隨著“新四化”浪潮席卷汽車行業(yè)，各類新技術(shù)、新概念、新應(yīng)用、新汽車服務(wù)模式層出不窮，刺激汽車消費市場的同時，也不斷促使新興車企、傳統(tǒng)車企，向軟件服務(wù)化、數(shù)字化等方向轉(zhuǎn)型，“軟硬兼具”成為車企新的核心競爭力。

更智能的計算芯片、更先進的電子電器架構(gòu)、更靈活的應(yīng)用服務(wù)的不斷變革與大規(guī)模應(yīng)用，隨之而來的是汽車產(chǎn)生越來越大的數(shù)據(jù)量。據(jù)專家統(tǒng)計，僅一輛自動駕駛汽車每小時產(chǎn)生的數(shù)量就達80-100GB，每天產(chǎn)生的數(shù)據(jù)量為TB級別。海量的數(shù)據(jù)處理、傳輸，大量的數(shù)據(jù)埋點大幅度增加了網(wǎng)絡(luò)安全的風(fēng)險，帶來了衍生安全問題 ——“數(shù)據(jù)安全”。

車企進行數(shù)據(jù)安全合規(guī)性評估的必要性

回顧近年汽車數(shù)據(jù)安全事件，安全問題從黑客惡意攻擊、病毒入侵等網(wǎng)絡(luò)安全事件，轉(zhuǎn)向車聯(lián)網(wǎng)數(shù)據(jù)安全和隱私保護等。同時隨著用戶對隱私數(shù)據(jù)保護意識的提高，大家對數(shù)據(jù)安全保護的需求也愈發(fā)強烈。

通過梳理全球車聯(lián)網(wǎng)與通訊以及隱私保護相關(guān)法律法規(guī)可以發(fā)現(xiàn)，我國正逐步形成含標(biāo)準(zhǔn)、規(guī)范、指南、法規(guī)等多層級的完備立法體系。

車聯(lián)網(wǎng)背景下的數(shù)據(jù)安全建設(shè)難點

痛點一

車聯(lián)網(wǎng)環(huán)境下數(shù)據(jù)的多樣性讓其合法合規(guī)成為一項難題

汽車產(chǎn)業(yè)鏈長，橫跨制造業(yè)和服務(wù)業(yè)，涉及研發(fā)、制造、營銷、售后等，同時車輛租賃、出行服務(wù)、汽車金融和保險等新星產(chǎn)業(yè)也層出不窮。數(shù)據(jù)量大、數(shù)據(jù)種類多樣、數(shù)據(jù)協(xié)同訪問涉及面廣、多形式承載等。不同類型的數(shù)據(jù)對應(yīng)不同分類分級要求和法律義務(wù)，不同場景的使用對應(yīng)不同數(shù)據(jù)處理模式，需要設(shè)置不同的合規(guī)措施。這些都給車聯(lián)網(wǎng)數(shù)據(jù)安全合規(guī)帶來巨大挑戰(zhàn)。

痛點二

數(shù)據(jù)安全合規(guī)硬性要求與數(shù)據(jù)動態(tài)變化之間的挑戰(zhàn)

車聯(lián)網(wǎng)數(shù)據(jù)環(huán)境一直處于動態(tài)變化中，如新車型研發(fā)發(fā)布、業(yè)務(wù)系統(tǒng)不定期版本迭代、組織架構(gòu)變動、數(shù)據(jù)網(wǎng)絡(luò)環(huán)境調(diào)整等都會產(chǎn)生大量新增數(shù)據(jù)。這些變化使得數(shù)據(jù)安全治理需要持續(xù)的跟蹤、評估和運營。如何動態(tài)持續(xù)發(fā)現(xiàn)新增數(shù)據(jù)或衍生數(shù)據(jù)，對新增或衍生數(shù)據(jù)進行分級，以及同時對分級后的數(shù)據(jù)進行數(shù)據(jù)流動生命周期風(fēng)險評估和管控。都需要在合規(guī)性評估與合規(guī)實踐過程中充分考慮。

痛點三

傳統(tǒng)安全合規(guī)思路無法完全適用于新場景

傳統(tǒng)制造業(yè)數(shù)字化轉(zhuǎn)型才剛起步（處于第一個5年規(guī)劃階段），在當(dāng)前數(shù)據(jù)安全需求面前，主機廠本身經(jīng)驗有限，缺乏在數(shù)據(jù)安全領(lǐng)域有著豐富經(jīng)驗的專家，幫助企業(yè)進行數(shù)據(jù)安全的整體規(guī)劃、實施和運營。數(shù)據(jù)作為生產(chǎn)要素在車企內(nèi)外各個場景流傳，傳統(tǒng)的安全手段無法滿足現(xiàn)有的安全需求，這要求車企在已有的網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)上，針對數(shù)據(jù)特性細(xì)化安全策略防護。

車聯(lián)網(wǎng)數(shù)據(jù)安全合規(guī)性評估落地實踐

車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）數(shù)據(jù)安全評估，主要包括數(shù)據(jù)安全風(fēng)險評估、安全合規(guī)評估及數(shù)據(jù)出境安全評估等。具體實踐圍繞個人用戶、企業(yè)、監(jiān)管者展開，三者角色不同、利益各異，但相互作用、相互聯(lián)系，卻共同影響著車聯(lián)網(wǎng)的數(shù)據(jù)安全。從數(shù)據(jù)生命周期看，汽車制造商、芯片供應(yīng)商、關(guān)鍵件BOM供應(yīng)商、出行服務(wù)商等，他們分布在整個產(chǎn)業(yè)鏈的不同位置、在數(shù)據(jù)采集、傳輸、匯聚、存儲、清洗、分析、管理、反饋、監(jiān)管等各個環(huán)節(jié)進行著各自的數(shù)據(jù)操作。

評估范圍可能是企業(yè)全部業(yè)務(wù)及與業(yè)務(wù)開展相關(guān)的各類信息系統(tǒng)，也可能是獨立業(yè)務(wù)線及相關(guān)信息系統(tǒng)。評估對象為業(yè)務(wù)及相關(guān)信息系統(tǒng)中的數(shù)據(jù)資產(chǎn)。同時，我們可結(jié)合企業(yè)已有的數(shù)據(jù)安全合規(guī)管控情況、業(yè)務(wù)邏輯邊界、網(wǎng)絡(luò)及設(shè)備載體邊界、物理環(huán)境等綜合判斷評估范圍的邊界及對象。

評估開展前，通過調(diào)研、訪談、查閱資料、工具測試等方式，充分了解企業(yè)數(shù)據(jù)安全相關(guān)工作進展情況，包括且不限于：數(shù)據(jù)安全管理組織機構(gòu)、相關(guān)管理制度、流程及落實情況；待評估業(yè)務(wù)相關(guān)的信息系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、權(quán)限控制及安全域劃分等。

開展評估的同時，結(jié)合企業(yè)業(yè)務(wù)實際、有針對性得提出整改建議并出具相關(guān)評估報告，有效控制數(shù)據(jù)安全風(fēng)險，提高企業(yè)數(shù)據(jù)安全防控能力，完善數(shù)據(jù)安全管理體系。

評估過程中，聚焦實際業(yè)務(wù)場景、通過數(shù)據(jù)流圖的方式分析識別敏感數(shù)據(jù)的威脅風(fēng)險點，輸出敏感數(shù)據(jù)威脅流圖。如二手車交易場景中，車端數(shù)據(jù)銷毀模式和銷毀流程如何開展、銷毀行為是否得以監(jiān)督、云端數(shù)據(jù)的保留時間期限及銷毀流程如何管控等。

另外，根據(jù)《工業(yè)數(shù)據(jù)安全評估指南（草案）》中對溯源系統(tǒng)提出的要求，智能網(wǎng)聯(lián)汽車企業(yè)應(yīng)采用數(shù)據(jù)溯源系統(tǒng)來進行數(shù)據(jù)存證，以確保檢查數(shù)據(jù)的真實性。因此數(shù)據(jù)存證要求是合規(guī)性評估要點之一。評估過程中，可通過人員訪談和查驗對應(yīng)的第三方存證平臺的方式，確認(rèn)數(shù)據(jù)存證情況。或使用工具進行汽車回傳數(shù)據(jù)抓包的方式，確認(rèn)第三方存證平臺有對應(yīng)的存證。

車聯(lián)網(wǎng)數(shù)據(jù)安全合規(guī)，安恒準(zhǔn)備好了！

車聯(lián)網(wǎng)背景下車企數(shù)據(jù)安全合規(guī)性評估，不僅需要成熟、全面的評估方法，還需要高效、方便的評估工具，更不可缺少行業(yè)經(jīng)驗和安全經(jīng)驗豐富的復(fù)合型咨詢團隊。安恒信息在車聯(lián)網(wǎng)安全領(lǐng)域有著全面的安全能力和資深安全咨詢、運營團隊。我們期待更多的合作和智慧碰撞，為保障用戶隱私安全、企業(yè)數(shù)據(jù)安全、國家安全添磚加瓦。