車聯(lián)網(wǎng)安全標準化白皮書（2023年）

V 1 2 2 3 3 3 4 4 5 5 5 6 7 9 9 9 12 3.1.2.車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全 17 18 19 20 21 21 4.1.立足強化風險應對提升標準研 22 22 23 234.5.深度參與車聯(lián)網(wǎng)安全國際標準 23 11.車聯(lián)網(wǎng)安全法律政策進展美國加強與各利益相關方廣泛合作，推動道路運輸技術創(chuàng)新和安全，確保的安全集成準備交通系統(tǒng)。美國交通運輸部（USDOT）將與利益相關者合作，2歐盟明確車聯(lián)網(wǎng)網(wǎng)絡安全與數(shù)據(jù)安全基線，更加注重隱私保護，通過行業(yè)（NIS2指令）正式取代《網(wǎng)絡和信息系統(tǒng)安全指令》（NIS指令）生效歐盟在安全防護體系的系統(tǒng)性協(xié)同指導與網(wǎng)絡安全監(jiān)管方法的法律支撐，NIS2指令旨在消除成員國在網(wǎng)絡安全要求和措施實施方面的差異。較之NIS指令，NIS2指令大大擴展了屬于其范圍的關鍵實體部門和類型，同時也加強了企業(yè)需要遵守的網(wǎng)絡安全風險管理要求。如今，NIS2指令同《歐盟網(wǎng)絡安全法》共同（DGA）、《數(shù)據(jù)治理法》等已出臺的法規(guī)，共同構成數(shù)據(jù)保護的法律體系。在汽車產(chǎn)品的安全管理方面，歐盟通過將聯(lián)合國世界車輛法規(guī)協(xié)調論壇英國關注網(wǎng)聯(lián)汽車全生命周期的網(wǎng)絡安全，將安全責任拓展到產(chǎn)業(yè)鏈各主3日本重視數(shù)據(jù)安全和隱私保護，汽車網(wǎng)絡安全方面主要沿用聯(lián)合國世界車都獨具特色。為加快制定L4級自動駕駛法規(guī)，4家發(fā)展改革委、公安部等部委相繼出臺一系列頂層規(guī)劃及政策文件，車聯(lián)網(wǎng)安52.國外車聯(lián)網(wǎng)安全標準化進展軟件升級、V2X通信安全、自動駕駛安全等為重點方向加快車聯(lián)網(wǎng)安全標準研2.1.1.聯(lián)合國（UN/WP29）聯(lián)合國世界車輛法規(guī)協(xié)調論壇（TheWorl6R155法規(guī)要求包含網(wǎng)絡安全管理體系認證（CSMS）和車輛網(wǎng)絡安全產(chǎn)品R156法規(guī)要求包含軟件升級管理體系認證（SUMS）和車輛軟件升級產(chǎn)品其中，在保護軟件包的真實性及完整性、保障升級相關鏈路安全等部分，則與動系統(tǒng)AEBS（R152）、事件數(shù)據(jù)記錄系統(tǒng)（R160）等。這些法規(guī)和正在制定國際標準化組織（ISO）下設的道路車輛技術委員會（ISO/TC22Road32作為其分技術委員會，目前已發(fā)布的標準有ISO/SAE21434、ISOISO24089:2023Roadvehicles—Softwareupdateengineering（7ISO/PAS5112:2022Roa除上述三個標準外，ISO/TC22/SC32及33分技術委員會還發(fā)布了ISO同時，ISO/TC22技術委員會還關注與自動駕駛相關標準的制定，如ISO和測試用例生成、ISO22733-2道路車輛評估自動緊急制動系統(tǒng)性能的試驗方關于車聯(lián)網(wǎng)安全相關標準一般在Intelligenttransportationsystem(ITS)security部分討論。其標準號分配范圍為X.供了安全導則，描述了V2X通信環(huán)境中的威脅，規(guī)定了V2X通信的安全要求，并描述可能的安全V2X通信的實施方案。ITU-TX.1373與外部設備間通信接口的威脅和對與車輛通信的外部設備的威脅兩個部分分析ITU-TX.1375則為車載網(wǎng)絡（IVNs）的入侵檢測系統(tǒng)（防御系統(tǒng)（IPS）制定了指導方針，主要關注對入侵行為的主動響應能力，包括82.1.4.國際汽車工程師學會（SAE）準化工作，由相關行業(yè)的128,000多名工程師和相關技術專家組成，其所制定3GPPTS33.536SecurityVehicle-to-Everything(V2X)2.1.6.國際電氣與電子工程師協(xié)會（IEEE）國際電氣與電子工程師協(xié)會（IEEE）的標準協(xié)會主要從事研究信息技術、92.2.重點國家地區(qū)工程師學會等標準化組織開展車輛通信、數(shù)據(jù)安全等方面標準研制工作。2016標準。其中，ENISA受《歐盟網(wǎng)絡安全法》賦予的職能，在促進成員國網(wǎng)絡安制定工業(yè)、商品和服務方面標準；歐洲電工標準化委員會（CENELEC）—主要負責電氣和電子領域的標準制定；歐洲電信標準協(xié)會（ETSI）—主要負責電信1除此之外，歐盟標委在自動駕駛的標準起草方面也發(fā)揮了重要作用，其中CEN和ETSI正式發(fā)布的自動駕駛標準共計117項。CEN主要由其TC組參與起草，主要涉及道路安全、車輛/基礎設施/道路使用者之間應用信息通訊安全管理的各個方面。該網(wǎng)絡安全標準有助于提高自動駕駛行業(yè)的彈性和準備防盜系統(tǒng)規(guī)范程度的安全標準（BSAU209-2:1998,汽車安全娛樂和通信用車內設備防盜安全系統(tǒng)規(guī)范），安全設備/系統(tǒng)在車輛上的應用指南（BSAU209-0:1996，汽車安全汽車安全設備/系統(tǒng)應用指南），車聯(lián)網(wǎng)服務安全跟蹤變化標準（BSISO20078-3:2021,道路車輛擴展的車輛網(wǎng)絡服務安全BSISO20078-3:2021-TC,跟蹤變化道路車輛擴展的車輛網(wǎng)絡服務安全），車輛與外部日本工業(yè)標準（JIS,JapaneseIndustrialStandards）由日本工業(yè)標準調查會信息技術網(wǎng)絡安全方面，JISC已制定關于信息加密、對范圍實施訪問控制管理等相關標準。主要包括信息技術（IT）檢索設備安全第1部分：通用要求：JISC6950-1-2009；信息技術安全技術要求：JISX19790-2007;信息技術安全技術IT安全評13.我國車聯(lián)網(wǎng)安全標準化現(xiàn)狀3.1.標準框架3.1.1.車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系（1+5分2021年，工業(yè)和信息化部、交通運輸部以及國家標準化管理委員會聯(lián)合印礎類標準、道路設施標準、車路交互標準、管理與服務標準和網(wǎng)絡安全標準5部分（如下圖所示）。其中網(wǎng)絡安全標準包括證書密鑰管理、網(wǎng)絡安全防護2類技術標準。證書密鑰管理類標準主要包括車路信息交互所使用的交通行業(yè)證2018年，工業(yè)和信息化部、國家標準化管理委員會聯(lián)合印發(fā)《國家車聯(lián)網(wǎng)份與安全、道路交通管理設施身份與安全、身份認證平臺及電子證件等3類標2018年，工業(yè)和信息化部、國家標準化管理委員會聯(lián)合印發(fā)《國家車聯(lián)網(wǎng)3.1.2.車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全標準體系框架圖7車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全標準體系框3.2.總體與基礎共性標準3.3.終端和設施網(wǎng)絡安全標準終端和設施網(wǎng)絡安全標準主要針對汽車內外包含路側的設備設施的網(wǎng)絡安車載設備網(wǎng)絡安全標準主要規(guī)范聯(lián)網(wǎng)汽車關鍵智能設備和組件的安全防護路側通信設備網(wǎng)絡安全標準主要規(guī)范聯(lián)網(wǎng)路側設備的安全防護設計與實現(xiàn)網(wǎng)絡設施與系統(tǒng)安全標準主要規(guī)范車聯(lián)網(wǎng)網(wǎng)絡設施與系統(tǒng)的安全防護與檢紫蜂（Zigbee）、超寬帶（UWB）等安全防護與檢測要求。目前，國內已經(jīng)形YD/T3737-2020《基于公眾電信網(wǎng)的聯(lián)網(wǎng)汽車信息安全技術要求》和YD/T技術安全認證測試方法》《汽車數(shù)字證書應用規(guī)范》等標準。這些標準規(guī)定了聯(lián)網(wǎng)認證授權系統(tǒng)技術要求》和《C-V2X車輛異常行為管理技術要求》，來規(guī)蹤等多種可能的安全威脅，這些威脅將影響C-V2X業(yè)務的正常運行。因此，C-V2X需要輕量化的身份認證和完善訪問授權機制以提高通信效率的同時保證安全性，同時，隱私保護也是車聯(lián)網(wǎng)系統(tǒng)中的重要要求。因此，更需要針對3.5.數(shù)據(jù)安全標準目前，在通用要求、數(shù)據(jù)分類分級、個人信息保護方面，已發(fā)布GB/T就如何系統(tǒng)化對車聯(lián)網(wǎng)領域的數(shù)據(jù)進行分類和分級管理方面，T/CAAMTB34-2021《智能網(wǎng)聯(lián)汽車數(shù)據(jù)格式與定義》中引入了數(shù)據(jù)安全等級的定義，在該3.6.應用服務安全標準—2021《車聯(lián)網(wǎng)網(wǎng)絡安全防護定級備案及分級防護的指導標準，為企業(yè)落實車聯(lián)網(wǎng)網(wǎng)絡安全防護要求提供依據(jù)。同時，等團體標準對應的行業(yè)標準/國家標準已經(jīng)完成立項申請，正加緊制定中。同時3.7.安全保障支撐標準異常行為檢測機制》《汽車信息安全應急響應管理規(guī)范》《道路車輛信息安全建議加快風險評估和安全監(jiān)測與應急管理標準研制步伐促使標準盡快發(fā)布4.工作建議4.1.立足強化風險應對提升標準研判能力4.2.持續(xù)夯實標準體系建設和迭代更新4.3.加強標準宣傳推廣和符合性評估4.4.加大標準化人才培養(yǎng)力度4.5.深度參與車聯(lián)網(wǎng)安全國際標準化工作積極參與國際標準化組織（ISO）、國際電信聯(lián)盟（ITU）、國際電工技術委員會（IEC）、聯(lián)合國世界車輛法規(guī)協(xié)調論壇（WP.29）等相關國際標準化組121434ROADVEHICLES-CYBEENGINEERING道路車輛-網(wǎng)絡安全23TR4804-Roadvehicles-Safetyandcybersecurityfautomateddrivingsystems-Design,verificationand4EPR2020013-UnsettledTopicsConc5EPR2020026-UnsettledTopicsConcerningtheImpactofQuantumTechnologieson6J3061-CybersecurityG7NEMANEMATS10-ConnectedVehicleInfrastructure8DS/ISO/TR23786-Roadvehicles-Solutionsforremoteacctovehicle-Criteriaforriskassessment9ISOTR23786-Roadvehicles-Solutionsforremoteavehicle-CriteriaforriskassessmentNEMANEMATS8－智能交通系統(tǒng)（ITS）的網(wǎng)絡和物理安全UNECEUniformprovisionsconcerningtheapprovalofvehicleswithregardstocybersecurityandcybersecuritymanagementUNECEUniformprovisionsconcerningtheapprovalofvehicleswithregardstosoftwareupdateandsoftwareupdatesmanagementUNECEUniformprovisionsconcerningtheapprovalofvehicleswithregardtoAutomatedLaneISO/SAE21434-2021Roadvehicles-CybersecSAEJ3061CybersecurityGuidebookforISO/PAS5112:2022RoadvecybersecurityenginISO24089:2023Roadvehicles-SoftwareupdateengineITU-TX.1371SecuritythreatstoconnectedvehiclesITU-TX.1372Securityguidelinesforvehicle-to-everythingITU-TX.1373SecuresoftwareupdatecapabilityforintelligenttransportationsystemcommunicationdevITU-TX.1374SecurityrequirementsforexternalinterfacesanddeviceswithvehicleaccesscaITU-TX.1375GuidelinesforanintrusiondetectionsystemITU-TX.1376Security-relatedmisbehaviourdetectionmechanismusingbigdataforconnectedvehiclesITU-TX.1377Guidelinesforanintrusionpreventionsystemsidelink;UserEquipmeUserEquipment(UE)radiotransmission