公安部第一研究所信息安全等级保护评测中心总工程师刘志宇表示,汽车由机械化到电气化再到智能化,数据是整个发展过程中的核心,无论是对于消费者来说,还是对于营销人员来说,如何确保数据安全和保护是摆在我们面前的一个重点。同时,他也指出,当下汽车系统等级安保备案数量只有400多,是一个巨大的空白,亟待加强,汽车行业需要加强这部分工作,而这也是让消费者放心的一个重要保障。以下为公安部第一研究所信息安全等级保护评测中心总工程师刘志宇发言要点:很荣幸在这里跟大家分享数据安全方面的相关知识和制度要求。我今天演讲的题目是“落实国家网络安全等级制度,筑牢数据安全保护基础”。刚才沈会长提到,要让消费者放心,这就是最让人放心的一个举措。汽车经历了由机械化、电气化到智能化的变化,智能化的核心就是数据,如何保护数据安全是让我们消费者放心的重要举措,也是我们当前和过后一个阶段需要的重点任务。我也是一个消费者,我们希望今后通过数据安全保护,能让更多消费者放心,让更多的汽车品牌走向更广阔的市场。下面,我从概念开始,给大家重点介绍什么是等级保护。首先,落实等级保护制度是法律要求。2017年6月1日颁布实施的《网络安全法》在第21条中“明确国家要实行网络安全等级保护制度”。要求网络运营者应当按照网络安全等级保护制度的要求,履行相应安全保护义务。所以,凡是我们做系统运维、建设,以及支撑的相关单位、产品研发单位,涉及到信息系统都要落实等级保护制度。要有管理制度、要落实网络安全责任,这是履行网络安全责任制的要求。第二、要落实相关的网络安全技术措施。第三和第四要落实数据安全保护的要求。也就是说,《网络安全法》要求不开展等保是违法的,现在各地网安依据该法开展网络安全执法。对于等级保护,首先系统责任单位要履行这个业务,开展等级保护。同时行业监管部门要对等保开展情况做监督检查。同时,公安机关要每年定期线上监测系统运行情况,或到现场检查系统运维、数据安全保护情况等。比如说所有的二级系统,都要到公安网安部门去备案。我来的时候特意去系统调查,发现汽车行业在系统内做等保定级备案的真的很少。其实,等级保护制度一共包括两个方面:一个是针对涉密信息系统的,一个是针对于非涉密信息系统:涉密信息系统由国家保密局负责,信息的重要程度决定级别,分为三个级别。非涉密系统由公安部负责,业务系统的重要程度及遭到破坏后的危害程度决定级别分为五个级别,由低到高安全要求逐级增加,安全保护要求越高。什么样是等级保护?主要做三方面工作,第一对网络实施分等级保护和分等级监管;第二是产品要分等级进行管理;第三是安全事件要分等级进行响应和处置。开展等级保护几个重点内容,核心内容基本上就是三方面:第一是国家制定的统一政策标准。从2000年到2010年属于政策标准大范围制定阶段,也是1.0阶段;现在已经发展到2.0阶段;第二是各单位、各部门依法开展等级保护工作;第三是有关职能部门对网络安全等级保护工作实施监督管理。这里要重点强调等级保护对象,现在的等级保护对象不只是传统意义上的信息系统,也包括云计算、互联网、云大物移工,物联网、工控、大数据资源、基础网络等,比如说未来的智能汽车,可能就是一个智能设备,车联网、智能驾驶系统。所以智能汽车系统是最复杂的一个系统,但是就统计数据来看开展等级保护的工作还是相对滞后。从实际操作上,我们主要做好了五个规定动作。第一要对系统做定级,到网安机关做备案,根据我们定级情况,做安全整改,整改之后聘请专业的等保测评机构做等级化测评,根据一些问题再做一些监测整改。同时在公安、网安或者是行业监管部门对整个链条做监督检查。我们每一个智能化,或是信息化系统都要完成这个定级动作。这个定级,就是要根据我们系统里的数据和系统的服务能力定级。但是数据的安全在整个定级的标杆,要围绕数据安全和服务能力保障两方面来做。等级保护发展了将近二十多年,但现在由于云大物移工的发展,云计算、大数据广泛应用,还有智能化、人工智能的发展,公安部牵头对等级保护标准重新做了一些修订,包括基础设施、信息系统、网站、移动互联、工控等所有的信息化系统都纳入了等级保护范畴,要完成网络安全领域所有需要做的大部分基础安全,包括风险评估、安全监测、通报预警、案事件调查、容灾备份、应急处置和供应链安全等。比如说3.15晚上公布有80%深层次挖掘都跟数据安全相关,摄像头都是数据安全,智能汽车都有摄像头、都有前端感知设备,这也是我们供应链安全的一个环节。供应链安全如何保障?这对于我们每个消费者,或者汽车制造厂商提出一个新课题。新形势下我们要把互联网网络系统、大数据纳入到等级保护。现在每台智能汽车就算一个大安全的计算环境,要对这个计算提出新要求。此外,针对技术做一些管理支撑的安全管理。同时,针对这个技术体系还有一些建设管理、运维管理等管理制度。但要强调一点,等级保护国家一直在定位,是一种极限安全,就是做等级保护只能基线安全,就是你达标了,针对达标上层次还有很多事要做。在等级保护2.0阶段,国家重点提出个人信息保护,对我们消费者来说,汽车产生的数据,个人的重量是比较大的。我们的核心目标就是两个,一个是数据、一个是服务,数据要保障安全,服务要保证可靠。所有的标准条款设置都是围绕着这两方面来做。我们每年会配合公安机关执法检查,并通过3.15掌握一些信息,就我的体会,汽车制造链条特别长,从研发到后来的消费者服务,整个链条涉及到主管单位也比较多,所以供应链安全是一个大的风险点。我特意在公安等级保护备案里面查了一下,汽车系统备案数量只有400多,如果再查测评就更是寥寥无几了。所以说,汽车领域落实等级保护可能是一个大的空白,需要我们亟待加强。汽车需要加强这部分工作,这也是让消费者放心的一个重要保障。一台智能汽车相当于一台计算机,现在最热门是人工智能各种算法,还有物联网感知设备、移动互联、GPS定位之类。这些技术在算法如何保障确实是一大难点,数据泄漏的风险也非常大。汽车制造未来会对消费者数据做一些分析、营销,数据的保护离不开一个中心、三重防护,如果开展等级保护必须要落实。这也是我一个浅薄认识,汽车由机械化到电气化、再到智能化,数据是这个发展过程中的核心,无论是对于消费者还说,还是对于营销人员来说,如何确保数据安全和保护是摆在我们面前的一个重点。同时,在数据使用过程中如何满足监管方的要求,如何对数据做好安全审计,这些都是我们要做的。对于汽车行业的广大领导,我们也呼吁大家多落实咱们消费者的数据安全,依靠等级保护保护咱们的数据安全。针对于数据,我有几点认识:第一、网络安全、数据安全,汽车主动安全的一部分。汽车也分为主动安全和被动安全,我们应该把网络和数据安全作为汽车主动安全的一部分。因为我们在使用过程中,数据在不断的产生,可能一台车一天可能就要产生4G-5G的流量,常年下来,真的是一个大数据,它的数据被控直接能控制我们汽车,真的影响了我们汽车主动安全的一部分。所以,汽车行业可以参照航空领域,构建一个汽车领域的“黑匣子”,提高我们的保障能力。当然依据这个“黑匣子”既然满足消费者的安全需求也能满足监管者的安全需求。第二是数据安全是汽车智能化进程的基础和保障。因为数据安全,所有的智能化控制才能得到可靠的保障和使用。我们通过等级保护制度和相应的措施,筑牢数据安全基础,通过这项工作完成从汽车研发到最后的消费者数据保障,构建整个链条的安全保障体系。 第三是网络安全和数据安全可以助力汽车安全发展。现在的汽车就是一台超级计算机,所以它的安全,通过保障数据可以有效增强数据品牌的效力。
