《智能网联汽车数据安全年度洞察(2023).docx》由会员分享,可在线阅读,更多相关《智能网联汽车数据安全年度洞察(2023).docx(30页珍藏版)》请在优知文库上搜索。
1、-、汽车数据安全发展形势1(一)数据成为汽车产业数字化发展的重要基础设施3(一)汽车数据安全形势不容乐观3(三)数据安全是汽车行业数字化、智能化发展的“压舱石”6(四)加强企业免疫力成为汽车数据安全管理的关注重点7(五)企业免疫力建设具备完备的产业环境7二、企业数据安全建设水平洞察11(一)数据安全治理14(二)安全运营17(三)边界安全18(四)端点安全19(五)应用开发安全21三、完善企业安全免疫力需与法规、标准、平台机制相结合25(一)完善数据分类分级指导要求27(一)加强上下游协同,强化供应链安全管理27(三)加快防护技术验证及标准制定,提升整车数据与网络安全防护能力.28(四)加强数
2、据安全配套服务供给29(五)通过试点开展数据安全实践29(六)引导企业变被动为主动,加强数据安全合规30四、2024年汽车数据安全重点趋势研判31(一)数据安全监管和汽车功能之间矛盾的认识会进一步提升33(二)数据安全监管会更加“宽严分明”33(三)AI带来的隐私风险成为关注重点33(四)车企数据安全从自主建设向与安全厂商合作共建转变34图目录图1汽车数据链提升供应链管理效能1图2”数据二十条”框架6图3中国智能网联汽车数据安全市场规模9图4不同企业安全免疫力评估14图5企业数据分类分级流程16图6云管端安全防护框架I7表目录表1智能网联汽车网络攻击手段5表2监管合规要求下功能改进9表3企业数
3、据安全免疫力评估要点13表4路特斯数据分类分级示例16表5整车开发流程数据安全能力要求22汽车数据安全发展形势数据作为汽车产业数字化发展的重要基础设施,汽车数据汇聚带来价值聚变,可以推动供应链透明化管理、智能化技术迭代升级、促进低碳减排。但日益增长的数据安全风险不容忽视。2020年至今,汽车行业安全攻击超过280万次。企业需要加强企业数据安全能力建设,智能汽车发展才能避免“沙滩上起高楼”的危局。未来,在汽车大数据产业发展的带动下,汽车安全防护有望处于安全技术产业的领跑位置。(一)数据成为汽车产业数字化发展的重要基础设施汽车在研发、生产、供应、销售、服务等全生命周期环节产生海量数据,仅在整车使用
4、过程中,L2级辅助驾驶功能的乘用车每年上传至云端的数据就超过20000PB(1EB=220GB)o汇聚这些数据形成规模化数据池,成为智能汽车发展的30-50%20-50% 20-50%3-10%20-40% 降低生产 成本20-50%提高人员 生产效率10-30%降低物流 总成本10-40%降低售后 维护成本核心底座,也将支撑汽车产业数字化转型。同时带动产业上下游数据流不断从长链到短链、从封闭转向开放、从线下到线上,在客户满意度、生产研发、生产成本等方面都有明显提质增效的表现,产生意想不到的效果(见图1)。提高客户满缩短设计降低库存阐氐采购意度评分和工程前持有成本成本置时间图1汽车数据链提升供
5、应链管理效能信息来源:麦肯锡,车百智库研究院勤里通过赋予每一个整车零部件产品一个数字身份,关联全生命周期的数字化信息,如碳减排信息整车使用信息等,形成全链“数据粮仓”.会带动“碎片化”数据由“垃圾资产”变成“集成式数据金矿“,产生价值裂变。一方面,强化整车、软硬零部件可追溯性,提高供应链管理透明度,形成高效敏捷的供应链。另一方面,促进智能驾驶、智能座舱、大模型等技术迭代升级。此外,还能够服务于碳足迹认定、电池追溯等,创造更多新价值。(二)汽车数据安全形势不容乐观1、汽车数据安全问题日益凸显根据工信部车联网动态监测情况显示,2020年以来发现的针对整车企业、车联网信息服务提供商等相关企业的恶意攻
6、击达到280余万次。2023年初至今,就发生超过20起与车企相关大规模数据泄露事件,泄露数据涉及企业内部业务、车辆驾驶、用户隐私等众多数据。过去5年中,全球汽车行业因网络攻击造成的数据泄露损失超过5000亿美元。2、汽车数据可能遭受的攻击面更广、攻击点更多汽车智能化、网联化打开了原有车内域、车间域、交通域、车云域的边界,打破汽车控制系统原有封闭生态,汽车数据将面临来自“云-管-端”三方面的安全风险。一是车端汽车数字身份漏洞会引起黑客攻击隐患。汽车网关、充电系统、智能钥匙、外部进程、3G/4G网络等通信接口的不断增多,且存在错综复杂的传输介质、协议等,导致汽车面临的攻击范围更大且受攻击点数量更多
7、,数据安全防护难度较大。据统计,2023年美国汽车远程被盗比例同比增长142%。另外,还会导致汽车动力系统被控制,威胁用户人身安全。2023年5月,车联网安全挑战赛中,各支队伍都能在短时间内触发10次以上车体车灯、车窗和雨刷器、读取汽车里程数,部分队伍还能触发车速表部件动作,开启刹车灯、转向灯(见表1)。二是云端潜在的安全隐患。智能网联汽车单天产生数据达TB级,在车端存储资源制约下,云端成为汽车数据的最佳汇集点。但云平台潜在的不安全接口、未授权访问、系统漏洞等安全隐患可能造成敏感信息泄露,不法分子甚至可通过伪造、篡改指令及数据内容等方式非法控车,危及用户人身安全和公共交通安全。三是数据交互、数
8、据共享等传输过程也存在信息泄露风险。车内数据传输主要根据功能进行编码,按照报文ID进行标定和接收过滤,通讯网络很容易受到嗅探、窃取、伪造以及篡改等攻击威胁。但通讯协议中引入安全隔离,数据加密等防护技术,会造成较大时延,加大智能网联汽车行驶的安全风险。如何能在数据安全传输的前提下降低通信时延,是亟待突破的技术难题。表1智能网联汽车网络攻击手段攻击方式攻击路径攻击动机CAN总线中断操作、获取车辆控制权限、窃取信息直接物理攻击OBD接口中断操作、获取车辆控制权限、窃取信息USB接口中断操作、获取车辆控制权限、窃取信息蓝牙中断操作、获取车辆控制权限、窃取信息RKE无钥匙进入系统获取车辆控制权限近程无线
9、攻击WiFi中断操作、获取车辆控制权限、窃取信息充电桩中断操作、获取车辆控制权限、窃取信息摄像头、激光雷达、亮米波雷达等传感器获取车辆控制权限、中断操作4G/5G网络获取车辆控制权限、中断操作远程服务获取车辆控制权限、中断操作GpS通信获取车辆控制权限、中断操作远程无线攻击TSP云服务端中断操作、获取车辆控制权限、窃取信息手机APP端中断操作、获取车柄控制权限、窃取信息OTA升级中断操作、获取车辆控制权限、窃取信息信息来源:车百智库研究院总体要求导思想工作原则全前提下促进数据流 通,赋能实体经济,发 挥数据价值数据产权制度V更通交易制度、数据持有、加工I 构建全流程合规 使用、产品经营与监管规
10、则体系 三权分置制度.构题范高效的 公共数据 企业数据交易场所 数据 个人数据 培育数据要素流 确权授权机制,通交易服务生态 各参与方合法权 构建安全合规有 益保护制度序跨境流通机制健全数据要素由 市场评价贡献、 按贡献决定报酬 机制发挥政府在数据 要素收益分配中的引导调节作用数据治理制度创新政府数据治 理机制压实企业数据治 理责任社会多方力量协 同治理(三)数据安全是汽车行业数字化、智能化发展的“压舱石”关于构建数据基础制度更好发挥数据要素作用的意见(简称“数据二十条”)数字中国建设整体布局规划的发布以及国家数据局正式挂牌成立,开创了构建数据基础制度、统筹数据资源整合共享和开发利用推进数字中
11、国建设的新局面(见图2)。为充分发挥海量汽车数据规模和丰富应用场景优势,激活数据要素潜能提供了政策环境。遵循发展规律、坚持共享共i强化优质供给、完善治理体系、深化开放合作保障措施加强政策支持力度 稳步推进制度建设切实加强组织领导积极鼓励试验探索图2”数据二十条”框架信息来源:国家发改委,车百智库研剂晒工业和信息化部、公安部住房和城乡建设部、交通运输部四部门联合印发关于开展智能网联汽车准入和上路通行试点工作的通知,部署开展智能网联汽车准入和上路通行试点工作,进一步为智能网联汽车商业化奠定基础,为产业注入新的活力。其中对智能网联汽车产品的数据与网络安全防护和测试验证、试点申请企业的数据和网络安全保
12、障能力提出了明确要求。汽车产业数字化发展过程中,所有的业务都将由数据驱动,智能汽车正处于技术创新早期阶段,如果没有数据安全做保障,智能网联汽车就如同“沙滩上的楼房”一推就倒。一旦敏感数据被破坏或泄露,将会造成重大经济损失或生产瘫痪。因此,需要在汽车全生命周期建立起数据安全防护能力,保隙数据活动每个环节的数据安全。(四)加强企业免疫力成为汽车数据安全管理的关注重占与功能安全不同,汽车数据安全需随着汽车功能、系统更新以及其他IT基础设施的变化,进行动态调整。通用高危漏洞、开源组件安全缺陷也都有可能成为黑客入侵的风险点。车企需要采用类似于人体免疫力的思路,打造根植于“研、产、供、销、服”汽车全生命周
13、期的安全管理和防护能力,形成持续、动态的常态化数据安全能力,即企业安全免疫力,避免陷入“发现问题-解决问题”的“打补丁”怪圈。企业安全免疫力是企业数据安全管理制度、运营流程、安全防护技术体系的综合表现,反映出企业在面临网络、数据、业务等领域安全攻击时体现出的抵抗和防御能力。构造合理的企业数据安全免疫力,不仅能够提升企业单体的数据安全管理能力,保障企业业务合规、健康发展,还能有效提升汽车行业整体数据安全水平,有效推动汽车数据流通、使用,以充分发挥数据对我国自动驾驶、智能座舱等技术发展的促进作用。另外,还能引导互联网科技、金融保险等不同类型企业参与其中,为我国智能网联汽车发展保驾护航。(五)企业免
14、疫力建设具备完备的产业环境企业数据安全免疫力具备产业基础。智能汽车的数据安全问题已经演变成行业普遍问题,需要全行业来共同解决。众多企业开始布局数据加密、数据脱敏、访问控制、安全存储、数据备份等面向数据全生命周期的安全技术和服务。腾讯安全、360、绿盟科技等原来专注互联网安全的企业,开始拓展车联网数据与网络安全防护业务。为辰信安、联友科技等专注于汽车数据、网络安全的新晋厂商也陆续成立。零数科技、为辰信安等企业在积极布局区块链、隐私计算等技术在汽车行业的应用。未来,在汽车大数据产业发展的带动下,汽车安全防护有望处于安全技术产业的领跑位置。汽车全产业链注重安全免疫力体系建设,数据安全市场可期。车企、
15、TierI和零部件企业的企业不断创新、完善数据安全免疫力建设战略,从业务发展、企业信息化战略、风险控制、合规遵从等四个要素,充分考虑业务发展需求与安全合规的平衡。在此基础上,逐步明确了免疫力建设总体目标、关键性原则、适用的对象和场景范围,为企业合规框架的建立及后续执行确立方向。众多企业积极引入安全防护技术,提高产品数据安全防护能力。车企作为数据安全的主要责任主体,在企业端网络安全和数据安全防护已经深耕多年,从内部网络、个人PC、服务器等环节构建了一整套信息防护体系。同时,车企在车联网安全防护中也积极投入,IDS、加解密、安全芯片等车端防护产品逐步走向量产,小鹏汽车自研的IDS技术已用在全系车型。此外,车企对数据安全合规的认识也在提高,语音助手、哨兵模式等功能根据监管要求进行了优化设计,进一步提升了用户隐私保护能力(见表2)。例如,小鹏、长安等车企的哨兵模式功能减少了车机APP查看车端视频的功能,转而通过振动、语音等
免费区 