全球微動態丨華人運通智能網聯汽車信息安全實踐心得

信息安全得到國家最高層空前重視，重要性及緊迫性日益突出。2023年4月20日-21日，在2023第二屆中國汽車信息安全與數據安全大會上，針對智能網聯汽車面臨的信息安全風險，華人運通信息安全負責人王思遠認為，主要包括數據處理、數據合規、訪問控制三大板塊。

(資料圖片)

而關于信息安全落地措施，王思遠表示，可以從“安全管理”和“安全技術”兩個層面來規劃和保護信息安全。

王思遠 | 華人運通信息安全負責人

以下為演講內容整理：

目前能夠感知到，整個監管行業，不管是公安、網信辦，還是工信部、信通院對智能網聯汽車企業信息安全要求都比較高。

信息安全對生活和社會發展的影響

一直以來，大家都認為AI一定是未來的趨勢。從ChatGPT開始，小朋友、年輕人、老人都會用到AI的技術。而整個AI算法，包括涉及到的數據，在發展過程中存在著較多的問題。但不能因噎廢食，AI的發展還在繼續。對智能網聯汽車而言也是相同的情況，智能網聯汽車也遭到諸多挑戰。

ChatGPT會涉及到三大數據安全的問題：第一獲取數據合法性的問題，訓練像ChatGPT這樣的大型語言模型需要海量自然語言數據，其訓練數據的來源主要是互聯網，但開發商OpenAI并沒有對數據來源做詳細說明，數據的合法性就成了問題。

第二使用過程中造成的數據泄露問題，AI做任何分析和分享都建立在模型之上，后續也一定會存在數據交互，所以沒有絕對的數據泄露不太現實。

第三數據可能被惡意使用，因為從AI角度而言，輸入一個問題或輸入一個指令，它很難通過輸入信息來判斷行為目的。

因此，AI安全工作未來也將應運而生，比如怎樣進行數據保護，如何告知用戶，如何分析用戶行為，或者及時終止違法行為。

信息安全法律法規和車聯網行業標準

我國高度重視對信息安全，每年國家都會舉辦網絡安全宣傳周。在車聯網行業也有相關的法律法規、政策文件和技術標準需要落地和遵守。

首先是三法，《網絡安全法》《數據安全法》《個人隱私保護法》，這三法必須嚴格遵守。而且從今年的各監管力度來看，從執法、監督以及判罰上會更上一層。

其次針對數據安全，還有《汽車數據安全管理若干規定（試行）》，其中指出了汽車的重要數據，像車企，每年年底都要向監管提交重要汽車安全的年報，基本會針對7類數據，車企需要解釋今年的7類數據有哪些，各自的情況如何。企業要自查，企業監管會抽查。

華人運通在整個業務中按照法律法規的要求嚴格執行，并在各場景中進行細化，希望能給予行業一些更好的指導原則。

現在車聯網行業的技術標準特別多，涉及到數據分類、涉及到AI屬性，如ADAS有人臉安全識別，涉及到車內還有聲紋、語音方面的安全。

在實際執行時，企業需要根據各個場景進行，如梳理自動駕駛ADAS業務時，我們會參考ADAS的相關標準，再結合國家法律法規考量自動駕駛ADAS從數據采集到數據返回，再到作業間如何做數據脫敏、數據分析。當敏感數據全部去掉后，哪些數據可以用，在哪個平臺用，使用過程中還要注意哪些內容，就是整個ADAS的場景。這是其業務流，再往下會涉及到車有哪些人，他們涉及哪些物理場景。

現在，很多車企都在出海，海外市場也需要嚴格遵循標準。海運最大標準的是GDPR，GDPR的監管力度、判罰力度非常嚴。美國也有相關法律，包括《加州消費者隱私法案》《美國數據隱私和保護法》《美國兒童在線隱私保護法》，在之前TIKTOK在美國受到打壓時，美國政府拿出州的、國家的、甚至是某個業務的法律來一條一條核對。即使TIKTOK的CEO已經表示，其業務在美國有專門的數據安全團隊，也有建立企業的防火墻，和中國政府沒有關系，美國依然會對每條標準進行核對。

未來，中國的車企出海需要對各個國家的法律法規認真解讀。有些可以從法律、備案和文書層面解決，有些需要通過技術手段加強。

此外，歐洲國家也有相關的數據或隱私保護法，東南亞一些國家也在陸續出臺數據安全的保護法。但其大框架或對標的內容基本都來自于GDPR。

智能網聯汽車的主要信息安全風險

從智能網聯汽車的業務屬性來看，存在著較大的風險。第一大家的本能反應是，車如此智能，那是否安全？換言之自動駕駛如此先進，不用人工介入，一旦程序被攻擊，車會怎樣？第二眾多的聯網功能、采集攝像頭，哪些信息會被采集？是否可以上云？典型的案例就是前年的滴滴事件，后續也推動了國家的數據安全隱私保護以及車聯網數據安全要求。

總體來看，智能網聯汽車面臨著以下幾點風險：

第一智能網聯汽車的業務場景會收集到很多信息，這些信息應如何分類分級，如何存儲，如何做數據脫敏和加密。

第二在數據合規上，如何依法合規采集和處理客戶個人信息，避免發生客戶信息泄露，防止數據被篡改。

第三訪問控制，我們有那么多的車內外數據，業務場景間如何訪問。因為有些數據是不出車的，如ADAS數據，因為會采集到車牌和人臉，必須按照國家標準嚴格做好脫敏后，才可以出車上云。還有些業務是出車的，可能在云上，云還分公有云、私有云，在不同的業務場景中，數據該如何調用，權限如何控制，如何做到安全合規，是挑戰，也是我們要研究的方向。

智能網聯汽車信息安全建設心得

車企在不同階段，應該做哪些事情？這里分為三個階段，這三個階段不光是智能網聯車企，針對其他企業也有所適用。

第一個是0-0.5階段，這個階段的挑戰包括安全團隊應該鋪多少人，基本的安全防御能力建

設，基本的安全意識培訓和基本的安全制度建設

第二個是0.5-1階段，此時專業性的信息安全團隊已具備；安全防御能力上網絡數據和終端都有；并且滿足監管合規要求的安全體系，等保、ISO；這個階段基本上監管要求以及任務會觸達企業，因為到了一定規模，而且已經有量產的車。像汽車數據安全年報肯定得交，攻防演練、護網、數據和網絡安全評估、數據安全年報、安全事件應急響應機制等都有要求；最后針對整個安全體系建設和落地需要安全團隊和業務部門聯動，頻次和深度可以根據實際情況來定。

第三是1-N階段，最大的挑戰是每年老板會問，你去年都做了嗎？今年做什么？有可能今年業務多了，原來兩部車，今年三部車，原來5000員工，今年8000員工。但從真正要做深度精細化安全運營來說，最好的方式還是精準有效的安全事件監控，因為這時候你可以和老板講，人數翻了一倍不代表資源翻了一倍，也不代表運營團隊翻一倍，這會是很好的博弈。拿數據說話，攻擊風險、漏洞風險、數據泄露的風險有哪些，目前做了哪些工作，接下來需要業務部門改哪些，全部要講細。到業務層面上老板就可以理解，再來談今年安全需要往哪幾個場景深化。此時，我們需要有可閉環的安全風險追蹤。但到了這個階段，安全最好的推動方式就是做安全風險收斂，列出來運營的情況，有哪些風險，風險再細化，每周要關掉哪些，把這些東西梳理清晰，也便于安全管理。

關于安全建設方面，安全需要有平臺的概念，需要把數據以業務場景化的方式串起來，落到具體員工的行為和業務特征。

針對以上工作我們該如何做？

從體系層面來講，我們還是遵循ISO 27001和ISO 27701，華人運通在去年8月取得了雙認證，體系涵蓋公司所有的職能部門和中國所有的SET，包括工廠、門店和交付中心。

技術層面和風險管理一一對應，有時一些新的安全合作伙伴拿了新的技術和產品來，聽很神奇，但對應不到具體的業務場景，是很難說服業務老板的。

從組織架構來看，下圖是華人運通的組織分層，企業發展需要良好的組織保障。

圖源：華人運通

從整個公司來看，針對安全事件應急處理、安全應急響應和風險評估，需要對接一些監管部門，可能涉及到公安、網信辦、通管局、工信等等，目前我們是按照國內的三法加上歐盟的GDPR。

從企業安全層面來看，就是ISO27001和ISO27701，從測量安全來看就是ISO21434和SUMS。

從信息安全技術合規來看，一個是大家討論比較多的數據安全，即防泄密，尤其像車企這種研發型企業，管理層最關心的就是研發數據、代碼和圖紙是否管好。另外像手機端，現在很多公司基本上不發手機，手機端會裝類似于飛書的軟件，如果數據手機端數據泄露，應該怎么管？我們會進行相關監測。

從數據安全治理層面，可以進行分類分級、敏感詞監測、敏感數據加密脫敏、數據獲取和外發管控，以及數據接口管控。

最后是網絡安全，因為車企有很多供應商，外部供應商能不能連上我的網絡，終端準入應該怎么做，接入后通過上網行為管理應該怎么管，我們會有終端準入和上網行為管理以及配套的防火墻和態勢感知能力。

（以上內容來自華人運通信息安全負責人王思遠于2023年4月20日-21日在2023第二屆中國汽車信息安全與數據安全大會發表的《智能網聯汽車信息安全實踐心得》主題演講。）