互联网思维与智能网联车数据安全碰撞与治理实践

小鹏汽车李晓辉1.数据安全治理的内外驱动力2.一些过程、一些体会3.小鹏数据安全治理实践分享一、二数据安全治理的内外驱动力 干问题的解释》 民法典刑法 网络安全法衔接数据安全法国家安全法合规遵从与风险为主要驱动力n合规监管：逐步趋于完善、趋严全国人民代表大会常务委员会全国人民代表大会常务委员会n用户/消费者：数据安全和个人隐私信息保护能力足够与否？---已成为消费者买单的其中一个重要决策因素。注：引自《2022中国消费者智能网联汽车数据安全和个人隐私意识与顾虑调查》n安全风险：车联网、企业经验安全面临巨大威胁n重要性：规模化数据池挖掘提升，可有效提升汽车供应链管理效能注：引自中国电动汽车百人会《智能网联汽车数据安全年度洞察（2023）-企业免疫力建设》报告Longlongago----不羁的时代•系统快速上线！•业务、团队间超高效运转！•深层次、多元化、错综复杂的数据消费关系！ 车辆服务车辆服务补牢不晚---树未大，硕未丰严测试、补漏洞建组织、定标准补牢不晚---伴随阵痛数据需求流程平均处理耗时为9.83天安全&法务合规日均评审40单/人堵堵921广告投放试乘试驾意向销售政策3购车车主信息4用车车辆信息车况信息5以数据中心，与业务强耦合：更好的了解业务，才能服务业务21广告投放试乘试驾意向销售政策3购车车主信息4用车车辆信息车况信息5客户资料客户资料交易数据车辆数据销售数据财务数据员工数据订单数据车辆信息车况信息充电数据车主信息车辆信息车况信息配件信息66售后二手车媒体池媒体池看是合理、必须的一些业务数据使用、交互需求非非暂*我就要批量查看我就要批量查看、下载外发这些敏感数据，否则业务就无法开展了。统一统一““数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。------《中华人民共和国数据安全法》让数据在合理、必要的业务场景中安全有序流通，保障数据开发利用和价值释放，统筹安全与发展。小鹏数据安全治理实践分享一、二数据安全治理框架/安全模型：跟着法规/标准/实践指南走高层主导、专人协调、全员参与等保三级L4<全面感知防护>具备对未知风险威胁/高级可持续威胁自动响应防御：态势感知、威胁情报、业务风控、数据泄露响应/风险自动化响应、安全响应中心SRC、红蓝队对抗、安全实验室"L3<纵深架构防护>建立纵深防御体系，具备一定云-管-端纵横防护能力：数据血缘跟踪（埋点）、用户行为分析UEBA、数据水印、业务安全检测、安全开发生命周期、内容安全、零信任体系、网络空间资产探测、准实时安全预警、数据沙箱、安全运营中心SOCL2<点面重点防护>基于数据风险驱动防治，具备对可预见风险提升软/硬件、制度体系安全治理改善能力：数据分类分级、敏感数据识别（自动打标）、数据风险评估、数仓权限管控、文件与数据加密、隐私合规检测/审核、、秘钥管理、API/SDK安全、异地灾备（异地3备份）ⅆⅆL1<基础被动防护>被动响应数据安全事件，基于传统安全软/硬件补缺防护：身份认证、访问控制/堡垒机、防火墙（安全域管控）、WAF、防病毒、终端准入、防DDos、主机安全、工控安全、移动安全、网络准入、DLP、漏洞管理、安全培训、上网行为管理……4本地/云端模型A识本地端模型4本地/云端模型A识本地端模型AI识别打标值值待改善的一环：合