2022汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書

汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)主要貢獻(xiàn)單位南德檢測(cè)認(rèn)證(中國(guó))有限公司上海分公司國(guó)汽(北京)智能網(wǎng)聯(lián)汽車研究院有限公司司限公司公司中國(guó)軟件評(píng)測(cè)中心(工業(yè)和信息化部軟件與集成電路促進(jìn)中心)公司技有限公司究所汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)前言重要意義。等)的網(wǎng)絡(luò)安全能力建設(shè)提供實(shí)踐參考。汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)I 商網(wǎng)絡(luò)安全最佳實(shí)踐 11 AE 4.1.2可信信息安全評(píng)估交換(TISAX) 33 B 汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)1一、智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全發(fā)展概況1.1行業(yè)網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀行業(yè)正迎來發(fā)展的黃金期，中國(guó)將成為世界第一大智能汽車市場(chǎng)。預(yù)計(jì)到2025速增多，風(fēng)險(xiǎn)顯著加大，安全事件頻發(fā)，安全形勢(shì)極為嚴(yán)峻。根據(jù)云安全廠商起國(guó)家高層重視。1.2政策法規(guī)推進(jìn)情況(1)國(guó)內(nèi)方面汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)2入及質(zhì)量和生產(chǎn)的一致性。全全協(xié)同做好安全體系建設(shè)工作。(2)國(guó)外方面，制定內(nèi)部人員的安全培訓(xùn)和管理制度。乘客信息的搜集、保存、使用等方面的保護(hù)措施。汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)3汽控等。2020年6月，聯(lián)合國(guó)世界車輛法規(guī)協(xié)調(diào)論壇(簡(jiǎn)稱UN/WP.29)發(fā)布重要法R155是全球第一個(gè)汽車信息安全強(qiáng)制法規(guī)，其合規(guī)認(rèn)證是車輛在特定國(guó)家進(jìn)R156法規(guī)提出了軟件升級(jí)管理體系認(rèn)證要求，規(guī)范了軟件升級(jí)實(shí)施流程，具備相關(guān)功能，如可訪問所有初始和升級(jí)的軟件版本信息及對(duì)應(yīng)的軟件識(shí)別碼 輛制造商還應(yīng)證明將如何安全地執(zhí)行升級(jí)或采用技術(shù)手段來確保車輛處于安全1.3標(biāo)準(zhǔn)體系建設(shè)情況(1)國(guó)內(nèi)方面汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)4根據(jù)指南要求，全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC114，簡(jiǎn)稱“汽標(biāo)委”)、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260，簡(jiǎn)稱“信安標(biāo)委”)、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)、中國(guó)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟(CAICV)等各標(biāo)準(zhǔn)委員會(huì)及元器件和軟件提供商、設(shè)備提供商、并取得部分階段性成果。5汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)圖1.1車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系框架圖發(fā)布，即GB/T40861-2021《汽車信息安全通用技術(shù)要求》、GB/T40856-2021《車載信息交互系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法》、GB/T40857-2021《汽車網(wǎng)關(guān)信息安全技術(shù)要求及試驗(yàn)方法》、GB/T40855-2021《電動(dòng)汽車遠(yuǎn)程服務(wù)與汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)6內(nèi)征集意見，ISO/SAE21434《道路車輛—信息安全工程(Roadvehicles—lGBT息安全技術(shù)汽車電子系統(tǒng)網(wǎng)絡(luò)安全指南》已完成發(fā)布，推薦性國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)汽車數(shù)據(jù)處理安全要求》已完成標(biāo)準(zhǔn)報(bào)批，推薦性國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)車載YDTLTE的車聯(lián)網(wǎng)YD/T3751-2020《車聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全技術(shù)要求》、YD/T3746-2020《車聯(lián)網(wǎng)信息服務(wù)用戶個(gè)人信息保護(hù)要求》、YD/T3752-2020《車聯(lián)網(wǎng)信息服務(wù)平供風(fēng)l盟中國(guó)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟依托中國(guó)汽車工程學(xué)會(huì)(CSAE)團(tuán)體標(biāo)準(zhǔn)平目前，已發(fā)布和立項(xiàng)的智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全相關(guān)團(tuán)幣標(biāo)準(zhǔn)包括T/CSAE1-2018《智能網(wǎng)聯(lián)汽車車載端信息安全技術(shù)要求》、T/CSAE211-2021《智能汽車數(shù)據(jù)共享安全要求》、T/CSAE252-2022《智能網(wǎng)聯(lián)汽車車載信息安全汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)7《汽車遠(yuǎn)程升級(jí)(OTA)信息安全測(cè)試規(guī)范(立項(xiàng))》等。(2)國(guó)外方面美國(guó)汽車工程師學(xué)會(huì)(SAE)提出強(qiáng)調(diào)汽車信息安全的系統(tǒng)工程性，將信息括SAEJ3061《信息物理汽車系統(tǒng)網(wǎng)絡(luò)安全指南(CybersecurityGuidebookfor的一系列汽車網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)。美國(guó)汽車行業(yè)信息共享與分析中心(簡(jiǎn)稱需要在產(chǎn)品上部署足夠的網(wǎng)絡(luò)安全防護(hù)措施。汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)8與一級(jí)供應(yīng)商與二級(jí)供應(yīng)商。1.4汽車供應(yīng)鏈網(wǎng)絡(luò)安全問題和挑戰(zhàn)從而引發(fā)供應(yīng)鏈網(wǎng)絡(luò)安全的巨大風(fēng)險(xiǎn)。SS施督管理流程規(guī)范和管控措施等。汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)9二、汽車制造商供應(yīng)鏈網(wǎng)絡(luò)安全管理2.1供應(yīng)鏈網(wǎng)絡(luò)安全評(píng)估及準(zhǔn)入商全技術(shù)能力相關(guān)維度的評(píng)估。評(píng)2.2定廠前的監(jiān)督管理l要求潛在供應(yīng)商遵循評(píng)估準(zhǔn)入的相關(guān)要求，并保證提供不低于評(píng)估過程l認(rèn)的安全協(xié)議中的網(wǎng)絡(luò)安全職責(zé)；l對(duì)潛在供應(yīng)商所提供報(bào)價(jià)的產(chǎn)品或服務(wù)明確相關(guān)的網(wǎng)絡(luò)安全目標(biāo)及網(wǎng)絡(luò)汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)l制造商和供應(yīng)商需各自提供符合網(wǎng)絡(luò)安全相關(guān)要求的人員作為聯(lián)絡(luò)人，由聯(lián)絡(luò)人進(jìn)行工作項(xiàng)、進(jìn)度、職責(zé)的溝通和確認(rèn)(建議參考ISO/SAE2.3定廠后的監(jiān)督管理(1)定期審核發(fā)過程中依據(jù)供應(yīng)商日常業(yè)績(jī)?cè)u(píng)價(jià)標(biāo)準(zhǔn)對(duì)供應(yīng)商工作執(zhí)行情況(網(wǎng)絡(luò)安全)(2)臨時(shí)審核l時(shí)；(3)項(xiàng)目例會(huì)作進(jìn)展同步、網(wǎng)絡(luò)安全漏洞同步等。(4)網(wǎng)絡(luò)安全檔案管理ll。(5)供應(yīng)商如有)簽訂安全協(xié)議。(6)安全漏洞修補(bǔ)汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)三、汽車供應(yīng)商網(wǎng)絡(luò)安全最佳實(shí)踐3.1汽車供應(yīng)商網(wǎng)絡(luò)安全管理體系該要求的目的是確?？梢宰C明來自供應(yīng)商的風(fēng)險(xiǎn)能夠在網(wǎng)絡(luò)安全管理體系(CSMS)中，需要考慮具備以下流程：l對(duì)于部分服務(wù)提供商，由于其提供了車輛可能依賴的網(wǎng)聯(lián)功能或服務(wù)，導(dǎo)致車輛可能面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，因此需要對(duì)其進(jìn)行管理，如：云服務(wù)l確保簽約供應(yīng)商和/或服務(wù)提供商能夠證明他們?nèi)绾喂芾砼c其相關(guān)的風(fēng)險(xiǎn)，這些過程可能包括考慮可用于證明風(fēng)險(xiǎn)得到適當(dāng)管理的驗(yàn)證或測(cè)試3.1.1網(wǎng)絡(luò)安全組織管理管理流程。汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)在設(shè)計(jì)認(rèn)可時(shí)提供相應(yīng)材料進(jìn)行完整性及正確性評(píng)估。3.1.2網(wǎng)絡(luò)安全流程管理考慮與實(shí)際已有流程進(jìn)行融合和匹配。(1)網(wǎng)絡(luò)安全概念階段、(2)網(wǎng)絡(luò)安全開發(fā)階段弱性分析、代碼審計(jì)、網(wǎng)絡(luò)安全測(cè)試等。證明產(chǎn)品在開發(fā)中未引入中高風(fēng)險(xiǎn)漏洞。(3)網(wǎng)絡(luò)安全后開發(fā)階段汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)3.2汽車供應(yīng)商網(wǎng)絡(luò)安全關(guān)鍵技術(shù)3.2.1網(wǎng)絡(luò)安全防護(hù)技術(shù)3.2.1.1代碼安全汽車作為一個(gè)復(fù)雜供應(yīng)鏈的產(chǎn)物，所運(yùn)行的軟件涉及供應(yīng)商代碼/第三方組并V段的工作。(1)安全要求C(2)架構(gòu)設(shè)計(jì)容錯(cuò)機(jī)制等，充分考慮數(shù)據(jù)的機(jī)密性、完整性、可用性。(3)威脅分析E(4)單元設(shè)計(jì)與實(shí)現(xiàn)汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)(5)代碼實(shí)現(xiàn)漏洞分析編(6)單元測(cè)試和集成測(cè)試(7)安全需求驗(yàn)證的安全需求。(8)軟件漏洞和滲透測(cè)試(9)運(yùn)行別和追蹤。3.2.1.2接口安全(1)物理硬件接口、設(shè)備偽造等，一般可采取標(biāo)識(shí)隱藏、汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)(2)外部訪問接口車輛與外界需要進(jìn)行各式各樣的信息交互，涉及到多種信息交互方式，如(3)軟件架構(gòu)接口車電氣/電子構(gòu)架開發(fā)一套開放的行業(yè)標(biāo)準(zhǔn)，獨(dú)立于硬件的分層軟件架構(gòu)，制定UTOSAR入侵檢測(cè)以及整車安全管理類的功能特性等。3.2.1.3通信安全(1)車載網(wǎng)絡(luò)認(rèn)證加密essageAuthenticationCode保證消息的真實(shí)性和完整性。車載以太網(wǎng)使用MACsec(MediaAccessControlSecurity)、IPsec(InternetProtocolSecurity)、TLS(TransportLayer實(shí)性。汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)存儲(chǔ)。(2)網(wǎng)絡(luò)隔離與訪問控制3.2.1.4數(shù)據(jù)安全(1)數(shù)據(jù)采集數(shù)據(jù)采集階段首先需要對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，明確需要保護(hù)的數(shù)據(jù)；對(duì)數(shù)據(jù)。(2)數(shù)據(jù)傳輸術(shù)防止數(shù)據(jù)偽造攻擊。(3)數(shù)據(jù)存儲(chǔ)汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)硬件安全模塊(HSM)、安全芯片等保存證書、密鑰等敏感數(shù)據(jù)，采用固件防提(4)數(shù)據(jù)處理。(5)數(shù)據(jù)交換(6)數(shù)據(jù)刪除圖、行駛數(shù)據(jù)、用戶個(gè)人信息等，3.2.1.5操作系統(tǒng)與OTA(1)安全啟動(dòng)如驗(yàn)證指定軟件區(qū)域的CMAC值，確保軟件的完整性。(2)操作系統(tǒng)安全防護(hù)汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)車及物聯(lián)網(wǎng)行業(yè)高級(jí)別安全認(rèn)證強(qiáng)制要求對(duì)操作系統(tǒng)進(jìn)行形式化證明。如(3)安全OTA以恢復(fù)到升級(jí)前的狀態(tài)。3.2.1.6入侵檢測(cè)與防御(1)車內(nèi)總線入侵檢測(cè)庫文件(DBC)經(jīng)人工或利用工具導(dǎo)出CAN檢測(cè)規(guī)則文件，并根據(jù)實(shí)際需要增刪(2)汽車以太網(wǎng)入侵檢測(cè)和防御汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)針對(duì)汽車以太網(wǎng)的攻擊包括DoS攻擊、畸形報(bào)文攻擊、掃描探測(cè)攻擊、木馬以對(duì)LL檢測(cè)，以及針對(duì)L5-L7層的深度包異常檢測(cè)；3.2.1.7其他安全車聯(lián)網(wǎng)服務(wù)平臺(tái)即汽車遠(yuǎn)程服務(wù)提供商(TSP)平臺(tái)，該平臺(tái)能夠提供地理據(jù)恢復(fù)。n3.2.2網(wǎng)絡(luò)安全測(cè)試技術(shù)3.2.2.1汽車網(wǎng)絡(luò)安全驗(yàn)證測(cè)試方法汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)、模糊測(cè)試和漏洞掃描等。(1)功能性網(wǎng)絡(luò)安全測(cè)試nSSL必須滿足代碼安全標(biāo)準(zhǔn)，如MISRA-C(MISRAC是由汽車產(chǎn)業(yè)軟件可靠性協(xié)會(huì)提出的C語言開發(fā)標(biāo)準(zhǔn),其目的是在增進(jìn)嵌入式系統(tǒng)的安全性及可移植性)。此(2)滲透測(cè)試行標(biāo)準(zhǔn)PTES(PenetrationTestingExecutionStandard)，該標(biāo)準(zhǔn)是滲透測(cè)汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)l黑盒測(cè)試l白盒測(cè)試和可能性的估計(jì)不太可靠。l灰盒測(cè)試經(jīng)獲。感的比例。。(3)模糊測(cè)試OST汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)考慮將模糊測(cè)試也應(yīng)用于汽車目標(biāo)系統(tǒng)作為安全測(cè)試過程的一部分的想法是很后監(jiān)視目標(biāo)系統(tǒng)以檢測(cè)程序流中的錯(cuò)誤。試行用的漏洞。經(jīng)典協(xié)議和現(xiàn)代軟件應(yīng)用程序的模糊測(cè)試經(jīng)驗(yàn)。(4)漏洞掃描漏洞掃描用于從不斷更新的已知汽車安全漏洞數(shù)據(jù)庫中檢查汽車系統(tǒng)的所、網(wǎng)絡(luò)和后端基礎(chǔ)設(shè)施中的已知安全漏洞。汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)。3.2.2.2常見汽車網(wǎng)絡(luò)安全測(cè)試汽車網(wǎng)絡(luò)安全測(cè)試方法可參考“ISO/IECJTC1/SC27-ISO/TC22/SCIEC、智能化相關(guān)的功能展開。(1)車載終端安全測(cè)試二道靜表3.3車載終端安全測(cè)試評(píng)估方面評(píng)估項(xiàng)目評(píng)估內(nèi)容護(hù)措施，包括但不限式芯片和主板是否存在更改芯片功證階段使用安全機(jī)制保證密鑰的銷毀過程的安全性現(xiàn)是否具備抵抗側(cè)信析等物理攻擊的能被破解汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)備硬件實(shí)現(xiàn)的安全區(qū)夠?qū)崿F(xiàn)車載終端隔離操作系統(tǒng)(固件)安全動(dòng)機(jī)制，對(duì)引導(dǎo)程序只有通過驗(yàn)證系統(tǒng)，評(píng)估是否不同操作系統(tǒng)之間的汽車各應(yīng)用場(chǎng)景的告應(yīng)用程序?qū)ο到y(tǒng)敏感知；是否對(duì)使用敏感數(shù)全執(zhí)行空間，控制對(duì)護(hù)資源和數(shù)據(jù)的保密授權(quán)訪問和篡改等多事件的日志記錄功事件主體、事件事件是否成功等系統(tǒng)(固件)進(jìn)行簽名校驗(yàn)和完統(tǒng)能有效恢復(fù)至升級(jí)安全：Python、Lua等語言的源代碼)應(yīng)進(jìn)行b)客戶端應(yīng)具備源代碼完整性校驗(yàn)?zāi)芰)客戶端應(yīng)對(duì)簽名信息進(jìn)行安全校驗(yàn)全障客戶端正常穩(wěn)定運(yùn)制境安全：a)客戶端應(yīng)對(duì)運(yùn)行環(huán)境進(jìn)行安全檢測(cè)。例用b)客戶端應(yīng)具有版本檢測(cè)機(jī)制，提供版本汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)：調(diào)用組件內(nèi)容b)客戶端應(yīng)對(duì)組件進(jìn)行安全配置，避免發(fā)SD卡等)上可讀取和可執(zhí)行的文件類型，存介質(zhì)的惡意攻擊內(nèi)網(wǎng)CAN總線和對(duì)外接口(如USB、SD等)隔離性整性包括如下內(nèi)容：a)傳輸時(shí)應(yīng)支持信息完整性校驗(yàn)機(jī)制，實(shí)據(jù)的傳輸完整性保性a)新鮮性：數(shù)據(jù)來源與系統(tǒng)采用統(tǒng)一時(shí)間中宜包含時(shí)間標(biāo)識(shí)統(tǒng)正常運(yùn)行性保護(hù)能力，具體包括：知可能的隱私收集與存b)需要時(shí)，對(duì)數(shù)據(jù)傳輸雙方身份進(jìn)行隱私算法等進(jìn)行數(shù)據(jù)(2)車聯(lián)網(wǎng)絡(luò)安全測(cè)試汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)式包括蜂窩通信接口(Uu)與直連通信接口(PC5)兩種方式。此域中面臨的威。(3)車載無線電系統(tǒng)安全測(cè)試情況。汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)過監(jiān)發(fā)行進(jìn)圖3.1基于模糊測(cè)試的無線安全評(píng)估框架數(shù)據(jù)感器網(wǎng)絡(luò)傳輸安全要求基礎(chǔ)上,通過搭建無線傳感網(wǎng)仿真環(huán)境,采集所監(jiān)控的傳感網(wǎng)節(jié)點(diǎn)狀態(tài)和鏈路狀態(tài)數(shù)據(jù),分析無線傳感網(wǎng)在不同安全威脅和攻擊下的安全狀態(tài)變化,通過分析和歸納影響無線傳感網(wǎng)傳輸安全因素,確定針對(duì)無線傳感器網(wǎng)安全傳輸測(cè)評(píng)內(nèi)容的傳輸安全指標(biāo)。測(cè)評(píng)方法及判定要求主要包括:特定信道數(shù)檢測(cè)器,模擬非法入侵、仿冒攻擊、重放攻擊等。汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)表3.4無線傳感網(wǎng)安全傳輸評(píng)估評(píng)估方面評(píng)估項(xiàng)目評(píng)估內(nèi)容和完整性保護(hù)算法下，通過訪問控制列表限制存儲(chǔ)機(jī)制和完整性保護(hù)算法向鑒權(quán)能力整性校驗(yàn)功能(條件性支持)傳輸求問控制模式或安(4)數(shù)據(jù)安全測(cè)試關(guān)(5)云服務(wù)平臺(tái)安全測(cè)試患。安全等級(jí)保護(hù)要求進(jìn)行相關(guān)測(cè)試。汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)四、汽車供應(yīng)鏈網(wǎng)絡(luò)安全評(píng)估及認(rèn)證主機(jī)廠或上游需求方可以要求認(rèn)證機(jī)構(gòu)按網(wǎng)絡(luò)安全管理體系要求對(duì)其供應(yīng)商進(jìn)4.1企業(yè)信息安全管理體系認(rèn)證4.1.1ISO/SAE21434認(rèn)證核針對(duì)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估方法論進(jìn)行了介紹。資質(zhì)而言，主流資質(zhì)為CNAS(中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì))和DAkkS(DAkkS汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)ISO/SAE21434流程認(rèn)證主要針對(duì)企業(yè)的網(wǎng)絡(luò)安全相關(guān)流程，以ISO/SAEE表4.1ISO/SAE21434流程認(rèn)證組成部分子部分文檔進(jìn)要求文檔劃估報(bào)告報(bào)告理活動(dòng)汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)括流程、規(guī)評(píng)估報(bào)告評(píng)估驗(yàn)證報(bào)告件求規(guī)范驗(yàn)證報(bào)告告告告產(chǎn)控制計(jì)劃汽車供應(yīng)鏈網(wǎng)絡(luò)安全管理白皮書(2022)EE4.1.2可信信息安全評(píng)估交換(TISAX)可信信息安全評(píng)估交換(TrustedInformationSecurityAssessmentExchange，TISAX)，是由德國(guó)汽車工業(yè)協(xié)會(huì)(VD