在智能化、網(wǎng)聯(lián)化的深度賦能和加持下，汽車的功能和屬性被拓展得更加多元，汽車從單純的交通工具逐漸演變成移動智能終端。與此同時，智能網(wǎng)聯(lián)新技術(shù)的廣泛應(yīng)用，也在豐富著汽車安全的內(nèi)涵。產(chǎn)業(yè)的跨界融合創(chuàng)新，對汽車產(chǎn)品的網(wǎng)絡(luò)安全、信息數(shù)據(jù)安全、新技術(shù)應(yīng)用安全都提出了更高、更多的新要求。“新汽車”如何堅(jiān)守安全底線，是行業(yè)必須應(yīng)對的新問題。

9月1日，工信部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合制定的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（以下簡稱《管理規(guī)定》）正式實(shí)施。這意味著，針對網(wǎng)絡(luò)產(chǎn)品安全漏洞的管理開始有規(guī)可依。聚焦到汽車行業(yè)，《管理規(guī)定》的實(shí)施如何落地？按照要求，在汽車產(chǎn)品安全漏洞管理過程中，包括主機(jī)廠、網(wǎng)絡(luò)產(chǎn)品供應(yīng)商、網(wǎng)絡(luò)運(yùn)營商等主體將履行哪些責(zé)任？出現(xiàn)違規(guī)情況后又有哪些處罰措施？

聯(lián)網(wǎng)汽車安全漏洞管理有章可循

究竟誰該對網(wǎng)絡(luò)產(chǎn)品的安全漏洞負(fù)責(zé)？

《管理規(guī)定》中明確了產(chǎn)品和系統(tǒng)漏洞管理的主體，為網(wǎng)絡(luò)產(chǎn)品（含硬件、軟件）提供者和網(wǎng)絡(luò)運(yùn)營者，以及從事網(wǎng)絡(luò)產(chǎn)品漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或個人。對這些主體關(guān)于漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，《管理規(guī)定》都有具體要求。

具體到汽車行業(yè)，聯(lián)網(wǎng)汽車及其相關(guān)聯(lián)網(wǎng)部件作為重要的網(wǎng)絡(luò)產(chǎn)品，車聯(lián)網(wǎng)服務(wù)作為重要的網(wǎng)絡(luò)運(yùn)營服務(wù)，均在《管理規(guī)定》的監(jiān)管要求范圍內(nèi)。這也意味著，包括提供聯(lián)網(wǎng)汽車產(chǎn)品的主機(jī)廠、為聯(lián)網(wǎng)汽車提供網(wǎng)絡(luò)產(chǎn)品的供應(yīng)商、提供車聯(lián)網(wǎng)服務(wù)的網(wǎng)絡(luò)運(yùn)營商，都有責(zé)任和義務(wù)依照《管理規(guī)定》開展漏洞合規(guī)管理并接受監(jiān)管。

“《管理規(guī)定》的發(fā)布和實(shí)施，是指導(dǎo)車聯(lián)網(wǎng)產(chǎn)品安全漏洞有序管理的基本準(zhǔn)則。對汽車行業(yè)而言，《管理規(guī)定》的發(fā)布和實(shí)施，也使全行業(yè)在落實(shí)漏洞合規(guī)要求，強(qiáng)化相關(guān)技術(shù)能力建設(shè)，打造安全健康生態(tài)等方面有章可循?！敝衅麛?shù)據(jù)智能網(wǎng)聯(lián)部部長張亞楠在接受《中國汽車報(bào)》記者采訪時說。

那么，汽車行業(yè)多方主體在執(zhí)行《管理規(guī)定》的過程中如何各司其職？按照《管理規(guī)定》的要求，提供聯(lián)網(wǎng)汽車產(chǎn)品的主機(jī)廠和為聯(lián)網(wǎng)汽車提供網(wǎng)絡(luò)產(chǎn)品的供應(yīng)商，都需要依照“網(wǎng)絡(luò)產(chǎn)品（含硬件、軟件）提供者”的要求進(jìn)行漏洞合規(guī)管理；為車聯(lián)網(wǎng)提供服務(wù)的網(wǎng)絡(luò)運(yùn)營商，則需要按照“網(wǎng)絡(luò)運(yùn)營者”的要求進(jìn)行漏洞合規(guī)管理。也就是說，從生產(chǎn)制造到運(yùn)營服務(wù)，從硬件到軟件，從主機(jī)廠、供應(yīng)商到運(yùn)營商，《管理規(guī)定》針對涉及安全漏洞管理各環(huán)節(jié)、各主體的行為都進(jìn)行了相關(guān)約束。

漏洞從發(fā)現(xiàn)到處置　明確各環(huán)節(jié)主體行為規(guī)范

在確保對網(wǎng)絡(luò)產(chǎn)品安全漏洞有效管理的過程中，各環(huán)節(jié)責(zé)任主體需要遵守哪些行為規(guī)范？

對網(wǎng)絡(luò)產(chǎn)品提供者、運(yùn)營者、組織和個人等不同主體，從漏洞發(fā)現(xiàn)、獲知到漏洞驗(yàn)證、報(bào)送、處置等環(huán)節(jié)，《管理規(guī)定》也做了明確的要求和建議。

其中，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù)，確保其產(chǎn)品安全漏洞得到及時修補(bǔ)和合理發(fā)布，并指導(dǎo)支持產(chǎn)品用戶采取防范措施。網(wǎng)絡(luò)運(yùn)營者在發(fā)現(xiàn)或獲知其網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞后，應(yīng)立即采取措施，及時對安全漏洞進(jìn)行驗(yàn)證并完成修補(bǔ)。對相關(guān)組織和個人在向社會發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息時，提出了必要、真實(shí)、客觀以及有利于防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的原則，同時需要加強(qiáng)內(nèi)部管理，采取防范措施，并鼓勵向網(wǎng)絡(luò)產(chǎn)品提供者通報(bào)其產(chǎn)品存在的安全漏洞，鼓勵向工信部等國家漏洞庫報(bào)送網(wǎng)絡(luò)產(chǎn)品安全漏洞。

為了確保安全漏洞信息渠道的暢通，《管理規(guī)定》中還明確要求，網(wǎng)絡(luò)產(chǎn)品提供者、運(yùn)營者和網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺，應(yīng)當(dāng)建立健全網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接受渠道并保持暢通，留存網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接收日志不少于6個月。

三部門聯(lián)合監(jiān)管　車聯(lián)網(wǎng)產(chǎn)品安全漏洞專業(yè)庫已上線

除了對多方主體進(jìn)行安全漏洞管理外，《管理規(guī)定》中也明確了相關(guān)部門的聯(lián)合監(jiān)管職責(zé)。對此，中汽數(shù)據(jù)網(wǎng)聯(lián)技術(shù)研究室主任馬超表示，按照《管理規(guī)定》的要求，包括工信部、公安部以及國家互聯(lián)網(wǎng)信息辦公室在內(nèi)的各監(jiān)管機(jī)構(gòu)在網(wǎng)絡(luò)產(chǎn)品安全漏洞管理中的監(jiān)管職責(zé)也各有側(cè)重，三部門構(gòu)建起聯(lián)合協(xié)同、信息共享的監(jiān)管體系，使安全漏洞從發(fā)現(xiàn)到處置，實(shí)現(xiàn)多方聯(lián)合監(jiān)管、多方合力負(fù)責(zé)的良性閉環(huán)。

“針對汽車行業(yè)而言，工信部承擔(dān)汽車行業(yè)網(wǎng)絡(luò)產(chǎn)品安全漏洞綜合管理的職責(zé)，公安部依法打擊汽車行業(yè)漏洞發(fā)現(xiàn)、收集、發(fā)布中的違法犯罪活動，涉及到行業(yè)協(xié)調(diào)、聯(lián)動管理等協(xié)調(diào)工作由國家互聯(lián)網(wǎng)信息辦公室統(tǒng)籌推進(jìn)?！瘪R超說。

值得一提的是，《管理規(guī)定》對網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運(yùn)營者在漏洞處置方面提出了具體要求，明確了網(wǎng)絡(luò)漏洞收集和報(bào)送機(jī)制。其中，“工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺”為網(wǎng)絡(luò)安全漏洞報(bào)送和管理的平臺載體。同時，工信部也將在該平臺的基礎(chǔ)上，逐步建立和完善安全漏洞數(shù)據(jù)庫。

針對未來汽車行業(yè)的漏洞信息平臺及漏洞庫的建設(shè)與完善，馬超告訴本報(bào)記者，2017年，中汽數(shù)據(jù)基于汽車漏洞研究基礎(chǔ)，通過聚集汽車數(shù)據(jù)資源構(gòu)建了國內(nèi)首個汽車漏洞數(shù)據(jù)庫（CAVD）。隨著《管理規(guī)定》的發(fā)布和實(shí)施，全新升級的汽車漏洞數(shù)據(jù)庫將作為工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺車聯(lián)網(wǎng)產(chǎn)品安全漏洞專業(yè)庫，負(fù)責(zé)車聯(lián)網(wǎng)產(chǎn)品（含硬件、軟件）安全漏洞的接收、審核、研判、處置等管理支撐工作。未來汽車漏洞數(shù)據(jù)庫將致力于汽車行業(yè)漏洞研究與服務(wù)，服務(wù)車聯(lián)網(wǎng)行業(yè)健康發(fā)展。

據(jù)悉，為落實(shí)《管理規(guī)定》，在工信部網(wǎng)絡(luò)安全管理局的指導(dǎo)下，由中汽中心建設(shè)運(yùn)營的車聯(lián)網(wǎng)產(chǎn)品安全漏洞專業(yè)庫已于2021年9月1日正式上線運(yùn)行，該專業(yè)庫負(fù)責(zé)車聯(lián)網(wǎng)產(chǎn)品安全漏洞的接收、審核、研判、處置等管理支撐工作，并由中汽數(shù)據(jù)具體承擔(dān)專業(yè)庫的建設(shè)與運(yùn)營。

明確相關(guān)主體“六不得”準(zhǔn)則　違規(guī)者將面臨處罰

除了規(guī)定相關(guān)主體應(yīng)當(dāng)做什么之外，《管理規(guī)定》還明確了從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個人發(fā)布漏洞信息時，“不得”做什么。比如：不得在漏洞修補(bǔ)措施提供之前發(fā)布漏洞信息，如必要需評估；不得發(fā)布網(wǎng)絡(luò)運(yùn)營者在用的網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞的細(xì)節(jié)；不得夸大漏洞的危害和風(fēng)險(xiǎn)，不得利用漏洞進(jìn)行炒作、詐騙、敲詐勒索等違法犯罪活動；不得發(fā)布或提供利用漏洞進(jìn)行危害網(wǎng)絡(luò)安全的程序和工具；在發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞時，應(yīng)當(dāng)同步發(fā)布修補(bǔ)或者防范措施；在國家舉辦重大活動期間，未經(jīng)公安部同意，不得擅自發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息；不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境內(nèi)外組織或個人提供。

一旦網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運(yùn)營者未按《管理規(guī)定》要求采取網(wǎng)絡(luò)產(chǎn)品安全漏洞修補(bǔ)或防范措施，將會面臨處罰。其中，網(wǎng)絡(luò)產(chǎn)品提供者未按規(guī)定采取網(wǎng)絡(luò)產(chǎn)品安全漏洞補(bǔ)救或報(bào)告措施的，由工信部、公安部依據(jù)各自職責(zé)依法處理；網(wǎng)絡(luò)運(yùn)營者未按規(guī)定采取網(wǎng)絡(luò)產(chǎn)品安全漏洞修補(bǔ)或者防范措施的，由有關(guān)主管部門依法處理；違反本規(guī)定收集、發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息的，由工信部、公安部依照各自職責(zé)依法處理；利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全活動，或者為他人利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動提供技術(shù)支持的，由公安機(jī)關(guān)依法處理。

汽車行業(yè)網(wǎng)絡(luò)安全漏洞管理任重道遠(yuǎn)

“與傳統(tǒng)互聯(lián)網(wǎng)相比，車聯(lián)網(wǎng)的應(yīng)用環(huán)境更特殊、組網(wǎng)更復(fù)雜、管理更困難，安全威脅更突出，汽車漏洞一旦被惡意利用將可能產(chǎn)生嚴(yán)重危害，因此汽車主體迫切需要構(gòu)建高效合規(guī)的漏洞管理機(jī)制?！睆垇嗛f。

事實(shí)上，在汽車行業(yè)需要更加完善、高效、合規(guī)的漏洞管理機(jī)制的同時，目前汽車行業(yè)在網(wǎng)絡(luò)安全漏洞管理方面也存在投入資源偏低、安全分析能力偏弱等不足。

那么，如何建立健全汽車行業(yè)網(wǎng)絡(luò)安全漏洞管理機(jī)制、提升管理水平呢？對此，馬超認(rèn)為，首先要從全行業(yè)層面高度重視汽車漏洞管理，構(gòu)建企業(yè)網(wǎng)絡(luò)安全文化，加強(qiáng)汽車網(wǎng)絡(luò)安全意識與技術(shù)培訓(xùn)；加大漏洞管理資源投入，將漏洞處置工作落實(shí)到專人專職，并定期開展漏洞管理情況復(fù)盤，及時整改不安全因素。

其次，完善健全漏洞管理機(jī)制。參照合規(guī)管理要求，構(gòu)建汽車漏洞合規(guī)處置機(jī)制，打通企業(yè)漏洞處置流程；針對汽車漏洞加入后續(xù)追蹤流程，防止處置后的漏洞因緩解措施的不全面而引入新的風(fēng)險(xiǎn)，或因?yàn)闅堄囡L(fēng)險(xiǎn)而引發(fā)惡劣的安全事件。

另外，在強(qiáng)化漏洞處置技術(shù)能力方面，提升漏洞驗(yàn)證與修補(bǔ)技術(shù)能力，及時驗(yàn)證分析相關(guān)漏洞的技術(shù)特點(diǎn)、危害和影響范圍，并提出經(jīng)濟(jì)有效的修補(bǔ)方案；提升漏洞知識遷移能力，通過對漏洞數(shù)據(jù)資源的分析溯源，將漏洞信息反哺于車型的開發(fā)設(shè)計(jì)環(huán)節(jié)，實(shí)現(xiàn)汽車產(chǎn)品的安全設(shè)計(jì)與有效保障。