随着智能网联汽车网络准入要求及数据安全法律法规的发布,监管部门要求企业全面关注多方面内容,且国内监管检查日益频繁,凸显国家对该领域的高度重视。在数字化转型背景下,应用场景持续拓展、数据规模不断膨胀、交互关系愈发复杂,数据安全正面临监管合规要求、数据流动风险、业务流程风险三方面挑战。
吉利远程数字研发总监张学金从数据安全治理内容、框架搭建、组织完善及人员保障等维度,分享了当前数据安全治理的实践经验。他指出,应进行企业人员能力体系建设,在数据安全运营中可参照 Cobit 等方法论,通过优化组织人员职责、完善制度流程策略、升级技术工具平台,实现全生命周期运营能力在企业内部的落地推广。最后,他对比分析了结构化与非结构化数据在安全管控层面的差异要点。
张学金| 吉利远程数字研发总监
以下为演讲内容整理:
企业战略与数据安全内生需求
远程新能源商用车集团作为吉利控股集团的全资子公司,自2014年成立起即聚焦"醇氢+电动"双技术路线,逐步形成"1.2.2.2.5"战略架构。2024年达成全球首个30万辆新能源商用车产销里程碑,市占率持续领跑行业。在数字化深度推进过程中,企业面临三重数据安全挑战:智能网联车辆需同步满足欧盟CSMS认证、GDPR及国内《汽车数据安全管理若干规定》等差异化法规;研发环节与极氪、路特斯等生态伙伴的协同导致跨境数据交互量激增;全业务链数字化覆盖研发、生产、营销等全域系统,数据流动路径复杂度显著提升。
图源:演讲嘉宾素材
当前数据安全面临系统性风险:监管维度需应对《网络安全法》《数据安全法》《个人信息保护法》等复合性法规要求;业务维度存在数据权限混乱、存储介质泄露等风险点;技术维度因混合云架构与SaaS应用普及,传统网络边界防御面临新挑战。这要求建立覆盖”采集—传输—存储—销毁“全生命周期的治理体系,在保障企业商业秘密、工业核心数据安全的前提下释放数据价值。
图源:演讲嘉宾素材
三维治理框架的系统化构建
基于汽车产业链特性,将治理目标聚焦于四类核心资产防护:企业商业秘密涵盖醇氢动力专利、战略合作条款等核心竞争力数据;汽车数据包含车辆实时感知信息、自动驾驶决策日志等车联网数据;工业数据涉及生产线控制参数、质量检测图谱等制造核心数据;个人数据覆盖车主身份信息、驾驶行为特征等隐私内容。通过体系化建设实现”企业省心—消费者安心—监管放心“的三维目标。
图源:演讲嘉宾素材
建立分层治理组织架构:顶层设立信息安全委员会,由集团CEO直接领导的数据安全专业委员会负责战略决策,下设企业数据安全合规委员会、产品数据安全小组、车联网安全合规小组及技术支撑小组四大执行单元。在研发、供应链、营销等核心部门配置持证数据安全接口人,实施跨部门联席决策机制。人员保障方面开展季度攻防演练、年度能力认证考核,并设置数据安全文化宣传月强化全员意识。
图源:演讲嘉宾素材
创新性融合三套管理体系:以ISO27001信息安全管理体系(ISMS)为基柱,以UNECE WP.29 CSMS数据安全管理体系(DSMS)为房梁,以ISO21434产品安全管理体系(PSMS)为屋檐,形成“制度—流程—执行”三层管控。制度层包含数据安全章程等一阶文件、分类分级程序等二阶规范、脱敏操作手册等三阶细则及审计表单等四阶工具。通过数字化流程平台实现制度线上化执行。
图源:演讲嘉宾素材
基于DSG评估模型构建全生命周期防护:基础层部署全站HTTPS加密与VPN安全隧道;采集层通过数据资产扫描工具实现结构化/非结构化数据自动打标;传输层建立数据接口平台监控API通道;处理层应用数据脱敏技术处理用户画像数据,嵌入数字水印保护设计图纸;存储层采用磁盘加密与物理消磁双重保障。同步接入DSMM成熟度模型进行能力量化评估。
图源:演讲嘉宾素材
分级管控机制的落地实践
建立四级数据敏感度标定体系:经营管理类包含财务报表、投资计划等L1一般数据;业务类涉及供应商合同、生产计划等L2秘密数据;汽车类涵盖车辆控制指令、高精地图等L3机密数据;核心技术专利、金融交易密钥等纳入L4绝密数据。通过自动化分类引擎对数据资产实施标定。
结构化数据治理采用三阶管控流程:通过数据治理平台对接ERP、MES等核心业务系统,自动解析数据库表结构并匹配分类规则;对识别出的高敏字段实施动态脱敏;权限管控采用”最小授权+流程审批“机制,L3级以上数据访问需经多层签批,操作行为全程溯源。
图源:演讲嘉宾素材
非结构化数据防护构建三重防线:终端层面部署AI行为分析系统,实时阻断文档拍照、截屏等高风险操作;云端对代码仓库、设计图纸等实施内容识别与水印嵌入;通道管控采用分级策略,L4级数据禁止通过即时通讯工具传输,L3级数据需经加密后由专用安全网关外发。在研发协同场景中,与合作伙伴建立安全数据沙箱,实现"数据可用不可见"的联合开发模式。
图源:演讲嘉宾素材
未来挑战与行业协同倡议
面临三大演进挑战:全球法规差异导致跨境数据传输合规要求持续升级;供应链协同中第三方服务商存在管控盲区;新型攻击技术带来新威胁。对此提出行业级解决方案:构建”识别—防御—监测—响应“四阶运营闭环,通过数据血缘地图实现全链路追踪;联合头部车企建立商用车数据安全联盟,制定敏感数据统一脱敏标准;推动形成”主机厂—供应商—服务商“责任追溯链,将安全要求纳入供应商准入体系。
吉利远程的实践验证,数据安全治理需从被动合规转向主动防御。通过将安全能力植入研发全流程,在保障30万辆车辆安全运行的同时,支撑醇氢电动重卡等技术创新。未来将持续完善”技术可控、制度可循、责任可溯“的治理生态,为新能源商用车全球化发展构建安全基石。
(以上内容来自于吉利远程数字研发总监张学金于2025年6月19日在2025第四届中国车联网安全大会上进行的发表的《汽车数据安全治理实践》主题演讲。)
文章来源于网络。发布者:武汉汽车网,转转请注明出处:https://www.tfuv.com/news/14586.html
