工信部网安〔2021〕134号

各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司,有关智能网联汽车生产企业、车联网服务平台运营企业,有关标准化技术组织:

车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态。智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与车、路、人、云端等智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶的新一代汽车。在产业快速发展的同时,车联网安全风险日益凸显,车联网安全保障体系亟须健全完善。为推进实施《新能源汽车产业发展规划(2021-2035年)》,加强车联网网络安全和数据安全管理工作,现将有关事项通知如下:

一、网络安全和数据安全基本要求

(一)落实安全主体责任。各相关企业要建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任。强化企业内部监督管理,加大资源保障力度,及时发现并解决安全隐患。加强网络安全和数据安全宣传、教育和培训。

(二)全面加强安全保护。各相关企业要采取管理和技术措施,按照车联网网络安全和数据安全相关标准要求,加强汽车、网络、平台、数据等安全保护,监测、防范、及时处置网络安全风险和威胁,确保数据处于有效保护和合法利用状态,保障车联网安全稳定运行。

二、加强智能网联汽车安全防护

(三)保障车辆网络安全。智能网联汽车生产企业要加强整车网络安全架构设计。加强车内系统通信安全保障,强化安全认证、分域隔离、访问控制等措施,防范伪装、重放、注入、拒绝服务等攻击。加强车载信息交互系统、汽车网关、电子控制单元等关键设备和部件安全防护和安全检测。加强诊断接口(OBD)、通用串行总线(USB)端口、充电端口等的访问和权限管理。

(四)落实安全漏洞管理责任。智能网联汽车生产企业要落实《网络产品安全漏洞管理规定》有关要求,明确本企业漏洞发现、验证、分析、修补、报告等工作程序。发现或获知汽车产品存在漏洞后,应立即采取补救措施,并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息。对需要用户采取软件、固件升级等措施修补漏洞的,应当及时将漏洞风险及修补方式告知可能受影响的用户,并提供必要技术支持。

三、加强车联网网络安全防护

(五)加强车联网网络设施和网络系统安全防护能力。各相关企业要严格落实网络安全分级防护要求,加强网络设施和网络系统资产管理,合理划分网络安全域,加强访问控制管理,做好网络边界安全防护,采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施。自行或者委托检测机构定期开展网络安全符合性评测和风险评估,及时消除风险隐患。

(六)保障车联网通信安全。各相关企业要建立车联网身份认证和安全信任机制,强化车载通信设备、路侧通信设备、服务平台等安全通信能力,采取身份认证、加密传输等必要的技术措施,防范通信信息伪造、数据篡改、重放攻击等安全风险,保障车与车、车与路、车与云、车与设备等场景通信安全。鼓励相关企业、机构接入工业和信息化部车联网安全信任根管理平台,协同推动跨车型、跨设施、跨企业互联互认互通。

(七)开展车联网安全监测预警。国家加强车联网网络安全监测平台建设,开展网络安全威胁、事件的监测预警通报和安全保障服务。各相关企业要建立网络安全监测预警机制和技术手段,对智能网联汽车、车联网服务平台及联网系统开展网络安全相关监测,及时发现网络安全事件或异常行为,并按照规定留存相关的网络日志不少于6个月。

(八)做好车联网安全应急处置。智能网联汽车生产企业、车联网服务平台运营企业要建立网络安全应急响应机制,制定网络安全事件应急预案,定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照《公共互联网网络安全突发事件应急预案》等规定向有关主管部门报告。

上一篇:交通运输部关于修改《危险货物水路运输从业人员考核和从业资格管理规定》的

下一篇:商务部关于进一步做好当前商务领域促消费重点工作的通知

相关文章