2022T-BOX車載信息安全技術(shù)要求和測試方法

TBOX車載信息安全技術(shù)要求和測試方法II目 次前 言 II引 言 III范圍 1規(guī)性用件 1術(shù)、義縮語 1語定義 1略語 1總說明 2載TBOX息全要求 2件全 2作統(tǒng)全 2件全 3據(jù)全 3信全 3載TBOX息全方法 3件全 4作統(tǒng)全 5件全 7據(jù)全 8信全 11附錄A資性錄）安全脅目標 12參考獻 14PAGEPAGE10車載TBOX信息安全技術(shù)要求范圍TBOX本標準適用于TBOX的研制、生產(chǎn)、測試、評估與認證。GB/T25069-2010信息安全技術(shù)術(shù)語GB/T35273-2017信息安全技術(shù)個人信息安全規(guī)范GB/T18336-2015信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則GB/T25069-2010、GB/T35273-2017和GB/T18336-2015界定的術(shù)語和定義適用于本文件。車載端TBOX TelematicsBOXFECUECU移動聯(lián) mobilecommunication采用無線通信技術(shù)將移動終端接入有線網(wǎng)絡的過程。CAN線 CANbusCAN總線是ISO國際標準化\h的串行通信協(xié)議?？s略語CAN控制器局域網(wǎng)絡ControllerAreaNetworkCNNVD中國國家信息安全漏洞庫ChinaNationalVulnerabilityDatabaseofInformationSecurityCNVD國家信息安全漏洞共享平臺ChinaNationalVulnerabilityDatabaseECU電子控制單元ElectronicControlUnitIP網(wǎng)絡互聯(lián)的協(xié)議InternetprotocolIVI車載信息娛樂系統(tǒng)In-VehicleInfotainmentMCU微控制單元MicrocontrollerUnitTBOX車聯(lián)網(wǎng)盒子TelematicsBOXTOE評估對象TargetofEvaluationTSP車聯(lián)網(wǎng)服務平臺TelematicsServiceProvider車載TBOXTBOXCANTSPPCAppPCTBOX，CANCAN車載網(wǎng)關CAN車載網(wǎng)關汽車TBOXTBOXCANTCP/IPTSP平臺通信模塊TBOXMCUPC端圖1TBOX結(jié)構(gòu)與邏輯示意圖TBOX硬件安全應滿足如下要求：操作系統(tǒng)安全應滿足如下要求：CNVDCNNVD6USDCANCAN如USB、SD如TBOX支持安裝軟件或配套軟件，則軟件安全應滿足如下要求：CNVDCNNVD6數(shù)據(jù)安全應滿足如下要求：通信安全應滿足如下要求：CAN應明確定義與CANTBOX測試編號6.1.1測試項目主芯片具備防拆保護措施，包括但不限于開蓋檢測、拆機告警等方式項目要求見5.1a)測試條件TBOX設備外觀完好測試步驟步驟1：使用拆解工具對TBOX進行拆解；步驟2：觀察檢查其是否出現(xiàn)報警、自毀等現(xiàn)象。預期結(jié)果在步驟2測試編號6.1.2測試項目設備如開放調(diào)試接口的應在上市前進行禁用或采用安全調(diào)試模式項目要求見5.1b)測試條件車載TBOX處于正常工作狀態(tài)測試步驟步驟1/JTAG步驟2：如存在開放接口，測試其是否采用安全調(diào)試模式。預期結(jié)果2測試編號6.1.3測試項目具備足夠的安全機制保證密鑰的產(chǎn)生、分發(fā)、存儲和銷毀過程的安全性項目要求見5.1c)測試條件提供密鑰管理的相關文檔測試步驟步驟1：審查廠商提供的文檔，判斷密鑰生成的安全性，檢查根密鑰的隨機數(shù)熵值；步驟2：檢查密鑰分發(fā)、存儲和銷毀的方式，評估密鑰安全風險。預期結(jié)果在步驟12測試編號6.1.4測試項目解項目要求見5.1d)測試條件提供加密方案實現(xiàn)的文檔，提交供硬件物理攻擊測試的電路板測試步驟步驟1：參考廠商提供的文檔，使用工具對加密運算的過程進行側(cè)信息收集或故障注入攻擊；步驟2：利用分析工具對測試電路板進行相應的密碼安全性分析；步驟3：得到密鑰安全性分析的結(jié)果。預期結(jié)果在步驟3測試編號6.2.1測試項目應支持安全啟動機制，對引導程序或固件等進行有效性驗證，只有通過驗證的才能執(zhí)行項目要求見5.2a)測試條件車載TBOX處于正常工作狀態(tài)，提供引導程序或固件文件測試步驟步驟1：檢測系統(tǒng)是否開啟安全啟動模式；步驟2：使用無簽名的固件進行燒寫，測試是否能夠正常啟動；步驟3：使用有簽名的固件進行燒寫，測試是否能夠正常啟動。預期結(jié)果在步驟23測試編號6.2.2測試項目敗后，操作系統(tǒng)能有效恢復至升級前的正常工作狀態(tài)項目要求見5.2b)測試條件提供升級文件，車載TBOX處于正常工作狀態(tài)測試步驟步驟1級，檢查設備是否能恢復到正常工作狀態(tài)。預期結(jié)果在步驟1在步驟2測試編號6.2.3測試項目操作系統(tǒng)不應含有CNVD與CNNVD6個月前公布的高危漏洞項目要求見5.2c）測試條件車載TBOX處于正常工作狀態(tài)測試步驟步驟1：分析已公布的與操作系統(tǒng)相關的高危漏洞；步驟2：利用相關工具、腳本對設備進行測試。預期結(jié)果在步驟2測試編號6.2.4測試項目非授權(quán)訪問項目要求見5.2d）測試條件車載TBOX處于正常工作狀態(tài)測試步驟步驟1：檢查操作系統(tǒng)的和日志的上傳策略；步驟2：檢查日志是否記錄事件主體、發(fā)生時間、事件類型和是否成功等要素，并能按照策略上傳至服務器。預期結(jié)果在步驟2測試編號6.2.5測試項目應定義并限制外圍存儲介質(zhì)（如U盤、SD卡等）上可讀取和可執(zhí)行的文件類型，避免來自外圍儲存介質(zhì)的惡意攻擊項目要求見5.2e)測試條件車載TBOX處于正常工作狀態(tài)測試步驟步驟1：檢查外圍存儲介質(zhì)的可讀取和可執(zhí)行的文件類型。預期結(jié)果1測試編號6.2.6測試項目CANCANUSBSD隔離項目要求見5.2f）測試條件車載TBOX處于正常工作狀態(tài)測試步驟步驟1：檢查CAN總線控制器是否具備安全控制功能；步驟2：檢查內(nèi)網(wǎng)CAN總線與對外接口是否隔離。預期結(jié)果在步驟1在步驟2測試編號6.3.1測試項目應采用簽名認證機制，未經(jīng)簽名的應用軟件僅當用戶確認后才能執(zhí)行下一步操作項目要求見5.3a）測試條件提供應用軟件列表，應用軟件在車載TBOX上正常運行測試步驟步驟1：使用簽名分析工具對列表中的應用軟件進行簽名檢查；步驟2：嘗試安裝未簽名的應用，檢測安裝過程是否提示并告知風險；步驟3：運行未簽名的應用，檢測是否經(jīng)過用戶確認后才執(zhí)行下一步操作。預期結(jié)果在步驟123測試編號6.3.2測試項目不應非授權(quán)收集、傳輸用戶敏感信息項目要求見5.3b）測試條件提供應用軟件列表，應用軟件在車載TBOX上正常運行測試步驟步驟1：調(diào)用應用軟件的敏感功能；步驟2：檢查其是否符合“可知可控”原則。預期結(jié)果2測試編號6.3.3測試項目應具備代碼混淆、加殼等安全措施，防止被逆向攻擊項目要求見5.3c）測試條件提供應用軟件列表，應用軟件在車載TBOX上正常運行測試步驟步驟1：使用工具對應用軟件進行逆向分析；步驟2：檢測其是否具備代碼混淆、加殼等措施。預期結(jié)果在步驟2測試編號6.3.4測試項目應采取訪問控制機制，防止對系統(tǒng)資源和其他軟件的非授權(quán)訪問項目要求見5.3d）測試條件提供應用軟件列表，應用軟件在車載TBOX上正常運行測試步驟步驟1：檢查應用軟件的訪問控制機制；步驟2：嘗試繞過訪問機制，訪問系統(tǒng)資源和其他軟件。預期結(jié)果在步驟2測試編號6.3.5測試項目應用軟件不應含有CNVD與CNNVD6個月前公布的高危漏洞項目要求見5.3e）測試條件車載TBOX處于正常工作狀態(tài)測試步驟步驟1：分析已公布的與應用軟件相關的高危漏洞；步驟2：利用相關工具、腳本對設備進行測試。預期結(jié)果在步驟2測試編號6.3.6測試項目應具有記錄應用狀態(tài)及使用情況的日志功能，并支持上傳和集中管理項目要求見5.3f）測試條件車載TBOX處于正常工作狀態(tài)測試步驟步驟1：檢查應用軟件的日志；步驟2：檢查日志中是否記錄應用狀態(tài)和使用情況。預期結(jié)果在步驟2測試編號6.4.1測試項目項目要求見5.4a）測試條件提供設備采集用戶數(shù)據(jù)的說明文檔測試步驟步驟1：審閱廠家提供的文檔，判斷其是否明確告知采集用戶數(shù)據(jù)的內(nèi)容、業(yè)務用途等內(nèi)容；步驟2：檢測設備運行中實際采集用戶數(shù)據(jù)情況是否與說明文檔一致。預期結(jié)果1在步驟2測試編號6.4.2測試項目項目要求見5.4b）測試條件對重要數(shù)據(jù)加密方式的相應說明文檔測試步驟步驟1：嘗試以非授權(quán)的身份訪問重要數(shù)據(jù)；步驟預期結(jié)果在步驟123測試編號6.4.3測試項目安全運行環(huán)境應提供可靠的時間戳服務項目要求見5.4c)測試條件提供有關時間戳的說明文檔測試步驟步驟1：審查廠家提供的時間戳的說明文檔，檢查其時間戳方案是否合理。預期結(jié)果在步驟1測試編號6.4.4測試項目項目要求見5.4d）測試條件提供安全運行環(huán)境對資源的保護方案測試步驟步驟1：審查廠家提供的保護方案，檢查其方案能否覆蓋隨機數(shù)源、內(nèi)存、緩沖區(qū)和終端資源等；步驟2：檢查安全運行環(huán)境是否具備抵抗惡意代碼訪問受保護資源的能力。預期結(jié)果在步驟12測試編號6.4.5測試項目數(shù)據(jù)的傳輸應進行完整性保護，防止數(shù)據(jù)被篡改和偽造項目要求見5.4e）測試條件提供數(shù)據(jù)傳輸完整性保護方案測試步驟步驟1：審查廠商提供的數(shù)據(jù)傳輸完整性保護方案；步驟2：使用篡改、偽造等方式實施攻擊，檢測是否攻擊成功。預期結(jié)果在步驟1在步驟2測試編號6.4.6測試項目具備徹底刪除的能力，數(shù)據(jù)被刪除后不可被恢復、重新使用或訪問項目要求見5.4f）測試條件車載TBOX處于正常工作狀態(tài)測試步驟步驟1：對選定數(shù)據(jù)執(zhí)行刪除操作；步驟2：嘗試恢復、使用或訪問被步驟1中刪除的數(shù)據(jù)。預期結(jié)果2測試編號6.5.1測試項目應具備對通信數(shù)據(jù)的消息校驗和認證機制，防止攻擊者偽造、篡改信息項目要求見5.5a）測試條件車載TBOX處于正常工作狀態(tài)測試步驟步驟1：修改通信數(shù)據(jù)的內(nèi)容，并重新計算消息校驗值；步驟2：使用非授權(quán)的身份對步驟1后的數(shù)據(jù)進行訪問；步驟3：使用授權(quán)的身份對步驟1后的數(shù)據(jù)進行訪問。預期結(jié)果在步驟2在步驟3測試編號6.5.2測試項目應采用控制策略避免大量集中地向CAN總線發(fā)送數(shù)據(jù)包，以避免造成總線擁塞和拒絕服務項目要求見5.5b）測試條件車載TBOX處于正常工作狀態(tài)測試步驟步驟1：審查廠家提供的控制策略文檔，應能避免造成總線擁塞和拒絕服務。預期結(jié)果1測試編號6.5.3測試項目應明確定義與CAN總線的通信功能，且僅包含業(yè)務相關功能，不應使用透傳功能項目要求見5.5c）測試條件