ISO认证

工信部将建车联网安全标准体系

网络2021-06-30619
工信部将建车联网安全标准体系 近日,据工业和信息化部官网消息,为落实《中华人民共和国网络安全法》等法律法规要求,加强车联网(智能网联汽车)网络安全标准化工作顶层设计,工信部组织编制了《车联网(智能网联汽车)网络安全标准体系建设指南》(征...
工信部将建车联网安全标准体系 

近日,据工业和信息化部官网消息,为落实《中华人民共和国网络安全法》等法律法规要求,加强车联网(智能网联汽车)网络安全标准化工作顶层设计,工信部组织编制了《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)。

征求意见稿提出了车联网(智能网联汽车)网络安全标准体系框架、重点标准化领域及方向,包括总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑六大类标准。数据安全被列为重点标准化领域的其中一个重要分类,主要包括通用安全、分类分级、出境安全、个人信息保护、应用数据安全等要求。

同时,根据征求意见稿,到2023年年底,初步构建起车联网(智能网联汽车)网络安全标准体系,完成50项以上重点急需安全标准的制订修订工作。到2025年,形成较为完备的车联网(智能网联汽车)网络安全标准体系,完成100项以上重点标准,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全发展。

 

车联网(智能网联汽车)网络安全标准体系建设指南

(征求意见稿)

2021年6月

 

 

前  言

车联网(智能网联汽车)作为汽车、电子、信息通信等深度融合的新兴产业生态,已成为推动制造业高质量发展,加速经济转型,构建新发展格局的重要动力,呈现蓬勃发展的良好态势。与此同时,伴随车联网全方位跨域互联、融合开放和多样化业务应用等新技术新业务的加速推进,车联网(智能网联汽车)网络安全需求更为多样复杂,“人-车-路-网-云”各环节安全风险更为突出,亟需加快建立健全车联网(智能网联汽车)网络安全保障体系,为车联网安全健康发展提供支撑。

为落实《中华人民共和国网络安全法》《新能源产业汽车发展规划(2021-2035年)》《车联网(智能网联汽车)产业发展行动计划》等相关法律和政策要求,在已初步构建国家车联网产业标准体系基础上,面向车联网终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等方面需求,工业和信息化部组织编制了《车联网(智能网联汽车)网络安全标准体系建设指南》(以下简称《标准体系建设指南》),加强标准化工作顶层设计,指导标准制定有序开展,推动构建系统、科学、规范的车联网(智能网联汽车)网络安全标准体系,支撑和保障车联网产业高质量发展。

 

一、总体要求

 

(一) 指导思想

全面贯彻习近平新时代中国特色社会主义思想和党的十九大精神,贯彻落实党中央、国务院关于促进车联网产业发展的部署要求,推动制造强国和网络强国建设,着力构建车联网(智联网联汽车)网络安全标准体系,指导标准统筹规划,系统推进网络安全标准研制,注重与智能网联汽车、信息通信、电子产品和服务等相关标准体系的协调和衔接,促进强化标准落地实施,为保障车联网产业安全可持续发展提供标准支撑。

 

(二) 基本原则

统筹规划,全面布局。结合车联网产业发展及网络安全现状特点,加强统筹协调,整体规划覆盖汽车、通信等领域的车联网(智能网联汽车)网络安全标准体系,合理布局网络安全标准建设重点,满足车联网(智能网联汽车)网络安全管理和行业保障需求。

共性先立,急用先行。立足车联网(智能网联汽车)从测试示范走向先导应用和规模化部署的发展实际,着眼车联网(智能网联汽车)重要环节网络安全需求,合理安排标准制修订工作进度,加快基础、共性和关键技术标准等重要和急需标准项目的研究制定。

加强协作,协同发展。聚集整车及关键设备、云服务平台、汽车电子零部件、信息通信、网络安全等相关产业链主体,加强标准研制过程中的交流合作,凝聚共识,加速标准创新研制。以信息服务、车路协同、自动驾驶等安全典型应用场景为牵引,强化重点标准的宣标贯标与落地实施。

 

(三) 建设目标

到2023年底,初步构建起车联网(智能网联汽车)网络安全标准体系,重点研究基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点行业标准和国家标准,完成50项以上重点急需安全标准的制修订工作。

到2025年,形成较为完备的车联网(智能网联汽车)网络安全标准体系,完成100项以上重点标准,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全发展。

 

 

二、建设思路

(一) 建设思路

在《国家车联网产业标准体系建设指南》整体框架基础上,结合车联网(智能网联汽车)网络安全工作实际需求,统筹规划、突出重点、急用先行、循序渐进,进一步明确安全标准建设的对象和重点内容,建立统一协调的标准体系框架,指导车联网(智能网联汽车)网络安全标准化建设。

 

(二) 技术架构图

车联网(智能网联汽车)网络安全标准体系从车联网基本构成要素出发,针对车载联网设备、基础设施、网络通信、数据信息、平台应用、车联网服务等关键环节,提出覆盖终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等方面的技术架构,见图1。

 

三、建设内容

(一) 标准体系框架

 

车联网(智能网联汽车)网络安全标准体系框架包括总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等六个部分,主要反映标准体系各部分的组成关系,见图2。

总体与基础共性标准包括术语和定义、总体架构、密码应用等三类;终端与设施安全标准包括车载设备安全、车端安全、路侧通信设备安全和测试场设施安全等四类;网联通信安全包括通信安全、身份认证等两类;数据安全包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等五类;应用服务安全包括平台安全、应用程序安全、服务安全等三类;安全保障与支撑类标准包括风险评估、安全监测与应急管理、安全能力评估等三类。

 

(二) 重点标准化领域及方向

 

车联网(智能网联汽车)网络安全标准体系框架主要包括以下内容:

 

1.总体与基础共性标准

总体与基础共性标准主要规范车联网(智能网联汽车)网络安全的总体性、通用性和指导性标准,包括术语和定义、总体架构、密码应用等三类标准。

术语和定义标准用于统一车联网(智能网联汽车)网络安全主要概念,为车联网安全相关标准中的术语和定义提供依据支撑。

总体架构标准制定车联网(智能网联汽车)网络安全总体架构要求,明确和界定防护对象、防护措施、防护策略,指导企业体系化开展网络安全防护工作。

密码应用标准主要规范车联网(智能网联汽车)密码应用通用要求,明确数字证书格式、数字证书应用、设备密码应用等方面要求。

 

2.终端与设施安全标准

终端与设施安全标准主要规范车联网终端和基础设施等相关安全要求,包括车载设备安全、车端安全、路侧通信设备安全和测试场设施安全等四类标准。

车载设备安全标准主要针对智能网联汽车的关键智能设备和组件提出安全防护与检测要求,主要包括汽车信息感知设备、电子控制单元、车载计算平台,以及车载智能交互设备、车载智能网关、车载OBU设备、车联网智能通信终端等安全标准。

车端安全标准在车联网(智能网联汽车)总体安全架构要求基础上,以保障车辆安全、稳定、可靠运行为核心,主要针对车辆及车载系统通信、软硬件安全等,从系统和整车层面提出安全防护与检测要求。

路侧通信设备安全标准主要针对联网路侧设备安全问题,以保障路侧设备通信安全、稳定、可靠运行为核心,提出网络安全防护与检测要求。

测试场设施安全标准主要对汽车测试场地设施提出安全防护与检测要求。

 

3.网联通信安全标准

网联通信安全标准主要规范V2X通信网络安全、身份认证等相关安全要求,包括通信安全、身份认证等两类标准。

通信安全标准重点针对车内总线通信、LTE-V2X通信、5G LTE通信,以及应用于车联网的蜂窝移动通信(4G/5G)、卫星通信、无线射频识别、车内无线局域网、BLE、Zigbee等安全技术,提出安全防护与检测要求。

身份认证标准主要规范车联网(智能网联汽车)数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。

 

4.数据安全标准

数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等五类标准。

通用要求主要用于规范车联网(智能网联汽车)可采集和处理的数据类型、范围、质量、颗粒度等通用要求,包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。

分类分级标准主要用于指导车联网(智能网联汽车)数据分类分级保护,制定数据分类分级的维度、方法、示例等,明确重要数据类型和安全保护要求。

数据出境安全标准主要用于规范车联网(智能网联汽车)行业依法依规落实数据出境安全要求,包括数据出境安全评估要点、评估方法等标准。

个人信息保护标准主要用于规范车联网(智能网联汽车)用户个人信息保护机制及相关技术要求,明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括匿名化、去标识化、数据脱敏、异常行为识别等标准。

应用数据安全标准主要用于规范车联网(智能网联汽车)相关应用所开展的数据采集和处理使用等活动,包括车联网平台、网约车、车载应用程序等数据安全标准。

 

5.应用服务安全标准

应用服务安全标准主要规范车联网(智能网联汽车)应用服务平台和应用程序的安全要求,以及典型业务应用服务场景下的安全要求,包括平台安全、应用程序安全和服务安全等三类标准。

平台安全标准主要规范车联网云平台、业务应用平台和服务、信息服务平台、远程升级(OTA)服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护及检测要求。

应用程序安全标准主要规范车联网(智能网联汽车)应用程序等安全防护与检测要求。

服务安全标准主要规范车联网(智能网联汽车)典型业务服务场景下的安全要求,包括OTA、汽车远程诊断、高级辅助驾驶、高级自动驾驶、车路协同等服务安全要求。

 

6.安全保障与支撑标准

安全保障与支撑标准主要规范车联网(智能网联汽车)网络安全管理与支撑相关的安全要求,包括风险评估、安全监测与应急管理和安全能力评估等三类标准。

风险评估标准主要用于明确车联网(智能网联汽车)网络安全风险分类与安全等级划分,规范安全风险评估流程和方法,提出车联网(智能网联汽车)服务平台、整车网络安全风险评估规范等相关要求。

安全监测与应急管理标准用于规范车联网(智能网联汽车)网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求,以及安全管理平台接口、车联网业务HI接口、车联网卡实名登记数据采集接口等相关规范。

安全能力评估标准主要规范车联网(智能网联汽车)相关企业安全防护措施部署及安全服务实施,提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。

 

四、组织实施

(一)推进标准研制。在国家制造强国建设领导小组车联网产业发展专项委员会指导下,按照《标准体系建设指南》明确的标准研制路径,组织整车企业、车联网平台企业、汽车电子零部件供应商、基础电信企业、互联网企业、网络安全企业、科研院所、高校等相关单位,有序推进标准研制工作,注重车联网(智能网联汽车)网络安全标准化工作与网络安全防护最新研究成果、行业最佳实践的有机结合。

(二)实施动态更新。实施动态更新机制,跟踪车联网(智能网联汽车)技术和应用的发展趋势,结合网络安全相关法律法规的最新要求,通过持续强化行业间的协调、协作,适时修订《标准体系建设指南》,形成适应车联网技术和产业发展的网络安全标准体系。

(三)加强宣贯实施。充分发挥地方主管部门、标准化组织、行业协会和专业机构的作用,组织开展标准的宣标贯标和技术研讨活动,通过培训、咨询、论坛等方式推进标准的宣贯实施。组织开展贯标试点优秀企业和案例的遴选,形成最佳实践,促进标准应用推广。

(四)加强交流合作。加强与国际标准化组织的交流与合作,积极参与联合国世界车辆法规协调论坛(UN/WP29)、国际标准化组织(ISO)、国际电信联盟(ITU)、国际电工技术委员会(IEC)、国际自动化工程师学会(SAE)、第三代合作伙伴计划(3GPP)、欧洲电信标准化协会(ETSI)、欧洲标准化委员会(CEN)等国际组织活动及国际标准研制。促进国内标准与国际接轨,推动国内标准向国际标准转化。