中,以指导行业全面性落实法律法规要求,如GB/T《智能网联汽车 数据通用要求》(公开征求意见)、GB/T 41871《信息安全技术 汽车数据处理安全要求》等等。
二、合规的要点以及应对的建议
面对日益凸显的数据安全问题,报告提出了几点合规要点以及应对建议:第一是建立数据分类分级保护制度。智能网联汽车数据面临的安全风险较高,除涉及种类更为繁杂的车内数据,还涉及车云通信、车与设备通信、车车/车路通信过程中产生和收集的数据,应建立数据分类分级保护制度。第二是汽车数据处理链中各环节技术复杂,各数据处理环节都会引入不同的数据安全问题,保护难度大。第三是汽车产业链较长,并涉及整车企业、元器件供应商、网络运营商、内容和服务供应商等众多的参与方,数据流通大、安全风险难以把控。第四是要提升企业数据安全管理能力,总体思路是以数据资产管理为基础,与产品研发相结合,以合规为主要导向。最后是强化数据安全技术能力,针对数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期,采取相应的安全技术措施等,通过关闭相应数据传输通道、访问建立数据出境接口动态监管、建立结构化保护模块等措施避免数据不知情出境。
三、数据安全合规方案
针对数据安全合规的解决方案,首先需要进行数据资产盘点,其次需要依托现行政策法规要求,列举智能网联汽车可能引发的数据安全风险,剖析风险点、风险原因、风险表现等,分门别类进行归纳分析,总结行业、企业的普遍做法及应对方案。再次,需要监管部门建立满足国内、GDPR数据安全监管要求的管理体系。此外,还需要进行数据安全测试,对车外人脸/车牌数据进行匿名化测试,对车辆数据出境、个人信息的处理进行测试。最后,需要构建国内首个汽车数据安全与个人信息保护自愿性认证(CADP),依托相关标准规定,从体系、产品测试两个维度提出要求。
四、数据安全测试方案
最后,报告针对上文方案中提到的数据安全测试方案做出具体解读。
1、针对车外人脸信息等匿名化处理测试,车外人脸或车牌信息在无法征得个人同意,且需向车外提供的情况,检测是否对图片/视频中的人脸及车牌信息进行了匿名化处理且是否达到要求,通过自动化检测与人工核验结合的方式,对检出率、误检率、交并比等指标进行计算,验证匿名化处理的效果。报告还列举了车牌和人脸的匿名化案例。
2、需要开展个人信息处理测试,测试验证个人信息处理的合法性、安全性以及是否存在个人信息过度采集的情况。
3、针对车辆向外传输的数据,利用自研工具分析通信流量是否存在境外IP,检测是否存在数据出境情况。
广告
广告
编辑推荐
最新资讯
-
纽北(Nürburgring Nordschleife)赛道介
2024-11-22 09:17
-
虚拟验证先行丨集成多学科方法,让电池生产
2024-11-22 09:10
-
新品上市 | Fusion-LN 数据采集的下一个飞
2024-11-22 09:08
-
车规级V2X芯片- 汽车移动通信功能核心
2024-11-22 09:03
-
BEV端到端视觉论文合集|从不同的视角解析BE
2024-11-22 09:00
广告
广告
