联网汽车安全漏洞管理有章可循 汽车行业网络安全漏洞管理任重道远
中国汽车报 | 2021-09-17 13:47:33

在智能化、网联化的深度赋能和加持下,汽车的功能和属被拓展得更加多元,汽车从单纯的交通工具逐渐演变成移动智能终端。与此同时,智能网联新技术的广泛应用,也在丰富着汽车安全的内涵。产业的跨界融合创新,对汽车产品的网络安全、信息数据安全、新技术应用安全都提出了更高、更多的新要求。“新汽车”如何坚守安全底线,是行业必须应对的新问题。

9月1日,工信部、国家互联网信息办公室、公安部联合制定的《网络产品安全漏洞管理规定》(以下简称《管理规定》)正式实施。这意味着,针对网络产品安全漏洞的管理开始有规可依。聚焦到汽车行业,《管理规定》的实施如何落地?按照要求,在汽车产品安全漏洞管理过程中,包括主机厂、网络产品供应商、网络运营商等主体将履行哪些责任?出现违规情况后又有哪些处罚措施?

联网汽车安全漏洞管理有章可循

究竟谁该对网络产品的安全漏洞负责?

《管理规定》中明确了产品和系统漏洞管理的主体,为网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品漏洞发现、收集、发布等活动的组织或个人。对这些主体关于漏洞发现、报告、修补和发布等行为,《管理规定》都有具体要求。

具体到汽车行业,联网汽车及其相关联网部件作为重要的网络产品,车联网服务作为重要的网络运营服务,均在《管理规定》的监管要求范围内。这也意味着,包括提供联网汽车产品的主机厂、为联网汽车提供网络产品的供应商、提供车联网服务的网络运营商,都有责任和义务依照《管理规定》开展漏洞合规管理并接受监管。

“《管理规定》的发布和实施,是指导车联网产品安全漏洞有序管理的基本准则。对汽车行业而言,《管理规定》的发布和实施,也使全行业在落实漏洞合规要求,强化相关技术能力建设,打造安全健康生态等方面有章可循。”中汽数据智能网联部部长张亚楠在接受《中国汽车报》记者采访时说。

那么,汽车行业多方主体在执行《管理规定》的过程中如何各司其职?按照《管理规定》的要求,提供联网汽车产品的主机厂和为联网汽车提供网络产品的供应商,都需要依照“网络产品(含硬件、软件)提供者”的要求进行漏洞合规管理;为车联网提供服务的网络运营商,则需要按照“网络运营者”的要求进行漏洞合规管理。也就是说,从生产制造到运营服务,从硬件到软件,从主机厂、供应商到运营商,《管理规定》针对涉及安全漏洞管理各环节、各主体的行为都进行了相关约束。

漏洞从发现到处置 明确各环节主体行为规范

在确保对网络产品安全漏洞有效管理的过程中,各环节责任主体需要遵守哪些行为规范?

对网络产品提供者、运营者、组织和个人等不同主体,从漏洞发现、获知到漏洞验证、报送、处置等环节,《管理规定》也做了明确的要求和建议。

其中,网络产品提供者应当履行网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施。网络运营者在发现或获知其网络、信息系统及其设备存在安全漏洞后,应立即采取措施,及时对安全漏洞进行验证并完成修补。对相关组织和个人在向社会发布网络产品安全漏洞信息时,提出了必要、真实、客观以及有利于防范网络安全风险的原则,同时需要加强内部管理,采取防范措施,并鼓励向网络产品提供者通报其产品存在的安全漏洞,鼓励向工信部等国家漏洞库报送网络产品安全漏洞。

为了确保安全漏洞信息渠道的畅通,《管理规定》中还明确要求,网络产品提供者、运营者和网络产品安全漏洞收集台,应当建立健全网络产品安全漏洞信息接受渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

三部门联合监管 车联网产品安全漏洞专业库已上线

除了对多方主体进行安全漏洞管理外,《管理规定》中也明确了相关部门的联合监管职责。对此,中汽数据网联技术研究室主任马超表示,按照《管理规定》的要求,包括工信部、公安部以及国家互联网信息办公室在内的各监管机构在网络产品安全漏洞管理中的监管职责也各有侧重,三部门构建起联合协同、信息共享的监管体系,使安全漏洞从发现到处置,实现多方联合监管、多方合力负责的良闭环。

“针对汽车行业而言,工信部承担汽车行业网络产品安全漏洞综合管理的职责,公安部依法打击汽车行业漏洞发现、收集、发布中的违法犯罪活动,涉及到行业协调、联动管理等协调工作由国家互联网信息办公室统筹推进。”马超说。

值得一提的是,《管理规定》对网络产品提供者和网络运营者在漏洞处置方面提出了具体要求,明确了网络漏洞收集和报送机制。其中,“工业和信息化部网络安全威胁和漏洞信息共享台”为网络安全漏洞报送和管理的台载体。同时,工信部也将在该台的基础上,逐步建立和完善安全漏洞数据库。

针对未来汽车行业的漏洞信息台及漏洞库的建设与完善,马超告诉本报记者,2017年,中汽数据基于汽车漏洞研究基础,通过聚集汽车数据资源构建了国内首个汽车漏洞数据库(CAVD)。随着《管理规定》的发布和实施,全新升级的汽车漏洞数据库将作为工信部网络安全威胁和漏洞信息共享台车联网产品安全漏洞专业库,负责车联网产品(含硬件、软件)安全漏洞的接收、审核、研判、处置等管理支撑工作。未来汽车漏洞数据库将致力于汽车行业漏洞研究与服务,服务车联网行业健康发展。

据悉,为落实《管理规定》,在工信部网络安全管理局的指导下,由中汽中心建设运营的车联网产品安全漏洞专业库已于2021年9月1日正式上线运行,该专业库负责车联网产品安全漏洞的接收、审核、研判、处置等管理支撑工作,并由中汽数据具体承担专业库的建设与运营。

明确相关主体“六不得”准则 违规者将面临处罚

除了规定相关主体应当做什么之外,《管理规定》还明确了从事网络产品安全漏洞发现、收集的组织或者个人发布漏洞信息时,“不得”做什么。比如:不得在漏洞修补措施提供之前发布漏洞信息,如必要需评估;不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节;不得夸大漏洞的危害和风险,不得利用漏洞进行炒作、诈骗、敲诈勒索等违法犯罪活动;不得发布或提供利用漏洞进行危害网络安全的程序和工具;在发布网络产品安全漏洞时,应当同步发布修补或者防范措施;在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息;不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境内外组织或个人提供。

一旦网络产品提供者和网络运营者未按《管理规定》要求采取网络产品安全漏洞修补或防范措施,将会面临处罚。其中,网络产品提供者未按规定采取网络产品安全漏洞补救或报告措施的,由工信部、公安部依据各自职责依法处理;网络运营者未按规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;违反本规定收集、发布网络产品安全漏洞信息的,由工信部、公安部依照各自职责依法处理;利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理。

汽车行业网络安全漏洞管理任重道远

“与传统互联网相比,车联网的应用环境更特殊、组网更复杂、管理更困难,安全威胁更突出,汽车漏洞一旦被恶意利用将可能产生严重危害,因此汽车主体迫切需要构建高效合规的漏洞管理机制。”张亚楠说。

事实上,在汽车行业需要更加完善、高效、合规的漏洞管理机制的同时,目前汽车行业在网络安全漏洞管理方面也存在投入资源偏低、安全分析能力偏弱等不足。

那么,如何建立健全汽车行业网络安全漏洞管理机制、提升管理水呢?对此,马超认为,首先要从全行业层面高度重视汽车漏洞管理,构建企业网络安全文化,加强汽车网络安全意识与技术培训;加大漏洞管理资源投入,将漏洞处置工作落实到专人专职,并定期开展漏洞管理情况复盘,及时整改不安全因素。

其次,完善健全漏洞管理机制。参照合规管理要求,构建汽车漏洞合规处置机制,打通企业漏洞处置流程;针对汽车漏洞加入后续追踪流程,防止处置后的漏洞因缓解措施的不全面而引入新的风险,或因为残余风险而引发恶劣的安全事件。

另外,在强化漏洞处置技术能力方面,提升漏洞验证与修补技术能力,及时验证分析相关漏洞的技术特点、危害和影响范围,并提出经济有效的修补方案;提升漏洞知识迁移能力,通过对漏洞数据资源的分析溯源,将漏洞信息反哺于车型的开发设计环节,实现汽车产品的安全设计与有效保障。(王璞)

财经
资讯
精彩新闻