当前,车联网数据安全风险形势复杂多样。以技术架构划分,车联网数据安全涉及感知层安全、通信层安全、平台层安全、应用层安全等内容;以数据属性划分,车联网数据安全涉及个人数据安全、企业数据安全、国家数据安全等内容。
车联网产业是融合了汽车电子、信息通信、道路交通、人工智能等多领域技术的新型产业形态。车联网产业链主体多样,包括汽车厂商、零部件和元器件供应商、软件供应商、车联网平台、数据内容提供商和服务提供商等企业和机构,车联网数据流转更是可能涉及汽车维修商、汽车经销商、租赁和共享汽车公司、机动车保险公司、娱乐提供商、电信运营商、道路基础设施管理方和公共部门等主体,范围涵盖车联网产业链供应链上的大多数利益相关者。 技术架构维度安全风险 (1)感知层安全风险 车联网通过感知层收集、处理各类数据。感知层的数据安全风险主要来源于网联汽车终端的网络安全威胁,车辆终端装载的传感器、电子控制单元、信息娱乐系统,承载了用户身份信息、汽车运行状态、地理位置信息、用户驾驶习惯等敏感内容。感知层的网络安全漏洞轻则可能导致车辆终端数据的篡改、损毁、泄露,进而引起传感器失灵、数据采集失败、算法识别错误等问题,重则可能产生越权打开车门、自动点火、控制部分驾驶权限等危害情形。为此,车辆终端网络安全检测应常态化开展,及时发现服务和产品漏洞,做好网络边界安全防护,防范车联网感知层的安全风险。 (2)通信层安全风险 车联网通过通信层与车、路、人、网进行数据交互。车联网通信的潜在攻击包括消息伪造攻击、消息重放攻击、消息篡改攻击、身份伪造攻击、占用/仿冒RSU攻击、拒绝服务攻击等。若车联网传输过程中缺乏有效认证机制,攻击者可以通过伪造身份对传输数据进行窃取、重写、篡改,使车辆终端作出错误决策。为此,应有效建立车联网身份认证和安全信任机制,强化车与车、车与路、车与云、车与设备等场景安全通信能力建设,加强商用密码应用,确保车联网通信层数据安全。 (3)平台层安全风险 车联网通过平台层完成对数据的管理控制。车联网中的多元数据会在云平台汇聚、处理、流转,其运用的云计算技术将可能引发包括操作系统漏洞威胁、SQL注入漏洞、越权访问等问题。由于云平台蕴含的数据价值较大,其往往可能成为窃取车辆数据、突破车辆控制的第一道防线。为此,应加强车联网平台接入安全和主机、数据存储系统的设施安全,提升数据调用的安全防护能力,防范网络侵入、数据窃取、远程控制等安全风险,保障车联网平台层安全。 (4)应用层安全风险 车联网通过应用层完成对应用服务的数据响应。当从云端向车端下发决策指令时,攻击者通过传输信道截取指令数据,对数据进行重写、篡改,使车端接收到错误的决策和控制指令,引发安全事故。为此,应面向车联网应用系统实施运行安全监测、流量与行为检测分析,及时发现安全状态异常并预警,同时加强对车联网移动应用程序的安全检测,确保车联网应用层数据安全。 数据属性维度安全风险
(1)个人数据安全风险 车联网数据主要来源于对车辆终端和用户的信息采集。驾驶人的身份信息、车辆信息、驾驶行为信息、位置定位信息以及其他个人参数数据可能会被车辆的摄像头、雷达等传感器采集并上传至云端。由于缺乏控制和信息不对称,车辆可能会在个人没有知悉的情况下进行了数据采集,并对采集获得的个人数据进行深度处理。现实中,车辆终端和云平台对个人数据的过度采集、系统采集、长期采集,加之数据分析、用户画像等技术手段,对个人隐私产生严重侵害,并由于复杂多变的网络安全环境,极易造成个人数据的泄露。 (2)企业数据安全风险 企业数据安全风险不仅涉及个人信息保护问题,更可能造成社会层面的安全隐患。截至2021年3月,全国汽车保有量2.87亿辆,新能源汽车保有量为551万辆,蕴藏着巨大的数据价值,而汽车数据的控制者和处理者主要为企业。当下,企业数据存储使用不规范、敏感数据泄露、数据违规操作访问、数据违规开放共享、数据异常流转等数据安全问题异常突出,造成严重的数据安全风险。车联网企业掌握的数据既可能包含需要保障消费者基本权利的个人数据,也可能包含需要促进开放共享的公共数据。化解企业数据安全风险需要明确数据属性边界,确立在数据流转过程中各方应当承担的权利、义务、责任,促使车联网企业加强个人信息与重要数据保护。 (3)国家数据安全风险
随着全球智能网联汽车产业链的不断完善,上下游协同逐渐加深,数据的跨境共享与使用成为产业发展的关键需求。然而,由于车联网数据通常涉及敏感程度较高的基础设施数据、地理信息数据、交通数据以及大量车主的身份和行为数据,其数据安全问题可能会直接关乎国家安全和公共利益。目前,世界各国纷纷强化数据跨境安全立法保护,美国在确保数据保护自主权的情况下,最大程度推进跨境数据自由流动;而欧盟对内消除非个人数据在储存和处理方面的地域限制,推动欧盟范围的数据资源自由流动,对外要求以提供充分保护为前提开展数据跨境流动。我国在《网络安全法》中明确了数据本地化存储的总思路,但主要面向关键信息基础设施这一特定对象,要求相关运营者应当将个人信息和重要数据存储于境内。近年来,我国车联网领域的数据出境安全管理机制正在逐步完善,2021年先后出台的《汽车数据安全管理若干规定》(征求意见稿)、《关于加强车联网(智能网联汽车)网络安全工作的通知》(征求意见稿)、《信息安全技术 网联汽车 采集数据的安全要求(草案)》等政策文件和国家标准均对车联网数据的跨境流动问题予以了回应,以此防范化解国家数据安全风险。
来源:保密科学技术
|