在智慧化、網聯化的深度賦能和加持下,汽車的功能和屬性被拓展得更加多元,汽車從單純的交通工具逐漸演變成移動智慧終端。與此同時,智慧網聯新技術的廣泛應用,也在豐富著汽車安全的內涵。產業的跨界融合創新,對汽車產品的網路安全、資訊資料安全、新技術應用安全都提出了更高、更多的新要求。“新汽車”如何堅守安全底線,是行業必須應對的新問題。
9月1日,工信部、國家網際網路資訊辦公室、公安部聯合制定的《網路產品安全漏洞管理規定》(以下簡稱《管理規定》)正式實施。這意味著,針對網路產品安全漏洞的管理開始有規可依。聚焦到汽車行業,《管理規定》的實施如何落地?按照要求,在汽車產品安全漏洞管理過程中,包括主機廠、網路產品供應商、網路運營商等主體將履行哪些責任?出現違規情況後又有哪些處罰措施?
聯網汽車安全漏洞管理有章可循
究竟誰該對網路產品的安全漏洞負責?
《管理規定》中明確了產品和系統漏洞管理的主體,為網路產品(含硬體、軟體)提供者和網路運營者,以及從事網路產品漏洞發現、收集、釋出等活動的組織或個人。對這些主體關於漏洞發現、報告、修補和釋出等行為,《管理規定》都有具體要求。
具體到汽車行業,聯網汽車及其相關聯網部件作為重要的網路產品,車聯網服務作為重要的網路運營服務,均在《管理規定》的監管要求範圍內。這也意味著,包括提供聯網汽車產品的主機廠、為聯網汽車提供網路產品的供應商、提供車聯網服務的網路運營商,都有責任和義務依照《管理規定》開展漏洞合規管理並接受監管。
“《管理規定》的釋出和實施,是指導車聯網產品安全漏洞有序管理的基本準則。對汽車行業而言,《管理規定》的釋出和實施,也使全行業在落實漏洞合規要求,強化相關技術能力建設,打造安全健康生態等方面有章可循。”中汽資料智慧網聯部部長張亞楠在接受《中國汽車報》記者採訪時說。
那麼,汽車行業多方主體在執行《管理規定》的過程中如何各司其職?按照《管理規定》的要求,提供聯網汽車產品的主機廠和為聯網汽車提供網路產品的供應商,都需要依照“網路產品(含硬體、軟體)提供者”的要求進行漏洞合規管理;為車聯網提供服務的網路運營商,則需要按照“網路運營者”的要求進行漏洞合規管理。也就是說,從生產製造到運營服務,從硬體到軟體,從主機廠、供應商到運營商,《管理規定》針對涉及安全漏洞管理各環節、各主體的行為都進行了相關約束。
漏洞從發現到處置 明確各環節主體行為規範
在確保對網路產品安全漏洞有效管理的過程中,各環節責任主體需要遵守哪些行為規範?
對網路產品提供者、運營者、組織和個人等不同主體,從漏洞發現、獲知到漏洞驗證、報送、處置等環節,《管理規定》也做了明確的要求和建議。
其中,網路產品提供者應當履行網路產品安全漏洞管理義務,確保其產品安全漏洞得到及時修補和合理髮布,並指導支援產品使用者採取防範措施。網路運營者在發現或獲知其網路、資訊系統及其裝置存在安全漏洞後,應立即採取措施,及時對安全漏洞進行驗證並完成修補。對相關組織和個人在向社會發佈網絡產品安全漏洞資訊時,提出了必要、真實、客觀以及有利於防範網路安全風險的原則,同時需要加強內部管理,採取防範措施,並鼓勵向網路產品提供者通報其產品存在的安全漏洞,鼓勵向工信部等國家漏洞庫報送網路產品安全漏洞。
為了確保安全漏洞資訊渠道的暢通,《管理規定》中還明確要求,網路產品提供者、運營者和網路產品安全漏洞收集平臺,應當建立健全網路產品安全漏洞資訊接受渠道並保持暢通,留存網路產品安全漏洞資訊接收日誌不少於6個月。
三部門聯合監管 車聯網產品安全漏洞專業庫已上線
除了對多方主體進行安全漏洞管理外,《管理規定》中也明確了相關部門的聯合監管職責。對此,中汽資料網聯技術研究室主任馬超表示,按照《管理規定》的要求,包括工信部、公安部以及國家網際網路資訊辦公室在內的各監管機構在網路產品安全漏洞管理中的監管職責也各有側重,三部門構建起聯合協同、資訊共享的監管體系,使安全漏洞從發現到處置,實現多方聯合監管、多方合力負責的良性閉環。
“針對汽車行業而言,工信部承擔汽車行業網路產品安全漏洞綜合管理的職責,公安部依法打擊汽車行業漏洞發現、收集、釋出中的違法犯罪活動,涉及到行業協調、聯動管理等協調工作由國家網際網路資訊辦公室統籌推進。”馬超說。
值得一提的是,《管理規定》對網路產品提供者和網路運營者在漏洞處置方面提出了具體要求,明確了網路漏洞收集和報送機制。其中,“工業和資訊化部網路安全威脅和漏洞資訊共享平臺”為網路安全漏洞報送和管理的平臺載體。同時,工信部也將在該平臺的基礎上,逐步建立和完善安全漏洞資料庫。
針對未來汽車行業的漏洞資訊平臺及漏洞庫的建設與完善,馬超告訴本報記者,2017年,中汽資料基於汽車漏洞研究基礎,透過聚集汽車資料資源構建了國內首個汽車漏洞資料庫(CAVD)。隨著《管理規定》的釋出和實施,全新升級的汽車漏洞資料庫將作為工信部網路安全威脅和漏洞資訊共享平臺車聯網產品安全漏洞專業庫,負責車聯網產品(含硬體、軟體)安全漏洞的接收、稽核、研判、處置等管理支撐工作。未來汽車漏洞資料庫將致力於汽車行業漏洞研究與服務,服務車聯網行業健康發展。
據悉,為落實《管理規定》,在工信部網路安全管理局的指導下,由中汽中心建設運營的車聯網產品安全漏洞專業庫已於2021年9月1日正式上線執行,該專業庫負責車聯網產品安全漏洞的接收、稽核、研判、處置等管理支撐工作,並由中汽資料具體承擔專業庫的建設與運營。
明確相關主體“六不得”準則 違規者將面臨處罰
除了規定相關主體應當做什麼之外,《管理規定》還明確了從事網路產品安全漏洞發現、收集的組織或者個人釋出漏洞資訊時,“不得”做什麼。比如:不得在漏洞修補措施提供之前釋出漏洞資訊,如必要需評估;不得釋出網路運營者在用的網路、資訊系統及其裝置存在安全漏洞的細節;不得誇大漏洞的危害和風險,不得利用漏洞進行炒作、詐騙、敲詐勒索等違法犯罪活動;不得釋出或提供利用漏洞進行危害網路安全的程式和工具;在釋出網路產品安全漏洞時,應當同步釋出修補或者防範措施;在國家舉辦重大活動期間,未經公安部同意,不得擅自發佈網絡產品安全漏洞資訊;不得將未公開的網路產品安全漏洞資訊向網路產品提供者之外的境內外組織或個人提供。
一旦網路產品提供者和網路運營者未按《管理規定》要求採取網路產品安全漏洞修補或防範措施,將會面臨處罰。其中,網路產品提供者未按規定採取網路產品安全漏洞補救或報告措施的,由工信部、公安部依據各自職責依法處理;網路運營者未按規定採取網路產品安全漏洞修補或者防範措施的,由有關主管部門依法處理;違反本規定收集、釋出網路產品安全漏洞資訊的,由工信部、公安部依照各自職責依法處理;利用網路產品安全漏洞從事危害網路安全活動,或者為他人利用網路產品安全漏洞從事危害網路安全的活動提供技術支援的,由公安機關依法處理。
汽車行業網路安全漏洞管理任重道遠
“與傳統網際網路相比,車聯網的應用環境更特殊、組網更復雜、管理更困難,安全威脅更突出,汽車漏洞一旦被惡意利用將可能產生嚴重危害,因此汽車主體迫切需要構建高效合規的漏洞管理機制。”張亞楠說。
事實上,在汽車行業需要更加完善、高效、合規的漏洞管理機制的同時,目前汽車行業在網路安全漏洞管理方面也存在投入資源偏低、安全分析能力偏弱等不足。
那麼,如何建立健全汽車行業網路安全漏洞管理機制、提升管理水平呢?對此,馬超認為,首先要從全行業層面高度重視汽車漏洞管理,構建企業網路安全文化,加強汽車網路安全意識與技術培訓;加大漏洞管理資源投入,將漏洞處置工作落實到專人專職,並定期開展漏洞管理情況覆盤,及時整改不安全因素。
其次,完善健全漏洞管理機制。參照合規管理要求,構建汽車漏洞合規處置機制,打通企業漏洞處置流程;針對汽車漏洞加入後續追蹤流程,防止處置後的漏洞因緩解措施的不全面而引入新的風險,或因為殘餘風險而引發惡劣的安全事件。
另外,在強化漏洞處置技術能力方面,提升漏洞驗證與修補技術能力,及時驗證分析相關漏洞的技術特點、危害和影響範圍,並提出經濟有效的修補方案;提升漏洞知識遷移能力,透過對漏洞資料資源的分析溯源,將漏洞資訊反哺於車型的開發設計環節,實現汽車產品的安全設計與有效保障。
文:王璞 編輯:李卿 版式:劉曉燁
