《車載信息交互系統(tǒng)信息安全技術(shù)要求》_第1頁(yè)
《車載信息交互系統(tǒng)信息安全技術(shù)要求》_第2頁(yè)
《車載信息交互系統(tǒng)信息安全技術(shù)要求》_第3頁(yè)
《車載信息交互系統(tǒng)信息安全技術(shù)要求》_第4頁(yè)
《車載信息交互系統(tǒng)信息安全技術(shù)要求》_第5頁(yè)
已閱讀5頁(yè),還剩34頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

GB/TXXXXX—XXXX

目??次

前言......................................................................................................................................................................II

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語(yǔ)與定義.....................................................................................................................................................1

4縮略語(yǔ).............................................................................................................................................................2

5技術(shù)要求.........................................................................................................................................................3

5.1硬件安全要求..........................................................................................................................................3

5.2通信協(xié)議與接口安全要求......................................................................................................................3

5.3操作系統(tǒng)安全要求..................................................................................................................................5

5.4應(yīng)用軟件安全要求..................................................................................................................................7

5.5數(shù)據(jù)安全要求..........................................................................................................................................8

6測(cè)試方法.........................................................................................................................................................9

6.1硬件安全測(cè)試方法..................................................................................................................................9

6.2通信協(xié)議與接口安全測(cè)試方法..............................................................................................................9

6.3操作系統(tǒng)安全測(cè)試方法........................................................................................................................11

6.4應(yīng)用軟件安全技術(shù)測(cè)試方法................................................................................................................14

6.5數(shù)據(jù)安全測(cè)試方法................................................................................................................................16

附錄A(資料性附錄)車載信息交互系統(tǒng)示意圖....................................................................................18

參考文獻(xiàn).............................................................................................................................................................19

I

GB/TXXXXX—XXXX

前??言

本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由中華人民共和國(guó)工業(yè)和信息化部提出。

本標(biāo)準(zhǔn)由全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC114)歸口。

本標(biāo)準(zhǔn)起草單位:

本標(biāo)準(zhǔn)主要起草人:

II

GB/TXXXXX—XXXX

車載信息交互系統(tǒng)信息安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了車載信息交互系統(tǒng)硬件、通信協(xié)議與接口、操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)的信息安全技

術(shù)要求與測(cè)試方法。

本標(biāo)準(zhǔn)適用于指導(dǎo)整車廠、零部件供應(yīng)商、軟件供應(yīng)商等企業(yè),開展車載信息交互系統(tǒng)信息安全技

術(shù)的設(shè)計(jì)開發(fā)、驗(yàn)證與生產(chǎn)等工作。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅所注日期的版本適用于本文

件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

GB/TXXX汽車信息安全通用技術(shù)要求

3術(shù)語(yǔ)與定義

GB/T25069、GB/TXXX界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

車載信息交互系統(tǒng)on-boardinformationinteractivesystem

安裝在車輛上的通信系統(tǒng),屬于信息交互或娛樂服務(wù)裝置,應(yīng)具備下列至少一項(xiàng)功能:

a)對(duì)外可通過蜂窩網(wǎng)絡(luò)、短距離通信等通信技術(shù)建立連接并進(jìn)行數(shù)據(jù)交換等功能,對(duì)內(nèi)可通過汽

車總線與電子電氣系統(tǒng)進(jìn)行信息采集、數(shù)據(jù)傳遞與指令下發(fā)等功能;

b)實(shí)現(xiàn)通話錄音、文化娛樂等相關(guān)服務(wù)功能。

注:車載信息交互系統(tǒng)通常為遠(yuǎn)程車載信息交互系統(tǒng)(T-Box)、車載綜合信息處理系統(tǒng)(IVI)以及其混合體。

典型的車載信息交互系統(tǒng)示意圖參考附錄A中圖A.1所示。

3.2

對(duì)外通信externalcommunication

車載信息交互系統(tǒng)與車輛外部的無(wú)線通信,包括基于移動(dòng)蜂窩網(wǎng)絡(luò)的遠(yuǎn)程通信、藍(lán)牙、WLAN等短距

離通信等。

3.3

內(nèi)部通信internalcommunication

車載信息交互系統(tǒng)與車輛內(nèi)電子電氣系統(tǒng)的通信,包括基于CAN、CANFD、LIN、以太網(wǎng)等車輛內(nèi)部

的通信。

1

GB/TXXXXX—XXXX

3.4

用戶user

使用車載信息交互系統(tǒng)資源的對(duì)象,包括人、車輛或者第三方應(yīng)用程序。

3.5

用戶數(shù)據(jù)userdata

由用戶產(chǎn)生或?yàn)橛脩舴?wù)的數(shù)據(jù),該數(shù)據(jù)不影響安全功能的運(yùn)行。

3.6

代碼簽名codesigning

利用數(shù)字簽名機(jī)制,由具備簽名權(quán)限的實(shí)體對(duì)全部或部分代碼進(jìn)行簽名的機(jī)制。

3.7

應(yīng)用軟件applicationsoftware

在車載信息交互系統(tǒng)上,為實(shí)現(xiàn)支付、娛樂等功能的一類軟件,包括在車載信息交互系統(tǒng)中已預(yù)裝

的應(yīng)用軟件和后期可安裝的應(yīng)用軟件。

3.8

平臺(tái)服務(wù)端platformserver

為車輛提供服務(wù)的平臺(tái),包括企業(yè)自主運(yùn)營(yíng)平臺(tái)及第三方平臺(tái)等。

3.9

外部終端externalterminal

車輛外部的終端設(shè)備,包括路側(cè)單元、手機(jī)等。

4縮略語(yǔ)

CAN控制器局域網(wǎng)絡(luò)(controlareanetwork)

ECU電子控制單元(electroniccontrolunit)

E-Call緊急呼叫(emergencycall)

FTP文件傳輸協(xié)議(filetransferprotocol)

HTTP超文本傳輸協(xié)議(hypertexttransferprotocol)

JTAG測(cè)試行動(dòng)聯(lián)合組織(JointTestActionGroup)

LE低功耗(lowenergy)

PSK預(yù)共享密鑰(pre-sharedkey)

SSP安全簡(jiǎn)易配對(duì)(securesimplepairing)

SPI串行外設(shè)接口(serialperipheralinterface)

TLS安全傳輸層協(xié)議(transportlayersecurity)

TSP終端服務(wù)平臺(tái)(telematicsserviceprovider)

UART通用異步收發(fā)器(UniversalAsynchronousReceiver/Transmitter)

2

GB/TXXXXX—XXXX

URL統(tǒng)一資源定位符(uniformresourcelocator)

USB通用串行總線(universalserialBUS)

WLAN無(wú)線局域網(wǎng)(wirelesslocalareanetworks)

WPAWLAN網(wǎng)絡(luò)安全接入(WLANprotectedaccess)

5技術(shù)要求

5.1硬件安全要求

5.1.1車載信息交互系統(tǒng)所使用的芯片應(yīng)滿足以下要求:

a)按照6.1a)進(jìn)行測(cè)試,調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制;

b)按照6.1b)進(jìn)行測(cè)試,不存在后門或隱蔽接口;

5.1.2按照6.1c)進(jìn)行測(cè)試,車載信息交互系統(tǒng)所使用的關(guān)鍵芯片(例如:處理器、存儲(chǔ)模塊、通訊

IC等用于處理、存儲(chǔ)和傳輸敏感信息的芯片以及安全芯片)應(yīng)減少暴露管腳;

5.1.3按照6.1d)進(jìn)行測(cè)試,車載信息交互系統(tǒng)所使用的安全芯片之間應(yīng)減少通信線路的數(shù)量(例如:

使用多層電路板的車載信息交互系統(tǒng)可采用內(nèi)層布線方式隱藏通信線路);

5.1.4按照6.1e)進(jìn)行測(cè)試,電路板及芯片不宜暴露用以標(biāo)注、端口和管腳功能的可讀絲印。

5.2通信協(xié)議與接口安全要求

5.2.1對(duì)外通信協(xié)議安全

通信連接安全

按照a)進(jìn)行測(cè)試,車輛端應(yīng)實(shí)現(xiàn)對(duì)平臺(tái)服務(wù)端或外部終端的身份認(rèn)證。當(dāng)身份認(rèn)證成功后,

按照b)進(jìn)行測(cè)試,車輛端與平臺(tái)服務(wù)端或外部終端才能進(jìn)行業(yè)務(wù)數(shù)據(jù)的通信交互。

通信傳輸安全

按照進(jìn)行測(cè)試,車輛端與平臺(tái)服務(wù)端或外部終端間傳輸?shù)臄?shù)據(jù)內(nèi)容應(yīng)進(jìn)行密鑰加密。

通信連接終止安全

車載信息交互系統(tǒng)進(jìn)行通信時(shí),按照a)、b)進(jìn)行測(cè)試,發(fā)生身份鑒權(quán)失敗、有加密要求的

數(shù)據(jù)內(nèi)容校驗(yàn)失敗等情況,應(yīng)終止該響應(yīng)操作。

遠(yuǎn)程通信協(xié)議安全

.1公有遠(yuǎn)程通信協(xié)議安全

公有遠(yuǎn)程通信協(xié)議(例如:HTTP、FTP等),按照.1進(jìn)行測(cè)試,應(yīng)采用TLS(版本不低于1.2)

或至少同等安全級(jí)別(例如:同等級(jí)別的國(guó)密算法等)的安全通信協(xié)議。

.2私有遠(yuǎn)程通信協(xié)議安全

私有遠(yuǎn)程通信協(xié)議(例如:整車廠或零部件廠與TSP自定義的通信協(xié)議等)應(yīng)滿足以下要求:

a)按照.2a)進(jìn)行測(cè)試,支持以安全方式進(jìn)行數(shù)據(jù)加密密鑰的更新;

b)按照.2b)進(jìn)行測(cè)試,其使用的密鑰應(yīng)進(jìn)行安全存儲(chǔ)。

短距離通信協(xié)議安全

3

GB/TXXXXX—XXXX

.1短距離通信口令應(yīng)用安全

短距離通信口令應(yīng)用安全應(yīng)滿足以下要求:

a)按照.1a)進(jìn)行測(cè)試,缺省口令應(yīng)使用至少包括數(shù)字、大小寫字母,長(zhǎng)度不少于8位的

強(qiáng)復(fù)雜度的口令;

b)按照.1b)進(jìn)行測(cè)試,同一個(gè)缺省口令不復(fù)用于不同系統(tǒng);

c)按照.1c)進(jìn)行測(cè)試,更改口令時(shí),限制用戶設(shè)置a)要求的口令或向用戶提示風(fēng)險(xiǎn);

d)按照.1d)進(jìn)行測(cè)試,對(duì)于人機(jī)接口或跨信任網(wǎng)絡(luò)的不同車載信息交互系統(tǒng)之間接口的

登錄認(rèn)證,應(yīng)支持口令防暴力破解機(jī)制,且按照.1e)進(jìn)行測(cè)試,口令文件應(yīng)設(shè)置安全

訪問控制。

.2車載藍(lán)牙通信協(xié)議安全

對(duì)具有車載藍(lán)牙通信功能的車載信息交互系統(tǒng)應(yīng)滿足以下要求:

a)按照.2a)進(jìn)行測(cè)試,車載藍(lán)牙通信設(shè)備不應(yīng)存在后門;

b)按照.2b)進(jìn)行測(cè)試,外部設(shè)備請(qǐng)求與車載藍(lán)牙配對(duì)的方式應(yīng)為SSP模式(針對(duì)Classic

場(chǎng)合)或LESecureConnection模式(針對(duì)LE場(chǎng)合);

c)按照.2c)進(jìn)行測(cè)試,車載藍(lán)牙通信設(shè)備應(yīng)驗(yàn)證配對(duì)請(qǐng)求,配對(duì)成功后,應(yīng)對(duì)外部設(shè)備

進(jìn)行鑒權(quán);

d)對(duì)于高安全要求的車載藍(lán)牙通信功能(例如:利用藍(lán)牙進(jìn)行非接觸控制車輛等),按照

.2d)進(jìn)行測(cè)試,應(yīng)對(duì)外部設(shè)備進(jìn)行認(rèn)證以防止非法接入;

e)對(duì)于高安全要求的車載藍(lán)牙通信功能(例如:利用藍(lán)牙進(jìn)行非接觸控制車輛等),按照

.2e)進(jìn)行測(cè)試,應(yīng)對(duì)相關(guān)數(shù)據(jù)進(jìn)行安全加密處理。

.3車載WLAN通信協(xié)議安全

對(duì)具有WLAN熱點(diǎn)功能的車載信息交互系統(tǒng),按照.3進(jìn)行測(cè)試,應(yīng)使用WPA2-PSK或更高安全級(jí)

別的加密認(rèn)證方式。

5.2.2內(nèi)部通信安全

當(dāng)車載信息交互系統(tǒng)通過CAN或車載以太網(wǎng)等總線與車內(nèi)其他控制器節(jié)點(diǎn)進(jìn)行數(shù)據(jù)交互時(shí),按照

6.2.2進(jìn)行測(cè)試,應(yīng)使用安全機(jī)制確保傳輸?shù)闹匾獢?shù)據(jù)(例如:車輛控制指令等)完整性和可用性。

5.2.3通信接口安全

總體要求

車載信息交互系統(tǒng)的通信接口應(yīng)滿足以下要求:

a)按照a)進(jìn)行測(cè)試,不應(yīng)存在任何后門或隱蔽接口;

b)按照b)進(jìn)行測(cè)試,訪問權(quán)限等需授權(quán)內(nèi)容應(yīng)滿足“最小化授權(quán)原則”,不應(yīng)超出正常

業(yè)務(wù)范圍。

車外通信接口安全

.1按照a)進(jìn)行測(cè)試,車載信息交互系統(tǒng)應(yīng)支持路由隔離,隔離核心業(yè)務(wù)平臺(tái)(例如:

執(zhí)行控制車輛指令、收集個(gè)人敏感信息等功能的業(yè)務(wù)平臺(tái))的通信、內(nèi)部通信(非核心業(yè)務(wù)平臺(tái)的通信)、

外網(wǎng)通信(非核心業(yè)務(wù)平臺(tái)的通信)等;

4

GB/TXXXXX—XXXX

.2按照b)進(jìn)行測(cè)試,車載信息交互系統(tǒng)與核心業(yè)務(wù)平臺(tái)(例如:能執(zhí)行控制車輛指

令、收集個(gè)人敏感信息等功能的業(yè)務(wù)平臺(tái))的通信宜采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)通信,與公網(wǎng)隔離。

車內(nèi)通信接口安全

車載信息交互系統(tǒng)應(yīng)滿足以下要求:

a)按照a)進(jìn)行測(cè)試,對(duì)合法指令設(shè)置白名單;

a)按照b)進(jìn)行測(cè)試,對(duì)總線控制指令來(lái)源進(jìn)行校驗(yàn)。

5.3操作系統(tǒng)安全要求

5.3.1操作系統(tǒng)安全配置

車載信息交互系統(tǒng)在其操作系統(tǒng)安全配置方面,應(yīng)滿足以下要求:

a)按照6.3.1a)進(jìn)行測(cè)試,禁止ROOT用戶直接登錄,且限制用戶提權(quán)操作;

b)按照6.3.1b)進(jìn)行測(cè)試,刪除或禁用無(wú)用賬號(hào),并使用至少包括數(shù)字、大小寫字母,長(zhǎng)度不少

于8位的強(qiáng)復(fù)雜度的口令;

c)按照6.3.1c)進(jìn)行測(cè)試,具備訪問控制機(jī)制,依據(jù)安全策略控制用戶、進(jìn)程等主體對(duì)文件、數(shù)

據(jù)庫(kù)等客體進(jìn)行訪問;

d)按照6.3.1d)進(jìn)行測(cè)試,禁止不必要的服務(wù)(例如:FTP服務(wù)等),按照6.3.1e)進(jìn)行測(cè)試,

禁止非授權(quán)的遠(yuǎn)程接入服務(wù)。

5.3.2安全調(diào)用控制能力

通信類功能受控機(jī)制

.1撥打電話

具有撥打電話功能的車載信息交互系統(tǒng)應(yīng)滿足以下要求:

a)按照.1a)進(jìn)行測(cè)試,在用戶確認(rèn)后,調(diào)用撥打電話操作才能執(zhí)行;

b)按照.1b)進(jìn)行測(cè)試,向用戶明示業(yè)務(wù)內(nèi)容,且在用戶確認(rèn)后,調(diào)用撥打電話開通呼叫

轉(zhuǎn)移業(yè)務(wù)操作才能執(zhí)行。

注:緊急情況下,E-Call等應(yīng)急功能不限定于以上條款要求內(nèi)。

.2三方通話

具有三方通話功能的車載信息交互系統(tǒng),按照.2進(jìn)行測(cè)試,應(yīng)在用戶確認(rèn)后,調(diào)用三方通話

操作才能執(zhí)行。

.3發(fā)送短信

具有發(fā)送短信功能的車載信息交互系統(tǒng),按照.3進(jìn)行測(cè)試,應(yīng)在用戶確認(rèn)后,調(diào)用發(fā)送短信

操作才能執(zhí)行。

.4發(fā)送彩信

具有發(fā)送彩信功能的車載信息交互系統(tǒng),按照.4進(jìn)行測(cè)試,應(yīng)在用戶確認(rèn)后,調(diào)用發(fā)送彩信

操作才能執(zhí)行。

.5發(fā)送郵件

5

GB/TXXXXX—XXXX

具有發(fā)送郵件功能的車載信息交互系統(tǒng),按照.5進(jìn)行測(cè)試,應(yīng)在用戶確認(rèn)后,調(diào)用發(fā)送郵件

操作才能執(zhí)行。

.6移動(dòng)通信網(wǎng)絡(luò)連接

具有交互界面的車載信息交互系統(tǒng),在移動(dòng)通信網(wǎng)絡(luò)連接時(shí),應(yīng)滿足以下要求:

a)按照.6a)進(jìn)行測(cè)試,提供開關(guān)以開啟或關(guān)閉移動(dòng)通信網(wǎng)絡(luò)連接功能;

b)按照.6b)進(jìn)行測(cè)試,向用戶進(jìn)行提示,且在用戶確認(rèn)后,調(diào)用移動(dòng)通信網(wǎng)絡(luò)連接功能

的操作才能執(zhí)行;

c)按照.6c)進(jìn)行測(cè)試,向用戶提供通過配置應(yīng)用軟件調(diào)用移動(dòng)通信網(wǎng)絡(luò)連接的功能;

d)當(dāng)移動(dòng)通信網(wǎng)絡(luò)處于已連接狀態(tài)時(shí),按照.6d)進(jìn)行測(cè)試,應(yīng)在交互界面上給用戶相

應(yīng)的狀態(tài)提示;

e)當(dāng)正在傳送數(shù)據(jù)時(shí),按照.6e)進(jìn)行測(cè)試,應(yīng)在交互界面上給用戶相應(yīng)的狀態(tài)提示;

f)上述d)和e)中,按照.6f)進(jìn)行測(cè)試,狀態(tài)提示的方式應(yīng)不同。

注:緊急情況下,E-Call等應(yīng)急功能不限定于以上條款要求內(nèi)。

.7WLAN網(wǎng)絡(luò)連接

具有交互界面的車載信息交互系統(tǒng),在WLAN網(wǎng)絡(luò)連接時(shí),應(yīng)滿足以下要求:

a)按照.7a)進(jìn)行測(cè)試,提供開關(guān)以開啟或關(guān)閉WLAN網(wǎng)絡(luò)連接功能;

b)按照.7b)進(jìn)行測(cè)試,向用戶進(jìn)行提示,且在用戶確認(rèn)后,調(diào)用WLAN網(wǎng)絡(luò)連接功能的

操作才能執(zhí)行;

c)當(dāng)WLAN網(wǎng)絡(luò)處于已連接狀態(tài)時(shí),按照.7c)進(jìn)行測(cè)試,應(yīng)在交互界面上給用戶相應(yīng)的

狀態(tài)提示;

d)當(dāng)正在傳送數(shù)據(jù)時(shí),按照.7d)進(jìn)行測(cè)試,應(yīng)在交互界面上給用戶相應(yīng)的狀態(tài)提示;

e)上述c)和d)中,按照.7e)進(jìn)行測(cè)試,狀態(tài)提示的方式應(yīng)不同。

本地敏感功能受控機(jī)制

.1定位功能

具有交互界面的車載信息交互系統(tǒng),在調(diào)用定位功能時(shí),要求如下:

a)按照.1a)進(jìn)行測(cè)試,在用戶確認(rèn)后,才能執(zhí)行定位功能;

b)按照.1b)進(jìn)行測(cè)試,向用戶提供后臺(tái)定位控制功能以配置應(yīng)用軟件是否可調(diào)用定位

功能;

c)上述a)和b)中,按照.1c)進(jìn)行測(cè)試,應(yīng)讓用戶分別操作。

d)當(dāng)調(diào)用定位功能時(shí),按照.1d)進(jìn)行測(cè)試,宜在交互界面上給用戶相應(yīng)的狀態(tài)提示。

.2通話錄音功能

具有交互界面的車載信息交互系統(tǒng),在調(diào)用通話錄音功能時(shí),按照.2進(jìn)行測(cè)試,應(yīng)在用戶確

認(rèn)后,才能執(zhí)行通話錄音功能。

.3本地錄音功能

具有交互界面的車載信息交互系統(tǒng),在調(diào)用本地錄音功能時(shí),按照.3進(jìn)行測(cè)試,應(yīng)在用戶確

認(rèn)后,才能執(zhí)行本地錄音功能。

6

GB/TXXXXX—XXXX

.4對(duì)用戶數(shù)據(jù)的操作

處理用戶數(shù)據(jù)時(shí),按照.4進(jìn)行測(cè)試,操作系統(tǒng)應(yīng)進(jìn)行相應(yīng)授權(quán)(例如:當(dāng)應(yīng)用軟件需要調(diào)用

對(duì)電話本數(shù)據(jù)、通話記錄、上網(wǎng)記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)的讀或?qū)懖僮鲿r(shí),操作系統(tǒng)應(yīng)在應(yīng)用軟件授

權(quán)的情況下方可執(zhí)行)。

5.3.3操作系統(tǒng)安全啟動(dòng)

車載信息交互系統(tǒng)應(yīng)滿足以下要求:

a)按照6.3.3a)進(jìn)行測(cè)試,操作系統(tǒng)的啟動(dòng)應(yīng)始于一個(gè)無(wú)法被修改的信任根;

b)按照6.3.3b)進(jìn)行測(cè)試,應(yīng)在驗(yàn)證操作系統(tǒng)簽名后,才能從可信存儲(chǔ)區(qū)域加載車載端操作系統(tǒng),

防止加載被篡改的操作系統(tǒng);

c)在執(zhí)行其它的安全啟動(dòng)代碼前,按照6.3.3c)進(jìn)行測(cè)試,應(yīng)驗(yàn)證代碼完整性。

5.3.4操作系統(tǒng)更新

車載信息交互系統(tǒng)要求如下:

a)按照6.3.4a)進(jìn)行測(cè)試,應(yīng)具備系統(tǒng)鏡像的防回退校驗(yàn)功能;

b)當(dāng)更新鏡像安裝失敗時(shí),按照6.3.4b)進(jìn)行測(cè)試,應(yīng)恢復(fù)到更新前的版本;

c)按照6.3.4c)、d)進(jìn)行測(cè)試,宜具有驗(yàn)證更新鏡像完整性和來(lái)源可靠的安全機(jī)制。

5.3.5操作系統(tǒng)隔離

對(duì)預(yù)置功能平行的多操作系統(tǒng),除必要的接口和數(shù)據(jù)(例如:撥打電話等功能和電話本和短信等數(shù)

據(jù))可共享外,按照6.3.5進(jìn)行測(cè)試,不同操作系統(tǒng)之間不應(yīng)進(jìn)行通信。

5.3.6操作系統(tǒng)安全管理

車載信息交互系統(tǒng)要求如下:

a)針對(duì)車機(jī)類智能操作系統(tǒng),按照6.3.6a)進(jìn)行測(cè)試,應(yīng)對(duì)應(yīng)用軟件運(yùn)行的實(shí)時(shí)環(huán)境進(jìn)行監(jiān)控,

對(duì)異常狀況(例如:異常網(wǎng)絡(luò)連接、內(nèi)存占用突增等狀況)進(jìn)行告警;

b)針對(duì)車機(jī)類智能操作系統(tǒng),按照6.3.6b)進(jìn)行測(cè)試,應(yīng)具有清理內(nèi)存、存儲(chǔ)垃圾等功能;

c)針對(duì)車機(jī)類智能操作系統(tǒng),按照6.3.6c)進(jìn)行測(cè)試,應(yīng)支持審計(jì)功能;

d)按照6.3.6d)進(jìn)行測(cè)試,應(yīng)具備重要事件(例如:關(guān)鍵配置變更、安全啟動(dòng)校驗(yàn)失敗等事件)

的日志記錄功能,并按照6.3.6e)進(jìn)行測(cè)試,應(yīng)能按照策略上傳至服務(wù)器;

e)按照6.3.6g)進(jìn)行測(cè)試,應(yīng)對(duì)日志文件進(jìn)行安全存儲(chǔ);

f)按照6.3.6f)進(jìn)行測(cè)試,應(yīng)采取訪問控制機(jī)制,對(duì)日志讀取寫入的權(quán)限進(jìn)行管理;

g)按照6.3.6h)進(jìn)行測(cè)試,應(yīng)對(duì)開發(fā)者調(diào)試接口進(jìn)行管控,禁止非授權(quán)訪問;

h)按照6.3.6i)進(jìn)行測(cè)試,不應(yīng)存在由權(quán)威漏洞平臺(tái)公開發(fā)布6個(gè)月及以上且未經(jīng)處置的高危安

全漏洞;

i)按照6.3.6j)進(jìn)行測(cè)試,宜具備識(shí)別、阻斷應(yīng)用軟件以高敏感權(quán)限(例如:ROOT權(quán)限、涉及非

業(yè)務(wù)內(nèi)控車行為的權(quán)限等)運(yùn)行的能力。

5.4應(yīng)用軟件安全要求

5.4.1應(yīng)用軟件基礎(chǔ)安全

車載信息交互系統(tǒng)上的應(yīng)用軟件應(yīng)滿足以下要求:

a)按照6.4.1a)進(jìn)行測(cè)試,從安全合規(guī)的應(yīng)用商店下載和安裝軟件;

7

GB/TXXXXX—XXXX

b)按照6.4.1b)進(jìn)行測(cè)試,不存在由權(quán)威漏洞平臺(tái)公開發(fā)布6個(gè)月及以上且未經(jīng)處置的高危安全

漏洞;

c)按照6.4.1c)進(jìn)行測(cè)試,不存在非授權(quán)收集或泄露個(gè)人敏感信息、非授權(quán)數(shù)據(jù)外傳等惡意行為;

d)按照6.4.1d)進(jìn)行測(cè)試,不以明文形式存儲(chǔ)個(gè)人敏感信息;

e)按照6.4.1e)進(jìn)行測(cè)試,具備會(huì)話安全保護(hù)機(jī)制(例如:使用隨機(jī)生成會(huì)話ID等機(jī)制);

f)按照6.4.1f)進(jìn)行測(cè)試,使用至少包括數(shù)字、大小寫字母,長(zhǎng)度不少于8位的強(qiáng)復(fù)雜度口令;

g)按照6.4.1g)進(jìn)行測(cè)試,符合密碼學(xué)要求,不直接在代碼中寫入密鑰;按照6.4.1h)進(jìn)行測(cè)

試,使用已驗(yàn)證、安全的加密算法和參數(shù);按照6.4.1i)進(jìn)行測(cè)試,同一個(gè)密鑰不復(fù)用于不同

用途;

h)按照6.4.1j)進(jìn)行測(cè)試,使用到的隨機(jī)數(shù)符合隨機(jī)數(shù)相關(guān)標(biāo)準(zhǔn)(例如:《GM/T0005》等),保

證由已驗(yàn)證、安全的隨機(jī)數(shù)生成器產(chǎn)生。

5.4.2應(yīng)用軟件代碼安全

車載信息交互系統(tǒng)上的應(yīng)用軟件要求如下:

a)按照6.4.2a)進(jìn)行測(cè)試,應(yīng)用軟件的開發(fā)者使用第三方組件應(yīng)識(shí)別其涉及公開漏洞庫(kù)中已知

的漏洞并安裝補(bǔ)??;

b)對(duì)于非托管代碼,按照6.4.2b)進(jìn)行測(cè)試,應(yīng)確保內(nèi)存空間的安全分配、使用和釋放;

c)按照6.4.2c)進(jìn)行測(cè)試,應(yīng)用軟件安裝包應(yīng)采用代碼簽名認(rèn)證機(jī)制;

d)按照6.4.2d)進(jìn)行測(cè)試,發(fā)布后不應(yīng)包含調(diào)試功能及調(diào)試信息;

e)在非調(diào)試場(chǎng)景或調(diào)試模式下,按照6.4.2e)進(jìn)行測(cè)試,應(yīng)用軟件日志不應(yīng)包含調(diào)試輸出;

f)按照6.4.2f)進(jìn)行測(cè)試,宜使用構(gòu)建工具鏈提供的代碼安全機(jī)制(例如:堆棧保護(hù)、自動(dòng)引

用計(jì)數(shù)等);

g)按照6.4.2g)進(jìn)行測(cè)試,宜使用安全機(jī)制(例如:混淆、加殼等),防止被逆向分析。

5.4.3應(yīng)用軟件訪問控制

車載信息交互系統(tǒng)上的應(yīng)用軟件應(yīng)滿足以下要求:

a)按照6.4.3a)進(jìn)行測(cè)試,支持權(quán)限管理并遵守最小授權(quán)原則,按照6.4.3b)進(jìn)行測(cè)試,不同

的應(yīng)用軟件基于實(shí)現(xiàn)特定功能分配不同的接口權(quán)限;

b)按照6.4.3c)進(jìn)行測(cè)試,對(duì)外部輸入的來(lái)源(例如:用戶界面、URL等來(lái)源)進(jìn)行校驗(yàn);

c)身份校驗(yàn)時(shí),按照6.4.3d)進(jìn)行測(cè)試,應(yīng)至少進(jìn)行本地驗(yàn)證。

5.4.4應(yīng)用軟件運(yùn)行安全

車載信息交互系統(tǒng)上的應(yīng)用軟件要求如下:

a)按照6.4.4a)進(jìn)行測(cè)試,關(guān)鍵應(yīng)用軟件(例如:與控制車輛、支付相關(guān)等)在啟動(dòng)時(shí)應(yīng)執(zhí)行

自檢機(jī)制;

b)當(dāng)輸入個(gè)人敏感信息時(shí),按照6.4.4b)進(jìn)行測(cè)試,應(yīng)采取安全措施確保個(gè)人敏感信息不被其

他應(yīng)用竊取,并防止錄屏(例如:使用安全軟鍵盤等);

c)應(yīng)用軟件正常退出時(shí),按照6.4.4c)進(jìn)行測(cè)試,應(yīng)擦除緩存文件中的個(gè)人敏感信息;

d)按照6.4.4d)進(jìn)行測(cè)試,應(yīng)用軟件進(jìn)程間通信不宜明文傳輸個(gè)人敏感信息;

e)按照6.4.4e)進(jìn)行測(cè)試,不宜利用進(jìn)程間通信提供敏感功能(涉及個(gè)人敏感信息的功能)的

接口。

5.4.5應(yīng)用軟件通信安全

8

GB/TXXXXX—XXXX

車載信息交互系統(tǒng)上的應(yīng)用軟件應(yīng)滿足以下要求:

a)對(duì)外傳輸個(gè)人敏感信息時(shí),按照6.4.5a)進(jìn)行測(cè)試,應(yīng)采用數(shù)據(jù)加密傳輸方式;

b)按照6.4.5b)進(jìn)行測(cè)試,實(shí)現(xiàn)通信端之間的雙向認(rèn)證后,才能發(fā)送個(gè)人敏感信息;

c)按照6.4.5c)進(jìn)行測(cè)試,使用已驗(yàn)證、安全的參數(shù)設(shè)置,按照6.4.5d)進(jìn)行測(cè)試,只允許驗(yàn)

證通過OEM授信CA簽發(fā)的證書。

5.4.6應(yīng)用軟件日志安全

車載信息交互系統(tǒng)上的應(yīng)用軟件應(yīng)滿足以下要求:

a)按照6.4.6a)進(jìn)行測(cè)試,采取訪問控制機(jī)制管理日志讀取和寫入的權(quán)限;

b)按照6.4.6b)進(jìn)行測(cè)試,對(duì)日志文件進(jìn)行安全存儲(chǔ);

c)按照6.4.6c)進(jìn)行測(cè)試,對(duì)個(gè)人敏感信息進(jìn)行脫敏等防護(hù)后,才能寫入應(yīng)用日志。

5.5數(shù)據(jù)安全要求

5.5.1數(shù)據(jù)采集

車載信息交互系統(tǒng)要求如下:

a)采集用戶數(shù)據(jù)時(shí),按照6.5.1a)進(jìn)行測(cè)試,應(yīng)告知用戶采集目的和范圍,取得授權(quán)同意,并

提供關(guān)閉數(shù)據(jù)采集的功能;

b)采集個(gè)人敏感信息時(shí),按照6.5.1b)進(jìn)行測(cè)試,應(yīng)取得用戶的明示同意,并確保個(gè)人信息主

體的明示同意是其在完全知情的基礎(chǔ)上自愿給出的、具體的、清晰明確的意愿表示;

c)采集遠(yuǎn)程控制、遠(yuǎn)程診斷等功能場(chǎng)景下所發(fā)送的指令數(shù)據(jù)時(shí),按照6.5.1c)進(jìn)行測(cè)試,應(yīng)取

得用戶授權(quán)同意;

d)按照6.5.1d)進(jìn)行測(cè)試,宜在提供相應(yīng)服務(wù)的同時(shí)進(jìn)行用戶數(shù)據(jù)采集。

5.5.2數(shù)據(jù)存儲(chǔ)

車載信息交互系統(tǒng)要求如下:

a)按照6.5.2a)進(jìn)行測(cè)試,應(yīng)采用加密等安全措施存儲(chǔ)個(gè)人敏感信息,可采用硬件安全存儲(chǔ)方

式;

b)按照6.5.2b)進(jìn)行測(cè)試,應(yīng)實(shí)現(xiàn)安全重要參數(shù)的安全存儲(chǔ)和運(yùn)算,可采用硬件防護(hù)方式;

c)存儲(chǔ)用戶數(shù)據(jù)時(shí),按照6.5.2c)進(jìn)行測(cè)試,應(yīng)防止非授權(quán)訪問;

d)按照6.5.2d)進(jìn)行測(cè)試,應(yīng)采用技術(shù)措施處理后再進(jìn)行存儲(chǔ)個(gè)人生物識(shí)別信息(例如:僅存

儲(chǔ)個(gè)人生物識(shí)別信息的摘要等方式);

e)按照6.5.2e)進(jìn)行測(cè)試,未經(jīng)用戶授權(quán)不應(yīng)修改、刪除用戶數(shù)據(jù);

f)按照6.5.2f)進(jìn)行測(cè)試,應(yīng)對(duì)用戶數(shù)據(jù)操作(包括采集,傳輸,存儲(chǔ),銷毀)進(jìn)行日志存儲(chǔ)。

5.5.3數(shù)據(jù)傳輸

按照6.5.3進(jìn)行測(cè)試,車載信息交互系統(tǒng)應(yīng)采取管理措施和技術(shù)手段,保護(hù)所傳輸用戶數(shù)據(jù)的保密

性、完整性和可用性。

5.5.4數(shù)據(jù)銷毀

車載信息交互系統(tǒng)應(yīng)滿足以下要求:

a)按照6.5.4a)進(jìn)行測(cè)試,應(yīng)具備用戶數(shù)據(jù)銷毀的功能;

9

GB/TXXXXX—XXXX

b)對(duì)共享類應(yīng)用(例如:共享汽車等應(yīng)用場(chǎng)景),在當(dāng)前用戶退出后,按照6.5.4b)進(jìn)行測(cè)試,

應(yīng)清空個(gè)人敏感信息。

6測(cè)試方法

6.1硬件安全測(cè)試方法

硬件安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)檢查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等調(diào)試接口,

如存在則使用測(cè)試工具嘗試獲取調(diào)試權(quán)限;

b)拆解被測(cè)樣件設(shè)備外殼,取出PCB板,通過5倍率以上的光學(xué)放大鏡,觀察網(wǎng)關(guān)PCB板,檢查

PCB板硬件是否存在后門或隱蔽接口;

c)通過采用開盒觀察方法,檢查關(guān)鍵芯片管腳暴露情況,或?qū)彶橄鄳?yīng)文檔,是否有減少暴露管腳

的考量;

d)查看PCB布線及設(shè)計(jì),檢查安全芯片之間通信線路是否做隱蔽處理,檢查敏感數(shù)據(jù)的通信線路

數(shù)量或?qū)彶橄鄳?yīng)文檔,檢查通信線路是否有做隱蔽處理與減少通信線路數(shù)量的考量;

e)通過采用開盒觀察方法,檢查車載信息交互系統(tǒng)的電路板及電路板上的芯片是否存在用以標(biāo)注

芯片、端口和管腳功能的可讀絲印。

6.2通信協(xié)議與接口安全測(cè)試方法

6.2.1對(duì)外通信協(xié)議安全測(cè)試方法

通信連接安全測(cè)試方法

通信連接安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包,解析通信報(bào)文數(shù)據(jù),檢查車輛端與平臺(tái)服務(wù)端或外部終

端的通信有無(wú)身份認(rèn)證;

b)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包,解析通信報(bào)文數(shù)據(jù),模擬中間人攻擊方式,檢查車輛端

與平臺(tái)服務(wù)端或外部終端是否無(wú)法建立通信連接。

通信傳輸安全測(cè)試方法

通信傳輸安全測(cè)試應(yīng)按照下列要求進(jìn)行:

采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包,解析通信報(bào)文數(shù)據(jù),檢查車輛端與平臺(tái)服務(wù)端或外部終端間

傳輸?shù)臄?shù)據(jù)內(nèi)容是否經(jīng)過加密。

通信連接終止安全測(cè)試方法

通信連接終止安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包,解析通信報(bào)文數(shù)據(jù),模擬偽造簽名的報(bào)文數(shù)據(jù),觸發(fā)身份

鑒權(quán)失敗,檢查車載信息交互系統(tǒng)是否終止該響應(yīng)操作;

b)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包,解析通信報(bào)文數(shù)據(jù),重發(fā)加密的數(shù)據(jù),觸發(fā)校驗(yàn)失敗,

檢查車載信息交互系統(tǒng)是否終止該響應(yīng)操作。

遠(yuǎn)程通信協(xié)議安全測(cè)試方法

.1公有遠(yuǎn)程通信協(xié)議安全測(cè)試方法

10

GB/TXXXXX—XXXX

公有遠(yuǎn)程通信協(xié)議安全測(cè)試應(yīng)按照下列要求進(jìn)行:

采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包,解析通信報(bào)文數(shù)據(jù),檢查是否采用如TLSV1.2同等安全級(jí)別

或以上要求的安全通信層協(xié)議。

.2私有遠(yuǎn)程通信協(xié)議安全測(cè)試方法

私有遠(yuǎn)程通信協(xié)議安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)對(duì)私有遠(yuǎn)程通信協(xié)議方案進(jìn)行審核,采用網(wǎng)絡(luò)數(shù)據(jù)抓包的方法進(jìn)行數(shù)據(jù)抓包,解析通信報(bào)文數(shù)據(jù)

中加密密鑰衍生和更新策略,檢查是否支持以安全方式進(jìn)行定期更新;

b)對(duì)私有遠(yuǎn)程通信協(xié)議方案進(jìn)行審核,采用網(wǎng)絡(luò)數(shù)據(jù)抓包的方法進(jìn)行數(shù)據(jù)抓包,解析通信報(bào)文數(shù)據(jù)

中加密密鑰存儲(chǔ)策略,檢查安全傳輸協(xié)議是否以安全的方式存儲(chǔ)數(shù)據(jù)加密密鑰。

短距離通信協(xié)議安全測(cè)試方法

.1短距離通信口令應(yīng)用安全測(cè)試方法

短距離通信口令應(yīng)用安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)使用暴力破解的方法,檢查缺省口令的復(fù)雜度;

b)通過對(duì)同一產(chǎn)品的多個(gè)樣品驗(yàn)證缺省口令的方式,檢查缺省口令是否具有唯一性;

c)設(shè)置較低復(fù)雜度口令,檢查修改過程中是否給出明確的風(fēng)險(xiǎn)提示或不允許設(shè)置;

d)對(duì)于人機(jī)接口或跨信任網(wǎng)絡(luò)的不同車載信息交互系統(tǒng)之間接口的登錄認(rèn)證,使用暴力破解的方

法,檢查是否成功觸發(fā)防暴力破解機(jī)制;

e)通過嘗試篡改口令文件,檢查是否設(shè)置了訪問控制。

.2藍(lán)牙通信協(xié)議安全測(cè)試方法

藍(lán)牙通信協(xié)議安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)模擬遍歷連接車載信息交互系統(tǒng)上的藍(lán)牙設(shè)備,檢查是否存在后門提供其他車輛服務(wù);

b)采用藍(lán)牙抓包工具進(jìn)行數(shù)據(jù)抓包,解析藍(lán)牙通信數(shù)據(jù),檢查針對(duì)Classic場(chǎng)合,是否采用SSP

模式或針對(duì)LE場(chǎng)合,是否采用LESecureConnection模式;

c)向車載藍(lán)牙設(shè)備發(fā)出配對(duì)請(qǐng)求,檢查車載藍(lán)牙設(shè)備是否對(duì)配對(duì)請(qǐng)求進(jìn)行驗(yàn)證,若配對(duì)成功后,

檢查是否對(duì)外部設(shè)備進(jìn)行鑒權(quán);

d)利用未認(rèn)證的外部設(shè)備,嘗試進(jìn)行控制車輛,檢查是否成功接入;

e)在利用藍(lán)牙進(jìn)行非接觸控制車輛業(yè)務(wù)時(shí),采用藍(lán)牙抓包工具進(jìn)行數(shù)據(jù)抓包,解析藍(lán)牙通信數(shù)據(jù),

檢查是否對(duì)相關(guān)數(shù)據(jù)進(jìn)行安全加密處理。

.3WLAN通信協(xié)議安全測(cè)試方法

WLAN通信協(xié)議安全測(cè)試應(yīng)按照下列要求進(jìn)行:

通過獲取WLAN熱點(diǎn)安全類型,檢查WLAN熱點(diǎn)是否采用WPA2-PSK或更高安全級(jí)別的加密認(rèn)證方式。

6.2.2內(nèi)通信協(xié)議的安全測(cè)試方法

內(nèi)通信協(xié)議安全測(cè)試應(yīng)按照下列要求進(jìn)行:

采用車內(nèi)網(wǎng)絡(luò)報(bào)文抓包和解析的方法,檢查車載信息交互系統(tǒng)通過CAN或車載以太網(wǎng)等總線與車內(nèi)

其他控制器節(jié)點(diǎn)進(jìn)行數(shù)據(jù)交互,傳輸重要數(shù)據(jù)時(shí),是否使用安全機(jī)制保證傳輸數(shù)據(jù)的完整性及可用性。

6.2.3通信接口的安全測(cè)試方法

11

GB/TXXXXX—XXXX

總體要求測(cè)試方法

總體要求安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)對(duì)軟硬件接口進(jìn)行探測(cè),端口掃描,檢查是否存在“未公開接口”,是否存在可繞過系統(tǒng)安全機(jī)

制對(duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問的功能;

b)對(duì)通信接口進(jìn)行遍歷,檢查其訪問權(quán)限是否滿足“最小權(quán)限原則”。

車外通信接口安全測(cè)試方法

車外通信接口安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)訪問車載信息交互系統(tǒng)中不同區(qū)域的數(shù)據(jù),檢查車載信息交互系統(tǒng)是否支持路由隔離,是否可

以隔離核心業(yè)務(wù)平臺(tái)的通信、內(nèi)部通信、外網(wǎng)通信等;

b)使用公網(wǎng)訪問車載信息交互系統(tǒng)和核心業(yè)務(wù)平臺(tái),檢查車載信息交互系統(tǒng)與核心業(yè)務(wù)平臺(tái)的通

信是否采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)通信,與公網(wǎng)隔離。

車內(nèi)通信接口安全測(cè)試方法

車內(nèi)通信接口安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)調(diào)用非白名單指令,檢查車載信息交互系統(tǒng)是否針對(duì)發(fā)送和接收到的指令進(jìn)行白名單過濾;

b)模擬惡意應(yīng)用,發(fā)送控制指令,檢查車載信息交互系統(tǒng)是否實(shí)現(xiàn)總線控制指令來(lái)源的校驗(yàn)。

6.3操作系統(tǒng)安全測(cè)試方法

6.3.1操作系統(tǒng)安全配置測(cè)試方法

操作系統(tǒng)安全配置測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)使用root賬號(hào)登錄,并嘗試進(jìn)行提權(quán),檢查系統(tǒng)是否禁止root用戶直接登錄,限制用戶提權(quán)

操作;

b)查看系統(tǒng)中的賬號(hào)列表,檢查是否存在無(wú)用賬號(hào),或者嘗試登錄其中的無(wú)用賬號(hào),驗(yàn)證是否無(wú)

法登陸,通過設(shè)置弱口令,檢查系統(tǒng)是否提示口令安全弱,賬號(hào)口令應(yīng)至少包括數(shù)字、大小寫

字母,并且長(zhǎng)度不小于8位;

c)使用授權(quán)身份a或授權(quán)進(jìn)程a’對(duì)文件、數(shù)據(jù)庫(kù)等進(jìn)行訪問,檢查訪問是否被允許,使用非授

權(quán)身份b或非授權(quán)進(jìn)程b’對(duì)文件、數(shù)據(jù)庫(kù)等進(jìn)行訪問,檢查訪問是否無(wú)法成功;

d)查看正在運(yùn)行的應(yīng)用服務(wù),檢查是否關(guān)閉了不必要的應(yīng)用服務(wù);

e)使用授權(quán)身份a進(jìn)行遠(yuǎn)程接入,檢查是否可以成功遠(yuǎn)程接入,使用非授權(quán)身份b進(jìn)行遠(yuǎn)程接入,

檢查是否不能遠(yuǎn)程接入服務(wù)。

6.3.2安全調(diào)用控制能力測(cè)試方法

通信類功能受控機(jī)制安全測(cè)試方法

.1撥打電話安全測(cè)試方法

撥打電話安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)在應(yīng)用軟件內(nèi)調(diào)用撥打電話操作,檢查應(yīng)用軟件調(diào)用執(zhí)行撥打電話操作時(shí),是否在用戶確認(rèn)的

情況下,才能執(zhí)行撥打操作;

b)在應(yīng)用軟件內(nèi)調(diào)用撥打電話開通呼叫轉(zhuǎn)移業(yè)務(wù)操作,檢查應(yīng)用軟件調(diào)用執(zhí)行撥打電話開通呼叫

轉(zhuǎn)移業(yè)務(wù)時(shí),是否向用戶明示業(yè)務(wù)內(nèi)容,且在用戶確認(rèn)的情況下才能執(zhí)行操作。

12

GB/TXXXXX—XXXX

.2三方通話安全測(cè)試方法

三方通話安全測(cè)試應(yīng)按照下列要求進(jìn)行:

在應(yīng)用軟件內(nèi)調(diào)用三方通話操作,檢查應(yīng)用軟件調(diào)用執(zhí)行三方通話操作時(shí),是否在用戶確認(rèn)的情況

下才能執(zhí)行三方通話操作。

.3發(fā)送短信安全測(cè)試方法

發(fā)送短信安全測(cè)試應(yīng)按照下列要求進(jìn)行:

在應(yīng)用軟件內(nèi)調(diào)用發(fā)送短信操作,檢查應(yīng)用軟件調(diào)用執(zhí)行發(fā)送短信操作時(shí),是否在用戶確認(rèn)的情況

下才能執(zhí)行發(fā)送短信操作。

.4發(fā)送彩信安全測(cè)試方法

發(fā)送彩信安全測(cè)試應(yīng)按照下列要求進(jìn)行:

在應(yīng)用軟件內(nèi)調(diào)用發(fā)送彩信操作,檢查應(yīng)用軟件調(diào)用執(zhí)行發(fā)送彩信操作時(shí),是否在用戶確認(rèn)的情況

下才能執(zhí)行發(fā)送彩信操作。

.5發(fā)送郵件安全測(cè)試方法

發(fā)送郵件安全測(cè)試應(yīng)按照下列要求進(jìn)行:

在應(yīng)用軟件內(nèi)調(diào)用發(fā)送彩信操作,檢查應(yīng)用軟件調(diào)用執(zhí)行發(fā)送彩信操作時(shí),是否在用戶確認(rèn)的情況

下才能執(zhí)行發(fā)送彩信操作。

.6移動(dòng)通信網(wǎng)絡(luò)連接安全測(cè)試方法

移動(dòng)通信網(wǎng)絡(luò)連接安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)檢查車載信息交互系統(tǒng)是否提供了控制移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接的開關(guān),開啟開關(guān)檢查是否可使

用移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接,關(guān)閉開關(guān)檢查是否無(wú)法使用移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接;

b)檢查應(yīng)用軟件調(diào)用開啟通信網(wǎng)絡(luò)數(shù)據(jù)連接功能時(shí),是否對(duì)用戶進(jìn)行了相應(yīng)的提示,且是否在用

戶確認(rèn)后才開啟通信網(wǎng)絡(luò)數(shù)據(jù)連接功能,當(dāng)用戶未確認(rèn)時(shí)是否沒有開啟;

c)檢查車載信息交互系統(tǒng)是否向用戶提供通過配置應(yīng)用軟件調(diào)用移動(dòng)通信網(wǎng)絡(luò)連接的功能;

d)檢查當(dāng)移動(dòng)通信網(wǎng)絡(luò)的數(shù)據(jù)連接處于已連接狀態(tài)時(shí),車載信息交互系統(tǒng)是否在用戶界面上有相

應(yīng)的狀態(tài)提示;

e)當(dāng)移動(dòng)通信網(wǎng)絡(luò)正在傳送數(shù)據(jù)時(shí),檢查車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提

示;

f)檢查d)和e)的兩種狀態(tài)提示是否不同。

.7WLAN網(wǎng)絡(luò)連接安全測(cè)試方法

WLAN網(wǎng)絡(luò)連接安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)檢查車載信息交互系統(tǒng)是否有控制WLAN網(wǎng)絡(luò)連接功能的開關(guān),開啟開關(guān)檢查是否可使用WLAN

網(wǎng)絡(luò)連接,關(guān)閉開關(guān)檢查是否不能使用WLAN網(wǎng)絡(luò)連接;

b)檢查應(yīng)用軟件調(diào)用開啟WLAN網(wǎng)絡(luò)連接功能時(shí),是否對(duì)用戶進(jìn)行相應(yīng)的提示,且是否在用戶確

認(rèn)后才開啟WLAN網(wǎng)絡(luò)連接,當(dāng)用戶未確認(rèn)時(shí)是否沒有開啟;

c)檢查當(dāng)WLAN網(wǎng)絡(luò)連接處于已連接狀態(tài)時(shí),車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)

提示;

d)檢查當(dāng)WLAN網(wǎng)絡(luò)正在傳送數(shù)據(jù)時(shí),車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提示;

13

GB/TXXXXX—XXXX

e)檢查c)和d)的兩種狀態(tài)提示是否不同。

本地敏感功能受控機(jī)制測(cè)試方法

.1定位功能測(cè)試方法

定位功能測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)檢查當(dāng)應(yīng)用軟件在使用期間調(diào)用定位功能時(shí),車載信息交互系統(tǒng)是否要求用戶確認(rèn)允許使用定

位功能,用戶未確認(rèn)時(shí)是否會(huì)停止調(diào)用定位功能;

b)檢查車載信息交互系統(tǒng)是否提供了后臺(tái)定位控制能力,且用戶是否可為每個(gè)應(yīng)用軟件選擇開啟

和關(guān)閉后臺(tái)定位功能;

c)檢查a)和b)是否讓用戶分別操作;

d)檢查當(dāng)應(yīng)用軟件調(diào)用定位功能時(shí),車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提示。

.2通話錄音功能測(cè)試方法

通話錄音功能測(cè)試應(yīng)按照下列要求進(jìn)行:

檢查當(dāng)應(yīng)用軟件調(diào)用通話錄音功能時(shí),是否要求用戶確認(rèn),用戶未確認(rèn)時(shí)是否不開啟通話錄音。

.3本地錄音功能測(cè)試方法

本地錄音功能測(cè)試應(yīng)按照下列要求進(jìn)行:

檢查應(yīng)用軟件調(diào)用本地錄音功能時(shí),是否要求用戶確認(rèn),用戶未確認(rèn)時(shí)是否不開啟本地錄音。

.4對(duì)用戶數(shù)據(jù)的操作測(cè)試方法

對(duì)用戶數(shù)據(jù)的操作測(cè)試應(yīng)按照下列要求進(jìn)行:

使用授權(quán)的應(yīng)用軟件a對(duì)用戶數(shù)據(jù)進(jìn)行處理,檢查是否可以成功執(zhí)行,使用非授權(quán)的應(yīng)用軟件b對(duì)用

戶數(shù)據(jù)進(jìn)行處理,檢查是否無(wú)法成功。

6.3.3操作系統(tǒng)安全啟動(dòng)測(cè)試方法

操作系統(tǒng)安全啟動(dòng)測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)獲取操作系統(tǒng)安全啟動(dòng)信任根存儲(chǔ)區(qū)域的訪問方法和地址,使用軟件調(diào)試工具寫入數(shù)據(jù),重復(fù)

多次檢查是否可將數(shù)據(jù)寫入該存儲(chǔ)區(qū)域;

b)提取操作系統(tǒng)簽名,使用軟件調(diào)試工具對(duì)簽名進(jìn)行篡改,將修改后簽名寫入到車載終端內(nèi)的指

定區(qū)域,檢查是否正常工作;

c)獲取操作系統(tǒng)的系統(tǒng)固件等其他安全啟動(dòng)代碼,使用軟件調(diào)試工具對(duì)其進(jìn)行篡改,將修改后的

啟動(dòng)代碼寫入到車載終端內(nèi)的指定區(qū)域,檢查是否正常工作。

6.3.4操作系統(tǒng)更新安全測(cè)試方法

操作系統(tǒng)安全更新測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)將鏡像替換為過期的鏡像,檢查是否無(wú)法成功加載;

b)確認(rèn)更新鏡像安裝失敗時(shí)(如通過在更新鏡像時(shí)人為斷電等方法),檢查系統(tǒng)安裝之前的版本

是否可用;

c)修改更新鏡像,檢查更新流程是否無(wú)法執(zhí)行;

d)使用非官方授信的更新鏡像,檢查更新流程是否無(wú)法執(zhí)行。

6.3.5操作系統(tǒng)隔離測(cè)試方法

14

GB/TXXXXX—XXXX

操作系統(tǒng)隔離測(cè)試應(yīng)按照下列要求進(jìn)行:

審查設(shè)計(jì)文檔,檢查是否采用了操作系統(tǒng)隔離措施,即除撥打電話、電話本和短信等必要的接口和

數(shù)據(jù)可以共享外,不同操作系統(tǒng)之間不能進(jìn)行通信。

6.3.6操作系統(tǒng)安全管理測(cè)試方法

操作系統(tǒng)安全管理測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)針對(duì)車機(jī)類智能操作系統(tǒng),引入異常狀況(例如:異常網(wǎng)絡(luò)連接、內(nèi)存占用突增),檢查是否

會(huì)對(duì)異常情況進(jìn)行告警;

b)針對(duì)車機(jī)類智能操作系統(tǒng),檢查系統(tǒng)是否會(huì)進(jìn)行內(nèi)存、存儲(chǔ)垃圾清理等;

c)針對(duì)車機(jī)類智能操作系統(tǒng),審查文檔,檢查操作系統(tǒng)是否具有審計(jì)功能,并進(jìn)行核查;

d)打開日志查詢界面,檢查操作系統(tǒng)是否對(duì)重要事件進(jìn)行了日志記錄;

e)審查文檔,檢查操作系統(tǒng)是否設(shè)定了將日志上傳至服務(wù)器的策略;

f)使用授權(quán)身份a進(jìn)行日志進(jìn)行讀取或?qū)懭?,檢查是否可以成功操作,使用非授權(quán)身份b進(jìn)行日

志讀取或訪問,檢查是否無(wú)法成功;

g)通過嘗試覆蓋、刪除日志存儲(chǔ)區(qū)域,檢查日志的存儲(chǔ)是否存在安全防護(hù);

h)使用授權(quán)身份a通過調(diào)用調(diào)試接口訪問內(nèi)部數(shù)據(jù),檢查是否可以成功操作,使用非授權(quán)身份b

通過調(diào)用調(diào)試接口訪問內(nèi)部數(shù)據(jù),檢查是否無(wú)法成功;

i)使用漏洞掃描工具對(duì)車載終端進(jìn)行漏洞檢測(cè),檢查是否存在權(quán)威漏洞平臺(tái)發(fā)布6個(gè)月及以上的

高危安全漏洞,且廠商是否提供了該高危漏洞的處置方案;

j)通過應(yīng)用軟件進(jìn)行root權(quán)限運(yùn)行和業(yè)務(wù)不包含控車的應(yīng)用軟件進(jìn)行控車行為操作,檢查該操

作是否會(huì)被阻斷。

6.4應(yīng)用軟件安全技術(shù)測(cè)試方法

6.4.1應(yīng)用軟件基礎(chǔ)安全測(cè)試方法

應(yīng)用軟件基礎(chǔ)安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)從非應(yīng)用商店處下載未使用官方簽名的應(yīng)用軟件,檢查是否可以正常下載和安裝;

b)使用漏洞掃描工具對(duì)車載終端進(jìn)行漏洞檢測(cè),檢查是否存在權(quán)威漏洞平臺(tái)發(fā)布6個(gè)月及以上的

高危安全漏洞,且廠商是否提供了該高危漏洞的處置方案;

c)對(duì)應(yīng)用軟件中數(shù)據(jù)進(jìn)行分析,檢查應(yīng)用軟件對(duì)個(gè)人敏感信息是否非授權(quán)收集或泄露、非授權(quán)數(shù)

據(jù)是否外傳等惡意行為;

d)使用分析、查找方法,檢查應(yīng)用軟件是否以明文形式存儲(chǔ)個(gè)人敏感信息;

e)分析會(huì)話內(nèi)容,檢驗(yàn)車載信息交互系統(tǒng)是否具備會(huì)話安全保護(hù)機(jī)制,如:使用隨機(jī)生成的會(huì)話

ID等;

f)使用暴力破解方法,檢查用戶口令策略(例如:長(zhǎng)度、字符類型等)是否滿足要求;

g)對(duì)代碼進(jìn)行查找和分析,檢查是否在代碼中不存在密鑰;

h)對(duì)代碼進(jìn)行查找和分析,檢查該應(yīng)用軟件是否使用已驗(yàn)證的、安全的加密算法和參數(shù);

i)對(duì)代碼進(jìn)行查找和分析,檢查是否不存在將同一個(gè)密鑰復(fù)用于多種不同用途;

j)使用設(shè)計(jì)文檔分析的方法并驗(yàn)證,檢查使用到的隨機(jī)數(shù)是否由已驗(yàn)證的、安全的隨機(jī)數(shù)生成器

產(chǎn)生并符合隨機(jī)數(shù)標(biāo)準(zhǔn)。

6.4.2應(yīng)用軟件代碼安全測(cè)試方法

應(yīng)用軟件代碼安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

15

GB/TXXXXX—XXXX

a)使用代碼掃描工具,對(duì)應(yīng)用軟件代碼進(jìn)行掃描,檢查應(yīng)用軟件構(gòu)建設(shè)置是否滿足安全要求,應(yīng)

用軟件使用的第三方組件是否識(shí)別已知漏洞并安裝補(bǔ)?。?/p>

b)對(duì)于非托管代碼,使用代碼掃描工具,檢查是否可確保內(nèi)存空間的安全分配、使用和釋放;

c)分析設(shè)計(jì)文檔,檢查應(yīng)用軟件是否采用代碼簽名機(jī)制,且代碼簽名機(jī)制符合相關(guān)標(biāo)準(zhǔn)要求;

d)使用調(diào)試分析方法,檢查應(yīng)用軟件發(fā)布后是否包含調(diào)試功能及調(diào)試信息;

e)在非調(diào)試場(chǎng)景或調(diào)試模式下,使用調(diào)試工具進(jìn)行分析,檢查應(yīng)用軟件日志是否包含調(diào)試輸出;

f)使用代碼掃描工具,檢查是否使用構(gòu)建工具鏈提供的代碼安全機(jī)制,例如堆棧保護(hù)、自動(dòng)引用

計(jì)數(shù);

g)使用逆向工具進(jìn)行分析,檢查應(yīng)用軟件是否使用安全機(jī)制(例如:混淆、加殼),對(duì)抗針對(duì)應(yīng)

用的逆向分析;

6.4.3應(yīng)用軟件訪問控制測(cè)試方法

應(yīng)用軟件訪問控制測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)通過遍歷調(diào)用所有接口的方式,檢查是否授予超出其實(shí)際業(yè)務(wù)需求的權(quán)限;

b)采用分析設(shè)計(jì)文檔和測(cè)試的方法,檢查不同的應(yīng)用軟件是否分配不同的接口權(quán)限集合;

c)通過對(duì)應(yīng)用軟件的輸入接口進(jìn)行模糊測(cè)試的方式,檢查應(yīng)用軟件是否對(duì)輸入信息的來(lái)源(包括

用戶界面、URL等來(lái)源)進(jìn)行校驗(yàn);

d)采用分析設(shè)計(jì)文檔的方法,檢查身份驗(yàn)證是否至少在本地進(jìn)行。

6.4.4應(yīng)用軟件運(yùn)行安全測(cè)試方法

應(yīng)用軟件運(yùn)行安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)篡改或替換關(guān)鍵應(yīng)用軟件的部分代碼,檢查關(guān)鍵應(yīng)用程序及定制應(yīng)用軟件能否正常啟動(dòng)運(yùn)行;

b)檢驗(yàn)輸入個(gè)人敏感信息時(shí),檢查是否使用安全軟鍵盤或其他安全措施,確保敏感信息不被其他

應(yīng)用竊取,并防止錄屏;

c)應(yīng)用軟件正常終止時(shí),讀取內(nèi)存數(shù)據(jù),檢查是否包含個(gè)人敏感信息;

d)截取進(jìn)程間通信內(nèi)容,進(jìn)行分析,檢查進(jìn)程間通訊是否涉及明文的個(gè)人敏感信息;

e)遍歷接口,截取各接口通信內(nèi)容,進(jìn)行分析,檢查應(yīng)用軟件是否利用進(jìn)程間通信提供敏感功能

的接口。

6.4.5應(yīng)用軟件通信安全測(cè)試方法

應(yīng)用軟件通信安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包,解析應(yīng)用軟件對(duì)外傳輸?shù)臄?shù)據(jù),檢查個(gè)人敏感信息是否

加密;

b)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包,解析通信數(shù)據(jù),檢查通信端是否進(jìn)行雙向認(rèn)證;

c)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包,解析通信數(shù)據(jù),檢查是否使用已驗(yàn)證的參數(shù)設(shè)置;

d)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包,解析通信數(shù)據(jù),獲取證書,檢查證書是否是通過OEM

授信的CA簽發(fā)的。

6.4.6應(yīng)用軟件日志安全測(cè)試方法

應(yīng)用軟件日志安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)通過嘗試日志讀取寫入操作,檢查是否存在訪問控制機(jī)制,檢查是否對(duì)日志讀寫進(jìn)行權(quán)限管理;

b)通過嘗試覆蓋、刪除日志存儲(chǔ)區(qū)域,檢查日志的存儲(chǔ)是否存在安全防護(hù);

c)分析應(yīng)用軟件存儲(chǔ)的日志,檢查是否包含未脫敏的個(gè)人敏感信息。

16

GB/TXXXXX—XXXX

6.5數(shù)據(jù)安全測(cè)試方法

6.5.1數(shù)據(jù)采集安全測(cè)試方法

數(shù)據(jù)采集安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)檢查車端在采集用戶數(shù)據(jù)時(shí),是否通過主動(dòng)點(diǎn)擊“同意”、明確告知采集目的和范圍等方式得到

用戶的授權(quán)同意;

b)檢查車端在采集個(gè)人敏感信息時(shí),是否通過主動(dòng)點(diǎn)擊“同意”等方式得到用戶的明示同意;

c)檢查車端在遠(yuǎn)程控制、遠(yuǎn)程診斷等功能場(chǎng)景下發(fā)送指令數(shù)據(jù)時(shí),是否通過主動(dòng)點(diǎn)擊“同意”、明

確告知等方式得到用戶的授權(quán)同意;

d)啟動(dòng)一項(xiàng)服務(wù),檢查是否在服務(wù)啟動(dòng)之后才進(jìn)行數(shù)據(jù)采集,終止服務(wù)時(shí)停止數(shù)據(jù)采集。

6.5.2數(shù)據(jù)存儲(chǔ)安全測(cè)試方法

數(shù)據(jù)存儲(chǔ)安全測(cè)試應(yīng)按照下列流程及要求依次進(jìn)行:

a)通過嘗試讀取存儲(chǔ)包含個(gè)人敏感信息的文件,檢查個(gè)人敏感信息是否進(jìn)行了加密存儲(chǔ);

b)通過查看車載信息交互系統(tǒng)設(shè)計(jì)文檔,檢查是否有效實(shí)現(xiàn)重要安全參數(shù)的安全存儲(chǔ)和運(yùn)算;

c)使用非授權(quán)身份訪問存儲(chǔ)用戶數(shù)據(jù)的文件,檢查是否無(wú)法訪問文件信息;

d)檢查存儲(chǔ)在車載信息交互系統(tǒng)中的個(gè)人生物識(shí)別信息,是否使用了僅存摘要等技術(shù)措施;

e)通過嘗試修改和刪除存儲(chǔ)的用戶數(shù)據(jù),檢查是否無(wú)法成功,用戶同意之后,嘗試修改和刪除存

儲(chǔ)的用戶數(shù)據(jù),檢查是否成功;

f)檢查車載信息交互系統(tǒng)是否支持?jǐn)?shù)據(jù)操作(包括采集,傳輸,存儲(chǔ),銷毀)日志的存儲(chǔ)功能。

6.5.3數(shù)據(jù)傳輸安全測(cè)試方法

數(shù)據(jù)傳輸安全測(cè)試應(yīng)按照下列要求進(jìn)行:

使用篡改、偽造等方法進(jìn)行模擬攻擊,檢查對(duì)于數(shù)據(jù)完整性、保密性

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論