健全完善车联网安全保障体系.pdf

健全完善车联网安全保障体系

为推进实施《新能源汽车产业发展规划（2021-2035年）》，工信部于

9月15日印发《加强车联网网络安全和数据安全管理工作》，内容如下：

一、网络安全和数据安全基本要求

（一）落实安全主体责任。各相关企业要建立网络安全和数据安全管

理制度，明确负责人和管理机构，落实网络安全和数据安全保护责任。强

化企业内部监督管理，加大资源保障力度，及时发现并解决安全隐患。加

强网络安全和数据安全宣传、教育和培训。

（二）全面加强安全保护。各相关企业要采取管理和技术措施，按照

车联网网络安全和数据安全相关标准要求，加强汽车、网络、平台、数据

等安全保护，监测、防范、及时处置网络安全风险和威胁，确保数据处于

有效保护和合法利用状态，保障车联网安全稳定运行。

二、加强智能网联汽车安全防护

（三）保障车辆网络安全。智能网联汽车生产企业要加强整车网络安

全架构设计。加强车内系统通信安全保障，强化安全认证、分域隔离、访

问控制等措施，防范伪装、重放、注入、拒绝服务等攻击。加强车载信息

交互系统、汽车网关等关键设备和部件安全防护和安全检测。加强诊断接

口（OBD）、通用串行总线（USB）端口、充电端口等的访问和权限管

理。

（四）落实安全漏洞管理责任。智能网联汽车生产企业要落实《网络

产品安全漏洞管理规定》有关要求，明确本企业漏洞发现、验证、分析、

修补、报告等工作程序。发现或获知汽车产品存在漏洞后，应立即采取补

救措施，并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞

信息。对需要用户采取软件、固件升级等措施修补漏洞的，应当及时将漏

洞风险及修补方式告知可能受影响的用户，并提供必要技术支持。

三、加强车联网网络安全防护

（五）加强车联网网络设施和网络系统安全防护能力。各相关企业要

严格落实网络安全分级防护要求，加强网络设施和网络系统资产管理，合

理划分网络安全域，加强访问控制管理，做好网络边界安全防护。自行或

者委托检测机构定期开展网络安全符合性评测和风险评估，及时消除风险

隐患。

（六）保障车联网通信安全。各相关企业要建立车联网身份认证和安

全信任机制，防范通信信息伪造、数据篡改、重放攻击等安全风险，保障

车与车、车与路、车与云、车与设备等场景通信安全。鼓励相关企业、机

构接入工业和信息化部车联网安全信任根管理平台，协同推动跨车型、跨

设施、跨企业互联互认互通。

（七）开展车联网安全监测预警。国家加强车联网网络安全监测平台

建设，开展网络安全威胁、事件的监测预警通报和安全保障服务。各相关

企业要建立网络安全监测预警机制和技术手段，及时发现网络安全事件或

异常行为，并按照规定留存相关的网络日志不少于6个月。

（八）做好车联网安全应急处置。智能网联汽车生产企业、车联网服

务平台运营企业要建立网络安全应急响应机制，制定网络安全事件应急预

案，定期开展应急演练，及时处置安全威胁、网络攻击、网络侵入等网络

安全风险。在发生危害网络安全的事件时，立即启动应急预案，采取相应

的补救措施，并按照《公共互联网网络安全突发事件应急预案》等规定向

有关主管部门报告。

（九）做好车联网网络安全防护定级备案。智能网联汽车生产企业、

车联网服务平台运营企业要按照车联网网络安全防护相关标准，对所属网

络设施和系统开展网络安全防护定级工作，并向所在省（区、市）通信管

理局备案。对新建网络设施和系统，应当在规划设计阶段确定网络安全防

护等级。各省（区、市）通信管理局会同工业和信息化主管部门做好定级

备案审核工作。

四、加强车联网服务平台安全防护

（十）加强平台网络安全管理。车联网服务平台运营企业要采取必要

的安全技术措施。涉及在线数据处理与交易处理、信息服务业务等电信业

务的，应依法取得电信业务经营许可。认定为關键信息基础设施的，要落

实《关键信息基础设施安全保护条例》有关规定，并按照国家有关标准使

用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用

安全性评估。

（十一）加强在线升级服务（OTA）安全和漏洞检测评估。智能网联

汽车生产企业要建立在线升级服务软件包安全验证机制，采用安全可信的

软件。开展在线升级软件包网络安全检测，及时发现产品安全漏洞。加强

在线升级服务安全校验能力。加强在线升级服务全过程的网络安全监测和

应急响应。

（十二）强化应用程序安全管理。