探索车联网供应链被忽视的数据安全意识应对思考与实践｜科技专刊

摘要：本文对车联网系统及车联网供应链企业信息安全及人为因素风险进行了分析，结合国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部中华人民共和国交通运输部发布的《汽车数据安全管理若干规定（试行）》（以下简称《规定》）^[1]，以及ISO26262、ISO21434、TISAX等国际标准，从黑客攻击的角度，揭秘黑客如何利用OEM（汽车制造商）及其供应链企业员工人为因素存在薄弱的安全意识问题，通过网络公开信息获取车联网企业及供应链企业员工的敏感信息和重要数据，以及获取公司车联网系统的权限可能最终危害到车端安全、管端安全、云端安全、人身安全和社会公共安全等，提醒车企和供应链企业重视人为因素导致的安全意识问题，建立安全意识基线，通过体验Riskshow（风险展示案例-体验才是最好的教育），营造网络文化，帮助员工构建人脑防火墙，使企业具备安全意识防范能力，从事后醒悟到提前预防、识别可能造成信息泄漏的危害，有助于提升车联网供应链及员工防护能力和水平。

关键词：车联网系统 数据安全 OEM 供应链安全 TSP安全 人为因素 防护技术 Riskshow（风险展示案例）

1 引言

一辆普通乘用车需要一万多个零件组成，需要几千家零件供应商生产，OEM厂商及供应商的员工加起来可能超过几十万，如何保障车联网供应链企业信息和数据不会被员工泄漏将会是车联网行业一直面临的问题。随着车联网安全成为国家战略，《网络安全法》^[2]、《数据安全法》^[3]、《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》^[4]、《个人信息保护法》、《关键信息基础保护条例》、《信息安全技术网络安全等级保护基本要求》、国际标准中ISO27001、ISO27701、ISO26262和ISO21434、WP29发布的R155（CSMS、VTA认证）、R156，德国VDA为汽车行业强制的TISAX认证等法规相继出台并要求组织从业人员进行网络安全及数据安全教育培训，而且要针对全员做安全意识培训和宣贯，组织建立安全文化。本次主题从黑客攻击的角度，揭秘黑客的神秘面纱，探究车联网行业中那些被利用OME及其供应商员工薄弱的安全意识，通过网络公开信息及进入内部，获取车联网企业及供应商员工的敏感信息和重要数据，以及获取车联网系统控制权最终危害到车端安全、管端安全、云端安全、人身安全和社会公共安全等，提醒车联网行业重视安全意识问题，建立安全意识文化，通过体验Riskshow（风险展示案例-体验才是最好的教育），帮助员工构建人脑防火墙，使企业具备安全意识防范能力，从事后醒悟到提前预防、识别可能造成信息泄漏的危害。

2 汽车供应链数据产生的行业背景

2.1汽车产业链全景图

车联网产业链由传统的“上、中、下游”和“云、管、端”方式构成。

车联网产业生态体系构成复杂，这就使得车联网产业形成了较长的产业链，车联网产业链跨越了服务业与制造业两大领域，相互渗透，跨界融合特点突出。

车联网产业跨界渗透融合性强，其产业链构成也区别于传统的上、中、下游的产业链构成方式。因此车联网产业链的构成可以结合车联网系统结构进行分析。车联网的系统结构包括“端、管、云”三个系统，车联网产业链也可以这三个角度来进行分析。

图1：新能源车企供应商全景图

图2：国内主流车企供应商全景图

图3：过去汽车生产过程

2.2汽车生产过程

过去的汽车生产过程是，开通前工人热身，叉车将钢板运送到车间，工人检查零部件，确认没有伤口，人工将加工好的车框架摆好，机器人组装车底盘，人工装汽车引擎盖，工人检查车体装备是否合格，车体进行磷化处理，为后面的喷涂做准备，机器人为汽车喷涂，一共三层，喷漆后，汽车门和其他部件被拆下来进行其他工序，安装车门，安装轮胎，安装挡风玻璃，进行最后一次电检，车灯检查，最后送到停车场。

现在汽车的生产过程几乎看不到一个人，我们以网上公开的中国星-超级智能黑灯工厂为例，未来汽车工厂空无一人，却有条不紊，未来所有的车辆都要经过智能系统的层层刁难，未来一切瑕疵在工厂清晰可见，与高精密机器人协同，所有零部件都严丝合缝，5G让工厂万物互联实现造车全流程数字化监测，每一台车将会赋予灵魂，ECU注入整车操作系统自动完成，实现软件的高速灌装与激活，不同架构车型生产1分钟切换，燃油、电动、混动车型可以同时自动驾驶下线。

图4：现在和未来汽车生产过程

2.3汽车数据

2023年6月底，全国机动车保有量达4.26亿辆，其中汽车3.28亿辆，新能源汽车1620万辆；机动车驾驶人5.13亿人，其中汽车驾驶人4.75亿人。2023年上半年全国新注册登记机动车1688万辆，新领证驾驶人1191万人。车联网用户爆炸性增长；每辆车产生的数据每小时达到5G-250G；T/CSAE 211-2021智能网联汽车数据共享安全要求，一辆智能网联汽车每天至少收集10TB的数据，不仅数量极大，而且涉及驾乘人员的出行轨迹、习惯、语音、视频等等，一旦遭受侵害会泄露个人隐私。

图5：汽车共享数据模型元素表-《智能网联汽车数据共享安全要求》（T/CSAE211-2021）

汽车数据如何创造价值，应该如何为智慧城市的交通拥堵提供数据支撑，目前各家OEM都各自定义着字段，没有统一汽车数据分类、分级、数据类型。《智能网联汽车数据共享安全要求》（T/CSAE211-2021），这个标准主要解决了这个问题。

2.4汽车大数据应用从汽车数据处理技术的角度看的6个前提

根据数据来源，将数据分为车厂数据和第三方数据。根据数据性质将车厂数据分为静态数据和动态数据，再细分为汽车、行驶、环境、人四个类别；根据第三方数据领域，将第三方数据分为交管局、4s店、二手车、保险四个类别，后续有新的第三方加入，可动态扩展。

一是数据接口化，这个层次的问题不解决，大数据技术根本就没有用武之地。比如汽车违章数据对于用户个人征信有价值，弄个爬虫去偷数据的就别琢磨大数据应用了，数据源都不稳定，相当于工厂的原材料都不稳定，你还怎么搞生产，怎么考虑产品质量呢？

二是结构化，数据采集的接口问题解决了，需要解决数据存储问题。传统的数据库采用SQL存储结构化数据，但如果要用大数据技术，图片、甚至视频等非结构化数据也需要存储，虽然有NoSQL产品解决这类数据寸纯问题，但最终应用仍然需要把非结构化数据结构化。

三是标准化，结构化存储的数据来源广泛，比如同样是车辆的保单数据，不同保险公司的保单数据标准不同，在应用前必须把不同保险公司的保单数据标准化。同样，汽车违章查询的数据、汽车贷款的数据，都需要按照统一的标准进行规范，这样可以用一把尺子度量不同来源的汽车数据。

四是因子化，完成了标准化，这时的数据库才能采用大数据技术进行有目的的挖掘。要开展数据挖掘，首先第一步得解决标准化数据的因子化。比如车主性别，有男，有女，有不确定。计算机因子化处理这个问题的时候就会把男定义为1，女定义为0，不确定性别定义为2。性别的因子化相对简单，再比如违章数据，究竟违章多少次，何种违章才应该被判定为高风险呢？要因子化处理，我们就得定义规则，比如非扣分的违章0-3次风险因子是1，4-6次风险因子是2，7次以上风险因子是3……诸如此类的数据因子化处理，才能进入数据建模。

五是模型化，很多吹牛搞汽车大数据的，动辄就吹牛要搞数据模型，其实绝大多数人连前面四个数据处理过程都干不了。极少数搞定前四个步骤的公司会雇佣数据建模师，围绕特定的问题，建立数据模型。这个过程一定程度上并不是科学，更多的像是艺术工作。因为不存在绝对的解，建模师的工作就是要用想象力，尽可能建立一个能够模拟现实世界运行的数据模型。先有一个假设，然后用现实世界的数据去测试这个假设，如果错了，反馈参数去修订这个模型，再用真实数据测试，直到结果能够很好的模拟真实世界……这个过程就是机器学习的数据训练。由于每个行业、每个行业的细分领域、每个细分领域的不同公司都在经营不同的生意，同样是车险保单，不同保险公司的用户偏好是不同的，同一个模型是不可能适应所有保险公司，每一家保险公司如果要应用大数据和人工智能技术，都必须个性化训练，一旦某一家率先建立自己的机器人，其在行业里的效率提升将大幅领先于没有人工智能机器人的公司——对汽车保险、金融、二手车、后市场等领域来说，谁先用人工智能武装自己，谁将与竞争对手真正拉开差距。

六是产品化，有了模型并不是万事大吉，模型必须应用于某个生产场景才能创造价值。比如在汽车广告领域，区分潜在用户销售线索优劣的模型就非常有用。目前每年车企投放大量广告获得几十倍上百倍实际销售量的销售线索，目前不加区分进行电话轰炸的方式效率非常低，成本也非常高。必须把模型封装在一个Saas系统里，大数据技术才能真正落地应用。

在发达国家，数据的接口化和标准化工作已经在几十年前完成，而我们中国远远没有恐惧AI的必要，各种数据连接口化的工作都无法完成，你想训练一个AI出来，谈何容易。从汽车数据类别来看，汽车数据可分为传统汽车数据、网联汽车数据与智能网联汽车数据三大类。目前阶段，智能网联汽车数据与网联汽车数据几乎相同，主要由汽车自身数据、城市交通数据和用户个人数据组成。其中，城市交通数据与用户个人数据的应用价值更大、泄漏后果也更严重。

3 汽车供应链中的数据安全意识面临的风险

3.1智能网联汽车攻击面

汽车电动化、网联化、智能化和共享化等新四化的发展趋势下，增加了被攻击的风险，新技术，新挑战。

汽车网络安全挑战主要包括一下四个方面：

1、软件定义汽车，车内代码数量激增

2、车云通信和短距通信等，攻击面扩大

3、零件功能增强、“黑盒”属性，供应链安全隐患巨大

4、自动驾驶等智能功能，安全攻击危害越来越大

图6：智能网联汽车攻击面

3.2汽车供应链机密文件泄漏风险

汽车供应链100多家公司数据暴露在互联网上：Level One Robotics and Controls（供应商），2018年7月，100多家汽车产业链上下游公司的敏感文件已泄露，这些文件放在属于Level One Robotics的一台服务器上，“这是一家主攻自动化流程和装配的工程服务提供商，面向OEM（原始设备制造商）、一级汽车供应商以及我们的最终用户。”此事件中泄露数据的公司包括大众、克莱斯勒、福特、丰田、通用汽车、特斯拉和蒂森克虏伯等，泄露的157GB数据，包含近47,000个文件。10多年的装配线原理图、工厂平面图及布局、机器人配置及说明文档、身份证件申请表和VPN访问请求表，Level One员工的个人详细信息（包括驾照和护照的扫描件）以及Level One的商业数据（包括发票、合同和银行帐户详细资料）。

泄露的信息可以大致分为这三类

• 客户数据：装配线和工厂原理图、保密协议、机器人配置、规格、动画和设计图纸、身份证件和VPN访问请求表以及客户联系信息。
• 员工数据：驾照和护照的扫描件、身份照片（可能用于身份证）、员工姓名和身份证号码。
• Level One数据：合同、发票、价格谈判、工作范围和客户协议。

让我们复现一下造成以上事件的安全漏洞，rsync未授权访问漏洞，rsync是Linux/Unix下的一个远程数据同步工具，可通过LAN/WAN快速同步多台主机间的文件和目录，默认运行在873端口。由于配置不当，导致任何人可未授权访问rsync，上传本地文件，下载服务器文件。rsync未授权访问带来的危害主要有两个：一是造成了严重的信息泄露；二是上传脚本后门文件，远程命令执行。

漏洞环境搭建：

漏洞复现

rsync未授权访问漏洞只需使用rsync命令即可进行检测。首先使用nmap或其他工具对目标服务器进行端口扫描，当检测到目标服务器开放873端口后，使用rsync命令，查看是否能获取到模块名列表（需要同步的目录），然后查看模块内的文件，rsync未授权访问漏洞的检测就是如此简单。

（1）nmap扫描目标系统是否开放rsync服务

（2）使用如下两条命令之一，列出目标服务器的同步目录

（3）查看模块文件，获取到目录之后，只需在路径后添加目录名即可查看目录中的文件

（4）下载任意目录文件

以上就完成下载文件的过程，可以确认复现成功。

3.3智能座舱车机风险

首先我们了解一下智能座舱中车机常被叫做IVI（车载信息娱乐系统），IVI描述：IVI是集成汽车中控台的智能多媒体设备，包括收音机、GPS导航、娱乐、语音助手、蓝牙、WiFi等功能。因为其附属功能多且集成度高，因而成为攻击者的重要目标。

图：智能网联汽车IVI工程模式图

测试方法：攻击者通过IVI尝试打开系统工程模式，使用adb或USB等方式连接IVI系统；连接成功后，使用暴力破解等手段获取系统登录名及密码；登录成功后，尝试提权。

危害：如上述操作顺利实现，则攻击者可访问IVI系统中任意文件，窃取个人隐私数据或密钥信息，篡改系统配置，启停车辆正常服务，注入恶意脚本。对车辆功能安全及信息安全造成严重威胁。

测试结果

在本次渗透测试过程中，发现有60%的被测车辆可以触发进入工程模式，其中66.6%的车辆进入IVI工程模式没有安全认证，可以直接提权（root），获取调试权限；33.4%进入工程模式时需要口令，但是口令易破解，同样可以获得调试权限。

来源：测评机构案例：WICV | 2020赛迪发布《智能网联汽车信息安全渗透指标体系及测试结果》

Riskshow案例展示（体验才是最好的教育）

智能汽车将带领人类进入第三生活空间，车辆使用的场景生活化、丰富化，这些场景离不开车机屏幕，本项目通过发现智能座舱人机交互过程中，中控屏、中控娱乐系统可能对个人隐私带来风险的场景进行展示。

三个场景：

• 车机的窃听风云
• 车机的通讯录泄露
• 车机连接蓝牙的手机拨通信号

3.3车联网供应链员工忽略数据安全意识社会工程学

社会工程学（Social Engineering）是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。社会工程学攻击在近年来的一些网络入侵事件中起到了很大的作用，对企业信息安全有很大的威胁性。

社会工程学两大分支：human base（人） Computer base（电脑）

常见网络钓鱼的危害：

针对个人的网络钓鱼（Phishing）攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线商城、信用卡公司、快递等可信的品牌，骗取用户的私人信息。

针对企业网络钓鱼（Phishing）是在网络上盗窃身份的一种形式．它使用诱骗性的电子邮件和欺骗性质的网站来引诱人们泄公司内部系统的账号和密码，公司银行卡的账户和密码，影响公司估值的CEO/CFO的个人信息，邮箱账号和密码等。盗取用户资金、勒索公司。使公司蒙受经济损失。

攻防演练案例分享：影响与操控

网络钓鱼：利用账号库和密码库，尝试登陆各种系统（1.钓鱼  2.引诱  3.在线诈骗）

一、钓鱼演习目的：

1.Xx汽车集团，【已知下辖域名包括xxxx.com,xxxx.com.cn,xxxx2.com…等，除此之外，其他外围供应商暂未算在内】

2.摸到指定目标园区的一线生产车间线上工控设备或者车间摄像头监控上。

备注：行动过程不允许更改、盗取、破坏任何业务数据，亦不能让对方有所察觉，更不允许有丝毫影响正常运营的动作。

二、演习周期：

为期1个月。

三、钓鱼策略：

传统制造业，人员网络安全意识普遍比较薄弱，公网Web虽然看着比较小，但内网规模比较大，如果web入手，渗透周期对人员精力的消耗可能都比较大。

四、实施步骤：

1.信息收集确定负责信息安全的部门名称，伪装信息化部，通过邮件给其他部门下发漏洞补丁【64位exe木马（需要免杀）】，邮件服务器设置，信发不进去。

2.信息收集目标邮箱，批量尝试弱口令，成功获取一个，用这个邮箱发送木马信息。

五、实施步骤：

1.钓鱼信主题：Windows RDS高危漏洞预警！请尽快安装修复补丁

2.简述故事：信中明确告知对方，要以右键管理员权限打开我们的payload【由于目标人员安全意识很差，所以直接打包发的exe】，另外有个细节，如果点exe的目标用户是个普通域用户，此时再让他右键以管理员权限打开的话，肯定会弹出登录框，提示要系统管理权限【本地管理或者域管都行】，目的是避免后续手动bypassUAC操作，会被告警。

案例结合-人为因素-勒索软件Riskshow（体验是最好的教育）

（1）查看文件

（2）收邮件查看附件

（3）被勒索软件

（4）修改后缀判断是否加密成功

（5）交钱解密文件

4 汽车供应链安全的风险评估标准解读

4.1汽车数据安全管理

国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。

2021年9月，工信部发布《关于加强车联网网络安全和数据安全工作的通知》（工信部网安〔2021〕134号），要求落实安全主体责任，全面加强安全保护。明确要求加强智能网联汽车安全防护、加强车联网网络安全防护、加强车联网服务平台安全防护、加强数据安全保护、健全安全标准体系。

2022年3月7日，工信部发布《车联网网络安全和数据安全标准体系建设指南》，将车联网网络安全和数据安全标准体系划分为6大部分共20类标准，其中重点涉及到的安全领域包括为数字证书、密码应用、物联网安全、通信安全、身份认证、数据安全等。

数据分类分级管理，按照“谁主管、谁负责，谁运营、谁负责”的原则，智能网联汽车生产企业、车联网服务平台运营企业要建立数据管理台账，实施数据分类分级管理，加强个人信息与重要数据保护。

数据安全技术保障能力，智能网联汽车生产企业、车联网服务平台运营企业针对数据全生命周期采取有效技术保护措施，防范数据泄露、毁损、丢失、篡改、误用、滥用等风险。强化数据安全监测预警和应急处置能力建设，提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平。

数据开发利用和共享规范使用。智能网联汽车生产企业、车联网服务平台运营企业要合理开发利用数据资源，防范在使用自动化决策技术处理数据时，侵犯用户隐私权和知情权。明确数据共享和开发利用的安全管理和责任要求，对数据合作方数据安全保护能力进行审核评估，对数据共享使用情况进行监督管理。

数据出境安全管理。智能网联汽车生产企业、车联网服务平台运营企业需向境外提供在中华人民共和国境内收集和产生的重要数据的，依法依规进行数据出境安全评估并向相关部门报备。

在数据安全方面要求加强数据分类分级管理，强化数据安全监测预警和应急处置能力建设，提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平，规范数据开发利用和共享使用，强化数据出境安全管理。

4.2汽车数据分类分级

智能网联汽车数据分级：在完成数据盘点后，需要根据数据属性，综合考虑数据保护事件影响对象和影响程度两方面因素制定数据分级指标，识别出“重要数据”和“一般数据”（并区分个人信息与非个人信息），将数据分类中的第四层级给与特定数据等级。

参考《GB/T 信息安全技术 网络数据分类分级要求》、《YD/T 3571-2020 车联网信息服务 数据安全技术要求》《YD/T3746-2020 车联网信息服务 用户个人信息保护要求》《北京市高级别自动驾驶测试示范区数据分类分级白皮书》对拟分类的数据进行梳理，根据智能网联汽车数据的类型、特性及业务使用场景等因素，并综合数据安全管理的总体目标和安全策略要求，对数据资产进行梳理、归类和细分。

数据分类：4大业务场景（车、路、云、人）

车端：包含基本数据类、感知数据类、决策数据类、运行数据类、车控类数据类5个大类。

用户：包含用户身份证明信息类、用户服务相关信息类、用户其他相关信息3个大类。

路端：包含基本信息类、感知数据类、融合计算类、应用服务类、运行状态数据类、地图数据类、交通大数据类7个大类。

云端：基本信息类、控制数据类、网络监测数据类、生活服务类、车辆服务类、应用服务类、用户服务内容信息类、用户资料信息类、车辆销售数据类10个大类。

数据分级：

一级（一般级）、二级（重要级）、三级（敏感级）、四级（核心级/重要数据）。

4.3汽车数据合规实践

2023年2月，国内近几年十分重视汽车数据安全问题，《中华人民共和国数据安全法》（以下简称“《数据安全法》”）、《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）对数据安全、个人信息保护等问题作了顶层规定。《汽车数据安全管理若干规定（试行）》（以下简称《规定》）明确了汽车数据处理者的责任和义务，规范汽车数据处理活动，指导行业开展汽车数据相关的技术研究与开发利用。车联网数据安全标准体系正在逐步构建，在通用要求、分类分级、出境安全、个人信息保护、应用数据安全等方面指导和规范车联网产业安全健康发展，为汽车企业提供数据安全合规实践指南。

为进一步提高汽车行业数据安全保护水平，增强汽车企业数据安全合规保障能力，推动汽车数据价值安全使用，保障安全与发展的双向促进，特编制本合规实践指南。本指南依据国家法律法规和标准，同时参考行业最佳实践，针对汽车数据安全的重要合规内容，结合汽车行业特有场景，提出合规实践建议。

4.4人为因素法规要求

TISAX的导入和运行，可以很好地提升员工的安全意识和能力。员工的行为对公司内部的安全有重大影响，员工的安全意识和能力的提升，无疑可以更好地增强企业的竞争力。

国内相关法规 / 标准对开展安全教育的要求：

一、《网络安全法》-第三十四条（二）

定期对从业人员进行网络安全教育、技术培训和技能考核；

二、《等保2.0》-6/7/8/9.1.7.3

应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施；

三、《关基安全保护条例》-第二十七条

运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于1个工作日，关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。

四、部分行业监管要求

《中央企业商业秘密信息系统安全技术指引》

《中央企业商业秘密保护暂行规定》

国际相关法规 / 标准对开展安全教育的要求

ISO26262 组织应该创立、培育并保持一种安全文化，以支持和鼓励有效地实施功能安全。

ISO21434 组织应培育并保持一种安全文化。组织应定义安全策略，其中包括承认存在汽车信息安全风险，管理层承诺管理相应的信息安全带来的风险。在ISO26262-2附录B和ISO21434附录B中给出了好的安全文化的示例。

ISO21434要求：组织应确保实施信息安全的人员有相应的资质和意识。

ISO/IEC 27001&27002 8.2.2

TISAX汽车行业信息安全可行性评估

NIST SP 800-53美国标准化组织

PCI DSS-12.6第三方支付行业数据安全标准

HIPPA- 45 CFR§164.308(a)(5)健康保险携带和责任法案

Gramm-Leach-Bliley Act (GLBA)—Rule 16 CFR 314.4金融服务现代化法案

FISMA- 4 U.S.C.§3544家庭教育权和隐私权法案

NERC-The North American Electric Reliability Corporation (NERC)北美电力可靠性委员会（NERC）

一系列标准/法规要求开展安全意识教育，提供证明如何开展、培训对象、培训结果。

4.5供应链数据安全风险评估TISAX标准解读

欧盟于2016年4月14日投票通过了商讨四年的《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR），该法案在2018年5月25日生效。

德国汽车工业协会（VDA）十多年前成立了“VDA信息安全委员会Information Security Committee”，开发了一个关于信息安全的标准ISA（Information Security Assessment，简称VDA ISA），它是基于国际标准ISO/IEC 27001的主要内容修改而来。VDA信息安全委员会始终致力于开发成熟的适用于汽车行业的信息安全要求。近些年，不少标准都已成为适用于工业行业的信息安全标准，如IEC62443、NIST SP800、GB/T 30976等。

近年来，VDA ISA逐渐成为汽车行业信息安全的行业标准。目前，它由一个基本组件加上用于原型保护的附加模块，与第三方的连接（VDA ISA 5.0版本融入ISMS中）和数据保护（联邦数据保护法BDSG关于委托处理数据的第11节），可以在审核期间使用。根据需要开发其他模块并将其添加到目录中。

作为VDA的成员，之前的ISA通常被用于组织的内部控制要求，或者是作为那些能接触组织敏感信息的供应商（服务商）的审核要求。从供应商（服务商）的角度来说，频繁的接受来自于不同客户的审核，且其审核要求大同小异，已经越来越成为供应商（服务商）自身运营的负担。为此，VDA联合ENX推出了得到大部分成员组织认可的信息安全评估流程，并将据此得到的审核结果放在一个可供信息交换的可信平台（TISAX）上，以替代之前各主机厂的频繁审核，供各需求方进行经授权的查询。

官网网址：http://enx.com/tisax/tisax-en.html

（1）申请TISAX的主要流程和步骤-TISAX运作模式

此图展示了TISAX的运作模式，供应链企业和相关服务方，首先需要到VDA和ENX注册成为TISAX机制参与方，然后通过由VDA/ENX授权认证机构的审核服务机构由2019年（10家）增加到2021年（13家）执行审核，审核结果会发布在TISAX平台上，一旦发布后TISAX的其他参与方可以在平台上进行访问和查阅其结果，通过这些步骤建立起相互共享，相互信任的平台机制。

大众，奥迪、保时捷、宝马、戴姆勒要求供应商必须通过TISAX

，因为是德国主机厂强制要求通过TISAX才能够和他们交换数据，TISAX认证已成为他们选择供应商的重要准入条件之一。

原版手册地址：

https://www.enx.com/handbook/tisax-participant-handbook.html

中文手册官方下载地址：https://www.enx.com/handbook/tph-cn.pdf

VDA ISA 5.0的改版要点包括：

新版只保留了must和should项，取消了may的项目，评估要求更清晰且严格，新版自评表结构更简洁，内容更清晰准确，填写难度加大原型保护的编号从25修改为8，评分体系更直观，数据保护24不变，修改了部分审核内容，如数据识别、合同事项等，第三方连接的要求点融入了ISMS部分，增加了IS模块的通过难度，增加了远程办公，员工资质等特定的控制要求。

（2）OEM厂商使用TISAX考察供应链现状

国内品牌车企都是在使用传统供应商考核办法，德国车企积极在推动使用TISAX考核供应商，其中大众，奥迪和保时捷要求供应商必须通过TISAX才可以进入采购清单并和他们交换数据，国内大部分零部件公司处于准备阶段，少部分已经在通过审核。未来其他德国车企奔驰，宝马可能也会跟进要求供应商通过TISAX。法国车企PSA、雷诺、标致、雪铁龙等目前都没有要求供应商通过TISAX。

（3）TISAX审计机构在国内现状

目前国内一家审计机构都没有，审计机构的测评师一位也没有，但是国内出现了一些发现TISAX商机的咨询公司。国内可以接触到审计机构，主要是普华永道、德勤、安永、毕马威四大会计事务所在中国的分支机构提供咨询和审计服务。

（4）国内获得TISAX认证整车供应链企业

（5）TISAX审计模式：

在具有执行TISAX审核之前需要企业与授权认证审核服务机构（13家）确定TISAX审核的对象，审核的范围和审核的程度。

审核对象：是指企业组织范围，部门范围，物理地点等范围；

审核范围：是指标准范围，压缩范围还是扩展范围；请注意压缩范围是无法获得TISAX审核标签的；

审计模式：分为3种审计模式，不同的审计模式是由参与方所决定的，TISAX区分三种不同的“审计模式”（自评估、远程审核现场抽查和完全现场检查），其对应AL1，AL2和AL3的审计模式；

如果只是AL1模式的审核，不需要外部审核方案，企业执行自我评估即可，但注意此模式无法获得TISAX标签；因此企业通常都需要外部认证审核方执行AL2或AL3模式审核获得标签。

以上2图是TISAX评估流程

（6）TISAX自我评估结果

如果您的结果得分（“回归至目标成熟度等级的结果”）为（接近于）“3.0”，那么毫无疑问，您已具备接受TISAX评估的资格。在这种情况下，“结果”列（H）中的所有值均为绿色（无橙色或红色）。如果不是绿色，那么您需要对自我评估结果进行分析总结（请参见章节5.2.5，“分析并总结自我评估结果”）。下图中展示了Excel表“结果”（Results，ISA5）中的ISA蜘蛛网图。绿线表示每一章对应的目标成熟度等级。如果您的成熟度等级恰好达到或超过该线，则表明您已经可以接受TISAX评估了。反之，如果在该线以下，则说明您的条件还不足以获得TISAX标签。

（7）TISAX交换标签-共享级别

在交易平台上发布您的评估结果

• 在交换平台上发布您的评估结果的共享级别仅限于以下选项：
• 不要共享（默认）
• A：Assessment Related Information（A：评估相关信息）
• A+Labels（A+标签）A+Labels+B：Assessment Summary （A+标签+B：整体评估结果）
• A+Labels+B+C：Summarized Results（A+标签+B+C：评估结果总结）
• A+Labels+B+C+D：Detailed Assessment Results（A+标签+B+C+D：详细评估结果）
• A+Labels+B+C+D+E：Maturity Levels according to ISA（A+标签+B+C+D+E：ISA成熟度等级）。

我们建议选择共享级别“A+Labels”（“A+标签”），这足以满足大多数合作伙伴的要求。您可随时更改共享级别。

5 汽车供应链被忽视的数据安全意识应对思考与实践

5.1构建汽车网络安全体系

ISO21434网络安全管理体系为CSMS合规认证提供理论框架指导，构建VCSMS汽车网络安全管理体系。2个图来介绍网络安全体系，首先介绍OEM构建网络安全管理体系CSMS。

整车网络安全管理体系CSMS参考

其次我们看一下供应商构建的网络安全体系。

Tire1网络安全管理体系CSMS参考

5.2 汽车供应链网络安全常态化攻防演练

构建国家网络安全综合防控体系的新目标与“三化六防”的新理念。其中 “三化”包括实战化、体系化和常态化，“六防”包括动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控，目的是将国家网络安全综合防御能力和水平上升一个新高度。

有2个视频的例子，介绍了攻防演练过程，360政企安全实战攻防演习视频，奇安信实战攻防演习纪实

5.3 构建网络安全年文化

（1）网络安全文化成熟度评估

开展网络安全文化的第一步，网络安全文化计划成熟度模型：识别企业所处的阶段及下一步发展方向。可视化、有效沟通网络安全文化计划。

第一个阶段：员工缺乏网络安全文化意识，不清楚组织的信息安全制度与策略，常常沦为网络攻击的目标而不自知。

第二个阶段：意识计划主要是为了满足特定的合规或审计要求而设计。形式上仅限于年度或临时培训。员工对组织的安全制度与策略缺乏了解，不知道自己在保护组织的信息资产安全方面的积极消极作用。

第三个阶段：意识计划已识别出对支持组织使命具有最大影响力的网络安全文化意识议题。意识计划不仅仅是年度培训，还包括在全年内不断强化。培训内容以引人入胜的、积极的方式沟通/传达，鼓励员工在工作和生活中的行为改变。员工理解并遵守组织安全制度，可以积极识别、预防和报告安全事件。

第四个阶段：意识计划有一个强有力的度量指标框架来跟踪计划进展和衡量影响。意识计划得以不断完善，能够体现投资回报。这个阶段并不意味着度量指标不是每个阶段的一部分。这个阶段强调了一个真正成熟的意识计划，必须有度量指标可以证明成功。

第五个阶段：意识计划常规化，有适当的流程、资源和领导支持，包括对计划进行年度评审和更新。意识计划已成为组织文化的既定组成部分，并且具有实时性和高度参与性。意识计划已经超越了改变行为，并正在改变人们对于安全的信念、态度和认识。

（2）网络安全文化建立主题活动-平时多训练 战时少流血

体验才是最好的教育，体验才是文化构建的基础。

6 总结

本文对车联网系统及车联网供应链企业信息安全及人为因素风险进行了分析，结合国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部中华人民共和国交通运输部发布的《汽车数据安全管理若干规定（试行）》（以下简称《规定》），以及ISO26262、ISO21434、TISAX等国际标准，从黑客攻击的角度，揭秘黑客如何利用OEM（汽车制造商）及其供应链企业员工人为因素存在薄弱的安全意识问题，通过网络公开信息获取车联网企业及供应链企业员工的敏感信息和重要数据，以及获取公司车联网系统的权限可能最终危害到车端安全、管端安全、云端安全、人身安全和社会公共安全等，提醒车企和供应链企业重视人为因素导致的安全意识问题，建立安全意识基线，通过体验Riskshow（风险展示案例-体验才是最好的教育），营造网络文化，帮助员工构建人脑防火墙，使企业具备安全意识防范能力，从事后醒悟到提前预防、识别可能造成信息泄漏的危害，有助于提升车联网供应链及员工防护能力和水平。

参考文献：

[1]中华人民共和国网络安全法  ．中国人大网[引用日期2022-05-30]

[2]中华人民共和国数据安全法：2021年中国民主法制出版社出版的图书

[3]《关于加强智能网联汽车生产企业及产品准入管理的意见》解读．中国政府网[引用日期2021-08-12]

未完成参考文献的编写。

网址示例：

［1］电子版文章的作者.电子版文章的名字[EB／OL].（文章出现的时间，如2017-02-02）[引用文章的时间，如2018-03-07].网址.

杂志论文示例：

［1］魏姗姗. 网络攻击溯源技术研究综述[J]. 保密科学技术，2022(01):6~15.

书籍示例：

［1］封化民. 保密管理概论[M]. 北京：金城出版社，2013:35.

标准示例：

［1］GB/T 22239-2019，《信息安全技术 网络安全等级保护基本要求》[S].

作者介绍

孙权，车联网安全专家。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]

原文始发于微信公众号（安全村SecUN）：探索车联网供应链被忽视的数据安全意识应对思考与实践｜科技专刊