1.汽车信息安全管理体系要求
建立企业内部管理汽车信息安全的过程
建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到处置的过程,并确保车辆风险评估保持最新状态
建立用于车辆信息安全测试的过程
建立针对车辆的网络攻击、网络威胁和漏洞的监测、响应及漏洞上报过程
建立管理企业与合同供应商、服务提供商、车辆制造商子组织之间汽车信息安全依赖关系的过程
2.信息安全基本要求
车辆产品开发流程应遵循汽车信息安全管理体系要求
车辆制造商应识别和管理车辆与供应商相关的风险
车辆制造商应识别车辆的关键要素,对车辆进行风险评估,并管理已识别的风险
车辆制造商应采取基于第7章要求的处置措施保护车辆不受风险评估中已识别的风险影响。若处置措施与所识别的风险不相关,车辆制造商应说明其不相关性。若处置措施不足以应对所识别的风险,车辆制造商应实施其他的措施,并说明其使用措施的合理性。
如有专用环境,车辆制造商应采取措施,以保护车辆用于存储和执行后装软件、服务、应用程序或数据的专用环境。
车辆制造商应通过测试来验证所实施的信息安全措施的有效性
车辆制造商应针对车辆实施相应措施,以确保具备以下能力:<br>———针对车辆网络攻击的识别能力;<br>———针对与车辆相关的网络攻击、网络威胁和漏洞的监测能力及数据取证能力。
车辆制造商应使用公开的、已发布的、有效的密码算法,应根据不同密码算法和业务场景,选择适当的参数和选项
车辆制造商应满足以下密码模块要求之一:<br>———采用符合国际、国家或行业标准要求的密码模块;<br>———未采用国际、国家或行业标准要求的密码模块,说明使用的合理性。
车辆应采用默认安全设置,如 WLAN 的默认连接口令应满足复杂度的要求
汽车数据处理活动中的数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知等要求,应符合GB/T44464—2024中4.2.2的规定
3.信息安全技术要求
外部连接安全要求
通用安全要求
车端具备远程控制功能的系统、授权的第三方应用等外部连接系统不应存在由汽车行业权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞
车辆应关闭非业务必要的网络端口
远程控制安全要求
应对远程控制指令信息进行真实性和完整性验证
应对远程控制指令设置访问控制,禁用非授权的远程控制指令
应具备记录远程控制指令的安全日志功能,安全日志记录的内容至少包括远程控制指令的时间、发送主体、远程控制对象、操作结果等,留存相关的安全日志应不少于6个月。
应对车端具备远程控制功能的系统进行完整性验证
第三方应用安全要求
应对授权的第三方应用的真实性和完整性进行验证
应对非授权的第三方应用的安装进行提示,并对已安装的非授权的第三方应用进行访问控制,限制此类应用直接访问系统资源、个人信息等
外部接口安全要求
应对车辆外部接口进行访问控制保护,禁止非授权访问
应对车辆 USB接口、SD卡接口接入设备中的文件进行访问控制,仅允许读写指定格式的文件或安装执行指定签名的应用软件
车辆应对 USB接口接入设备中的病毒风险进行处置
通过诊断接口向车辆发送关键配置及标定参数的写操作指令时,车辆应采用身份鉴别或访问控制等安全策略
通信安全要求
车辆与车辆制造商云平台通信时,应对其通信对象的身份真实性进行验证
车辆与车辆、路侧单元、移动终端等进行 V2X直连通信时,应进行证书有效性和合法性的验证
车辆应采用完整性保护机制保护除 RFID、NFC之外的外部无线通信通道
车辆应具备对来自车辆外部通信通道的数据操作指令的访问控制机制
车辆应验证所接收的外部关键指令数据的有效性或唯一性
车辆应对向车外发送的敏感个人信息实施保密性保护措施
车辆应具备安全机制防御物理操纵攻击,至少具备与外部直接无线通信的零部件的身份识别机制
车辆与外部直接无线通信的零部件应具备安全机制防止非授权的特权访问
车辆应对内部网络进行区域划分并对区域边界进行防护。车辆内部网络跨域请求应进行访问控制,并遵循默认拒绝原则和最小化授权原则
车辆应具备识别车辆通信通道遭受拒绝服务攻击的能力,并对攻击进行相应的处理
车辆应具备识别恶意的V2X数据、恶意的诊断数据的能力,并采取保护措施
应具备记录关键的通信信息安全事件日志的功能,日志存储时长应不少于6个月
软件升级安全要求
通用安全要求
车载软件升级系统应通过安全保护机制,保护车载软件升级系统的可信根、引导加载程序、系统固件不被篡改,或在被篡改后,通过安全保护机制使其无法正常启动
车载软件升级系统不应存在由汽车行业权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞
在线升级安全要求
车辆和在线升级服务器应进行身份认证,验证其身份的真实性,并在下载中断恢复时重新验证
车辆应对下载的升级包进行真实性和完整性验证
应对在线升级过程中发生的信息安全事件日志进行记录,日志存储时长应不少于6个月
离线升级安全要求
若车辆使用车载软件升级系统进行离线升级,车辆应对离线升级包真实性和完整性进行验证
若车辆不使用车载软件升级系统进行离线升级,应采取保护措施保证刷写接入端的安全性,或验证升级包的真实性和完整性
数据安全要求
车辆应采取安全访问技术或安全存储技术保护存储的对称密钥和非对称密钥中的私钥,防止其被非授权访问和获取
车辆应采取安全访问技术、加密技术或其他安全技术保护存储在车内的敏感个人信息,防止其被非授权访问和获取
车辆应采取安全防御机制保护存储在车内的 VIN 等用于车辆身份识别的数据,防止其被非授权删除和修改
车辆应采取安全防御机制保护存储在车内的关键数据,防止其被非授权删除和修改
车辆应采取安全防御机制保护存储在车内的安全日志,防止其被修改和非授权删除
车辆应具备个人信息删除功能,该功能可删除的信息不应包括法律、行政法规、强制性国家标准中规定必须保留的个人信息
车辆不应直接向境外传输数据
7.其他
参考
UN R155
《关于批准车辆信息安全和信息安全管理体系的统一规定》
GB/T 40816
《汽车信息安全通用技术要求》
GB/T 44373
《智能网联汽车 术语和定义》
GB/T44464-2024
《汽车数据通用要求》
术语
汽车信息安全:vehiclecybersecurity
汽车信息安全管理体系:cybersecuritymanagementsystem;CSMS
风险评估:risk assessment
威胁:threat
漏洞:vulnerability
车载软件升级系统:on-board software update system
在线升级:over-the-airupdate
离线升级:offlineupdate
敏感个人信息:sensitive personal information
缩略语
CAN:控制器局域网络(Controller Area Network)<br>
ECU:电子控制单元(Electronic Control Unit)
HSM:硬件安全模块(Hardware Security Module)
NFC:近场通信(Near Field Communication)
OBD:车载诊断(On-Board Diagnostics)
RFID:射频识别(Radio Frequency Identification)
USB:通用串行总线(Universal Serial Bus)
VLAN:虚拟局域网(Virtual Local Area Network)
VIN:车辆识别代号(Vehicle Identification Number)
V2X:车辆与车外其他设备之间的无线通(Vehicle to Everything)
WLAN:无线局域网(Wireless Local Area Networks)
