工信部加强车联网网络安全防护

① 工信部赵志国：今年车联网相关攻击达280余万次

易车讯9月5日，工信部网络安全管理局局长赵志国在2020中国汽车产业发展国际论坛上表示，今年检测的车联网系统相关恶意攻击达到280余万次，平台漏洞、通信劫持、隐私泄漏等问题严重。传统车企的网络安全意识不强。

去年汽车行业85%的车联网关键部件都存在漏洞，超六成企业缺乏车联网安全应对手段。他呼吁整个行业面向人、车、路、云协同，智能驾驶的新场景方案仍需要加快探索。

工信部作为行业主管部门高度重视车联网发展，加快5G与车联网的融合创新，充分发挥我国市场优势，积极打造车联网的先导区，从测试阶段发展到智能网络先导区的建设。目前正在从四大方面加速推动行业发展。

首先，加强顶层谋划策略，积极成立车联网发展专委会，力求实际、提前谋划，在已经出台的《车联网产业发展行动计划》中，明确强化管理，保障安全的基本原则，并围绕健全安全体系，提升安全防护能力，落实企业主体责任，做出了系统的部署。

其次，要加快构建标准基础，以标准先行，引领行业发展，加快网络安全标准体系建设，明确80余项基础标准的建设，支持立项通讯智能等领域。

强化风险的监测防范，组织中汽中心等单位，面向相关零部件，全面排查网络安全的安全隐患，聚焦5G垂直应用，丰富政策储备，依托现有基础网络和手段资源，初步实现对80多家车联网企业，2亿多车辆网的终端进行安全检测，并与重点企业建立协同通报机制。

推动技术创新，将车联网作为重要赛道，近三年来投资13亿元投资10多个项目，促进关键技术攻关突破，打造端到端的安全机制和信任体系，比亚迪、长城、吉利等企业都接入了平台。

② 工信部：加强车联网网络安全和数据安全工作

加强智能网联汽车安全防护，进一步落实保障车辆网络安全和安全漏洞管理责任。加强车联网网络安全防护，保障车联网通信安全并开展车联网安全监测预警。同时，做好车联网安全应急处置以及车联网网络安全防护定级备案。

在加强车联网服务平台安全防护方面，首先要加强平台网络安全管理，并且做好在线升级服务（OTA）安全和漏洞检测评估，并强化应用程序安全管理。加强数据安全保护层面，一要加强数据分类分级管理，其次需提升数据安全技术保障能力。与此同时，车企需要规范数据开发利用和共享使用，并强化数据出境安全管理。

为建设健全安全的标准体系，需加快编制车联网网络安全和数据安全标准体系建设指南。各相关企业、社会团体应制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。

③ 工信部：加强智能网联汽车生产准入管理 保证用车安全性

简单来说，制定《意见》的主要目的，有两方面用意，首次是制定行业标准，让中国智能网联汽车产业高质量高水平的蓬勃发展，依托高技术在国际市场具备足够强的竞争力。其次是制定符合当下制造和消费者应用趋势的安全管理规定，保障公民和公共安全。

制定《意见》的背景，主要是为了推动智能网联汽车产业发展，加快推进政策法规研究、技术标准体系建立。结合国际政策法规实践经验，尽快制定《意见》，明确原则要求，逐步探索开展准入管理，加快产品推广应用，是推动汽车产业创新发展的需要。

同时，针对网络攻击、网络侵入等网络安全问题，驾驶自动化系统随机故障、功能不足等引发的道路交通安全问题，以及在线升级（又称OTA升级）改变车辆功能、性能可能引入的安全风险。

因此，迫切需要制定《意见》，加强智能网联汽车生产企业及产品准入管理，明确汽车数据安全、网络安全、在线升级等管理要求，指导企业加强能力建设，严把产品质量安全关，切实维护公民生命、财产安全和公共安全。

以下是《意见》原文：

关于加强智能网联汽车生产企业及产品准入管理的意见

工信部通装〔2021〕103号

各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，有关汽车生产企业：

为加强智能网联汽车生产企业及产品准入管理，维护公民生命、财产安全和公共安全，促进智能网联汽车产业健康可持续发展，根据《中华人民共和国道路交通安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《道路机动车辆生产企业及产品准入管理办法》等规定，提出以下意见。

 一、总体要求

坚持以习近平新时代中国特色社会主义思想为指导，深入贯彻党的十九大和十九届二中、三中、四中、五中全会精神，落实立足新发展阶段、贯彻新发展理念、构建新发展格局、推动高质量发展的要求，压实企业主体责任，加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理，保证产品质量和生产一致性，推动智能网联汽车产业高质量发展。

二、加强数据和网络安全管理

（一）强化数据安全管理能力。企业应当建立健全汽车数据安全管理制度，依法履行数据安全保护义务，明确责任部门和负责人。建立数据资产管理台账，实施数据分类分级管理，加强个人信息与重要数据保护。建设数据安全保护技术措施，确保数据持续处于有效保护和合法利用的状态，依法依规落实数据安全风险评估、数据安全事件报告等要求。在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。需要向境外提供数据的，应当通过数据出境安全评估。

（二）加强网络安全保障能力。企业应当建立汽车网络安全管理制度，依法落实网络安全等级保护制度和车联网卡实名登记管理要求，明确网络安全责任部门和负责人。具备保障汽车电子电气系统、组件和功能免受网络威胁的技术措施，具备汽车网络安全风险监测、网络安全缺陷和漏洞等发现和处置技术条件，确保车辆及其功能处于被保护的状态，保障车辆安全运行。依法依规落实网络安全事件报告和处置要求。

三、规范软件在线升级

（三）强化企业管理能力。企业生产具有在线升级（又称OTA升级）功能的汽车产品的，应当建立与汽车产品及升级活动相适应的管理能力，具有在线升级安全影响评估、测试验证、实施过程保障、信息记录等能力，确保车辆进行在线升级时处于安全状态，并向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。

（四）保证产品生产一致性。企业实施在线升级活动前，应当确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工业和信息化部备案，涉及安全、节能、环保、防盗等技术参数变更的应提前向工业和信息化部申报，保证汽车产品生产一致性。未经审批，不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。

四、加强产品管理

（五）严格履行告知义务。企业生产具有驾驶辅助和自动驾驶功能的汽车产品的，应当明确告知车辆功能及性能限制、驾驶员职责、人机交互设备指示信息、功能激活及退出方法和条件等信息。

（六）加强组合驾驶辅助功能产品安全管理。企业生产具有组合驾驶辅助功能的汽车产品的，应采取脱手检测等技术措施，保障驾驶员始终在执行相应的动态驾驶任务。组合驾驶辅助功能是指驾驶自动化系统在其设计运行条件下，持续地执行车辆横向和纵向运动控制，并具备相应的目标和事件探测与响应能力。

（七）加强自动驾驶功能产品安全管理。企业生产具有自动驾驶功能的汽车产品的，应当确保汽车产品至少满足以下要求：

1.应能自动识别自动驾驶系统失效以及是否持续满足设计运行条件，并能采取风险减缓措施以达到最小风险状态。

2.应具备人机交互功能，显示自动驾驶系统运行状态。在特定条件下需要驾驶员执行动态驾驶任务的，应具备识别驾驶员执行动态驾驶任务能力的功能。车辆应能够依法依规合理使用灯光信号、声音等方式与其他道路使用者进行交互。

3.应具有事件数据记录系统和自动驾驶数据记录系统，满足相关功能、性能和安全性要求，用于事故重建、责任判定及原因分析等。其中，自动驾驶数据记录系统记录的数据应包括车辆及系统基本信息、车辆状态及动态信息、自动驾驶系统运行信息、行车环境信息、驾乘人员操作及状态信息、故障信息等。

4.应满足功能安全、预期功能安全、网络安全等过程保障要求，以及模拟仿真、封闭场地、实际道路、网络安全、软件升级、数据记录等测试要求，避免车辆在设计运行条件内发生可预见且可预防的安全事故。

（八）确保可靠的时空信息服务。企业应当确保汽车产品具有安全、可靠的卫星定位及授时功能，可有效提供位置、速度、时间等信息，并应满足相关要求，鼓励支持接受北斗卫星导航系统信号。

五、保障措施

（九）建立自查机制。企业应当加强自查，发现生产、销售的汽车产品存在数据安全、网络安全、在线升级安全、驾驶辅助和自动驾驶安全等严重问题的，应当依法依规立即停止相关产品的生产、销售，采取措施进行整改，并及时向工业和信息化部及所在地工业和信息化、电信主管部门报告。

（十）加强监督实施。工业和信息化部指导有关机构做好智能网联汽车生产企业及产品准入技术审查等工作。各地工业和信息化、电信主管部门要与相关部门协同配合，按照《道路机动车辆生产企业及产品准入管理办法》有关要求，做好对本意见落实情况的监督检查。

（十一）夯实基础能力。工业和信息化部会同各地相关部门、有关企业进一步完善智能网联汽车标准体系建设，加快推动汽车数据安全、网络安全、在线升级、驾驶辅助、自动驾驶等标准规范制修订。鼓励第三方服务机构和企业加强相关测试验证和检验检测能力建设，不断提升智能网联汽车相关技术和网络安全、数据安全水平。

④ 车联网在提供便利的同时，暴露了哪些安全隐患

确实，现实情况很严峻，但车联网的安全问题各国也一直在想办法改善。除了政府部门的立法和监督以外，越来越多的汽车企业开始采用漏洞赏金猎人的方式来改进。这些漏洞赏金猎人向发现漏洞并将漏洞报告给所有者公司的研究人员（白帽黑客），然后以此得到补偿，这也是企业信息安全中非常流行的方式。

相比手机，汽车对于人身安全的威胁性要高得多，这是毋庸置疑的。而在隐私方面，随着越来越多厂商使用生物识别技术收集用户驾驶习惯、使用偏好等数据，消费者肯定希望能够清楚地了解到这些信息是如何存储使用的。因为在互联网环境下，不管是什么信息被采集，就一定会有数据库，就有可能被截获、重构、重放。如果指纹、虹膜等生物信息也被黑客或犯罪分子获取，后果将不堪设想。

图|来源于网络

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

⑤ 新能源行业再迎利好 工信部答复函鼓励换电、推进车联网建设

（文/张钰翊）在新能源汽车推广应用的发展路上，国家一直在不遗余力地提供支持。10月15日，工信部在一系列提案答复函中提出国家将加大对充换电基础设施项目建设用地等共性问题的解决力度，并行支持“充电”“换电”两种发展模式。与此同时，也将高度重视氢燃料电池汽车发展，加强顶层设计，支持产业创新发展。

在车联网层面，工信部在《关于政协十三届全国委员会第三次会议第1506号（工交邮电类177号）提案答复的函》中表示，工信部将推进车联网网络安全标准制定。一是推动发布车联网网络安全标准体系框架，明确总体与基础、终端与设施、网联与数据、应用服务、安全保障等方向重点标准清单，合理安排标准制修订工作进度，有序推进汽车、信息通信、智能交通和车辆管理等领域安全标准研制。二是以工业互联网企业网络安全分类分级管理试点为载体，面向整车企业、车联网平台企业部署开展车联网安全贯标试点，加速标准落地。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

⑥ 工信部：各车企要加强汽车数据安全、网络安全等安全管理

日前，装备工业一司、网络安全管理局以视频会议方式组织召开了《关于加强智能网联汽车生产企业及产品准入管理的意见》（以下简称《意见》）宣贯会。会上，装备工业一司、网络安全管理局、装备工业发展中心相关负责同志全面介绍了《意见》的编制背景和原则要求，详细解读了《意见》的主要内容，回答了各方关心的热点问题，并对下一步《意见》贯彻落实进行了部署。

会议指出，《意见》进一步完善了智能网联汽车生产管理体系，对规范生产企业行为，保障智能网联汽车产业健康可持续发展具有重要意义。各汽车生产企业要充分把握智能网联汽车发展新趋势、抓住新机遇，全面加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理，切实保证产品质量和生产一致性。地方主管部门要和汽车生产企业、检测机构、行业组织加强协同、形成合力，共同做好《意见》落实工作，推动智能网联汽车产业高质量发展。

各省、自治区、直辖市工业和信息化主管部门、通信管理局，以及有关汽车生产企业、行业组织、检测机构共115家单位通过视频方式参加了会议。

⑦ 《车联网网络安全标准体系建设指南》 明确标准体系建设

易车讯近日，为落实《中华人民共和国网络安全法》等法律法规要求，加强车联网（智能网联汽车）网络安全标准化工作顶层设计，工信部组织编制了《车联网（智能网联汽车）网络安全标准体系建设指南》（征求意见稿）。

指导思想是，贯彻落实党中央、国务院关于促进车联网产业发展的部署要求，推动制造强国和网络强国建设，着力构建车联网（智联网联汽车）网络安全标准体系，指导标准统筹规划，系统推进网络安全标准研制，注重与智能网联汽车、信息通信、电子产品和服务等相关标准体系的协调和衔接，促进强化标准落地实施，为保障车联网产业安全可持续发展提供标准支撑。

建设目标是，计划到2023年底，初步构建起车联网（智能网联汽车）网络安全标准体系，重点研究基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点行业标准和国家标准，完成50项以上重点急需安全标准的制修订工作。

到2025年，形成较为完备的车联网（智能网联汽车）网络安全标准体系，完成100项以上重点标准，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全发展。

建设思路是，在《国家车联网产业标准体系建设指南》整体框架基础上，结合车联网（智能网联汽车）网络安全工作实际需求，统筹规划、突出重点、急用先行、循序渐进，进一步明确安全标准建设的对象和重点内容，建立统一协调的标准体系框架，指导车联网（智能网联汽车）网络安全标准化建设。

建设内容是，车联网（智能网联汽车）网络安全标准体系框架包括总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等六个部分。

总体与基础共性标准包括术语和定义、总体架构、密码应用等三类；终端与设施安全标准包括车载设备安全、车端安全、路侧通信设备安全和测试场设施安全等四类；网联通信安全包括通信安全、身份认证等两类；数据安全包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等五类；应用服务安全包括平台安全、应用程序安全、服务安全等三类；安全保障与支撑类标准包括风险评估、安全监测与应急管理、安全能力评估等三类。

⑧ 你觉得车联网安全吗工信部称车联网安全待加强

车家号的网友，大家好！今天选车网为您带来互联网安全的最新消息，请点击关注选车网，第一时间了解最新的汽车资讯。

选车君观点：手机、电脑的网络安全已经引起了足够的重视，而随着车联网技术的发展，汽车网络安全逐渐成为又一重要的话题。而汽车行业车联网网络信任支撑平台作为首个CA服务中心，能够有效的保障车联网的信息安全，让用户更放心的使用车联网功能。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

⑨ 工信部：车联网网络安全和数据安全标准体系建设指南发布

易车讯 近日，工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》，目标到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向，提出以下内容：

1、总体与基础共性标准

总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等3类标准。

术语和定义标准主要规范车联网网络安全和数据安全主要概念，为相关标准中的术语和定义提供依据支撑。

总体架构标准主要规范车联网网络安全总体架构要求，明确和界定防护对象、防护方法、防护机制，指导企业体系化开展网络安全防护工作。

密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应用、设备密码应用等要求。

2、终端与设施网络安全标准终端与设施网络安全标准

主要规范车联网终端和基础设施等相关网络安全要求，包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。

车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求，包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。

车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。

路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。

3、网联通信安全标准

网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求，包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网（C-V2X），以及应用于车联网的蜂窝移动通信（4G/5G）、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗（BLE）紫蜂（Zigbee）、超宽带（UWB）等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。

4、数据安全标准

数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等，包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求，制定数据分类分级的维度、方法、示例等标准，明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求，句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求，明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。

5、应用服务安全标准

应用服务安全标准主要规范车联网服务平台和应用程序的安全要求，以及典型业务应用服务场景下的安全要求，包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级（OTA）服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求，包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。

6、安全保障与支撑标准

安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求，包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求，明确安全风险评估流程和方法，提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求，以及安全管理接口、车联网卡实名登记、车联网业务递交网关（HI）接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施，提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。