2023汽车整车信息安全技术要求

文档《2023汽车整车信息安全技术要求》内容（19页完美版）由用户上传提供，感谢您阅读，更多关于《2023汽车整车信息安全技术要求（珍藏版）》内容请在新文库网搜索。

1、汽车整车信息安全技术要求目次前言II1 范围12 规范性引用文件13 术语和定义14 缩略语25 信息安全管理体系要求26 车辆信息安全一般要求37 车辆外部连接安全要求48 车辆通信安全要求49 车辆软件升级安全要求510 车辆数据代码安全要求611 审核评估及测试方法612 车辆型式的变更和扩展613 实施日期7附 录A（规范性） 车辆信息安全要求测试验证方法8I汽车整车信息安全技术要求1 范围本文件规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法。本文件适用于M类、N类及至少装有1个电子控制单元的O类车辆，其他类型车辆可参考执行。2 规范

2、性引用文件本文件没有规范性引用文件。3 术语和定义下列术语和定义适用于本文件。3.1汽车信息安全管理体系cybersecurity management system 网络安全管理体系cybersecurity management system一种基于风险的系统方法，包括组织流程、责任和治理，以处理与车辆网络威胁相关的风险并保护车辆免受网络攻击。来源：GB/T xxxxx 智能网联汽车 术语和定义3.2开发阶段 development phase车型获得批准之前的时期。3.3生产阶段 production phase车型生产持续的时期。3.4后生产阶段 post-production pha

3、se从车型不再生产，直至该车型的所有车辆使用寿命结束的时期。在这一阶段，该车型的车辆仍可使用，但不再继续生产，当该车型不再有可使用的车辆时，此阶段结束。3.5风险 risk车辆信息安全不确定性的影响，可用攻击可行性和影响表示。3.6风险评估 risk assessment发现、识别和描述风险，理解风险的性质以及确定风险级别，并将风险分析的结果与风险标准进行比较，以确定风险是否可接受。173.7威胁 threat可能导致系统、组织或个人受到伤害的意外事件的潜在原因。3.8漏洞 vulnerability在资产或缓解措施中，可被一个或多个威胁利用的弱点。3.9车载软件升级系统 on-board s

4、oftware update system安装在车端并具备升级包接收、校验和分发等功能的软件和硬件。3.10在线升级 over-the-air update通过无线方式而不是使用电缆或其他本地连接进行数据传输的软件升级。3.11离线升级offline update除在线升级以外的软件升级。3.12敏感个人信息sensitive personal information一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。来源：汽车数据安全管理若干规定（试行），第三条4 缩略语下列缩

5、略语适用于本文件。下列缩略语适用于本文件。CAN：控制器局域网络（Control Area Network） ECU：电子控制单元（Electronic Control Unit） HSM：硬件安全模块（Hardware Secure Module）MD5：MD5信息摘要算法(MD5 Message-Digest Algorithm) NFC：近距离无线通讯技术(Near Field Communication) TLS：安全传输层协议 (Transport Layer Security) USB：通用串行总线(Universal Serial Bus)VLAN：虚拟局域网（Virtual L

6、ocal Area Network） VIN： 车辆识别代号（Vehicle Identification Number） WLAN：无线局域网(Wireless Local Area Networks)5 汽车信息安全管理体系要求5.1 车辆生产企业应建立车辆全生命周期的汽车信息安全管理体系。注：车辆全生命周期包括车辆的开发阶段、生产阶段及后生产阶段。5.2 汽车信息安全管理体系中应涵盖必要流程，以确保充分考虑安全风险。5.2.1 应建立企业内部管理信息安全的流程。5.2.2 应建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到适当处置的流程，并确保车辆风险评估保持最新状态。5.

7、2.3 应建立用于车辆信息安全测试的流程。5.2.4 应建立针对车辆的网络攻击、网络威胁和漏洞的监测、响应及上报流程，要求如下：a) 应包含漏洞管理机制，明确漏洞收集、分析、报告、处置、发布等活动环节；b) 应建立针对网络攻击提供相关数据并进行分析的流程；示例：企业具备从车辆数据和车辆日志中分析和检测网络攻击、网络威胁和漏洞的能力。c) 应建立确保已识别的网络攻击、网络威胁和漏洞得到响应，且在合理的时限内得到处置及上报的流程；d) 应建立评估所实施的信息安全措施在发现新的网络攻击、网络威胁和漏洞的情况下是否仍然有效的流程；e) 应建立确保对网络攻击、网络威胁和漏洞进行持续监控的流程；注：车辆登

8、记后即纳入监控范围。5.2.5 应建立管理企业与合同供应商、服务提供商、车辆生产企业子组织之间信息安全依赖关系的流程。6 车辆信息安全一般要求6.1 车辆产品开发流程应遵循汽车信息安全管理体系要求。6.2 应识别和管理车辆与供应商相关的风险。6.3 应识别车辆的关键要素，对车辆进行详细的风险评估，合理管理已识别的风险。注：风险评估应考虑车辆的各个要素及其相互作用，并进一步考虑与任何外部系统的相互作用。示例：关键要素包括有助于车辆安全、环境保护或防盗的要素，提供连接性的部件或车辆架构中对信息安全至关重要的部分等。6.4 应采取基于第 7 章、第 8 章、第 9 章、第 10 章的信息安全技术要求

9、处置措施保护车辆不受风险评估中已识别的风险影响。注1：若处置措施与所识别的风险不相关， 则车辆制造商应说明其不相关性。注2：若处置措施与所识别的风险不充分， 则车辆制造商应实施其它的处置措施， 并说明其使用措施的合理性。6.5 如有专用环境，则应采取相应适当的措施，以保护车辆用于存储和执行后装软件、服务、应用程序或数据的专用环境。6.6 应通过适当和充分的测试来验证所实施的信息安全措施的有效性。6.7 应针对车辆实施相应措施，以识别和防御针对该车辆的网络攻击、网络威胁和漏洞，并为车辆生产企业在识别与车辆相关的网络攻击、网络威胁和漏洞方面提供监测能力，以及为分析网络攻击、网络威胁和漏洞提供数据取

10、证能力。6.8 应采用符合国际通用、国家或行业标准要求的密码模块。若使用的密码模块未采用国际通用、国家或行业标准要求，则应说明其使用的合理性。应使用公开的、已发布的、有效的密码算法，并选择适当的参数和选项；应根据不同密码算法和场景，选择适当长度和有效的密钥。注：有效的密码算法指安全有效且未被破解的算法，如MD5已被破解，此类算法相对不安全。6.9 车辆应采用默认安全设置。示例：如 WLAN 的默认连接口令应满足复杂度的要求。6.10 车辆数据处理活动中的数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著 告知等要求，应符合 GB/T XXXXX智能网联汽车 数据通用要求中 4.2

11、.1、4.2.2 的规定。7 车辆外部连接安全要求7.1 远程控制系统安全要求7.1.1 应对远程控制系统的指令信息进行真实性和完整性验证，并应具备验证失败的处理能力。7.1.2 应对远程控制系统的指令设置访问控制，禁用非授权的远程控制指令。7.1.3 应具备远程控制系统的安全日志记录功能，安全日志记录的内容至少包括远程控制指令的日期、 时间、发送主体、远程控制对象、操作结果等。7.1.4 应对车端具备远程控制功能的系统的程序和配置数据进行完整性验证。7.2 第三方应用安全要求7.2.1 应对授权的第三方应用的真实性和完整性进行验证。注：第三方应用是指车辆生产企业及其供应商之外的其他法人实体提

12、供的面向用户提供服务的应用程序，包括第三方娱乐应用等。7.2.2 应对非授权的第三方应用的安装运行进行提示，并对已安装的非授权的第三方应用进行访问控制，避免此类应用直接访问系统资源、个人信息等。7.3 外部接口安全要求7.3.1 应对外部接口进行访问控制保护，禁止非授权访问。示例：外部接口包括 USB 接口、诊断接口和其他接口等。7.3.2 应对 USB 接口接入设备中的文件进行访问控制，只允许读写指定格式的文件或安装执行指定签名的应用软件。7.3.3 应具备抵御 USB 接口接入设备中的病毒程序和携带病毒的媒体文件/应用软件的能力。7.3.4 通过诊断接口发送车辆关键参数的写操作请求时，应采

13、用身份鉴别、访问控制等安全策略。7.4 车辆远程控制系统、授权的第三方应用等外部连接系统不应存在由权威漏洞平台 6 个月前公布且未经处置的高危及以上的安全漏洞。注：处置包括消除漏洞、制定减缓措施等方式。7.5 车辆应关闭不必要的网络端口。8 车辆通信安全要求8.1 车辆与车辆生产企业云平台通信时，应对其通信对象的身份真实性进行验证。8.2 车辆与车辆、路侧单元、移动终端等进行直连通信时，应进行证书有效性和合法性的验证。8.3 车辆应采用完整性保护机制保护外部通信通道。示例：车辆外部通信通道包括移动蜂窝通信、WLAN、蓝牙等，不包括射频、NFC 等短距离无线通信通道。8.4 车辆应具备对来自车辆

14、外部通信通道的数据操作指令的访问控制机制。注：来自车辆外部通信通道的数据操作指令包括代码注入、数据操纵、数据覆盖、数据擦除和数据写入等指令。8.5 车辆应验证所接收的关键指令数据的有效性或唯一性。注：关键指令数据是指可能影响行车和财产安全的指令数据，包括但不限于车控指令数据。示例：针对远程控制服务器发送的车控指令，车端可通过网关校验该类指令的有效期或唯一性。8.6 车辆应对发送的敏感个人信息实施保密性保护措施。8.7 车辆与外部直接通信的零部件应具备身份识别机制。注：与外部存在直接通信的零部件包括但不限于车载信息交互系统等，不包括短距离无线传感器。8.8 车辆与外部直接通信的零部件应具备安全机

15、制防止非授权的系统特权访问。注：非授权用户可能通过调试接口获得系统的根用户权限。8.9 车辆内部网络应划分安全区域，并实现安全区域之间的隔离，对跨域请求应进行访问控制，并遵循默认拒绝原则和最小化授权原则。注：隔离措施包括物理隔离、逻辑隔离（如采用白名单、防火墙等措施），如车载以太网可采用VLAN技术实现不同功能域之间的逻辑隔离。8.10 车辆应具备识别车辆通信通道遭受拒绝服务攻击的能力，并对攻击数据包进行相应的处理。注：对攻击数据包的处理包括拦截、丢弃等。示例：车辆通信通道包括移动蜂窝通信、V2X 等车外通信通道，也包括CAN 总线和车载以太网等车内通信通道。8.11 车辆应具备识别恶意的 V

16、2X 数据、恶意的诊断数据、恶意的专有数据等的能力，并采取保护措施。注1：V2X数据包括道路设施发送到车辆的数据、车辆与车辆之间的数据。注2：专有数据指正常发送自车辆生产企业或车辆组件、系统及功能供应商的数据。8.12 车辆应对关键的通信信息安全事件进行日志记录。注：关键的通信信息安全事件由车企根据风险评估的结果确定。9 车辆软件升级安全要求9.1 通用安全要求9.1.1 车载软件升级系统应具备安全启动的功能，应保护车载软件升级系统的可信根、引导加载程序、 系统固件不被篡改，或被篡改后无法正常启动。9.1.2 车载软件升级系统应不存在由权威漏洞平台 6 个月前公布且未经处置的高危及以上的安全漏

17、洞。注：处置方式包括消除漏洞、制定减缓措施等方式。9.2 在线升级安全要求9.2.1 车辆和在线升级服务器应进行身份认证，验证其身份的真实性。示例：常见的认证方式包括使用证书进行身份认证等。9.2.2 车载软件升级系统应对下载的在线升级包进行真实性和完整性校验。9.2.3 车载软件升级系统应记录在线升级过程中发生的失败事件日志。注：失败事件包括升级包校验失败等，记录内容包括事件时间、事件类型等。9.3 离线升级安全要求9.3.1 若车辆使用车载软件升级系统进行离线升级，车辆应对离线升级包真实性和完整性进行校验。9.3.2 若车辆不使用车载软件升级系统进行离线升级，应采取保护措施保证刷写接入端的

18、安全性，或者校验离线升级包的真实性和完整性。10 车辆数据代码安全要求10.1 车辆应安全地存储对称密钥和私钥，防止其被非授权访问和获取。10.2 车辆应采取安全访问技术、加密技术等安全技术保护存储在车内的敏感个人信息，防止其被非授权访问和获取。10.3 车辆应采取安全防御机制保护存储在车内的车辆识别代号（VIN）和用于身份识别的数据，防止其被非授权删除和修改。示例：防止数据被非授权删除和修改的安全防御机制包括安全访问技术、只读技术等。10.4 车辆应采取安全防御机制保护存储在车内的关键数据，防止其被非授权删除和修改。注：关键数据包括车辆关键配置参数和车辆运行过程中产生的可能影响行车安全的数据

19、。示例：车辆关键配置参数包括制动数据、安全气囊展开阈值、电池参数、自动驾驶参数等影响车辆行车、人员保护功能的配置参数。10.5 车辆应采取安全防御机制保护存储在车内的安全日志，防止其被非授权删除和修改。10.6 车辆应具备个人信息清除功能及防恢复机制，便于在转售、租借或报废时清除个人信息。10.7 车辆不得直接向境外传输数据。注：用户使用浏览器访问境外网站、使用通信软件向境外传递消息、自主安装可能导致数据出境的第三方应用等不受本条款限制。11 审核评估及测试方法11.1 依据本文件开展第 6 章车辆信息安全一般要求评估和信息安全技术要求测试验证前，应通过第5 章汽车信息安全管理体系要求审核。1

20、1.2 车辆信息安全技术要求测试验证应按照本文件附录 A 进行，在测试验证前应开展第 6 章车辆信息安全一般要求评估，确认车辆采取了基于第 7 章、第 8 章、第 9 章、第 10 章的信息安全技术要求处置措施保护车辆不受风险评估中已识别的风险影响。注1：若基于第7章、第8章、第9章、第10章的信息安全技术要求处置措施与企业所识别的风险不相关，无需对不相关的条款开展测试，仅需开展评估确认。注2：若基于第7章、第8章、第9章、第10章的信息安全技术要求处置措施无法覆盖企业所识别的风险，应在按照附录A开展测试验证的基础上，对企业实际所使用的处置措施开展评估确认。12 车辆型式的变更和扩展12.1

21、总则依据本文件通过型式检验的车型，其结果可扩展到符合12.2-12.4判定条件的其他车型。车型获得扩展后，此扩展车型不可再扩展到其他车型。当送检车型具有多种选装方案时，可只针对全覆盖的车型开展测试，即只要具备所有部件或系统的车型通过检验，可不再进行组合检验。12.2 直接扩展判定条件12.2.1 车辆生产企业相同；12.2.2 通过汽车信息安全管理体系审核；12.2.3 车型整车电子电气架构相同；12.2.4 中央网关的硬件型号相同；12.2.5 车载软件升级系统硬件型号相同；12.2.6 具备蜂窝移动通信系统功能的零部件硬件型号相同；12.2.7 车辆无线通信方式所使用的协议类型、版本相同；

22、注：无线通信方式包含WLAN、蓝牙、NFC、蜂窝通讯、V2X等。12.2.8 所有暴露的外部物理接口的类型、数量相同或减少；注：外部物理接口包括USB接口、诊断接口、充电接口等。12.2.9 与车型产生数据交互的车辆生产企业云平台 IP 地址或域名相同。12.3 审核后扩展的判定条件若车型发生涉及12.2.312.2.9的变更，经审核车辆生产企业提供的车型风险评估报告后，确认整车信息安全风险未增加，可获得扩展。示例：常见的不影响整车信息安全的改动包括替换与信息安全无关的系统或部件、ECU 性能升级但不增加新的功能、变更 ECU 零部件供应商但不改变信息安全配置、用于修复漏洞或性能优化的软件升级

23、、不影响信息安全的功能变更或新增功能（如在原有远程控车功能的基础上增加新的控车功能，且不涉及通信方式的改变）等。12.4 测试验证后扩展的判定条件若车型发生涉及12.2.312.2.9的变更，经审核车辆生产企业提供的车型风险评估报告后，确认整车信息安全风险增加，但未严重影响整车信息安全，应针对受影响的项目补充测试验证，测试验证通过后可获得扩展。示例：常见的未严重影响整车信息安全的改动包括通信系统升级但不引入新的通信方式（如使用第五代移动通信系统替换第二代移动通信系统），影响信息安全的 ECU 功能变更或增加新的功能等。12.5 无法扩展的判定条件12.5.1 车辆生产企业发生变更；12.5.2

24、 汽车信息安全管理体系失效；12.5.3 发生严重影响整车信息安全的变更；示例：常见的严重影响整车信息安全的变更包括改变车辆网络拓扑（如增加新的网关）、增添新的外部接口、增加新的网络通信方式（如增加 CAN/车载以太网、增加 NFC 通信）。13 实施日期对于新申请型式批准的车型，自本文件实施之日起开始执行。对于已获得型式批准的车型，自本文件实施之日起第 25 个月开始执行。附 录A（规范性）车辆信息安全要求测试验证方法A.1 概述本附录规定了车辆外部连接安全要求、车辆通信安全要求、车辆软件升级安全要求和车辆数据代码安全要求的测试验证方法。开展测试验证前，应评估确认满足第6章车辆信息安全一般要

25、求。A.2 测试条件A.2.1 测试环境应保证测试车辆能安全运行，影响车辆状态的测试应在多运行工况的整车转鼓环 境下进行。A.2.2 测试环境应保证车辆通信稳定且测试不会对公网环境产生影响，影响公网环境的测试应在 具备通信功能的整车暗室或类似环境中进行。A.2.3 车辆生产企业应按照测试要求提供测试整车车辆，必要时需提供测试台架。A.2.4 车辆生产企业应提供技术人员、刷写工具等必要的支持协助完成测试。A.3 测试输入信息测试开始前，应根据车辆信息安全一般要求评估的结果，确认与测试车辆相关的测试项，并获取如下测试输入信息：注：测试输入信息的获取可在车辆生产企业认可的安全场景下进行，如在企业现场

26、审阅相关文档。a) 测试车辆远程控制功能，包括远程控制指令应用场景和使用权限、远程控制指令审计方式及审计日志记录地址、车辆记录异常指令的地址；b) 测试车辆授权第三方应用真实性和完整性校验方式；c) 测试车辆非授权第三方应用的访问控制机制；d) 测试车辆的外部接口；e) 与测试车辆通信的车辆生产企业云平台；f) 测试车辆通信方法，包括采用的通信协议类型；g) 测试车辆的 V2X 功能；h) 测试车辆向外传输敏感个人信息的通信通道；i) 测试车辆与外部直接通信的零部件；j) 测试车辆内部通信方案及通信矩阵样例，包括专用数据通信矩阵样例；k) 测试车辆车载软件升级系统可信根、引导加载程序、系统固件

27、的访问方式和地址；l) 测试车辆实现离线软件升级的方式及工具；m) 测试车辆对称密钥和私钥的存储方式及说明文档；n) 测试车辆内部存储敏感个人信息存储地址；o) 测试车辆内存储的车辆识别代号和用于身份识别的数据清单及存储地址；p) 测试车辆内存储的关键数据清单及存储的地址；q) 测试车辆个人信息清除功能及防恢复机制。A.4 车辆外部连接安全测试方法A.4.1 具备远程操控功能的系统安全测试方法A.4.1.1 真实性和完整性校验的测试方法应依据附录A.3 a)测试车辆远程控制功能，并按照如下测试方法，检验测试车辆是否满足正文7.1.1的要求：尝试伪造、篡改并发送远程车辆控制指令，检查车辆是否响应

28、该指令，是否按照企业设定的验证失败处理机制进行处理，并记录测试结果，应不响应该指令。A.4.1.2 远程控制指令控制测试方法应依据附录A.3 a)测试车辆远程控制功能，并按照如下测试方法，检验测试车辆是否满足正文7.1.2的要求：构建非授权的远程控制指令，发送至测试车辆，检查车辆是否响应该指令，并记录测试结果，应不响应该指令。A.4.1.3 安全日志记录功能测试方法应依据附录A.3 a)测试车辆远程控制功能，并按照如下测试方法，检验测试车辆是否满足正文7.1.3的要求：构建并触发远程控制系统信息安全事件，使用授权的用户或工具，导出远程控制系统安全日志文件，验证文件记录的内容是否包含远程控制指令

29、的日期、时间、发送主体、操作是否成功等信息，并记录验证结果，应包括远程控制指令的日期、时间、发送主体、操作是否成功的信息。A.4.1.4 远程控制功能系统程序和数据完整性校验测试方法应依据附录A.3 a)测试车辆远程控制功能，并按照如下测试方法，检验测试车辆是否满足正文7.1.4的要求：篡改车端执行远程控制功能的系统的程序和数据，并下发远程控制指令，测试车辆是否告警或不执行该控制指令，并记录测试结果，应告警或不执行该控制指令。A.4.2 第三方应用安全测试方法A.4.2.1 授权第三方应用真实性完整性验证测试方法测试人员应依据附录A.3 b) 测试车辆授权第三方应用真实性和完整性校验方式，并按

30、照如下测试方法，检验测试车辆是否满足正文7.2.1的要求：a) 使用二进制工具，依据授权第三方应用真实性和完整性校验方式，篡改第三方应用程序的代码；b) 尝试安装执行篡改后的授权第三方应用程序，测试是否可以正常运行，并记录测试结果，应不可正常运行。A.4.2.2 非授权第三方应用访问控制测试方法测试人员应依据附录A.3 c) 测试车辆非授权第三方应用的访问控制机制，并按照如下测试方法， 检验测试车辆是否满足正文7.2.2的要求：a) 尝试安装并执行非授权第三方应用，测试车辆是否进行提示，并记录测试结果，应有明确提示；b) 尝试使用非授权第三方应用程序访问超出访问控制权限的资源，并记录测试结果，应不可访问控制权限外的资源。A.4.3 外部接口安全测试方法A.4.3.1 外部接口访问控制测试方法测试人员应依据附录A.3 d)测试车辆外部接口，并按照如下测试方法，检验测试车辆是否满足正文7.3.1的要求：使用非授权的用户或工具访问车辆的外部接口，测