国家工业信息安全中心黄鹏：智能网联汽车数据安全研究报告

2021年6月17日至19日，由中国汽车工业协会主办的第十一届中国汽车论坛在嘉定举行。站在新五年的起点上，本届论坛以“新起点、新战略格局——推动汽车产业高质量发展”为主题，设置“一次闭门峰会+一次会议论坛+两次中外论坛+12场主题论坛”，全方位汇聚政府领导、全球汽车企业领袖、汽车行业精英，共商汽车产业强市大计，落实国家提出的“二氧化碳排放峰值、碳中和”战略目标要求，助力打造。其中，国家工业信息安全发展研究中心副总工程师、信息政策研究所所长黄鹏在6月19日下午举行的主题论坛“智能网联汽车产业发展与安全论坛”上发表演讲。以下为现场演讲:

各位下午好。我谨代表中心汇报我们团队的最新研究成果——智能网联汽车数据安全研究。这个研究比较初步，希望以后得到领导和专家的指导。今天主要汇报五个方面。一、智能网联汽车的内涵和发展现状；二是智能网联汽车数据安全的发展趋势；第三，车企对智能网联汽车数据安全的认识正在加深；第四，网络安全企业在智能网联汽车数据安全市场“大有可为”；第五，政府积极协调智能网联汽车产业发展和数据安全保护。一、智能网联汽车的内涵及发展现状作为一个新兴的重要领域和场景，智能网联汽车的发展已经势不可挡，主流国家和行业组织从系统、产品、设备、网络等角度对智能网联汽车进行了一些重要的布局。认为智能网联汽车不同于传统汽车设备，至少具有四个显著特征。首先是互联互通，这是基本特征。第二是软件定义。从最初的机械驱动发展到未来的数据驱动是一个非常重要的特征。几年前，大众宣布投资35亿欧元打造自己的汽车操作系统，而特斯拉软件成本占整车成本的40%，S系列代码行数超过4亿。在今天上午的论坛上，许多企业谈到了成立自己的软件技术企业，开发自己的操作系统和app，以适应软件定义汽车的浪潮。未来智能网联汽车至少60%的价值来自软件，所以未来智能网联汽车是新的信息技术终端。三是无人驾驶。刚才朱教授深入讲解了无人驾驶在不同层面、不同场景下的应用和风险。第四是绿色低碳。未来智能网联汽车主要是电动汽车，非常适合或适应国家对“双碳”相关的要求和布局。此外，我们也对智能网联汽车产业链做了初步的分析，从上游的零部件和软件到下游相应的内容、平台、数据和服务商对出行、保险、租赁、维修等各个方面，整个产业链也一直在不断演进。中国已经在产业链的各个环节进行了布局，但核心系统部件仍然更多依赖进口。最近在技术研发上取得了一些突破，但距离市场化量产还有一定差距。二、智能网联汽车数据安全的发展趋势智能网联汽车的主要特点是数据成为驱动汽车发展的重要价值点。这种发展趋势对车辆安全和数据安全有了新的要求和风险，要求从两个角度考虑智能网联汽车的安全问题:一方面是汽车的全生命周期，另一方面是数据的全生命周期。基于这两个维度，我们发现未来智能网联汽车带来的数据安全风险仍然非常大和突出，至少涉及四个方面:一是行业内数据安全意识有待提高，近期一系列相应事件的出现，一定程度上会影响消费者对智能网联汽车安全性的信心。二是数据泄露风险巨大，威胁个人隐私。因为智能网联汽车为了更好的实现自动驾驶或者让驾驶员有更好的体验，会收集相应的信息，我们在调研的过程中了解到，一辆智能网联汽车每天至少要收集10TB的数据，不仅庞大，而且涉及到行驶轨迹、习惯、语音、视频等。司机和乘客。一旦受到侵害，就会泄露个人隐私。三是网络安全漏洞多，威胁人身财产安全。2020年，全球恶意攻击将超过280万次。黑客可以通过网络攻击控制车辆的行驶，也可以利用软件漏洞控制智能网联汽车，因此威胁和风险也非常大。第四，可能威胁国家安全。为了更好地实现车辆和道路与周围基础设施的交互，智能网联汽车还将收集周围场景的数据和重要的地理信息。如果精度达到一定程度，就会影响或威胁国家安全。我们看到一些国家特别是发达国家和行业组织也出台了管理规范和措施。美国……欧洲联盟和国际汽车制造商协会通过了一些原则性和战略性的法规，包括一些详细的和可操作的指南。不同的智能网联汽车厂商，由于基因不同，对数据安全的理解或保护能力也不同。我们认为，目前最主要的智能网联汽车厂商来自三类企业:第一类是传统汽车企业，其发展模式是渐进式的，包括国内自主品牌和合资品牌。这些传统汽车企业都在推动相关新技术的开发应用和数字化转型，但总体来说，意识和能力还在发展过程中。第二类是信息技术企业，如百度、阿里、腾讯、华为、滴滴、小米等信息技术企业。这些企业基于自身在信息技术领域的强大能力和生态，大力推进相应的技术系统和自动驾驶系统，跨越式进入智能网联汽车产业。第三类是造车新势力。理想、未来、小鹏等。在他们的开发过程中都比较激进，对数据安全的考虑和布局也各有特色。全球知名咨询机构Guidehouse分析了智能网联汽车领域现有的竞争格局，发现目前的领先者中，有4家企业基本都是信息技术企业。现阶段，具有信息技术背景的企业进入智能网联汽车行业具有一定优势。很有意思的是，我们知道特斯拉被Guidehouse列入了‘跟随者’，主要是因为该机构认为特斯拉的自动驾驶能力和安全保障能力与其宣传相比有一定差距。这三种不同类型的智能网联汽车厂商对数据安全的理解和防护能力还是有一定的差异，尤其是在相应能力的布局上，包括组织架构的调整和适应新的安全需求的能力。但是，我们发现这三类企业也在跨界融合，互相学习。第三，车企对汽车数据安全的认识正在加深。我们调查了一些车企，总结了他们对当前数据安全的理解和措施。车企越来越重视数据安全问题。国内主流企业打算通过加强技术手段和管理机制，大幅提高保障数据安全的能力。但其实风险也很突出:一是核心器件的自主可控性有待进一步提高，如传感器、芯片、雷达天线等。，也属于智能网联汽车的“卡脖子”领域。二是企业管理责任缺失，很多车企往往以“黑箱”状态开展一些数据管理工作，使得现有的保护机制和管理措施困难且滞后。三是实际落地案例少，缺乏具体指导和实践指导。很多企业都在边界徘徊，探索的成本也很高，需要进一步明确的地方很多。从建议的角度，我们建议车企从两个角度提升数据安全能力。首先是提高核心基础技术的安全性和可控性，这涉及到车辆的本质安全。二是提高数据安全的综合防护能力，采用新一代信息技术，包括区块链技术、流量检测技术、国家秘密技术等。，提高综合防护能力。四。网络安全企业在智能网联汽车数据安全市场潜力巨大。国内主流网络安全企业都在积极布局智能网联汽车新赛道，大多是基于其传统产品，然后根据智能网联汽车新场景，包括数据层面，从云、管理、端等角度，做一些适应性的调整和优化。，并在测试和服务方面推出相应的网络安全产品……我们调研了国内安防厂商天荣信，已经形成了覆盖车载网关、ECU、T-BOX、云端、APP的全方位渗透测试工具和服务。下一个案例来自百度，其自动驾驶安全架构已经覆盖了数据安全的全生命周期。可以说，智能网联汽车领域对于网络安全行业或网络安全企业来说是一个巨大的市场，但也存在诸多挑战。第一，现有的网络安全产品和解决方案不能满足智能网联汽车的安全需求。第二，安全解决方案的路径不尽相同。一些网络安全公司专注于车辆的安全，而另一些公司专注于云的安全。虽然这些解决方案没有一个更好，但它们需要相互学习。第三，安全产品的应用还存在成本、意识等问题。我们还提出了两点建议。第一，建议这些网络安全企业针对智能网联汽车的不同场景，开发有针对性的相关产品和解决方案，提高推广力度。二是探索适合智能网联汽车场景的网络安全保险方案。保险在汽车领域非常普遍，但数据安全保险或网络安全保险可以为汽车企业、用户以及产业链上的众多信息技术服务企业提供一体化保障。五、政府积极协调智能网联汽车产业发展和数据安全保护。首先，在政策规划层面，政府出台了相关的标准指引，包括一些政策文件，加强对数据全生命周期的管控，强调数据的分类分级。第二，在法律法规层面，网络安全法、数据安全法、个人信息保护法(草案)，以及网信办发布的汽车数据安全管理规定(征求意见稿)，已经体现了政府的一些针对性的考虑。我们支持网信办和工信部出台更加细化的管理规定和指引，从法律法规层面给予指导和指引，从而更好地指导整个行业的实践。三是标准体系不断完善，包括顶层系统性标准和专项标准，正在出台并不断修订完善。四是试点应用加快，如上海临港新区跨境数据试点，一些与路测、风险评估、风险管控相关的试点也在推进中。智能网联汽车本身就是一个新生事物，它涉及到一个非常复杂的系统。确实需要政府进行试点示范工作，总结一些优秀做法，进行后续推广。当然，从政府推动产业发展、保障数据安全的角度来看，也面临着重要的挑战。第一，整个法律体系和标准体系仍然落后于行业的发展速度。二是存在多头监管的问题，需要尽快细化一些行业管理要求。从数据安全监管的角度来说，国家网信部是牵头部门，但涉及到具体行业规则的出台，还需要行业主管部门和一些重要的行业协会来推动相关工作。第三，实际措施不够。数据安全监管和治理的基本任务之一是对数据进行分类分级。对于数据，要管，但不能管得太死。哪些需要管理，哪些需要强有力的监管手段，哪些需要在市场上流动，一个很基础的工作就是数据分类分级。我们的建议包括四个方面:第一，统筹产业创新发展，保障数据安全。二是尽快出台数据分类分级的指南和管理细则。国内一些重要的行业，如金融、工业互联网等，都出台了相应的分类分级指引，可供智能网联汽车行业借鉴。三是建立事前风险评估和事后应急机制。例如，国家专业人员和……临床机构可以探索如何提供更好的服务和支持。第四，关注跨境数据流动。目前我国对这个问题比较重视，国家网信部门也在紧锣密鼓地进行调研。希望在借鉴全球通用做法的同时，细化相应的数据流规则。以上是我们本期报道的主要内容。在撰写报告的过程中，我们也得到了一些车企和网络安全公司的支持。之后，我们也希望与在座的企业和专家合作，让我们在智能网联汽车数据安全领域做得更多。我中心智库还将推出系列报道，希望大家关注和支持。我要报告的就这些。谢谢大家！2021年6月17日至19日，由中国汽车工业协会主办的第十一届中国汽车论坛在嘉定举行。站在新五年的起点上，本届论坛以“新起点、新战略格局——推动汽车产业高质量发展”为主题，设置“一次闭门峰会+一次会议论坛+两次中外论坛+12场主题论坛”，全方位汇聚政府领导、全球汽车企业领袖、汽车行业精英，共商汽车产业强市大计，落实国家提出的“二氧化碳排放峰值、碳中和”战略目标要求，助力打造。其中，国家工业信息安全发展研究中心副总工程师、信息政策研究所所长黄鹏在6月19日下午举行的主题论坛“智能网联汽车产业发展与安全论坛”上发表演讲。以下为现场演讲:

各位下午好。我谨代表中心汇报我们团队的最新研究成果——智能网联汽车数据安全研究。这个研究比较初步，希望以后得到领导和专家的指导。今天主要汇报五个方面。一、智能网联汽车的内涵和发展现状；二是智能网联汽车数据安全的发展趋势；第三，车企对智能网联汽车数据安全的认识正在加深；第四，网络安全企业在智能网联汽车数据安全市场“大有可为”；第五，政府积极协调智能网联汽车产业发展和数据安全保护。一、智能网联汽车的内涵及发展现状作为一个新兴的重要领域和场景，智能网联汽车的发展已经势不可挡，主流国家和行业组织从系统、产品、设备、网络等角度对智能网联汽车进行了一些重要的布局。认为智能网联汽车不同于传统汽车设备，至少具有四个显著特征。首先是互联互通，这是基本特征。第二是软件定义。从最初的机械驱动发展到未来的数据驱动是一个非常重要的特征。几年前，大众宣布投资35亿欧元打造自己的汽车操作系统，而特斯拉软件成本占整车成本的40%，S系列代码行数超过4亿。在今天上午的论坛上，许多企业谈到了成立自己的软件技术企业，开发自己的操作系统和app，以适应软件定义汽车的浪潮。未来智能网联汽车至少60%的价值来自软件，所以未来智能网联汽车是新的信息技术终端。三是无人驾驶。刚才朱教授深入讲解了无人驾驶在不同层面、不同场景下的应用和风险。第四是绿色低碳。未来智能网联汽车主要是电动汽车，非常适合或适应国家对“双碳”相关的要求和布局。此外，我们也对智能网联汽车产业链做了初步的分析，从上游的零部件和软件到下游相应的内容、平台、数据和服务商对出行、保险、租赁、维修等各个方面，整个产业链也一直在不断演进。中国已经在产业链的各个环节进行了布局，但核心系统部件仍然更多依赖进口。最近在技术研发上取得了一些突破，但距离市场化量产还有一定差距。二、智能网联汽车数据安全的发展趋势智能网联汽车的主要特点是数据成为驱动汽车发展的重要价值点。这种发展趋势对车辆安全和数据安全有了新的要求和风险，要求从两个角度考虑智能网联汽车的安全问题:一方面是汽车的全生命周期，另一方面是数据的全生命周期。基于这两个维度，我们发现未来智能网联汽车带来的数据安全风险仍然非常大和突出，至少涉及四个方面:一是行业内数据安全意识有待提高，近期一系列相应事件的出现，一定程度上会影响消费者对智能网联汽车安全性的信心。二是数据泄露风险巨大，威胁个人隐私。因为智能网联汽车为了更好的实现自动驾驶或者让驾驶员有更好的体验，会收集相应的信息，我们在调研的过程中了解到，一辆智能网联汽车每天至少要收集10TB的数据，不仅庞大，而且涉及到行驶轨迹、习惯、语音、视频等。司机和乘客。一旦受到侵害，就会泄露个人隐私。三是网络安全漏洞多，威胁人身财产安全。2020年，全球恶意攻击将超过280万次。黑客可以通过网络攻击控制车辆的行驶，也可以利用软件漏洞控制智能网联汽车，因此威胁和风险也非常大。第四，可能威胁国家安全。为了更好地实现车辆和道路与周围基础设施的交互，智能网联汽车还将收集周围场景的数据和重要的地理信息。如果精度达到一定程度，就会影响或威胁国家安全。我们看到一些国家特别是发达国家和行业组织也出台了管理规范和措施。美国……欧洲联盟和国际汽车制造商协会通过了一些原则性和战略性的法规，包括一些详细的和可操作的指南。不同的智能网联汽车厂商，由于基因不同，对数据安全的理解或保护能力也不同。我们认为，目前最主要的智能网联汽车厂商来自三类企业:第一类是传统汽车企业，其发展模式是渐进式的，包括国内自主品牌和合资品牌。这些传统汽车企业都在推动相关新技术的开发应用和数字化转型，但总体来说，意识和能力还在发展过程中。第二类是信息技术企业，如百度、阿里、腾讯、华为、滴滴、小米等信息技术企业。这些企业基于自身在信息技术领域的强大能力和生态，大力推进相应的技术系统和自动驾驶系统，跨越式进入智能网联汽车产业。第三类是造车新势力。理想、未来、小鹏等。在他们的开发过程中都比较激进，对数据安全的考虑和布局也各有特色。全球知名咨询机构Guidehouse分析了智能网联汽车领域现有的竞争格局，发现目前的领先者中，有4家企业基本都是信息技术企业。现阶段，具有信息技术背景的企业进入智能网联汽车行业具有一定优势。很有意思的是，我们知道特斯拉被Guidehouse列入了‘跟随者’，主要是因为该机构认为特斯拉的自动驾驶能力和安全保障能力与其宣传相比有一定差距。这三种不同类型的智能网联汽车厂商对数据安全的理解和防护能力还是有一定的差异，尤其是在相应能力的布局上，包括组织架构的调整和适应新的安全需求的能力。但是，我们发现这三类企业也在跨界融合，互相学习。第三，车企对汽车数据安全的认识正在加深。我们调查了一些车企，总结了他们对当前数据安全的理解和措施。车企越来越重视数据安全问题。国内主流企业打算通过加强技术手段和管理机制，大幅提高保障数据安全的能力。但其实风险也很突出:一是核心器件的自主可控性有待进一步提高，如传感器、芯片、雷达天线等。，也属于智能网联汽车的“卡脖子”领域。二是企业管理责任缺失，很多车企往往以“黑箱”状态开展一些数据管理工作，使得现有的保护机制和管理措施困难且滞后。三是实际落地案例少，缺乏具体指导和实践指导。很多企业都在边界徘徊，探索的成本也很高，需要进一步明确的地方很多。从建议的角度，我们建议车企从两个角度提升数据安全能力。首先是提高核心基础技术的安全性和可控性，这涉及到车辆的本质安全。二是提高数据安全的综合防护能力，采用新一代信息技术，包括区块链技术、流量检测技术、国家秘密技术等。，提高综合防护能力。四。网络安全企业在智能网联汽车数据安全市场潜力巨大。国内主流网络安全企业都在积极布局智能网联汽车新赛道，大多是基于其传统产品，然后根据智能网联汽车新场景，包括数据层面，从云、管理、端等角度，做一些适应性的调整和优化。，并在测试和服务方面推出相应的网络安全产品……我们调研了国内安防厂商天荣信，已经形成了覆盖车载网关、ECU、T-BOX、云端、APP的全方位渗透测试工具和服务。下一个案例来自百度，其自动驾驶安全架构已经覆盖了数据安全的全生命周期。可以说，智能网联汽车领域对于网络安全行业或网络安全企业来说是一个巨大的市场，但也存在诸多挑战。第一，现有的网络安全产品和解决方案不能满足智能网联汽车的安全需求。第二，安全解决方案的路径不尽相同。一些网络安全公司专注于车辆的安全，而另一些公司专注于云的安全。虽然这些解决方案没有一个更好，但它们需要相互学习。第三，安全产品的应用还存在成本、意识等问题。我们还提出了两点建议。第一，建议这些网络安全企业针对智能网联汽车的不同场景，开发有针对性的相关产品和解决方案，提高推广力度。二是探索适合智能网联汽车场景的网络安全保险方案。保险在汽车领域非常普遍，但数据安全保险或网络安全保险可以为汽车企业、用户以及产业链上的众多信息技术服务企业提供一体化保障。五、政府积极协调智能网联汽车产业发展和数据安全保护。首先，在政策规划层面，政府出台了相关的标准指引，包括一些政策文件，加强对数据全生命周期的管控，强调数据的分类分级。第二，在法律法规层面，网络安全法、数据安全法、个人信息保护法(草案)，以及网信办发布的汽车数据安全管理规定(征求意见稿)，已经体现了政府的一些针对性的考虑。我们支持网信办和工信部出台更加细化的管理规定和指引，从法律法规层面给予指导和指引，从而更好地指导整个行业的实践。三是标准体系不断完善，包括顶层系统性标准和专项标准，正在出台并不断修订完善。四是试点应用加快，如上海临港新区跨境数据试点，一些与路测、风险评估、风险管控相关的试点也在推进中。智能网联汽车本身就是一个新生事物，它涉及到一个非常复杂的系统。确实需要政府进行试点示范工作，总结一些优秀做法，进行后续推广。当然，从政府推动产业发展、保障数据安全的角度来看，也面临着重要的挑战。第一，整个法律体系和标准体系仍然落后于行业的发展速度。二是存在多头监管的问题，需要尽快细化一些行业管理要求。从数据安全监管的角度来说，国家网信部是牵头部门，但涉及到具体行业规则的出台，还需要行业主管部门和一些重要的行业协会来推动相关工作。第三，实际措施不够。数据安全监管和治理的基本任务之一是对数据进行分类分级。对于数据，要管，但不能管得太死。哪些需要管理，哪些需要强有力的监管手段，哪些需要在市场上流动，一个很基础的工作就是数据分类分级。我们的建议包括四个方面:第一，统筹产业创新发展，保障数据安全。二是尽快出台数据分类分级的指南和管理细则。国内一些重要的行业，如金融、工业互联网等，都出台了相应的分类分级指引，可供智能网联汽车行业借鉴。三是建立事前风险评估和事后应急机制。例如，国家专业人员和……临床机构可以探索如何提供更好的服务和支持。第四，关注跨境数据流动。目前我国对这个问题比较重视，国家网信部门也在紧锣密鼓地进行调研。希望在借鉴全球通用做法的同时，细化相应的数据流规则。以上是我们本期报道的主要内容。在撰写报告的过程中，我们也得到了一些车企和网络安全公司的支持。之后，我们也希望与在座的企业和专家合作，让我们在智能网联汽车数据安全领域做得更多。我中心智库还将推出系列报道，希望大家关注和支持。我要报告的就这些。谢谢大家！

标签：发现特斯拉大众蔚来小鹏

汽车资讯热门资讯