在智能化、網聯化的深度賦能和加持下,汽車的功能和屬性被拓展得更加多元,汽車從單純的交通工具逐漸演變成移動智能終端。與此同時,智能網聯新技術的廣泛應用,也在豐富著汽車安全的內涵。產業的跨界融合創新,對汽車產品的網絡安全、信息數據安全、新技術應用安全都提出了更高、更多的新要求。“新汽車”如何堅守安全底線,是行業必須應對的新問題。
9月1日,工信部、國家互聯網信息辦公室、公安部聯合制定的《網絡產品安全漏洞管理規定》(以下簡稱《管理規定》)正式實施。這意味著,針對網絡產品安全漏洞的管理開始有規可依。聚焦到汽車行業,《管理規定》的實施如何落地?按照要求,在汽車產品安全漏洞管理過程中,包括主機廠、網絡產品供應商、網絡運營商等主體將履行哪些責任?出現違規情況后又有哪些處罰措施?
聯網汽車安全漏洞管理有章可循
究竟誰該對網絡產品的安全漏洞負責?
《管理規定》中明確了產品和系統漏洞管理的主體,為網絡產品(含硬件、軟件)提供者和網絡運營者,以及從事網絡產品漏洞發現、收集、發布等活動的組織或個人。對這些主體關于漏洞發現、報告、修補和發布等行為,《管理規定》都有具體要求。
具體到汽車行業,聯網汽車及其相關聯網部件作為重要的網絡產品,車聯網服務作為重要的網絡運營服務,均在《管理規定》的監管要求范圍內。這也意味著,包括提供聯網汽車產品的主機廠、為聯網汽車提供網絡產品的供應商、提供車聯網服務的網絡運營商,都有責任和義務依照《管理規定》開展漏洞合規管理并接受監管。
“《管理規定》的發布和實施,是指導車聯網產品安全漏洞有序管理的基本準則。對汽車行業而言,《管理規定》的發布和實施,也使全行業在落實漏洞合規要求,強化相關技術能力建設,打造安全健康生態等方面有章可循。”中汽數據智能網聯部部長張亞楠在接受《中國汽車報》記者采訪時說。
那么,汽車行業多方主體在執行《管理規定》的過程中如何各司其職?按照《管理規定》的要求,提供聯網汽車產品的主機廠和為聯網汽車提供網絡產品的供應商,都需要依照“網絡產品(含硬件、軟件)提供者”的要求進行漏洞合規管理;為車聯網提供服務的網絡運營商,則需要按照“網絡運營者”的要求進行漏洞合規管理。也就是說,從生產制造到運營服務,從硬件到軟件,從主機廠、供應商到運營商,《管理規定》針對涉及安全漏洞管理各環節、各主體的行為都進行了相關約束。
漏洞從發現到處置 明確各環節主體行為規范
在確保對網絡產品安全漏洞有效管理的過程中,各環節責任主體需要遵守哪些行為規范?
對網絡產品提供者、運營者、組織和個人等不同主體,從漏洞發現、獲知到漏洞驗證、報送、處置等環節,《管理規定》也做了明確的要求和建議。
其中,網絡產品提供者應當履行網絡產品安全漏洞管理義務,確保其產品安全漏洞得到及時修補和合理發布,并指導支持產品用戶采取防范措施。網絡運營者在發現或獲知其網絡、信息系統及其設備存在安全漏洞后,應立即采取措施,及時對安全漏洞進行驗證并完成修補。對相關組織和個人在向社會發布網絡產品安全漏洞信息時,提出了必要、真實、客觀以及有利于防范網絡安全風險的原則,同時需要加強內部管理,采取防范措施,并鼓勵向網絡產品提供者通報其產品存在的安全漏洞,鼓勵向工信部等國家漏洞庫報送網絡產品安全漏洞。
為了確保安全漏洞信息渠道的暢通,《管理規定》中還明確要求,網絡產品提供者、運營者和網絡產品安全漏洞收集平臺,應當建立健全網絡產品安全漏洞信息接受渠道并保持暢通,留存網絡產品安全漏洞信息接收日志不少于6個月。
三部門聯合監管 車聯網產品安全漏洞專業庫已上線
除了對多方主體進行安全漏洞管理外,《管理規定》中也明確了相關部門的聯合監管職責。對此,中汽數據網聯技術研究室主任馬超表示,按照《管理規定》的要求,包括工信部、公安部以及國家互聯網信息辦公室在內的各監管機構在網絡產品安全漏洞管理中的監管職責也各有側重,三部門構建起聯合協同、信息共享的監管體系,使安全漏洞從發現到處置,實現多方聯合監管、多方合力負責的良性閉環。
“針對汽車行業而言,工信部承擔汽車行業網絡產品安全漏洞綜合管理的職責,公安部依法打擊汽車行業漏洞發現、收集、發布中的違法犯罪活動,涉及到行業協調、聯動管理等協調工作由國家互聯網信息辦公室統籌推進。”馬超說。
值得一提的是,《管理規定》對網絡產品提供者和網絡運營者在漏洞處置方面提出了具體要求,明確了網絡漏洞收集和報送機制。其中,“工業和信息化部網絡安全威脅和漏洞信息共享平臺”為網絡安全漏洞報送和管理的平臺載體。同時,工信部也將在該平臺的基礎上,逐步建立和完善安全漏洞數據庫。
針對未來汽車行業的漏洞信息平臺及漏洞庫的建設與完善,馬超告訴本報記者,2017年,中汽數據基于汽車漏洞研究基礎,通過聚集汽車數據資源構建了國內首個汽車漏洞數據庫(CAVD)。隨著《管理規定》的發布和實施,全新升級的汽車漏洞數據庫將作為工信部網絡安全威脅和漏洞信息共享平臺車聯網產品安全漏洞專業庫,負責車聯網產品(含硬件、軟件)安全漏洞的接收、審核、研判、處置等管理支撐工作。未來汽車漏洞數據庫將致力于汽車行業漏洞研究與服務,服務車聯網行業健康發展。
據悉,為落實《管理規定》,在工信部網絡安全管理局的指導下,由中汽中心建設運營的車聯網產品安全漏洞專業庫已于2021年9月1日正式上線運行,該專業庫負責車聯網產品安全漏洞的接收、審核、研判、處置等管理支撐工作,并由中汽數據具體承擔專業庫的建設與運營。
明確相關主體“六不得”準則 違規者將面臨處罰
除了規定相關主體應當做什么之外,《管理規定》還明確了從事網絡產品安全漏洞發現、收集的組織或者個人發布漏洞信息時,“不得”做什么。比如:不得在漏洞修補措施提供之前發布漏洞信息,如必要需評估;不得發布網絡運營者在用的網絡、信息系統及其設備存在安全漏洞的細節;不得夸大漏洞的危害和風險,不得利用漏洞進行炒作、詐騙、敲詐勒索等違法犯罪活動;不得發布或提供利用漏洞進行危害網絡安全的程序和工具;在發布網絡產品安全漏洞時,應當同步發布修補或者防范措施;在國家舉辦重大活動期間,未經公安部同意,不得擅自發布網絡產品安全漏洞信息;不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境內外組織或個人提供。
一旦網絡產品提供者和網絡運營者未按《管理規定》要求采取網絡產品安全漏洞修補或防范措施,將會面臨處罰。其中,網絡產品提供者未按規定采取網絡產品安全漏洞補救或報告措施的,由工信部、公安部依據各自職責依法處理;網絡運營者未按規定采取網絡產品安全漏洞修補或者防范措施的,由有關主管部門依法處理;違反本規定收集、發布網絡產品安全漏洞信息的,由工信部、公安部依照各自職責依法處理;利用網絡產品安全漏洞從事危害網絡安全活動,或者為他人利用網絡產品安全漏洞從事危害網絡安全的活動提供技術支持的,由公安機關依法處理。
汽車行業網絡安全漏洞管理任重道遠
“與傳統互聯網相比,車聯網的應用環境更特殊、組網更復雜、管理更困難,安全威脅更突出,汽車漏洞一旦被惡意利用將可能產生嚴重危害,因此汽車主體迫切需要構建高效合規的漏洞管理機制。”張亞楠說。
事實上,在汽車行業需要更加完善、高效、合規的漏洞管理機制的同時,目前汽車行業在網絡安全漏洞管理方面也存在投入資源偏低、安全分析能力偏弱等不足。
那么,如何建立健全汽車行業網絡安全漏洞管理機制、提升管理水平呢?對此,馬超認為,首先要從全行業層面高度重視汽車漏洞管理,構建企業網絡安全文化,加強汽車網絡安全意識與技術培訓;加大漏洞管理資源投入,將漏洞處置工作落實到專人專職,并定期開展漏洞管理情況復盤,及時整改不安全因素。
其次,完善健全漏洞管理機制。參照合規管理要求,構建汽車漏洞合規處置機制,打通企業漏洞處置流程;針對汽車漏洞加入后續追蹤流程,防止處置后的漏洞因緩解措施的不全面而引入新的風險,或因為殘余風險而引發惡劣的安全事件。
另外,在強化漏洞處置技術能力方面,提升漏洞驗證與修補技術能力,及時驗證分析相關漏洞的技術特點、危害和影響范圍,并提出經濟有效的修補方案;提升漏洞知識遷移能力,通過對漏洞數據資源的分析溯源,將漏洞信息反哺于車型的開發設計環節,實現汽車產品的安全設計與有效保障。
