(高清版)GB∕T 38628-2020 信息安全技術(shù) 汽車電子系統(tǒng)網(wǎng)絡(luò)安全指南

汽車電子系統(tǒng)網(wǎng)絡(luò)安全指南Informationsecuritytech2020-04-28發(fā)布2020-11-01實施國家標(biāo)準(zhǔn)化管理委員會國家市場監(jiān)督管理總局發(fā)布國家標(biāo)準(zhǔn)化管理委員會 I 12規(guī)范性引用文件 13術(shù)語和定義 1 2 2 2 35.3網(wǎng)絡(luò)安全活動 35.4支撐保障 4 46.1組織機構(gòu)設(shè)置 4 56.3制度建設(shè)與員工培訓(xùn) 56.4測試與評估 56.5階段檢查 67汽車電子系統(tǒng)網(wǎng)絡(luò)安全活動 77.1概念設(shè)計階段 77.2系統(tǒng)層面產(chǎn)品開發(fā)階段 7.3硬件層面產(chǎn)品開發(fā)階段 7.4軟件層面產(chǎn)品開發(fā)階段 8汽車電子系統(tǒng)網(wǎng)絡(luò)安全支撐保障 8.1配置管理 8.2需求管理 8.3變更管理 8.4文檔管理 8.5供應(yīng)鏈管理 8.6云管端安全 附錄A(資料性附錄)汽車電子系統(tǒng)典型網(wǎng)絡(luò)安全風(fēng)險 附錄B(資料性附錄)汽車電子系統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施示例 24附錄C(資料性附錄)事件處理檢查清單示例 1下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引GB/T18336—2015(所有部分)信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則GB/T20984—2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯GB/T30279—2013信息安全技術(shù)安全漏洞等級劃分指南GB/T31167—2014信息安全技術(shù)云計算服務(wù)安全指南GB/T31168—2014信息安全技術(shù)云計算服務(wù)安全能力要求GB/T31509—2015信息安全技術(shù)信息安全風(fēng)險評估實施指南GB/T31722—2015信息技術(shù)安全技術(shù)信息安全風(fēng)險管理GB/T29246—2017界定的以及下列術(shù)語和定2CAN:控制域網(wǎng)絡(luò)(ControlAreaNetECU:電子控制單元(ElectronicControlUnit)IVI:車載信息娛樂系統(tǒng)(In-VehicleInfotainment)JTAG:聯(lián)合測試訪問組(JointTestAccessGroup)MISRA:汽車工業(yè)軟件可靠性協(xié)會(MotoOBD:車載診斷系統(tǒng)(On-BoardDiagnostic)SOTA:軟件空中下載(SoftwareOverTheAir)T-BOX:智能網(wǎng)聯(lián)汽車的通信網(wǎng)關(guān)(TelematicsBOX)USB:通用串行總線(UniversalSerialBus)3保障，其中網(wǎng)絡(luò)安全活動是框架的核心，主要是指在汽車電子系統(tǒng)生命周期各階段開展的相關(guān)安全活動，這些階段包括概念設(shè)計階段，系統(tǒng)層面的產(chǎn)品開發(fā)階段，硬件層面的產(chǎn)品開發(fā)汽車電子系統(tǒng)網(wǎng)絡(luò)安全組織管理汽車電子系統(tǒng)網(wǎng)絡(luò)安全組織管理網(wǎng)絡(luò)安全制度與人員培訓(xùn)測試與評估階段檢查汽車電子系統(tǒng)網(wǎng)絡(luò)安全活動概念設(shè)計階段產(chǎn)品發(fā)布網(wǎng)絡(luò)安全評估及階段檢查網(wǎng)絡(luò)安全驗證系統(tǒng)功能集成和測試網(wǎng)絡(luò)安全過程啟動軟件層面產(chǎn)品開發(fā)階段軟件產(chǎn)品開發(fā)啟動硬件產(chǎn)品開發(fā)啟動軟件網(wǎng)絡(luò)安全需求規(guī)格硬件網(wǎng)絡(luò)安全需求規(guī)格軟件架構(gòu)設(shè)計軟件單元設(shè)計與實現(xiàn)軟件單元測試硬件集成/網(wǎng)絡(luò)安全測試軟件集成/網(wǎng)絡(luò)安全測試硬件網(wǎng)絡(luò)安全需求驗證軟件網(wǎng)絡(luò)安全需求驗證細(xì)化網(wǎng)絡(luò)安金評估及階段檢查汽車電子系統(tǒng)網(wǎng)絡(luò)安全支撐保障配置管理需求管理變更管理文檔管理供應(yīng)鏈管理云管端安全威脅分析及風(fēng)險評估網(wǎng)絡(luò)安全目標(biāo)確定網(wǎng)絡(luò)安全策略設(shè)計識別網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)安全初步評估系統(tǒng)層面產(chǎn)品開發(fā)啟動網(wǎng)絡(luò)安全技術(shù)需求規(guī)格系統(tǒng)設(shè)計硬件層面產(chǎn)品開發(fā)階段現(xiàn)場監(jiān)測事件響應(yīng)事件跟蹤管理細(xì)化網(wǎng)絡(luò)安全評估及階組織機構(gòu)設(shè)置建立溝通協(xié)調(diào)平臺產(chǎn)品生產(chǎn)、運行和服務(wù)階段系統(tǒng)層面產(chǎn)品開發(fā)階段系統(tǒng)功能定義硬件設(shè)計圖1汽車電子系統(tǒng)網(wǎng)絡(luò)安全活動框架組織可以根據(jù)自身實際情況，對網(wǎng)絡(luò)安全活動框架中各部分進(jìn)行配置和裁剪，并考慮與組織現(xiàn)有的管理體系(比如質(zhì)量管理體系)的機構(gòu)設(shè)置、過程活動進(jìn)行結(jié)合，以便落實本標(biāo)準(zhǔn)所建議的網(wǎng)絡(luò)安全措施，以較小的代價實現(xiàn)高效的安全。5.2組織管理組織管理是指開展汽車電子系統(tǒng)網(wǎng)絡(luò)安全活動所需要具備的組織、人員能力、制度等方面的條件，主要包括組織機構(gòu)設(shè)置、建立溝通協(xié)調(diào)平臺、制度建設(shè)與員工培訓(xùn)、建立網(wǎng)絡(luò)安5.3網(wǎng)絡(luò)安全活動概念設(shè)計階段主要包括系統(tǒng)功能定義、網(wǎng)絡(luò)安全過程啟動、威脅分析及風(fēng)險評估、網(wǎng)絡(luò)安全目標(biāo)確5.3.2產(chǎn)品開發(fā)階段產(chǎn)品開發(fā)階段包括系統(tǒng)層面產(chǎn)品開發(fā)階段、硬件層面產(chǎn)品開發(fā)階段和軟件層面產(chǎn)品開發(fā)階段。圖2展示了產(chǎn)品開發(fā)階段的基本過程，以及系統(tǒng)層面、硬件層面和軟件層面產(chǎn)品開發(fā)之間的關(guān)系。圖2沒有包含迭代過程，但實際上許多階段都需要反復(fù)迭代，才能最終實現(xiàn)開發(fā)目標(biāo)。系統(tǒng)層面產(chǎn)品開發(fā)階段主要包括系統(tǒng)層面產(chǎn)品開發(fā)啟動、網(wǎng)絡(luò)安全技術(shù)需求規(guī)格(包括系統(tǒng)層面漏絡(luò)安全驗證、網(wǎng)絡(luò)安全評估和檢查以及產(chǎn)品發(fā)布等環(huán)節(jié)的工作。4估等環(huán)節(jié)。析、確定網(wǎng)絡(luò)安全需求)、軟件架構(gòu)設(shè)計、軟件單元設(shè)計與實現(xiàn)、軟件單元測試、軟件集成和網(wǎng)絡(luò)安全測系統(tǒng)功能集成和W開發(fā)啟動全需求規(guī)格系統(tǒng)設(shè)計注2:圖中單向箭頭線表示過程活動之間的順序關(guān)系。箭頭左邊的活動在前面執(zhí)行，箭頭右邊的活動在后面執(zhí)行。圖2系統(tǒng)層面、硬件層面與軟件層面產(chǎn)品開發(fā)的關(guān)系云管端安全等方面的內(nèi)容。b)落實網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)責(zé)任制，可建立有組織高層領(lǐng)導(dǎo)負(fù)責(zé)的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，負(fù)責(zé)網(wǎng)絡(luò)安全5a)制定組織內(nèi)部或外部的個人或組織報告突發(fā)網(wǎng)絡(luò)安全事件的流程，明確組織內(nèi)相關(guān)各部門之b)收集、積累和傳播網(wǎng)絡(luò)安全相關(guān)的實踐經(jīng)驗、網(wǎng)絡(luò)安全漏洞的解e)制定培訓(xùn)計劃，定期組織有關(guān)網(wǎng)絡(luò)安全的培訓(xùn)活動，通過培訓(xùn)提升員工的網(wǎng)絡(luò)安全意識和能6網(wǎng)絡(luò)安全狀況說明(生產(chǎn)發(fā)布前的網(wǎng)絡(luò)安全評估)78組織宜對汽車電子系統(tǒng)開展威脅分析及風(fēng)險評估，以便系統(tǒng)性地識別汽車電子系統(tǒng)的威脅分析及風(fēng)險評估活動宜按照GB/T18336—2015、GB/T20984—2007、示例2相關(guān)脆弱性是否真的存在。另外，組織還需要建立或參考本行業(yè)相關(guān)應(yīng)用適當(dāng)?shù)姆椒ɑ蝻L(fēng)險控制措施(具體措施參見附錄B),使系統(tǒng)的殘余風(fēng)險降低到可接受的9組織宜基于風(fēng)險評估結(jié)果中識別的高風(fēng)險威脅尤其是最高風(fēng)險威脅來確定網(wǎng)絡(luò)安全目標(biāo)。組織宜確定滿足網(wǎng)絡(luò)安全目標(biāo)所需的策略，包括但不限于：a)每個網(wǎng)絡(luò)安全目標(biāo)所對應(yīng)的風(fēng)險；b)滿足網(wǎng)絡(luò)安全目標(biāo)的、可行的策略；c)針對不同類別的威脅，制定網(wǎng)絡(luò)安全策略設(shè)計說明。組織宜從確定的網(wǎng)絡(luò)安全目標(biāo)中提取和識別網(wǎng)絡(luò)安全需求，或者通過對網(wǎng)絡(luò)安全策略的細(xì)化定義具體的網(wǎng)絡(luò)安全需求。7.1.8初始網(wǎng)絡(luò)安全評估組織宜開展初始網(wǎng)絡(luò)安全評估，主要用于描述當(dāng)前階段系統(tǒng)功能對于網(wǎng)絡(luò)安全的各項要求，形成的初始評估報告內(nèi)容可包括但不限于：a)通過風(fēng)險評估所確定的所有網(wǎng)絡(luò)安全目標(biāo)；b)每個網(wǎng)絡(luò)安全目標(biāo)所對應(yīng)的風(fēng)險；c)在當(dāng)前階段的所有網(wǎng)絡(luò)安全未決問題。7.1.9概念設(shè)計階段檢查組織宜在概念設(shè)計階段活動完成時進(jìn)行階段檢查，以確保概念階段所有活動均已完成并產(chǎn)生適宜a)網(wǎng)絡(luò)安全計劃；b)系統(tǒng)功能定義；c)風(fēng)險評估結(jié)果；圖5展示了系統(tǒng)層面產(chǎn)品開發(fā)過程的V型圖。毀毀啟動(計劃)a)將系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行分類，并按重要性和價值對各類資產(chǎn)進(jìn)行綜合評級，宜按照b)找到評級較高的資產(chǎn)中的漏洞和威脅；組織宜將概念設(shè)計階段的網(wǎng)絡(luò)安全策略具體化為網(wǎng)絡(luò)安全技術(shù)策略，為確保所應(yīng)用的安全技術(shù)能夠滿足系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)需求，組織宜針對汽車電子系統(tǒng)硬件漏洞的具體分析方面可包括但不限于：a)ECU硬件本身是否存在設(shè)計上的缺陷或者漏洞，比如缺乏防信號干擾、防逆向分析等機制，導(dǎo)致其易受到相應(yīng)的攻擊而信息泄露。b)用于調(diào)試的JTAG接口：是否在最終硬件產(chǎn)品中移除，如果未移除，是否采取了相應(yīng)的訪問控制措施(比如在非調(diào)試狀態(tài)下關(guān)閉該接口)。如果該接口被非法訪問，可能導(dǎo)致惡意程序被植入系統(tǒng)。c)用于車輛診斷的OBD接口：是否對該接口采取了相應(yīng)的訪問控制措施。OBD接口如果被非法利用，非授權(quán)設(shè)備可能通過未受保護(hù)的OBD總線與汽車網(wǎng)關(guān)通信，讀取網(wǎng)關(guān)內(nèi)的敏感數(shù)據(jù)，甚至直接讀寫車內(nèi)總線，發(fā)送偽造控制信息，嚴(yán)重干擾汽車正常功能。d)串口、USB以及各種無線通信接口：是否采取了相應(yīng)的訪問控制措施。未受保護(hù)的接口訪問，可能導(dǎo)致訪問者身份被仿冒、數(shù)據(jù)泄露、訪問數(shù)據(jù)被篡改等風(fēng)險。組織宜對硬件層面網(wǎng)絡(luò)安全需求的有效性進(jìn)行檢驗和驗證，以確定硬啟動(計劃)實現(xiàn)為具備聯(lián)網(wǎng)功能的汽車電子系統(tǒng)提供后臺服務(wù)的云服務(wù)商，宜按照GB/T31167—2014和a)在云服務(wù)系統(tǒng)訪問過程中使用身份認(rèn)證機制；c)云服務(wù)系統(tǒng)在對車輛進(jìn)行遠(yuǎn)程信息收集、遠(yuǎn)程控制及遠(yuǎn)程軟件更新的過e)受ECU硬件資源的限制及其工作時的實時性需求，一些傳統(tǒng)的安全機制不適用或無法直接部署到ECU上，導(dǎo)致ECU在遭受攻擊時影響汽車正常的行駛功能，甚至造成嚴(yán)重的安全c)車輛端關(guān)鍵網(wǎng)絡(luò)邊界設(shè)備(如車載接入設(shè)備T-BOX、網(wǎng)關(guān)等)提供邊界安全防護(hù)功能(如防火b)保障車輛端設(shè)備及訪問點等的登錄賬戶及口令的安全，可在設(shè)備初次1查找關(guān)聯(lián)信息開展研究(例如，利用搜索引擎、知識庫等)2根據(jù)影響因素(功能影響、信息影響、可恢復(fù)性等)確定3向組織內(nèi)部人員和外部機構(gòu)報告事件45限制事件影響范圍6降低事件影響識別和減少所有被利用的漏洞如果發(fā)現(xiàn)更多受影響的系統(tǒng)(例如，新的惡意軟件感染(1.1、1.2),以識別