已发布
T/GXDSL 081—2026
车载工程系统信息安全防护技术要求
基本信息
标准编号T/GXDSL 081—2026
国家计划号
标准类型
提案主体标委会提案
牵头单位广西电子商务企业联合会
归口单位广西电子商务企业联合会
起草单位广西电力职业技术学院、北京国信城研科学技术研究院、昆仑数智科技有限责任公司、中电信数智科技有限公司、上海国信城研检测认证有限公司、上海数信安科技有限公司、上海棱镜验真科技有限公司、上海深流评测科技有限公司、上海国信安天科技有限公司、厦门云阙智联科技有限公司、吉利学院
主要起草人何弘亮、张少昌、宋西石、朱军、曲志宇、李振红、王震维、欧磊、游顺、肖凡、姜雨、刘俊丽、王辉、陈燕峰、黄哲、李丹青、王亚楠、邓志能、卓莹鎗、章意
立项日期2026-01-30
发布日期2026-03-30
标准周期2026-03-30 ~ 2026-03-30
重复率0%
应用领域
本文件规定了车载工程系统信息安全防护的总体原则、体系架构、技术要求、安全管理要求以及测试与评估方法。本文件适用于广西电子商务企业联合会、澳门青年科技交流协会会员单位及相关组织在研发、生产、运营和维护车载工程系统过程中的信息安全防护活动。中国内地相关单位与中国澳门地区相关单位可参照执行。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T35273信息安全技术个人信息安全规范GB/T37988信息安全技术数据安全能力成熟度模型YD/T3751车联网信息服务数据安全技术要求ISO/IEC27001信息技术安全技术信息安全管理体系要求(Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Requirements)ISO/SAE21434道路车辆网络安全工程(Roadvehicles—Cybersecurityengineering)术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1车载工程系统vehicleengineeringsystem集成于车辆内部,用于实现车辆控制、状态监测、诊断维护、信息交互等工程功能的电子系统、软件组件及网络通信单元的总称。3.2信息安全防护informationsecurityprotection为保护车载工程系统的信息资产(包括数据、软件、通信和服务)的保密性、完整性和可用性,以及系统的真实性和抗抵赖性,而采取的一系列技术和管理措施。3.3威胁建模threatmodeling一种结构化的方法,用于识别、量化和应对车载工程系统可能面临的安全威胁,通常涉及资产识别、攻击面分析、威胁识别与风险评估等步骤。3.4安全域securitydomain根据功能、数据敏感度、信任等级或网络边界划分的逻辑或物理区域,在区域内实施统一的安全策略和控制措施,以实现风险的隔离与控制。3.5纵深防御defenseindepth通过部署多层、异构、互补的安全防护措施,构建一个即使单层防御被突破,其他层仍能提供保护的综合性安全防护体系。3.6安全事件securityincident违反车载工程系统信息安全策略、或可能对其信息安全造成损害的事件,包括但不限于未授权访问、数据泄露、拒绝服务攻击、恶意软件感染等。3.7安全更新securityupdate为修复车载工程系统中已发现的安全漏洞或缺陷,而发布的软件补丁、固件升级或配置变更。3.8渗透测试penetrationtesting在授权的前提下,模拟恶意攻击者的技术和手段,对车载工程系统进行主动的安全性测试,以发现系统中存在的安全漏洞和脆弱点。3.9安全运营中心securityoperationscenter;SOC一个集中化的功能单元,负责对车载工程系统的安全状态进行持续监控、事件分析、威胁响应和安全管理。3.10供应链安全supplychainsecurity为确保车载工程系统从设计、开发、生产到部署、维护的全生命周期中,所涉及的硬件、软件、服务及第三方组件不引入恶意功能或安全漏洞而采取的管理和技术措施。总体原则车载工程系统的信息安全防护应遵循以下基本原则,以确保防护措施的系统性、有效性和可持续性。这些原则是构建具体技术和管理要求的基础框架。4.1安全与功能并重原则车载工程系统的信息安全设计应与功能设计同步进行,贯穿于系统规划、设计、开发、测试、生产、运营和维护的全生命周期。安全需求应作为功能性需求的重要组成部分,在系统架构设计阶段即予以充分考虑,避免事后补救。安全措施的引入不应以过度牺牲系统性能、用户体验或增加不合理成本为代价,而应寻求安全、功能、性能与成本之间的最佳平衡点。例如,在车载娱乐系统中引入通信加密时,需评估其对音视频流实时性的影响,并选择适当的加密算法和密钥管理策略。4.2纵深防御原则应基于纵深防御(3.5)理念,构建多层次、互补的安全防护体系。该体系不应依赖单一的安全机制或防护点,而应在网络边界、主机系统、应用程序、数据等各个层面部署不同类型的安全控制措施。各层防护措施应能相互协同,当某一层防护失效时,其他层应能提供额外的保护,从而增加攻击者的成本和难度,降低单点失效带来的整体风险。典型的纵深防御层次可包括:物理安全层、网络隔离层、主机加固层、应用安全层以及数据加密层。4.3最小权限原则所有车载工程系统的组件、进程、用户及服务账户,均应被授予完成其既定功能所必需的最小权限。这包括对系统资源(如内存、CPU、存储空间)、数据(如车辆状态信息、用户个人信息)和功能(如诊断接口、控制指令)的访问权限。通过实施严格的权限分离和访问控制,可以限制潜在攻击者在突破部分系统后所能造成的破坏范围,有效遏制横向移动和权限提升攻击。例如,负责车窗控制的电子控制单元(ECU)不应具有直接访问发动机管理系统的权限。4.4威胁驱动防护原则信息安全防护措施的设计与实施应基于对车载工程系统面临的真实、具体的威胁(参见附录A)的深入理解。组织应定期开展威胁建模(3.3)活动,识别关键资产、分析攻击路径、评估潜在攻击者的能力和动机。防护措施应优先针对高可能性、高影响的威胁场景进行部署,确保安全投入的针对性和有效性。这意味着防护策略应是动态的,能够随着新的威胁情报、攻击技术和系统变更而进行调整和更新。4.5安全可验证原则车载工程系统所采用的安全机制和防护措施应具备可测试性、可审计性和可验证性。安全要求应在设计文档中明确表述,并通过独立的测试与评估(见第8章)进行验证。系统应提供必要的日志记录、监控接口和诊断信息,以支持安全事件的调查、取证和持续的安全状态评估。可验证性确保了安全承诺不是“黑盒”,而是可以通过客观证据加以证明,这对于建立供应链上下游的信任至关重要。4.6持续改进原则信息安全防护是一个持续的过程,而非一次性的项目。组织应建立持续监控、风险评估和响应改进的机制。这包括定期审查和更新安全策略、及时应用安全更新(3.7)、从安全事件(3.6)中汲取教训、以及根据技术发展和威胁演变调整防护措施。安全管理体系(见第7章)应支持这一原则,确保信息安全防护能力能够与不断变化的车联网安全环境保持同步。安全防护体系架构车载工程系统的信息安全防护体系架构应从逻辑和物理两个维度进行构建,确保防护措施覆盖系统全要素和生命周期各阶段。本章描述了该体系架构的核心组件、层次关系及交互逻辑,为具体技术要求的实施提供框架指导。5.1逻辑架构逻辑架构从功能视角划分安全防护层次,明确各层的主要防护目标和措施。5.1.1感知与执行层安全感知与执行层主要包括各类传感器(如摄像头、雷达、胎压传感器)和执行器(如电机、阀门、显示屏控制器)。该层的安全防护核心是保障数据采集的真实性、控制指令的完整性与授权性。5.1.1.1应对传感器数据进行来源验证和完整性校验,防止数据欺骗攻击,例如通过注入虚假的雷达信号导致自动紧急制动(AEB)系统误判。5.1.1.2对执行器接收的控制指令必须进行强身份认证和指令校验,确保指令来自合法的控制单元且未被篡改。应实施指令速率限制和合理性检查,防止拒绝服务攻击或恶意操作导致物理设备损坏。5.1.1.3在传感器与执行器网络(如LIN总线、传感器专用接口)中,应考虑物理层安全或简单的链路层加密,防止通过物理接触进行的信号窃听或干扰。5.1.2网络与通信层安全网络与通信层负责车载网络内部(如CAN、CANFD、Ethernet、FlexRay)以及车对外界(V2X)的通信。该层安全是抵御网络攻击、实现安全域(3.4)隔离的关键。5.1.2.1应在不同安全域之间部署防火墙或网关设备,实施严格的访问控制策略,仅允许授权的通信流通过。例如,将信息娱乐域与车辆控制域进行逻辑隔离。5.1.2.2对车内关键网络通信(尤其是涉及车辆控制的指令)应实施报文认证(如MAC)和加密,确保通信的机密性和完整性,防御重放、篡改和窃听攻击。5.1.2.3车云通信及V2X通信必须使用符合行业标准的安全协议(如TLS1.2及以上、IEEE1609.2),建立安全信道,并对通信端点进行身份认证。5.1.3计算与控制层安全计算与控制层涵盖各类电子控制单元(ECU)、域控制器、车载计算平台等。该层安全聚焦于计算平台自身的安全加固和可信执行环境。5.1.3.1关键ECU应具备安全启动功能,确保系统从硬件信任根开始,逐级验证引导程序、操作系统及应用程序的完整性与真实性,防止恶意固件植入。5.1.3.2应启用操作系统或实时操作系统(RTOS)提供的安全机制,如地址空间布局随机化(ASLR)、数据执行保护(DEP)、最小权限访问控制等。5.1.3.3对于处理敏感数据(如加密密钥、生物特征)或执行关键安全功能(如自动驾驶决策)的模块,应优先部署在硬件安全模块(HSM)或可信执行环境(TEE)中。5.1.4应用与服务层安全应用与服务层包括车载信息娱乐应用、远程诊断服务、OTA升级服务、第三方应用等。该层安全关注应用自身的安全性和对外提供服务的接口安全。5.1.4.1所有应用程序的开发应遵循安全编码规范,并在发布前进行代码安全审计和漏洞扫描,消除常见漏洞(如缓冲区溢出、SQL注入)。5.1.4.2应用程序对系统资源(如网络、文件、传感器)的访问必须通过明确的权限管理框架进行申请和授权,用户应有知情权和选择权。5.1.4.3对外提供的服务接口(API)必须进行身份认证、授权和输入验证,并实施速率限制和异常行为监控,防止接口被滥用。5.1.5数据安全层数据安全层贯穿于以上各层,专注于数据在其全生命周期(产生、传输、存储、使用、共享、销毁)中的保护。5.1.5.1应根据数据分类分级策略(如公开、内部、敏感、机密),对不同类型的车载数据采取差异化的保护措施,特别是对个人信息和车辆行驶安全相关数据。5.1.5.2静态数据(如存储在ECU闪存、T-Box存储卡中的数据)应进行加密存储;动态数据(如网络传输中的数据)应进行加密传输。5.1.5.3应建立数据访问日志,记录对敏感数据的访问行为,以便于审计和事件追溯。5.2物理架构物理架构描述安全防护组件在车辆物理实体中的部署与关联。5.2.1车内网络安全区域划分根据功能安全与信息安全需求,将车内网络划分为多个物理或逻辑区域,如动力总成域、底盘域、车身域、信息娱乐域和智能驾驶域。区域之间通过具备安全功能的网关(安全网关)进行连接。安全网关应集成防火墙、入侵检测/防御系统(IDS/IPS)及报文过滤规则,严格控制跨域通信。5.2.2关键安全硬件部署关键安全硬件是构建可信基的基础,其部署位置需精心设计。5.2.2.1硬件安全模块(HSM)应部署在对安全要求最高的域控制器或关键ECU中,用于保护根密钥、执行密码运算、提供安全存储和可信度量。5.2.2.2可信平台模块(TPM)或类似硬件信任根应集成在核心计算平台上,为安全启动、远程认证、完整性报告提供硬件级支持。5.2.2.3用于V2X通信的专用硬件安全模块(如支持IEEE1609.2的OBU安全芯片)应独立部署,确保车外通信的安全隔离与高性能密码处理。5.2.3外部接口安全防护对车辆所有对外物理接口(如OBD-II诊断接口、USB充电/数据接口、SD卡槽、SIM卡槽)进行安全管控。5.2.3.1诊断接口应具备访问控制机制,仅允许授权的诊断工具在特定模式下(如车间模式)进行访问,并记录所有诊断会话日志。5.2.3.2数据接口(如USB)应限制其功能,默认仅提供充电功能,如需数据传输功能需经用户明确授权并在受控环境下进行文件类型检查和病毒扫描。5.3管理支撑架构管理支撑架构为技术防护措施的有效运行提供流程、策略和人员保障,与第7章“安全管理要求”紧密衔接。该架构包括集中式的安全策略管理平台、分布式的事件采集代理、安全运营中心(SOC,3.9)接口以及贯穿供应链的安全信息共享机制。它负责安全策略的下发、安全状态的监控、安全事件的收集与分析、威胁情报的集成以及安全更新(3.7)的分发管理,确保技术防护体系能够动态响应安全态势变化。技术要求本章规定了为实现第5章所述安全防护体系架构,车载工程系统在具体技术层面应满足的安全要求。技术要求覆盖硬件、软件、通信、数据及更新等关键环节,是评估系统安全防护能力的核心依据。各项要求的实施应结合附录B中规定的安全防护等级进行差异化部署。6.1硬件安全要求硬件是信息安全的基础,应确保计算平台和关键组件的物理与逻辑安全。6.1.1安全启动与可信根车载工程系统的关键计算单元(如域控制器、网关、具备复杂功能的ECU)应支持基于硬件的安全启动机制。6.1.1.1系统应具备不可篡改的硬件信任根(如eFuse、OTP存储器、专用安全芯片),用于存储验证引导过程所需的根密钥或证书。6.1.1.2启动过程应形成完整的信任链,从硬件信任根开始,逐级验证引导加载程序(Bootloader)、操作系统内核、系统服务及关键应用程序的完整性和真实性。任何一级验证失败,系统应进入安全恢复模式或限制功能运行。6.1.1.3安全启动的状态和度量结果应能被外部可信实体(如远程管理平台)查询和验证,支持远程证明。6.1.2硬件安全模块处理高敏感操作或数据的硬件应集成或外接硬件安全模块(HSM)。a)HSM应具备以下基本功能:1)安全的密钥生成、存储、导入/导出和销毁;2)高性能的对称与非对称密码运算(如AES,RSA,ECC);3)真随机数生成;4)防物理探测和旁路攻击的防护措施。a)HSM的访问应通过严格的访问控制策略进行管理,非授权软件无法直接读写其内部受保护的存储区域。b)用于V2X通信、数字证书管理、车辆唯一标识保护的密钥,必须存储在HSM中。6.1.3物理防护与防篡改硬件设计应考虑物理层面的安全防护。6.1.3.1对关键安全硬件(如HSM、安全网关主板)应采取物理封装措施,如使用防拆外壳、安全封条或灌封胶,一旦被非法打开应能触发自毁或清除敏感数据机制,并记录篡改事件。6.1.3.2电路设计应包含电压、频率、温度监测等环境异常检测机制,当检测到可能由故障攻击或旁路攻击引发的异常条件时,应采取保护措施(如复位、关机或清除易失性密钥)。6.2软件安全要求软件是功能实现的核心,也是主要攻击面,必须从开发到运行全程保障其安全。6.2.1安全开发车载工程系统软件(包括固件、操作系统、中间件、应用程序)的开发过程应融入安全实践。a)应遵循安全编码规范,避免引入已知的软件安全漏洞(如CWETop25中列出的漏洞)。b)在开发阶段,应对源代码进行静态应用程序安全测试(SAST),对编译后的二进制文件进行软件成分分析(SCA)以识别已知漏洞的第三方库。c)在测试阶段,应进行动态应用程序安全测试(DAST)和交互式应用程序安全测试(IAST),模拟运行时攻击。6.2.2运行环境安全软件运行的操作系统或实时操作系统环境应进行安全加固。6.2.2.1应启用并合理配置操作系统的安全特性,包括但不限于:访问控制列表(ACL)、权限分离、地址空间布局随机化(ASLR)、栈保护(StackCanaries)、数据执行保护(DEP/NX)。6.2.2.2系统服务和非必要进程应以最小权限运行。应用程序的权限应通过明确的权限模型(如AndroidAutomotive的权限系统)进行管理,用户对敏感权限的授予应有明确的知情和同意流程。6.2.2.3应具备安全日志记录功能,记录关键的安全事件,如权限变更、系统调用失败、异常进程行为等。日志应受到保护,防止非授权删除或篡改。6.2.3应用安全车载应用程序,特别是来自第三方或后装市场的应用,应满足额外的安全要求。6.2.3.1应用程序上架前应通过严格的安全审核,包括代码审计、漏洞扫描和恶意行为检测。6.2.3.2应用程序应运行在沙箱或容器环境中,限制其对系统资源和其他应用数据的跨域访问。6.2.3.3应用程序与系统服务或其他应用之间的通信,应使用安全的进程间通信(IPC)机制,并进行身份验证和授权检查。6.3通信安全要求通信安全是保障车内外数据交换可信的基础。6.3.1车内网络通信安全车内网络(如CAN,CANFD,Ethernet,FlexRay)应根据通信内容的安全等级采取相应的保护措施。a)对于涉及车辆控制、安全关键状态信息的通信,必须实施报文级安全保护,至少包括:1)报文认证:使用消息认证码(MAC)或数字签名确保报文的完整性和来源真实性。2)新鲜性保护:使用序列号或时间戳防止报文重放攻击。a)对于带宽允许的网络(如车载以太网),可考虑对通信内容进行加密以实现机密性。b)网络网关应具备深度报文检测和过滤能力,能够根据预定义的安全策略阻断异常或恶意的网络流量。6.3.2车外通信安全车辆与外部实体(如云平台、其他车辆、路侧设备、移动设备)的所有通信连接必须建立安全信道。6.3.2.1应使用行业标准的安全通信协议,如:a)车云通信:使用TLS1.2或更高版本,并正确配置密码套件,禁用不安全的协议版本和算法。b)V2X通信:遵循IEEE1609.2标准,使用经过认证的证书进行身份认证和报文签名/加密。6.3.2.2通信端点的身份必须通过基于公钥基础设施(PKI)的数字证书进行强认证。车辆应具备唯一的、受硬件保护的设备标识和对应的证书。6.3.2.3应建立安全的密钥管理机制,用于协商会话密钥、更新证书和撤销被泄露的凭证。6.4数据安全要求数据安全要求关注数据在全生命周期内的保护。6.4.1数据分类分级组织应建立车载数据分类分级策略,至少区分以下类别:车辆控制指令数据、车辆状态与传感器数据、用户个人信息、日志与诊断数据。每类数据应根据其敏感程度(如公开、内部、敏感、机密)确定相应的保护级别。6.4.2数据保护技术应根据数据的分级结果,采用适当的技术措施进行保护。a)存储保护:1)敏感和机密级别的静态数据(如长期存储的密钥、用户生物特征模板)必须进行加密存储,加密密钥不得以明文形式存储在通用文件系统中。2)存储介质在报废或回收前,应进行安全的数据擦除。a)传输保护:数据在网络传输中的保护应符合6.3的要求。b)使用与处理保护:1)数据在内存中处理时,应尽量减少明文驻留时间,处理完毕后及时清除。2)对个人信息的处理应符合GB/T35273的要求,包括目的明确、最小必要、公开透明等原则。3)数据共享给第三方时,应进行脱敏或匿名化处理,并签订数据安全协议。6.5更新安全要求安全更新(3.7)是修复漏洞、持续提升安全能力的关键手段,其过程本身必须是安全的。6.5.1更新包安全所有软件/固件更新包在分发前必须进行严格的安全处理。6.5.1.1更新包必须进行数字签名,签名私钥应得到严格保护。车载端在安装前必须验证更新包的数字签名和完整性,确保其来自可信的发布者且未被篡改。6.5.1.2更新包应采用加密方式分发,防止在传输过程中被窃取。6.5.1.3更新包应包含版本依赖性和兼容性检查信息,防止因版本错误导致系统故障。6.5.2更新过程安全更新过程的执行必须可靠、可控。a)更新机制应支持断点续传和回滚功能。如果更新失败,系统应能自动回退到上一个已知良好的版本,确保车辆基本功能可用。b)关键安全更新(如修复远程执行漏洞)应具备强制或高优先级安装机制。对于非紧急更新,应提供用户可选的安装时间窗口。c)整个更新过程应有详细的日志记录,包括更新包验证结果、安装进度、成功/失败状态等,并能够上报至管理平台。d)更新操作不应在车辆行驶过程中进行,除非是针对特定模块且经过充分验证不影响行车安全的极小规模更新,且需有明确提示和用户确认。安全管理要求技术防护措施的有效性依赖于健全的管理体系。本章规定了组织在车载工程系统全生命周期中应建立和实施的信息安全管理要求,涵盖策略、组织、流程和供应链等方面,旨在将信息安全融入日常运营和治理结构。7.1安全策略与组织组织应建立明确的信息安全方针,并配备相应的组织架构和职责以推动其落实。7.1.1信息安全方针最高管理层应批准并发布组织的信息安全方针,该方针应:a)与组织的业务目标和车联网安全风险相适应。b)明确信息安全管理的总体目标、原则和基本框架。c)承诺遵守相关的法律法规、标准及合同要求。d)建立信息安全管理体系(ISMS)持续改进的框架。e)以适当的方式传达给所有员工及相关方。7.1.2组织与职责应建立清晰的信息安全管理组织,明确相关角色和职责。6.1.2.1应任命一名信息安全负责人,全面负责组织内车载工程系统信息安全工作的规划、协调、监督和汇报。该负责人应具备足够的权限和资源履行职责。6.1.2.2应明确各业务部门(如研发、生产、运维、质量)在信息安全方面的具体职责,确保安全要求融入其业务流程。例如,研发部门负责安全编码和测试,运维部门负责安全监控和事件响应。6.1.2.3应建立跨部门的信息安全协调机制,定期召开会议,沟通安全状况、评审风险和处理重大安全事项。7.2资产管理与风险评估识别和保护信息资产是安全管理的基础,而风险评估是确定防护重点的科学方法。7.2.1资产识别组织应识别所有与车载工程系统相关的信息资产,并建立和维护资产清单。资产清单应包括但不限于:a)硬件资产:各类ECU、传感器、执行器、网关、T-Box、通信模块等。b)软件资产:操作系统、固件、应用程序、开发工具、第三方库等。c)数据资产:车辆控制数据、传感器数据、用户个人信息、日志数据、密钥与证书等。d)服务资产:远程诊断服务、OTA升级服务、云平台服务等。对于每项资产,应明确其所有者、存放位置、安全分类等级及关键性。7.2.2风险评估组织应建立并定期执行正式的风险评估流程,该流程应符合ISO/SAE21434等相关标准的要求。6.2.2.1风险评估应基于威胁建模(3.3),系统性地识别资产面临的威胁、存在的脆弱性以及潜在的影响。6.2.2.2应对识别出的风险进行分析和评价,确定风险等级(通常基于可能性和影响)。风险评价准则应事先定义并获得批准。6.2.2.3应根据风险评价结果,制定并实施相应的风险处置计划。风险处置方式包括:通过实施本标准第6章的技术要求降低风险、转移风险、避免风险或在充分知情并批准后接受风险。6.2.2.4风险评估应是一个持续的过程。当发生重大变更(如新系统上线、架构调整、发现新威胁)时,应重新进行风险评估。7.3人员安全与意识培训人员是安全中最活跃的因素,也是潜在的薄弱环节。7.3.1人员审查与职责分离对于接触敏感信息或承担关键安全职责的岗位(如安全开发工程师、密钥管理员、SOC分析师),应在雇佣前进行必要的背景审查。应实施职责分离原则,确保单人无法独立完成可能危及安全的关键操作(如同时具备代码提交和发布的权限)。7.3.2安全意识教育与培训组织应制定并实施持续的信息安全意识、教育和培训计划。a)所有员工(包括管理层)均应接受与其角色相适应的基础信息安全意识培训,内容涵盖组织安全方针、基本安全实践(如密码管理、社会工程学防范)和报告安全事件的流程。b)从事车载工程系统设计、开发、测试、运维等工作的技术人员,应接受专业的安全技能培训,内容应涵盖安全编码、安全测试方法、漏洞分析、应急响应等。c)培训应定期进行,并评估其有效性。当安全策略、技术或威胁环境发生重大变化时,应及时更新培训内容。7.4供应链安全管理车载工程系统的安全高度依赖供应链(3.10),必须对供应商和第三方组件进行安全管理。7.4.1供应商安全评估在选择供应商(包括硬件供应商、软件供应商、服务提供商)时,应将信息安全能力作为重要的评估指标。6.4.1.1应要求关键供应商提供其信息安全管理的证明,如通过ISO/IEC27001认证、遵循ISO/SAE21434开发流程等。6.4.1.2应对供应商提供的产品或服务进行安全测试和评估,确保其满足合同约定的安全要求。6.4.1.3应与供应商签订包含明确信息安全责任、事件通报、漏洞协同处理等条款的协议。7.4.2第三方组件管理对集成到车载工程系统中的第三方软件库、开源组件、硬件IP核等,应建立管理流程。a)应建立和维护使用的第三方组件清单,记录其名称、版本、来源、已知漏洞等信息。b)应定期对清单中的组件进行漏洞扫描,跟踪其官方安全公告。发现漏洞后,应评估其对自身系统的影响,并制定修复或缓解计划。c)在可能的情况下,应优先选择有活跃社区支持、安全更新及时的组件。7.5运维安全与事件管理系统进入运营阶段后,需通过持续的监控和有效的事件响应来维持安全状态。7.5.1安全运维应建立安全运维规程,确保生产环境的稳定与安全。6.5.1.1对生产系统的任何变更(包括配置变更、软件更新、补丁安装)都应通过正式的变更管理流程进行审批、测试和记录。6.5.1.2应定期对系统进行安全检查和漏洞扫描,及时发现和修复安全配置问题。6.5.1.3应建立备份与恢复策略,定期备份关键系统和数据,并测试恢复流程的有效性,以应对勒索软件攻击或系统故障。7.5.2安全事件管理组织应建立正式的安全事件(3.6)管理程序,确保能够及时有效地检测、响应、恢复并从事件中学习。a)事件检测与报告:应部署监控工具(如IDS、SIEM)并鼓励员工报告可疑事件。应设立明确的事件报告渠道。b)事件响应:应制定应急预案,成立应急响应小组。事件发生后,应能迅速评估影响、遏制事态、根除原因、恢复系统。c)事件调查与改进:应对重大安全事件进行根本原因分析,识别体系中的不足,并采取纠正和预防措施,更新策略和流程,防止类似事件再次发生。d)事件通报:应根据法律法规和合同要求,在必要时向监管机构、用户及相关方通报安全事件。测试与评估为确保车载工程系统满足本文件规定的安全防护要求,必须通过系统性的测试与评估进行验证。本章规定了测试与评估的目标、类型、方法、流程以及结果判定准则,为实施方和评估方提供统一的验证框架。8.1测试与评估目标测试与评估活动应旨在客观、全面地验证车载工程系统信息安全防护措施的有效性、合规性和健壮性。具体目标包括:a)验证技术要求(第6章)中规定的各项安全机制是否被正确实现并有效运行。b)评估安全管理要求(第7章)所建立的流程和制度是否得到有效执行。c)发现系统中存在的设计缺陷、实现漏洞和配置错误等安全隐患。d)评估系统在面临模拟攻击时的实际防护能力和恢复能力。e)为系统安全防护等级的最终认定(参见附录B)提供客观证据。8.2测试类型与方法应根据测试目标和对象的不同,采用多种测试类型与方法相结合的策略。8.2.1文档审查文档审查是通过检查各类设计、开发和管理文档来评估安全性的静态方法。8.2.1.1应审查的文档包括但不限于:系统安全需求规格说明书、威胁建模报告、安全架构设计文档、接口安全规范、源代码安全审计报告、第三方组件清单、安全测试计划与报告、应急响应预案、安全培训记录等。8.2.1.2审查重点在于确认文档的完整性、一致性,以及是否体现了本文件及相关标准(如ISO/SAE21434)的要求。例如,检查安全需求是否覆盖了已识别的威胁,安全设计是否遵循了最小权限原则。8.2.2静态分析静态分析是在不运行代码的情况下,通过分析源代码、字节码或二进制文件来发现潜在安全问题的技术。a)源代码静态分析(SAST):应用于自研软件,用于发现编码规范违反、内存管理错误、输入验证缺失、密码学误用等漏洞。b)软件成分分析(SCA):用于识别软件中使用的第三方库和开源组件,并关联其已知的公开漏洞(CVE)。c)二进制静态分析:当无法获得源代码时,可通过反汇编、反编译等技术对固件或二进制文件进行分析,查找可疑代码模式、硬编码密钥等。8.2.3动态测试动态测试通过在与真实环境相似或相同的环境中运行系统,并输入特定的测试用例来观察其反应。8.2.3.1漏洞扫描:使用自动化工具对系统的网络服务、应用程序接口(API)、Web界面等进行扫描,发现常见的配置漏洞和已知类型的漏洞(如OWASPTop10)。8.2.3.2模糊测试:向系统接口(包括网络协议、文件解析、API参数)输入大量非预期、随机或变异的畸形数据,以触发潜在的崩溃、异常或安全漏洞,尤其适用于发现解析类漏洞。8.2.3.3通信协议测试:针对车内网络(CAN,Ethernet等)和车外通信(TLS,V2X等)协议,测试其实现是否符合安全规范,是否能够抵御重放、篡改、中间人攻击等。8.2.4渗透测试渗透测试(3.8)是在授权和可控范围内,模拟真实攻击者的思维、技术和工具,对目标系统进行主动的、深入的攻击性安全测试。a)黑盒测试:测试人员在仅了解系统公开信息的情况下进行测试,模拟外部攻击者的视角。b)白盒测试:测试人员拥有系统的完整信息(如架构图、源代码、设计文档),旨在发现更深层次的设计逻辑缺陷和组合漏洞。c)灰盒测试:介于黑盒与白盒之间,测试人员拥有部分系统信息(如用户权限、接口说明)。渗透测试应覆盖所有关键攻击面,包括远程攻击面(如车云接口、蓝牙、Wi-Fi)、本地攻击面(如USB接口、诊断接口)和物理攻击面(如拆解ECU)。8.2.5红队演练红队演练是一种更高级、更贴近实战的评估形式,通常由独立的专业红队,在蓝队(防御方)不知情或部分知情的情况下,发起多维度、持续性的模拟攻击。其目的不仅是发现漏洞,更是评估组织的整体监测、响应和恢复能力。演练场景可模拟高级持续性威胁(APT),涉及社会工程学、供应链攻击等多种手段。8.3测试流程测试与评估活动应遵循结构化的流程,以确保其系统性和可重复性。8.3.1计划与准备阶段本阶段主要确定测试范围、目标、资源和方法。8.3.1.1制定详细的测试计划,明确测试依据(本标准)、测试对象(具体系统或组件)、测试类型、测试环境要求、时间安排和人员分工。8.3.1.2组建测试团队,确保团队成员具备相应的技能和经验。对于渗透测试和红队演练,应确保获得组织最高管理层的书面授权。8.3.1.3搭建与生产环境尽可能一致的测试环境,包括车辆硬件在环(HIL)或完整的实车环境。8.3.2执行与分析阶段本阶段按照测试计划执行各项测试,并记录、分析结果。a)执行测试用例,详细记录测试步骤、输入数据、系统响应和观察到的现象。b)对发现的所有异常现象进行深入分析,区分是安全漏洞、功能缺陷还是环境问题。对于潜在漏洞,应尝试复现并评估其可利用性和潜在影响。c)在渗透测试和红队演练中,如果获得未授权访问权限,应在记录证据后立即停止进一步入侵,避免对测试环境造成不必要的损害。8.3.3报告与修复阶段本阶段产出测试结论并推动问题修复。6.3.3.1编制详细的测试报告。报告应至少包括:测试概述、测试方法、发现的安全问题列表(每个问题应描述漏洞详情、风险等级、复现步骤、影响分析和修复建议)、整体安全评估结论以及附录(如测试日志、截图等证据)。6.3.3.2将测试报告提交给开发方或系统所有者。开发方应根据报告中的修复建议制定修复方案,并在修改后安排回归测试,以验证漏洞已被有效修复。6.3.3.3所有测试文档、原始数据和报告应作为安全证据妥善保存,保存期限应符合组织规定和相关法规要求。8.4评估准则与结果判定应根据测试发现的问题及其严重程度,对系统的安全防护水平进行综合判定。8.4.1漏洞风险等级划分发现的安全问题应根据其技术影响和可利用性进行风险等级划分。通常可采用“高危”、“中危”、“低危”、“信息”四级分类法。划分准则应事先定义,例如:a)高危:可直接导致车辆控制权被远程夺取、大规模用户数据泄露、系统完全瘫痪等严重后果的漏洞。b)中危:可能导致局部功能失效、敏感信息泄露但范围有限、或需要较高攻击前提的漏洞。c)低危:安全影响较小,或仅涉及最佳实践违反的漏洞。d)信息:不构成直接安全风险,但可能有助于攻击者了解系统的配置或结构信息。8.4.2整体符合性判定在综合所有测试活动结果的基础上,应对系统符合本文件要求的程度做出判定。判定结论可分为:a)符合:未发现高危和中危漏洞,或已发现的此类漏洞均已按照要求完成修复并通过验证;安全管理要求得到有效落实。b)基本符合:存在少量中危或低危漏洞,但已制定明确的修复计划;安全管理要求基本落实,存在个别待改进项。系统在采取相应风险缓解措施后可投入运行。c)不符合:存在未修复的高危漏洞;或安全管理要求存在严重缺失。系统在安全问题解决前不应投入正式运行。最终的安全防护等级认定,应基于符合性判定结果,并参照附录B的要求进行。附录A(资料性)车载工程系统典型安全威胁场景本附录列举了车载工程系统在生命周期中可能面临的典型安全威胁场景,旨在为组织进行威胁建模(3.3)、风险评估(7.2.2)和安全测试(第8章)提供参考。这些场景基于行业常见的攻击路径和脆弱点归纳而成,但并非穷尽所有可能。A.1远程攻击场景此类攻击通过无线通信接口或互联网连接发起,无需物理接触车辆。A.1.1车云通信接口攻击攻击者利用车云通信服务(如远程控制、状态查询、OTA)的漏洞实施攻击。a)场景描述:攻击者发现车辆远程信息处理单元(T-Box)与云平台通信的API存在未授权访问漏洞,或利用弱口令、会话劫持等手段,非法接入云平台。进而通过云平台向车辆发送恶意指令,如远程解锁车门、启动引擎、禁用安全系统(如ABS、ESP),或窃取存储在云端的车辆轨迹、用户个人信息等数据。b)相关脆弱点:不安全的API设计、弱身份认证、不充分的访问控制、传输未加密或使用弱加密协议、云平台自身安全漏洞。A.1.2车载信息娱乐系统攻击攻击者通过车载信息娱乐系统(IVI)的无线连接功能(如Wi-Fi、蓝牙)或蜂窝网络接口作为跳板。a)场景描述:攻击者利用IVI系统中媒体播放器或浏览器的漏洞,通过诱使用户连接恶意Wi-Fi热点、播放特制媒体文件或访问恶意网页,在IVI上执行恶意代码。成功控制IVI后,进一步利用IVI与车内其他域(如车身域、动力域)之间的网络连接(如果隔离不充分),发起针对关键ECU的攻击,实现横向移动。b)相关脆弱点:IVI应用软件漏洞(缓冲区溢出、命令注入)、操作系统未及时更新、IVI与安全关键域之间缺乏有效的网络隔离(防火墙/网关策略缺失)。A.1.3OTA升级过程攻击攻击者在软件空中升级(OTA)过程中进行劫持或篡改。a)场景描述:攻击者通过中间人攻击(MITM)劫持车辆与OTA服务器的通信链路,将合法的更新包替换为包含后门或恶意功能的篡改包。或者,攻击者利用OTA服务器或分发网络的安全漏洞,直接污染更新源。车辆在未严格验证更新包签名和完整性的情况下安装恶意更新,导致系统被完全控制。b)相关脆弱点:OTA通信未使用强加密和认证、更新包未进行数字签名或签名验证机制存在缺陷、升级过程缺乏完整性校验和回滚机制。A.2近距离攻击场景此类攻击需要攻击者在车辆物理附近,利用短距离无线通信或物理接口。A.2.1诊断接口(OBD-II)滥用攻击者通过车辆的标准诊断接口进行未授权访问。a)场景描述:攻击者(如非授权维修人员、恶意租车用户)物理接入OBD-II端口,使用通用或改装的诊断工具,绕过访问控制直接读取敏感数据(如里程、故障码)、刷写恶意固件到ECU、或发送未经授权的控制指令(如修改发动机参数、禁用安全气囊),从而危害车辆安全或进行欺诈。b)相关脆弱点:诊断接口缺乏强身份认证和权限管理、诊断协议未加密或认证、ECU固件未进行签名验证。A.2.2无线钥匙与无钥匙进入系统攻击攻击者针对车辆的遥控钥匙(RKE)或被动无钥匙进入(PKE)系统进行攻击。a)场景描述:1)重放攻击:攻击者截获车主锁车时发出的射频信号,并在车主离开后重新播放该信号,实现解锁。2)中继攻击:攻击者使用信号中继设备,放大和转发车主钥匙与车辆之间的认证信号,即使钥匙在远处(如家中),也能欺骗车辆认为钥匙在附近,从而解锁并启动车辆。3)滚动码破解:攻击者分析并预测钥匙使用的滚动码算法,生成有效的解锁信号。a)相关脆弱点:使用弱加密或未加密的射频协议、滚动码算法存在缺陷、系统缺乏针对中继攻击的检测机制(如测距)。A.2.3胎压监测系统(TPMS)攻击攻击者干扰或欺骗TPMS传感器。a)场景描述:攻击者使用廉价的射频设备,模拟TPMS传感器向车辆接收器发送虚假的低胎压报警信号,诱使驾驶员停车检查,从而制造抢劫或盗窃机会。或者,发送大量伪造信号进行拒绝服务攻击,淹没接收器,使其无法接收真实的胎压警报。b)相关脆弱点:TPMS通信未加密、未认证,传感器ID易于伪造或猜测。A.3内部/供应链攻击场景此类攻击源于恶意的内部人员或供应链环节引入的隐患。A.3.1恶意内部人员拥有系统访问权限的内部员工滥用其权限实施破坏或窃密。a)场景描述:开发人员在源代码中故意植入后门逻辑;生产线上员工在烧录固件时刷入未经授权的版本;运维人员利用管理权限窃取用户数据或篡改系统配置。由于内部人员熟悉系统架构和安全措施,此类攻击往往难以检测。b)相关脆弱点:缺乏有效的职责分离、权限管理过于宽松、操作行为缺乏审计日志、员工安全意识不足。A.3.2恶意硬件/软件组件在供应链中被植入恶意功能的硬件或软件组件。a)场景描述:供应商提供的ECU芯片中集成了未声明的硬件后门;第三方软件库(如开源或商业库)中被故意植入了恶意代码;预装的应用程序存在收集用户数据或开放后门的功能。这些恶意组件在车辆出厂时即已存在,可能在特定条件下被远程激活。b)相关脆弱点:缺乏严格的供应商安全评估流程、未对第三方组件进行安全审查和持续监控、硬件设计缺乏防篡改和可信验证机制。A.4物理攻击场景攻击者通过直接物理接触和操作车辆硬件实施攻击。A.4.1ECU拆解与逆向工程攻击者拆解车辆,获取ECU等硬件,在实验室环境中进行深度分析。a)场景描述:攻击者通过物理方式从车辆上拆除目标ECU,使用调试接口(如JTAG、SWD)读取其内部存储的固件和敏感数据(如加密密钥),或通过芯片解封装和探针技术进行硬件逆向工程。获取的信息可用于发现软件漏洞、克隆ECU或伪造身份。b)相关脆弱点:ECU缺乏物理防拆保护、调试接口未禁用或缺乏访问控制、敏感数据未在硬件安全模块(HSM)中存储、固件未进行混淆或加密。A.4.2总线注入与监听攻击者物理接入车内网络总线,直接与ECU通信。a)场景描述:攻击者通过刺破线束或接入诊断接口等方式,将设备连接到CAN总线等车内网络上。随后可以:1)监听总线流量,分析通信协议,窃取车辆状态和传感器数据。2)向总线注入伪造的控制指令报文,欺骗ECU执行非法操作(如突然制动、转向)。a)相关脆弱点:车内网络通信缺乏报文级认证和加密、网络拓扑缺乏入侵检测机制、物理线束缺乏防篡改保护。附录B(规范性)安全防护等级划分与要求本附录规定了车载工程系统安全防护等级的划分方法、各等级的核心特征以及对应的差异化技术要求。本附录是第6章“技术要求”的补充和细化,在具体实施时应结合本附录的等级要求,确定适用的安全防护措施。B.1等级划分根据车载工程系统所处理数据的关键性、所实现功能的安全影响程度以及系统遭受攻击后可能造成的危害范围,将安全防护等级划分为三级,从低到高依次为:基础防护级(L1)、增强防护级(L2)、核心防护级(L3)。等级划分依据见表B.1。表B.1安全防护等级划分依据考量维度基础防护级(L1)增强防护级(L2)核心防护级(L3)功能安全影响无直接影响。系统失效不会导致车辆违反安全目标(如不会直接导致碰撞、失控)。间接影响。系统失效可能通过影响驾驶员判断或车辆部分辅助功能,间接增加安全风险。直接影响。系统是车辆主动安全、自动驾驶或关键控制功能的组成部分,其失效可能直接导致车辆违反安全目标。数据敏感性主要处理公开或内部数据,不含个人信息或仅含去标识化的低敏感度个人信息。处理包含个人身份信息、车辆运行状态等敏感数据。处理高敏感数据,如生物特征、精确轨迹、远程控制指令、安全关键算法参数等。攻击潜在危害危害局限于功能体验下降、轻微财产损失(如娱乐服务中断)。可能导致个人隐私泄露、车辆部分功能被干扰或滥用、造成一定财产损失。可能导致人身伤害、重大财产损失、大规模数据泄露、公共安全事件或车辆被完全非法控制。
行业现状
数字技术的迭代速度远超标准制定周期,标准体系建设需要兼顾前瞻性和实用性。工业互联网和产业数字化的深入推进对数据互通共享提出了更高要求,统一的标准体系亟待建立。在车载工程系统信息安全防护技术要求领域,当前行业实践中普遍存在操作流程不统一、质量参差不齐、缺乏系统化指导等问题,各相关方对规范化管理的呼声日益强烈。国家相关政策和法规的相继出台为行业规范化发展指明了方向,但在具体执行层面仍缺乏统一的技术遵循。标准化建设在该领域的深化推进,将为行业参与者提供清晰的发展指引和评价依据,降低交易成本,提升整体效能。
立项背景
暂无内容
预期效益
暂无内容