2024智能網(wǎng)聯(lián)汽車信息安全風(fēng)險評估規(guī)范

目 范 檢 測 縮略 附錄A智能網(wǎng)聯(lián)汽車信息安全資產(chǎn)與脆弱性測評內(nèi) IVI系統(tǒng)安 OBD安全-服務(wù)安 附錄B智能網(wǎng)聯(lián)汽車信息安全風(fēng)險評估先決條件與判定準 附錄C智能網(wǎng)聯(lián)汽車信息安全風(fēng)險的計算方 條 條 附件D智能網(wǎng)聯(lián)汽車信息安全風(fēng)險評估的工 附錄E產(chǎn)生文 附錄F測試方法和工 38PAGE1目的范圍規(guī)范性引用文件101－2018度CSTCQBYAJB058移動應(yīng)用軟件安全測試規(guī)范《GB/T18336.1–20151部分：簡介和《GB/T18336.3–20153部分：安全保術(shù)語和定義38PAGE10 車載JTAGJointTestActionGroupSDK 智能網(wǎng)聯(lián)汽車信息安全風(fēng)險評估原則測評環(huán)境要求智能網(wǎng)聯(lián)汽車信息安全風(fēng)險評估流程智能網(wǎng)聯(lián)汽車信息安全風(fēng)險評估準備根據(jù)《GB-T20984-20071列出了基于 OTA2提供了一種保密性賦值的參考。 3提供了一種完整性賦值的參考。34提供了一種可用性賦值的參考。 99.9%以上，或系統(tǒng)不允許中斷90%10min正常工作時間達到70%以上，或系統(tǒng)允許中斷時間小于正常工作時間達到25%以上，或系統(tǒng)允許中斷時間小于25%5中的資產(chǎn)等級劃分表明了不同等級的重要性的綜合描述。 6 人為因7提供了基于表現(xiàn)形式的威脅分類方法。 無作為或操作失權(quán)限非正常修改系統(tǒng)配8 出現(xiàn)的頻率較高（或≥1次/月；或在大多數(shù)情況下很有可能會發(fā)生；出現(xiàn)的頻率中等（或>1次/半年；或在某種情況下可能會發(fā)生；或被

《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》、GB/T19716–20059B對不 附錄 智能網(wǎng)聯(lián)汽車信息安全資產(chǎn)與脆弱性測評內(nèi)I?I說明徹底關(guān)閉了研發(fā)階段使 能的隱蔽接口；芯片在檢查I?I硬件是否有安全區(qū)重要數(shù)據(jù)安全存儲與隔ROOT檢查IVI系統(tǒng)是否具有檢測檢查IVI系統(tǒng)是否具有對IVI系統(tǒng)應(yīng)該具有檢測ROOT行為進行防御的 系統(tǒng)是否對其進行完整性校應(yīng)采用完整性校驗手段數(shù)字摘要技術(shù)或數(shù)字簽程序是否具有訪問保護措檢查IVI系統(tǒng)應(yīng)是否有授權(quán)檢查IVI系統(tǒng)是否具有授權(quán)整性檢測、惡意代碼檢程序應(yīng)具有訪問保護措IVI系統(tǒng)應(yīng)具有授權(quán)IVI系統(tǒng)應(yīng)具有授權(quán)?應(yīng)用非授權(quán)訪問控制的功驗的機制,加密所使用密鑰檢查IVI系統(tǒng)使用的安全的 用非授權(quán)訪問控制的功的機制,加密所使用密IVI系統(tǒng)使用的安全的WiFi協(xié)議，可避免WiFi系統(tǒng)通信時應(yīng)進行雙向IVIIVI系統(tǒng)應(yīng)具有證書管 ? 安全的通信協(xié)議進行升T–box檢查被測TBX硬件芯片接是否說明徹底關(guān)閉了研發(fā)階 T-BOX所使用的芯片不存在對芯片內(nèi)存進行非法訪問或者更改芯片功能的隱蔽接口；芯片在設(shè)計驗證階段使用的調(diào)試接口應(yīng)在上市產(chǎn)品中T-BOX的電路板不能存T-BOX硬件具備安全區(qū)設(shè)備重要數(shù)據(jù)安全存儲ROOT檢查T-BOXT-BOX應(yīng)該具有系統(tǒng)完T-BOXROOT行為進行防御的 系統(tǒng)是否對其進行完整性校應(yīng)采用完整性校驗手段數(shù)字摘要技術(shù)或數(shù)字簽檢查T-BOXT-BOX安裝包代碼不應(yīng)T-BOX安裝包代碼不應(yīng) 主體都不能通過反編譯獲得T-BOX安裝包代碼不應(yīng)T-BOX安裝包代碼不應(yīng)T-BOX安裝包代碼不應(yīng)代碼在經(jīng)過編譯之前需任何主體都不能通過反端口非授權(quán)訪問控制的功非授權(quán)的網(wǎng)絡(luò)訪問的保護措檢查T-BOXT-BOX系統(tǒng)應(yīng)具有對端口非授權(quán)訪問控制的功T-BOX系統(tǒng)應(yīng)具有對非授權(quán)的網(wǎng)絡(luò)訪問的保護T-BOX系統(tǒng)應(yīng)具有證書T-BOX系統(tǒng)不應(yīng)具有可T-BOX系統(tǒng)的通信端口具有防數(shù)據(jù)監(jiān)聽和篡改T-BOX系統(tǒng)應(yīng)使用安全T-BOX系統(tǒng)應(yīng)使用的安T-BOX系統(tǒng)應(yīng)使用安全11 的WiFi協(xié)議，避免WiFiT-BOX系統(tǒng)與后臺通信T-BOX系統(tǒng)應(yīng)對傳輸數(shù)具有分權(quán)限使用日志的功T-BOX系統(tǒng)應(yīng)具有安全T-BOX系統(tǒng)應(yīng)具有可以T-BOX系統(tǒng)的后臺應(yīng)具有分權(quán)限使用日志的功檢查T-BOXT-BOX系統(tǒng)應(yīng)具有管理T-BOX系統(tǒng)應(yīng)具有管理檢查T-BOXT-BOX系統(tǒng)應(yīng)具有對數(shù)T-BOX系統(tǒng)不應(yīng)殘留用T-BOX系統(tǒng)應(yīng)具有配置檢查T-BOXT-BOX系統(tǒng)應(yīng)具有對升升級包進行授權(quán)檢測的功 檢查當T-BOX系統(tǒng)采用遠程采用安全的通信協(xié)議進行升級包進行授權(quán)檢測的功T-BOX系統(tǒng)應(yīng)具有對升級包進行完整性校驗的當T-BOX系統(tǒng)采用遠程升級模式時，T-BOX系統(tǒng)應(yīng)采用安全的通信協(xié)OBD安全–OBD具備校驗外部設(shè)備身份機具備CAN總線數(shù)據(jù)過濾機?備校驗外部設(shè)備身份機?網(wǎng)關(guān)安全–網(wǎng)關(guān)應(yīng)具有不同總線間網(wǎng)關(guān)應(yīng)具有一定的入侵網(wǎng)關(guān)應(yīng)具有一定入侵防?網(wǎng)關(guān)應(yīng)具備限制外部接口的網(wǎng)絡(luò)最大流量數(shù)及接口的網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)檢查網(wǎng)關(guān)是否在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃P網(wǎng)關(guān)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)總線安全–檢查總線是否具有必要的數(shù)據(jù)包安全保護，以確保信息檢查總線數(shù)據(jù)包協(xié)議是否遵從國標 總線應(yīng)具有必要的數(shù)據(jù)性、真實性和不可抵賴應(yīng)保證車內(nèi)總線網(wǎng)絡(luò)設(shè)車輛正常行駛與控制業(yè)應(yīng)保證將動力與底盤控制部分和車身控制部分兩個重要總線網(wǎng)段應(yīng)采總線間數(shù)據(jù)傳輸應(yīng)遵從總線數(shù)據(jù)包協(xié)議應(yīng)遵從車內(nèi)總線網(wǎng)絡(luò)應(yīng)具備對總線消息幀進行過濾的應(yīng)能夠檢測出掛載到車內(nèi)總線網(wǎng)絡(luò)的非授權(quán)設(shè)送的控制指令進行認證校 線中繼設(shè)備轉(zhuǎn)發(fā)信號指令攻鑰匙系統(tǒng)應(yīng)對鑰匙發(fā)送的控制指令進行認證校鑰匙系統(tǒng)應(yīng)能防止無線中繼設(shè)備轉(zhuǎn)發(fā)信號指令鑰匙系統(tǒng)中用到的秘鑰 鑰匙系統(tǒng)代碼應(yīng)避免已檢查APP程序運行時是否被檢查APP程序是否具有措施檢查APP程序是否具有措施防止被篡改后可以正常運檢查APP程序是否能防止被檢查APP程序是否使用已知檢查遠程控制APP程序是否APP程序運行時不應(yīng)被APP程序應(yīng)該具有措施防止被反編譯為明文的APP程序應(yīng)該具有措施防止被篡改后可以正常APP程序應(yīng)能防止被動時立即結(jié)束正常業(yè)務(wù)流APP程序不應(yīng)使用已知遠程控制APP程序應(yīng)具檢查APP程序是否以明文形檢查APP程序內(nèi)存是否殘留 否預(yù)先顯著標明所訪問信息APP程序不應(yīng)以明文形APP程序內(nèi)存不應(yīng)殘留先顯著標明所訪問信息傳，并征得用戶明確許檢查APP程序與各端交互過程是否以明文傳輸敏感數(shù)檢查APP程序與各端交互過 檢查APP程序與各端交互過程的通信是否使用具有證書APP程序與各端交互過程不以明文傳輸敏感數(shù)APP程序與各端交互過程的通信應(yīng)該使用安全APP程序與各端交互過程的通信應(yīng)該使用具有檢查手機端是否具有對APP升級包進行授權(quán)檢測的功 檢查手機端是否具有對APP升級包進行完整性校驗的功手機端應(yīng)具有對APP升級包進行授權(quán)檢測的功手機端應(yīng)具有對APP升級包進行完整性校驗的 網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備是否具備安全平臺不應(yīng)對外暴露安全平臺應(yīng)具備審計配置和程服務(wù)平臺不應(yīng)私自聯(lián)平臺應(yīng)具有對攻擊行為網(wǎng)段應(yīng)具有對病毒等惡等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備應(yīng)能設(shè)備進行身份鑒別的功平臺應(yīng)具有對其中所運行的應(yīng)用程序與所接入的智能設(shè)備進行身份鑒平臺應(yīng)具備訪問控制功平臺應(yīng)具備可以保護已信系統(tǒng)與汽車遠程服務(wù)平臺通信連接應(yīng)具有完統(tǒng)應(yīng)用與汽車遠程服務(wù)平臺通信連接應(yīng)具有加平臺應(yīng)用之間應(yīng)提供容錯誤時采取必要的恢復(fù)措 務(wù)平臺的數(shù)據(jù)完整性是否滿汽車遠程服務(wù)平臺應(yīng)能夠?qū)ψ陨黻P(guān)鍵數(shù)據(jù)進行應(yīng)在檢測到完整性錯誤應(yīng)能夠檢測到受保護資源在存儲過程中完整性整性錯誤時采取必要的車輛上傳至汽車遠程服務(wù)平臺的數(shù)據(jù)完整性應(yīng)汽車遠程服務(wù)平臺采用加密或其他有效措施實現(xiàn)受保護資源傳輸保密檢查車輛應(yīng)用上傳至汽車遠汽車遠程服務(wù)平臺應(yīng)采用加密或其他有效措施實現(xiàn)保護資源存儲保密車輛應(yīng)用上傳至汽車遠程服務(wù)平臺的數(shù)據(jù)保密否具有備份，應(yīng)用異常時應(yīng)檢查如有外部網(wǎng)絡(luò)連接功汽車遠程服務(wù)平臺信息系統(tǒng)中的應(yīng)用配置數(shù)據(jù)時應(yīng)可使用備份數(shù)據(jù)恢與車輛運行相關(guān)的應(yīng)用備份數(shù)據(jù)應(yīng)具有訪問權(quán)備份數(shù)據(jù)資源占用應(yīng)在附錄 智能網(wǎng)聯(lián)汽車信息安全風(fēng)險評估先決條件與判定準 附錄C智能網(wǎng)聯(lián)汽車信息安全風(fēng)險的計算方法5.6.1z

xx1x2,xi,xm},1imxiy{y1y2,yj,yn},1ynyjxyA.1y矩陣列值為要素x的所有取值。矩陣內(nèi)mz{z11z12,zij,zmn},1im,1jnzijA.1

個值即為要素z的取值，zzijzijxiyj，zijxiyj，zijxiyj，其中zijzij值的計算不一定遵循統(tǒng)一的計算公式，但必須?zijxiyj的值遞增，反之亦然。5.6.1A1A2A3；A1T1T2；A2T3；A3T4T1A1V1T2A1V3V4V5；T3A2V6V7；A1=2A2=3A3=5；AA1T1T2T1A1存在的脆弱性T2A1A1存在的風(fēng)險值包括A1T1V1為例，A.2A.26。A.32。A.3A.4A.45。A.51A.5A.6所示。A.66AA2A3A.7A.7A.8所示。A.8A.1資產(chǎn) 資產(chǎn) 資產(chǎn)圖A.1zz?(xyxy

?z?(x,y)xy或z或z

?(x,y)

xyxyxyz

?(x,y)

x

5.6.1A1A1T1T2T3；A2T4T5；T1A1T2A1V2V3；T3A1V4；A1=4A2=5；V5=4V6=3。AxA1T1T2T3T1A1存A1A1存在的風(fēng)險值包括四個。四個風(fēng)險值的計算過程類