Ministerio de Industria y Tecnologías de la Información: Fortalecimiento de la gestión de seguridad de la red de Internet de los vehículos

Autohome News Recientemente, el Ministerio de Industria y Tecnología de la Información emitió el "Aviso sobre el fortalecimiento de la seguridad de la red de Internet de los vehículos (vehículos inteligentes en red)" (borrador para comentarios), que exige el fortalecimiento de la seguridad de la red. de la gestión de Internet de los vehículos (vehículos conectados en red inteligentes), mejorar las capacidades de seguridad de la red y promover el desarrollo estandarizado y saludable de la industria de Internet de los vehículos (vehículos conectados inteligentes).

El siguiente es el texto completo del aviso:

Los departamentos de industria y tecnología de la información y los departamentos de administración de comunicaciones de todas las provincias, regiones autónomas y municipios directamente dependientes del Gobierno Central de China. Telecom Group Corporation, China Mobile Communications Group Corporation y China United Network Communications Group Co., Ltd., todos los operadores relevantes de Internet de vehículos y todos los fabricantes de vehículos inteligentes en red:

Para implementar el programa "Ciberseguridad Ley de la República Popular China" y el "Plan de Desarrollo de la Industria de Vehículos de Nuevas Energías (2021) -2035), la "Estrategia de Innovación y Desarrollo de Vehículos Inteligentes" y el "Plan de Acción de la Industria de Internet de los Vehículos (Vehículos Inteligentes Conectados)" para orientar las telecomunicaciones básicas empresas, empresas operadoras de Internet de vehículos y fabricantes de vehículos inteligentes conectados para fortalecer la gestión de seguridad de la red de Internet de vehículos (vehículos conectados inteligentes), acelerar la mejora de las capacidades de protección de seguridad de la red y promover el desarrollo de Internet de vehículos. Los asuntos relevantes se notifican a continuación. Los asuntos relevantes ahora se notifican de la siguiente manera

Primero, fortalecer la protección de seguridad de la red de Internet de los vehículos.

(1) Proteger la seguridad de las instalaciones y sistemas de la red de Internet de los Vehículos. Implementar las principales responsabilidades de seguridad de la red corporativa, establecer sistemas y procedimientos operativos de gestión de seguridad de la red de Internet de vehículos, determinar la persona a cargo de la seguridad de la red, realizar evaluaciones periódicas de cumplimiento y evaluaciones de riesgos, y eliminar los riesgos de seguridad de la red de manera oportuna. Implementar estrictamente los requisitos de protección jerárquica, fortalecer las instalaciones de la red y la gestión de activos del sistema, dividir razonablemente los dominios de seguridad de la red, fortalecer la gestión del control de acceso, hacer un buen trabajo en la protección de la seguridad de los límites de la red y tomar medidas técnicas para prevenir virus troyanos, ataques de red, intrusiones en la red y otras amenazas que ponen en peligro la seguridad del Internet de los Vehículos.

(2) Garantizar la seguridad de las comunicaciones por Internet de los Vehículos. Establecer mecanismos de confianza de seguridad y autenticación de identidad de Internet de los vehículos empresariales, y fortalecer la construcción de capacidades de comunicación segura en escenarios de automóvil a automóvil, de automóvil a la carretera, de automóvil a la nube, de automóvil a dispositivo y otros. Promover el reconocimiento mutuo y la interoperabilidad entre vehículos, instalaciones y empresas. Fortalecer la aplicación de contraseñas comerciales y realizar evaluaciones de seguridad de contraseñas comerciales.

(3) Realizar monitoreo y alerta temprana de seguridad de Internet de los Vehículos. Establecer un mecanismo de monitoreo y alerta temprana de la seguridad de la red y medios técnicos para llevar a cabo un monitoreo de la seguridad operativa, monitoreo y análisis del tráfico y el comportamiento de los vehículos inteligentes en red y los sistemas de Internet de los vehículos, y descubrir rápidamente incidentes de seguridad de la red o advertencias de estado de seguridad anormales, propagación de malware, red anomalías en la comunicación, ataques a la red y otros comportamientos anormales, y mantendrá registros de red relevantes durante no menos de 6 meses de acuerdo con las regulaciones.

(4) Hacer un buen trabajo en la respuesta a emergencias de seguridad del Internet de los vehículos. Establecer un mecanismo de respuesta a emergencias de seguridad de la red y formular planes de emergencia para incidentes de seguridad de la red. Lleve a cabo simulacros de emergencia periódicos para responder rápidamente a amenazas de seguridad, ataques a la red, intrusiones en la red y otros riesgos de seguridad de la red. Una vez que ocurra un incidente que ponga en peligro la seguridad de la red, active inmediatamente el plan de emergencia, tome las medidas correctivas correspondientes e informe a las autoridades competentes pertinentes de acuerdo con el "**** Plan de emergencia de seguridad de la red de Internet para incidentes públicos".

(5) Realizar trabajos de archivo jerárquico para la protección de la seguridad en Internet del vehículo. De acuerdo con las normas pertinentes para la protección de seguridad de la red de Internet en vehículos, llevar a cabo trabajos de clasificación de protección de seguridad de la red para instalaciones y sistemas de redes afiliados e informar a la autoridad provincial de telecomunicaciones para su presentación. Para nuevas instalaciones y sistemas de red, el nivel de protección de seguridad de la red debe determinarse durante la etapa de planificación y diseño. Las autoridades provinciales de telecomunicaciones deben trabajar con las autoridades de la industria y de tecnología de la información para realizar trabajos de calificación, archivo y revisión.

El segundo es fortalecer la protección de la seguridad de la plataforma.

(1) Fortalecer la gestión de seguridad de la red de la plataforma. Tomar las medidas técnicas de seguridad necesarias para fortalecer la seguridad del acceso a plataformas como automóviles inteligentes conectados y dispositivos perimetrales, la seguridad de las instalaciones de la plataforma, como hosts y sistemas de almacenamiento de datos, y aplicaciones de plataforma como microservicios, gestión de recursos e interfaz de programación de aplicaciones (API). ) acceso capacidades de protección de seguridad para evitar intrusiones en la red, robo de datos, control remoto y otros riesgos de seguridad. Aquellos que involucran procesamiento de datos en línea, procesamiento de transacciones, servicios de información y otros negocios de telecomunicaciones deben obtener una licencia comercial de telecomunicaciones de acuerdo con la ley. Si se identifica como infraestructura de información crítica, deberá implementar regulaciones nacionales sobre la protección de la seguridad de la infraestructura de información crítica.

(2) Fortalecer la seguridad del servicio OTA y la detección y evaluación de vulnerabilidades. Lleve a cabo pruebas de seguridad de red de servicios OTA y paquetes de software para descubrir rápidamente vulnerabilidades de seguridad en servicios y productos. Fortalecer las capacidades de inspección de seguridad de los servicios OTA y adoptar medidas técnicas como la autenticación de identidad y la transmisión cifrada para garantizar la seguridad de la red del entorno de transmisión y el entorno de ejecución. Fortalecer el monitoreo de la seguridad de la red y la respuesta de emergencia a lo largo de todo el proceso de los servicios OTA, evaluar rápidamente las condiciones de seguridad de la red y prevenir riesgos de seguridad de la red, como manipulación, destrucción, fugas e infección de virus del software.

(3) Fortalecer la gestión de seguridad de las aplicaciones. Establecer un sistema de gestión de seguridad para el desarrollo, lanzamiento, uso y actualización de aplicaciones de Internet de vehículos (vehículos conectados inteligentes) y mejorar las capacidades de seguridad, como la identificación de aplicaciones, la seguridad de las comunicaciones y la protección de datos clave. Fortalecer la detección de seguridad de las aplicaciones de Internet de vehículos (automóviles inteligentes conectados), responder a los riesgos de seguridad de manera oportuna y prevenir ataques y propagación de aplicaciones maliciosas.

3. Garantizar la seguridad de los datos

(1) Fortalecer la gestión de la seguridad de los datos. Establecer y mejorar el sistema de gestión de seguridad de los datos, establecer y mejorar la autoridad de gestión, el seguimiento y la alerta temprana, la respuesta de emergencia, la aceptación de quejas y otras medidas de salvaguardia, aclarar los departamentos responsables y las personas responsables y fortalecer la educación y capacitación del personal. Establecer un libro de contabilidad de gestión de activos de datos, implementar clasificación de datos y gestión jerárquica, y fortalecer la protección de la información personal y los datos importantes. Realizar periódicamente evaluaciones de riesgos de seguridad de los datos y fortalecer la investigación y rectificación de peligros ocultos.

(2) Mejorar las capacidades de soporte técnico de seguridad de datos. Adherirse al principio de "mínimo necesario" para la recopilación de datos, tomar medidas técnicas de protección efectivas para todo el ciclo de vida de los datos y evitar la fuga, daño, pérdida, manipulación, uso indebido, abuso y otros riesgos de los datos. Fortalecer la construcción de capacidades de monitoreo de seguridad de datos y alerta temprana, y mejorar el nivel de análisis de tráfico anormal, monitoreo de transmisiones transfronterizas ilegales y seguimiento de incidentes de seguridad. Manejar los incidentes de seguridad de los datos de manera oportuna, informar a la Administración Provincial de Telecomunicaciones y a los departamentos competentes de la industria y la tecnología de la información, cooperar con la supervisión e inspecciones pertinentes y brindar el apoyo técnico necesario.

(3) Estandarizar el desarrollo y utilización de datos. Desarrollar y utilizar racionalmente recursos de datos para evitar que el uso de tecnología de toma de decisiones automatizada para procesar datos infrinja la privacidad y el derecho a saber de los usuarios. Aclarar los requisitos de gestión de seguridad y responsabilidad para el disfrute, desarrollo y utilización de los datos, revisar y evaluar las calificaciones y capacidades de los socios de datos, y supervisar y gestionar el uso del disfrute de los datos.

(4) Reforzar la gestión de seguridad de la salida de datos. La información personal y los datos importantes recopilados y generados dentro del territorio de la República Popular China y la República Popular China se almacenarán dentro del territorio de conformidad con la ley. Si es realmente necesario proporcionar datos en el extranjero debido a necesidades comerciales, debe pasar la evaluación de seguridad de la exportación de datos e informar a las autoridades provinciales competentes de telecomunicaciones, industria, tecnología de la información y otras autoridades competentes para su presentación. Las autoridades provinciales de telecomunicaciones deberían trabajar con las autoridades de la industria y las tecnologías de la información para llevar a cabo el archivo de datos, la evaluación de la seguridad, la supervisión y la inspección, etc.

4. Fortalecer la gestión de vulnerabilidades de seguridad

(1) Establecer un mecanismo de gestión de vulnerabilidades de seguridad. Implementar regulaciones nacionales relevantes sobre la gestión de vulnerabilidades de seguridad de productos de red, establecer un mecanismo de gestión de vulnerabilidades de seguridad para Internet de los vehículos (automóviles inteligentes conectados), aclarar los procedimientos de trabajo para el descubrimiento, análisis y reparación de vulnerabilidades, fortalecer la construcción de recursos de gestión de vulnerabilidades y garantizar que las vulnerabilidades se reparen rápidamente y se divulguen razonablemente.

(2) Fortalecer la recopilación de vulnerabilidades de seguridad. Fortalecer las capacidades de monitoreo proactivo de riesgos de vulnerabilidad, evaluación de riesgos y verificación técnica. Establezca canales de recepción de información sobre vulnerabilidades y manténgalos abiertos, y recopile activamente información sobre vulnerabilidades descubiertas por usuarios, proveedores ascendentes y descendentes, empresas de seguridad de redes, instituciones de investigación, etc. Fortalecer la cooperación con las plataformas de recopilación de vulnerabilidades. Fomentar el establecimiento de mecanismos de recompensa por errores.

(3) Fortalecer el procesamiento colaborativo de vulnerabilidades de seguridad. Después de descubrir o conocer vulnerabilidades en instalaciones de redes corporativas, sistemas comerciales y productos de automóviles inteligentes conectados, se deben tomar medidas correctivas de inmediato y la información sobre vulnerabilidades debe reportarse a la plataforma de intercambio de información sobre vulnerabilidades y amenazas a la seguridad de la red del Ministerio de Industria y Tecnología de la Información. Fortalecer la resolución colaborativa de vulnerabilidades en productos o piezas upstream y downstream. Si los usuarios necesitan tomar medidas como actualizaciones de software y firmware para reparar vulnerabilidades, deben informar de inmediato a los usuarios potencialmente afectados sobre los riesgos de vulnerabilidad y los planes de reparación, y brindar el soporte técnico necesario. (Compilado por Autohome Chen Hao)

El contenido anterior fue subido y publicado por Autohome. Vea el texto original.

Un millón de subvenciones para la compra de coches