信息安全技术 汽车电子系统网络安全指南
Information security technology -- Cybersecurity guide for automotive electronics systems
1 范围
本标准给出了汽车电子系统网络安全活动框架,以及在此框架下的汽车电子系统网络安全活动、组织管理和支撑保障等方面的建议。
本标准适用于指导整车厂、零部件供应商、软件供应商、芯片供应商以及各种服务提供商等汽车电子供应链上各组织机构开展网络安全活动,指导相关人员在从事汽车电子系统的设计开发、生产、运行和服务等过程中满足基本的网络安全需求。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336-2015(所有部分) 信息技术 安全技术 信息技术安全评估准则
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇
GB/T 30279-2013 信息安全技术 安全漏洞等级划分指南
GB/T 31167-2014 信息安全技术 云计算服务安全指南
GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南
GB/T 31722-2015 信息技术 安全技术 信息安全风险管理
3 术语和定义
GB/T 29246-2017界定的以及下列术语和定义适用于本文件。
3.1
汽车电子系统
在汽车中通过电子技术实现控制或服务的系统,是一类应用于汽车领域的嵌入式系统,包含车体控
制电子系统和车载服务电子系统。
注1:车体控制电子系统与车上机械系统配合使用,包括发动机控制系统、底盘控制系统、车身电子控制系统等。
注2:车载服务电子系统能够独立于汽车环境使用,包括车载信息娱乐系统及个人设备交互信息系统等。
3.2
未决问题
在进行安全性评估时,现有网络安全控制措施不能降低或不确定能够降低的网络安全威胁,以及需
要在后续过程中进一步分析和处理的问题。
3.3
系统上下文
定义系统软硬件接口、关键数据流、存储和信息处理等内容的集合。
3.4
攻击树分析
由系统应用层出发,分析攻击者可能进行的攻击路径的方法。
3.5
信息物理系统
由计算部件和物理控制部件组成的系统。
3.6
信息物理车辆系统
在系统的计算部件和物理部件以及系统周围环境之间存在紧密耦合的车辆嵌入式控制系统。
3.7
网络安全状况说明
在所有的阶段检查完成后,在产品即将正式发布的生产环节之前进行的网络安全评估,为每一个设
计和开发的特性提供其满足网络安全目标的结论与证据。
3.8
网络安全目标
从威胁分析和风险评估结果中获得的,针对某系统功能特性需要达到的网络安全目标。
注:网络安全目标是最高抽象层次的安全需求,在产品的开发阶段将会以它(们)为基础导出具体功能的和技术的网络安全需求。
3.9
信任边界
程序的数据或执行流的“信任”级别发生改变的边界。
注:一个执行流的信任边界可以是在一个应用的权限被提升的地方。
4 缩略语
下列缩略语适用于本文件。
CAN:控制域网络
ECU:电子控制单元
FOTA:固件空中下载
IVI:车载信息娱乐系统
JTAG:联合测试访问组
MISRA:汽车工业软件可靠性协会
OBD:车载诊断系统
SIM:用户身份模块
SOTA:软件空中下载
T-BOX:智能网联汽车的通信网关
USB:通用串行总线
V2X:车对车、车对外界的信息交换
5 汽车电子系统网络安全活动框架
5.1 概述
汽车电子系统网络安全活动框架如图1所示,包含汽车电子系统网络安全活动、组织管理以及支撑保障,其中网络安全活动是框架的核心,主要是指在汽车电子系统生命周期各阶段开展的相关安全活动,这些阶段包括概念设计阶段,系统层面的产品开发阶段,硬件层面的产品开发阶段,软件层面的产品开发阶段,产品生产、运行和服务阶段。
组织可以根据自身实际情况,对网络安全活动框架中各部分进行配置和裁剪,并考虑与组织现有的
管理体系(比如质量管理体系)的机构设置、过程活动进行结合,以便落实本标准所建议的网络安全措施,以较小的代价实现高效的安全。
5.2 组织管理
组织管理是指开展汽车电子系统网络安全活动所需要具备的组织、人员能力、制度等方面的条件,主要包括组织机构设置、建立沟通协调平台、制度建设与员工培训、建立网络安全测试与评估、阶段检查能力等。
5.3 网络安全活动
5.3.1 概念设计阶段
概念设计阶段主要包括系统功能定义、网络安全过程启动、威胁分析及风险评估、网络安全目标确定、网络安全策略设计、网络安全需求识别、初始网络安全评估、阶段检查等环节的活动。
5.3.2 产品开发阶段
产品开发阶段包括系统层面产品开发阶段、硬件层面产品开发阶段和软件层面产品开发阶段。
图2展示了产品开发阶段的基本过程,以及系统层面、硬件层面和软件层面产品开发之间的关系。
没有包含迭代过程,但实际上许多阶段都需要反复迭代,才能最终实现开发目标。
系统层面产品开发阶段主要包括系统层面产品开发启动、网络安全技术需求规格(包括系统层面漏洞分析、网络安全策略具体化、确定网络安全技术需求等)、系统设计、系统功能集成和网络安全测试、网络安全验证、网络安全评估和检查以及产品发布等环节的工作。
硬件层面产品开发阶段主要包括硬件产品开发启动、硬件网络安全需求规格(包括硬件层面漏洞分析、确定网络安全需求)、硬件设计、硬件集成和网络安全测试、硬件网络安全需求验证、细化网络安全评估等环节。
软件层面产品开发阶段主要包括软件产品开发启动、软件网络安全需求规格(包括软件层面漏洞分析、确定网络安全需求)、软件架构设计、软件单元设计与实现、软件单元测试、软件集成和网络安全测试、软件网络安全需求验证、细化网络安全评估等环节。
在产品开发阶段需要用到密码技术时需要符合国家密码管理相关规定。
注1:图中双向箭头线表示对应或一致性关系,比如“系统设计”和“系统功能集成和网络安全测试”之间的双向箭头线表示,系统的功能集成和网络安全测试以与系统设计相一致的方式进行,集成和测试的内容、顺序以及具体方式等以系统设计为依据。
注2:图中单向箭头线表示过程活动之间的顺序关系。箭头左边的活动在前面执行,箭头右边的活动在后面执行。
5.3.3 产品生产、运行与服务阶段
产品生产、运行与服务阶段主要包括现场监测、事件响应和后续相关的事件跟踪管理等活动。
5.4 支撑保障
汽车电子系统网络安全支撑保障主要包括配置管理、需求管理、变更管理、文档管理、供应链管理、云管端安全等方面的内容。
6 汽车电子系统网络安全组织管理
6.1 组织机构设置
组织需高度重视网络安全,把网络安全放在组织的战略层面进行考虑,并具体通过如下方面体现:
a) 制定和实施组织的网络安全战略、方针和目标;
b) 落实网络安全的领导责任制,可建立有组织高层领导负责的网络安全领导小组,负责网络安全
战略、方针和目标的制定和实施监督,并协调各部门之间的配合协作;
c) 设置专门的机构,负责有关网络安全方面的文化建设、信息沟通、培训、跨部门资源调配以及其他相关工作;
d) 员工能够清楚地知道组织内部与网络安全相关的机构设置及职责分工。
6.2 建立沟通协调平台
组织宜建立有关网络安全的内部及外部信息沟通协调渠道,包括但不限于以下方面:
a) 制定组织内部或外部的个人或组织报告突发网络安全事件的流程,明确组织内相关各部门之
间的衔接方式及应承担的责任;
b) 制定组织向相关方通报有关网络安全事件的流程,对事件的严重性程度进行分级管理;
c) 制定响应和处理来自政府、媒体、公众和组织内部的有关网络安全事件的处理流程。
6.3 制度建设与员工培训
组织宜将网络安全制度作为组织建设的重要内容,创建、培养和维持组织的网络安全文化,以增强
员工的网络安全意识能力。可具体从如下方面开展组织工作:
a) 编制有关网络安全的制度或过程文件;
b) 收集、积累和传播网络安全相关的实践经验、网络安全漏洞的解决方案和相关产品的应用案
例,包括与汽车电子领域相关的网络安全内容;
c) 密切关注国际国内在网络安全方面的最新进展情况,包括汽车电子领域重大安全漏洞的情况;
d) 及时响应网络安全相关事件,优先处理风险程度高的网络安全威胁;
e) 制定培训计划,定期组织有关网络安全的培训活动,通过培训提升员工的网络安全意识和能
力,使得员工能够理解在产品的开发、生产、运行和服务中可能出现的各种网络安全漏洞和威
胁,掌握威胁分析和风险评估的流程与方法。
6.4 测试与评估
6.4.1 网络安全测评团队
网络安全测试与评估工作宜由有经验的、有公正性的测评团队完成。具体条件可包括:
a) 测评团队与被测评对象的开发、生产、运行和服务以及网络安全控制措施的设计没有任何利益冲突;
b) 测评团队与被测评组织没有建立利益关系或产生利益冲突;
c) 测评团队不宜测评自己的工作;
d) 测评团队不宜是被测评组织的员工;
e) 测评团队不宜诱导组织使用自己的服务;
f) 测评团队宜将测评结果详细记录在案,包括找到的新漏洞。
注:这里主要是针对组织聘请第三方测评团队的建议要求,组织自建测评团队的情况可以参考。
6.4.2 网络安全测试内容
漏洞测试、渗透测试和模糊测试是评价一个对象网络安全能力的重要方法。其中,漏洞测试是较为常用的方法,可包含但不限于如下具体方式:
a) 漏洞扫描,检测对象是否存在可能被攻击的漏洞;
b) 探测性测试,检测和探查可能在软件或硬件实现中产生的漏洞;
c) 攻击性测试,通过破坏、绕过、篡改网络安全控制措施等手段入侵对象,以达到测试对象抗攻击
能力的目的。
6.4.3 网络安全评估
网络安全评估用于检验当前所实施的网络安全策略是否满足网络安全需求,以及是否能有效降低
威胁和风险,可包括但不限于以下内容:
a) 评估各阶段的网络安全策略是否满足网络安全需求;
b) 评估各阶段的网络安全设计是否符合网络安全策略;
c) 对于网络安全策略未能解决的威胁,将其定义为相应的未决问题,并评估该未决问题是否可以
被接受;
d) 如果未决问题可被接受,则提供相应的说明,解释该网络安全问题可以被接受的原因;如果未
决问题不可被接受,并且可以通过后续阶段的活动解决,则记录该未决问题,以便将其作为下
一阶段开发的依据。
6.5 阶段检查
在生命周期的每个阶段结束前宜进行阶段检查,以确保在下一阶段开始之前已经正确、一致地执行完成了当前阶段的活动。
阶段检查可由组织的技术专家小组来进行,该小组宜独立于产品开发团队。此外,为了保持产品在
整个生命周期中所有功能的一致性和完整性,该小组宜参与产品整个开发过程中的所有检查工作。检查结果以“通过”“有条件通过”(即需要采取一些整改措施)或“不通过”表示,只有当检查结果是“通过”或“有条件通过”并且相关整改措施已实施和确认的情况下,才能进入到下一阶段的工作。各阶段检查的主要内容如图3所示,具体内容见各阶段对应章节。
注:在进入生产和运行阶段后,也可根据需要开展阶段检查活动,进一步确保安全措施执行到位。
7 汽车电子系统网络安全活动
7.1 概念设计阶段
7.1.1 概述
概念设计阶段的活动流程如图4所示,包括系统功能定义、网络安全过程启动、风险评估与目标确定、网络安全策略设计、网络安全需求识别、初始网络安全评估及概念设计阶段检查等。
7.1.2 系统功能定义
组织宜明确汽车电子系统中被开发的、可以实施网络安全的子系统及其功能的适用范围,并对其进行如下内容的分析:
a) 子系统的物理边界;
b) 子系统的网络边界;
c) 子系统的信任边界。
评论
发表评论