2021年8月,工信部发布“关于加强智能网联汽车生产企业及产品准入管理的意见”,其中第二章明确提出加强数据和网络安全管理。
同年10月,随着《汽车数据安全管理若干规定(试行)》发布,汽车全行业兴起数据安全热潮。
本篇文章尝试着从七个问题入手,普及数据安全简要问题。
第一个问题:数据安全是什么?
数据安全其实是数据资产的安全,与网络安全Cybersecurity 的定义雷同,但不同的是,数据安全强调的资产是数据本身。
数据安全CIA三要素/原则:机密性(Confidentiality)、完整性(Integrity)和可用性是安全的三个原则、要素、方向。
数据安全方案包含终端数据安全、网络数据安全、存储数据安全、应用数据安全、移动数据安全云数据安全。
第二个问题:如何对汽车数据进行分类分级?
汽车数据,区分为两个维度:
1.传统主机厂维度:仅包括车内座舱、自动驾驶、底盘、动力等车壳内部数据。
2.智能网联汽车维度 :不仅包括车内,也包括与车终端所涉及的云管端中的数据。
本文仅以传统主机厂维度举例,针对车上数据如何分类分级:
目前根据现行的YD/T 3751-2020《车联网信息服务 数据安全技术要求》中分类分级相关,我们可以把数据分为六大类(注:随着业内对数据安全的重视,关于汽车数据安全技术要求相关的标准,也亟待更新和补充)
1.1基础属性类
车联网信息服务相关主体的基础属性数据,可细分为车辆基础属性数据、车联网移动终端应用软件基础属性数据和车联网服务平台基础属性数据等。
1.2 车辆工况类
车辆工况类数据是从车联网信息服务角度出发,与车辆实际运行特征或车辆实际系统操作有关的数据,包括但不限于动力系统、底盘系统、车身系统、舒适系统、电子电气等相关的运行状态、系统工作参数,以及整车控制器等相关的工况参数。
1.3 环境感知类
环境感知类数据主要是与车联网所处外部环境相关,包括车联网信息服务中对与车辆进行通信或交互的外部设备、终端、行人等相关的数据信息,包括但不限于车辆位置、行驶速度、红绿灯信息、道路基础设施相关的测速雷达、摄像头等采集的信息。
1.4 车控类
车控类数据是指车辆网信息服务过程与对车辆操控直接相关的指令数据,主要包括两类:智能决策车控类数据、车辆远程操控类数据。
1.5 应用服务类
应用服务类数据与车联网各主体间的信息交互密切相关,是指除了基础属性类数据、车辆自身状态类数据、环境感知类数据、控制类数据和用户个人数据之外,与车联网信息服务相关的数据,包括但不限于信息娱乐类数据、交通安全管控类数据,以及涉车服务类数据等。
1.6 用户个人信息
可以分为如下几类:
A:用户身份证明类信息
B:车联网信息服务内容类用户数据信息
C:用户服务相关信息
第三个问题:汽车数据重要等级如何衡量?
关于数据敏感度分级,我们可以将数据分为,一般数据、重要数据、敏感数据。为了避免误解,我们可以具体参考YD/T 3751-2020查看具体的数据定义要求:
图1. YD/T 3751-2020《车联网信息服务 数据安全技术要求》6.1
第四个问题:汽车数据安全不同重要等级如何保护?
在YD 3751-2020Z中6.3章节,按照车联网信息服务数据敏感性分级,将车联网信息服务数据安全保护划分为两个等级:基本级和增强级。
基本级规定车联网信息服务数据安全保护的基本要求,其包含了基本级应支持的安全能力集合。车辆网信息服务中敏感等级为一般的书籍按照基本级要求实施保护。
增强级规定了车联网信息服务数据安全保护应满足基本级要求以外,还应满足的增强的安全要求,其包含了增强级应支持的安全能力集合。
关于基本级与增强级的具体防护要求,大家可以参考标准内容。
那么前面提到的数据分类,以及不同级别的防护要求,一般为如下匹配:
一般属性数据:参考基本级安全保护要求
重要和敏感属性数据:参考增强级安全保护要求
针对个人重要信息,应实施严格的技术和管理措施,保护用户的知情权和选择权,保护用户个人信息的机密性和完整性,确保车联网用户个人信息访问控制安全,建立严格的用户个人信息安全管理规范以及数据实时监控机制。
针对个人一般信息,应实施基本的技术和管理措施确保车联网用户个人信息访问控制安全。
第五个问题:汽车数据安全在车内如何进行与网络安全的区分管理?
数据安全与网络安全的区分,首先:
1.生命周期需要分开;
2.研发团队需要分开;
3.数据安全更多为法制驱动,从法律、合规等业务来推动,此时需要从体系中进行彻底开展
4.网络安全VSOC可充当数据安全的简要基础,当然数据安全必须有自身的运营体系
(注:以上为实践经验见解,仅供参考)
第六个问题:汽车数据安全在实际整车场景中,如何设计?
场景一:手机端数据通过座舱同步车机端,并经过车机端上云
1.先征得用户授权及明示同意,HMI上显示完整隐私政策、用户授权须知等
2.功能上由手机端传导至车机端进行鉴权,提前预置车机IVI Head Unit以及手机端证书或者Token验证身份、Session通话确认内容,对口令等方式进行授权解决。
3.车机端IVI Head Unit需要对手机端导过来数据进行识别
a)是否人脸等敏感个人信息,此时必须脱敏处理,再通过加密措施、TLS1.2等方式通讯至云端,同时必须在云端有实时态势感知进行操作监控、完整安全管理规范
b)是否人身份证号、人的个人生活照片,但没有直接体现个人,此时考虑为个人敏感信息,此时必须AES128加密、SHA256摘要、整体链路访问控制白名单进行
4.云端上数据在一定期限后必须删除,通常一个月内,删除日志必须保存一年
5.如个人撤销同意,此时云端必须同意删除对应个人数据,通常删除日志必须保存一年
6.通过账户登录来确定该账户的特殊性,此账户的登录历史及云端在线远程监控登录历史,属于个人重要信息等级,按照整体机密性及完整性处理
场景二:国内汽车出口国外欧盟,你亲戚购买了一辆车,有一天你在中国给他打电话,他通过车机系统和你微信通话,并能视频、保存你的图片。
1.本场景属于典型数据跨境交流,人脸属于重要数据,必须考虑数据跨境相关法规
2.数据跨境法规如下
3.故按照跨境安全评估,此时所属品牌OEM必须向相关网信部门申请对应文件,走如下流程及周期:
4.在上述企业级申请后,你的亲戚所在的车上必须做如下操作:
a)所通讯视频和电话属于个人敏感数据,必须加密AES128+TLS1.2以上通讯加密+HASH摘要+令牌操作有效性+确认为本OEM云端,进行存储
b)车端在三天内删除,并保留删除日志半年,云端在十天内删除,并保留删除日志半年
第七个问题:实际如何推行数据安全分析,在企业开发中?
信息安全包括数据安全和网络安全,数据安全可以根据如下方式进行开发:
(1)数据分类上,根据YDT 3751和YDT 3746组建基本数据范畴和信息,之后进一步根据数据范畴,制定安全措施和规范
(2)数据安全维度风险值为发生可能性乘以严重度。严重度采用TARA维度,额外增加伦理道德和社会接受度,
a)如果涉及到国土安全层面严重度,发生可能性采用国家机关审查等办法
b)如果涉及到行业层面,发生可能性采用行业层面可能性发生度进行
c)如果涉及到企业层面,发生可能性采用公司层面流程条例判断
(3)针对(2)中涉及到的风险值,评为高、中、低维度,而在维度判断时,高和中均需要降低风险的措施,或者风险转移、风险共享、风险共担等,最终再进行风险确认。
(4)数据安全最终判断风险可否承担,采用审核机制,由对应部门人员进行审核。
最后,数据安全与隐私也是彻底分开独立的体系,我们在进行Privacy by design时,务必牢记二者需要分开,从而按照真正生命周期概念进行相互独立的设计。
本篇是针对第二届SAE的workshop系列文章之数据安全篇,最后欢迎大家报名参加本次SAE的workshop,8月25-26,上海,我们不见不散!
原文始发于微信公众号(汽车信息安全):外宣 l第二届SAE汽车网络安全workshop 数据安全篇
