2020BCS-北京网络安全大会：汽车制造业信息安全形势与建设分享.pdf

《2020BCS-北京网络安全大会：汽车制造业信息安全形势与建设分享.pdf》由会员分享，可在线阅读，更多相关《2020BCS-北京网络安全大会：汽车制造业信息安全形势与建设分享.pdf（12页珍藏版）》请在三个皮匠报告上搜索。

1、汽车制造业信息安全形势与建设分享分享人：姜明元#page#每天进步一点点长城字车合规环境超紧0302平B国家法规行业监管准入标准网络安全法及若干，工信部对汽车制造业的国内车联网安全标准解释关注加强TISAX认证工业控制系统信息安数据安全法ISO/SAE21434道全行动计划（2018一路车辆-信息安全工程个人信息保护法2020年）UN/ECE/WP29第2页/共64页#page#每天进步一点点长城汽车外部形势严岭勒索软件等新型攻击模式突破了工控网络的隔离限制，降低了对制造业的攻击门槛；“震网”病毒以来，工控系统的安全漏洞呈现逐年增多的趋势，而制造业占比最高；车联网安全成为热门议题，车辆的安全漏

2、洞呈上升趋势。2019年工控新增漏洞行业分布（Top10）CNVD历年收录工控系统漏洞数量分布制造业2K学高业设发石化务务务公疗信息技术航空AAANNNAN心心心资料来源：工业控制系统安全国家地方联合工程实验室第3页/共64页#page#page#每天进步一点点长城字车面对挑战01.历史包状重02.IT基础薄弱03.获取资源难度大04，面对变革转型压力05.人员结构复杂06.自主可控有限第5页/共64页#page#每天进步一点点长城字车主要风险公司涉密数据遭到泄露生产因安全事件导致中断工控环境感染病毒导致设备停摆员工违规操作与不当行为，泄露公司涉密数据外部入侵公司网络，取公司涉密数据设备或系统

3、操作不当导致停产。合作第三方未尽到涉密数据保护义务外部人员入侵工控网络，恶意停止设备运转新业务发展引发新的数据泄露风险安全合规问题使业务推进受阻公司研发或产品存在安全漏洞未达行业信息安全标准无法上市已上市车辆产品出现安全漏洞定违反跨境数据传输、个人隐私保护相关法规面临供应链引发的产品安全漏洞较重处罚，运营中的信息系统发现信息安全漏洞第6页/共64页#page#每天进步一点点长城字车数据防泄漏采货销骏数据需求识别持续优化监控涉密数据定义与识别风险监控保护策略的定义技术管控措施X数据使用业务场景的识别传输交换管控识别流程化管理措施管控方案设计设计。管控措施监控措施存储处理接口设计第7页/共64页#

4、page#每天进步一点点林享济金安全防护能力建设通过安全运营、安全治理保障防护手段有效明明8自业务终端物理环境网络安全主机安全数据安全信息系统数据备份终端准入运维管控网络隔离出入控制权限控制防泄密保护，设备加固防病毒访问控制接口安全机房管理数据加密白名单漏洞管理，无线安全监控开发安全数据脱敏日志收集异常监测第8页/共64页#page#每天进步一点点长城字车合规与认证TISAXISO 27001ISO 21434通用性标准27001扩展要求为车辆研发提供参考多个标准参考依据VDA准入门槛2020年2月发布草案必须无重大偏差包含部分隐私保护内容2021年计划转化为国标汽车生命周期各个阶段的适用于各行业，包括整必须所有满足控制项车厂适用于零部件、供应链安全保障厂商第9页/共64页#page#每天进步一点点长城汽车整车研发参考ISO21434搭建整车生命周期业务。包括网络安全整体管理、风险管理，开发过程、运营维护。退役运营开发管理概念风险生产开发管理突发验证事件第10页/共64页#page#每天进步一点点长城汽车几点建议组织建设自主能力安全运营IT整体能力兼顾审计与检查安全意识提升共享交流第11页/共64页#page#每天进步一点点林享学线分享完毕第12页/共64页#page#