友情提示:本文共有 5263 个字,阅读大概需要 11 分钟。
更多标准英文版,欢迎联系我们
GB/T 40861-2021 英文版
汽车信息安全通用技术要求
General technical requirements for vehicle cybersecurity
1范围
本文件规定了汽车信息安全的保护对象和技术要求。
本文件适用于M类、N类汽车整车及其电子电气系统和组件。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。
GB/T 29246—2017信息技术安全技术信息安全管理体系概述和词汇
GB/T 34590.3—2017道路车辆 功能安全 第3部分:概念阶段
3术语和定义
GB/T 29246—2017界定的以及下列术语和定义适用于本文件。
3.1
汽车信息安全 vehicle cybersecurity
汽车的电子电气系统、组件和功能被保护,使其资产不受威胁的状态。
3.2
真实性 authenticity
一个实体是其所声称实体的特性。
[来源:GB/T 29246—2017,2.8,有修改]
3.3
保密性 confidentiality
信息对未授权的个人、实体或过程不可用或不泄露的特性。
[来源:GB/T 29246—2017,2.12:
3.4
完整性 integrity
准确和完备的特性。
[来源:GB/T 29246—2017,2.40:
3.5
可用性 availability
根据授权实体的要求可访问和可使用的特性。
[来源:GB/T 29246—2017,2.9:
3.6
访问可控性 access controllability
确保对资产的访问是基于业务和安全要求进行授权和限制的特性。
3.7
抗抵赖 non-repudiation
证明所声称事态或行为的发生及其源头的能力。
[来源:GB/T 29246—2017,2.54]
3.8
可核查性 accountability
确保可从一个实体的行为唯一地追溯到该实体的特性。
3.9
可预防性 preventability
对信息异常行为和攻击行为进行识别、侦测以及相应安全响应的能力。
3.10
拒绝服务 denial of service;DoS
因阻止对系统资源的授权访问或延迟系统运行和功能实现而导致授权用户的可用性受损。
3.11
分布式拒绝服务攻击 distributed denial of service;DDoS
通过损害或控制多个系统对攻击目标系统的带宽和资源进行泛洪攻击而实现拒绝服务。
3.12
后门 backdoor
能够绕过系统认证等安全机制的管控而进入信息系统的通道。
3.13
安全重要参数 security important parameter
与安全相关的信息,包含秘密密钥和私钥、口令之类的鉴别数据或其他密码相关参数的信息。
3.14
访问控制 access control
确保对资产的访问是基于业务和安全要求进行授权和限制的手段。
[来源:GB/T 29246—2017,2.1]
4缩略语
下列缩略语适用于本文件。
CAN: 控制器局域网络(Controller Area Network)
DoS: 拒绝服务(Denial of Service)
DDoS: 分布式拒绝服务攻击(Distributed Denial of Service)
ECU: 电子控制单元(Electronic Control Unit)
FTP: 文件传输协议(File Transfer Protocol)
HSM: 硬件安全模块(Hardware Secure Module)
ICCID: 集成电路卡识别码(Integrate Circuit Card Identity)
IMSI: 国际移动用户识别码(International Mobile Subscriber Identity)
JTAG: 联合测试工作组(Joint Test Action Group)
LIN: 局域互联网络(Local Interconnect Network)
OBD: 车载诊断(On-Board Diagnostics)
TCM: 可信密码模块(Trusted Cryptography Module)
TEE: 可信执行环境(Trusted Execution Environments)
Telnet: 电信网络协议(Telecommunication Network Protocol)
TFTP: 简单文件传输协议(Trivial File Transfer Protocol)
TLS: 传输层安全协议(Transport Layer Security)
TPM: 可信平台模块(Trusted Platform Module)
V2X: 车辆与车外其他设备之间的无线通信(Vehicle to Everything)
Wi-Fi: 无线保真(Wireless Fidelity)
5保护对象
5.1概述
按照保护对象范畴,汽车可划分为三类子保护对象:车内系统、车外通信和车外系统,如图2所示。 注1:本文件不涉及车外系统。
注2:为了更好地理解保护对象在不同维度的技术要求,在附录A的A.1和A.2中分别列举了车内系统和车外通 信所面临的典型的安全威胁。
5.2车内系统
车内系统分为如下子保护对象:
a) 软件系统;
b) 电子电气硬件;
c) 车内数据;
d) 车内通信。
注:车内通信即车内系统、组件之间的通信,例如CAN通信、LIN通信、以太网通信等。
5.3车外通信
车外通信分为如下子保护对象:
a) 车外远距离通信;
b) 车外近距离通信。
注1:车外通信是指整车与车外终端的通信。
注2:车外远距离通信是指蜂窝移动通信、卫星导航等-
注3:车外近距离通信是指蓝牙、近场无线通信和Wi-Fi等。
6技术要求
6.1原则性要求
6.1.1业务适用性原则
产品的信息安全设计应结合业务或功能环境的实际需求,同时考虑对业务或功能的正常使用的 影响。
6.1.2软件无后门原则
软件系统不应留有后门。
6.1.3功能最小化原则
无用的软件组件、协议端口和E C U硬件调试接口应禁用或移除;器件的管脚信息不宜暴露。
6.1.4最小化授权原则
产品的访问和信息处理活动应只授予必要的权限。
6.1.5权限分离原则
重要保护对象的信息处理活动应具备两个或两个以上的权限,且各权限应相互分离和单独授予。
6.1.6默认设置原则
产品应完成默认的信息安全设置;该设置对用户的信息安全设置诉求应做到最小化和最简单化。
6.2系统性防御策略要求
6.2.1 总则
产品可采用下列系统性防御策略的一种:
a) 纵深防御;
b) 主动防御;
c) 韧性防御。
注:系统性防御策略,是基于构建系统的整体信息安全防护而采取的整体防御策略,以避免因各个信息安全防护措 施相互孤立而造成整体防护能力不足的问题。
6.2.2纵深防御要求
纵深防御符合以下要求:
a) 根据保护对象所处的环境条件和信息安全管理的要求,应由外到里对保护对象实施层层设防 的防护措施;
b) 各层次的安全措施应相互依托,形成系统化的防护机制,从而提高系统的整体抗攻击能力。
6.2.3主动防御要求
主动防御应采用包括但不限于情报分享、入侵检测技术、信息安全策略动态调整和各信息安全模块 之间协同等措施.以降低信息系统在遭受网络攻击时所面临的风险。
6.2.4韧性防御要求
信息安全设计应综合考虑可靠性、功能安全等多个方面的工程设计.以提高系统的生存能力和自愈 能力。
6.3保护维度要求
6.3.1车内系统的保护要求
6.3.1.1软件系统的保护要求
6.3.1.1.1真实性
软件系统应符合以下真实性要求:
a) 当升级、加载和安装时,验证提供方的身份真实性和来源的合法性;
b) 验证登录用户身份的真实性和合法性。
6.3.1.1.2保密性
软件系统应支持防被逆向分析,宜采用代码混淆或加壳等措施。
6.3.1.1.3完整性
当软件系统在启动、升级、加载和安装时,应验证其完整性。
6.3.1.1.4可用性
当软件系统设计符合GB/T 34590.3—2017中ASIL C和I)级时,其应支持防DoS/DDoS攻击。
6.3.1.1.5访问可控性
软件系统应符合以下访问可控性要求:
a) 具备访问权限控制的管理机制;
b) 验证对各软件系统资源和数据资产的访问、操作和使用的权限;
c) 验证软件系统的升级、加载和安装的权限。
6.3.1.1.6抗抵赖
软件系统应具备在请求的情况下为数据原发者或接收者提供数据原发证据和数据接收证据的 功能。
示例:采用数字签名技术等。
6.3.1.1.7可核查性
软件系统应符合以下可核查性要求:
a)记录重要信息安全事件,包括但不限于用户活动和操作指令;记录内容宜包含事件的时间、用 户、事件类型、事件处置结果等信息;
b)保护审计日志不被非法篡改、删除和伪造。
6.3.1.1.8可预防性
软件系统应具备对自身受到信息安全攻击的感知能力,当检测到信息安全攻击时,宜进行日志记
录、信息安全告警或攻击阻止的响应。
6.3.1.2电子电气硬件保护要求
6.3.1.2.1完整性
对ECU的封装(外壳、封条等)应采用完整性保护。
示例:使用揭开时能留迹象的封条。
6.3.1.2.2访问可控性
电子电气硬件应移除或者禁止不必要的调试接口。
注:为了更好理解保护对象在不同维度的技术要求,在A.1.2中列举了车内硬件所面临的典型安全威胁。
6.3.1.3车内数据保护要求
6.3.1.3.1保密性
安全重要参数应符合如下保密性要求:
a) 不以明文方式传输;
b) 存储在安全的环境中。
示例:存储在TPM、TCM、HSM或TEE等安全环境中。
6.3.1.3.2完整性
安全重要参数应支持完整性校验。
6.3.1.3.3可用性
安全重要参数应防止丢失和被误删除,宜采用备份或专用安全空间存储等措施。
6.3.1.4车内通信的保护要求
6.3.1.4.1真实性
车内通信应验证通信双方身份的真实性。
6.3.1.4.2保密性
车内通信应进行加密保护机制。
6.3.1.4.3完整性
车内通信应采用完整性保护机制。
6.3.1.4.4可用性
车内通信应具备通信流量控制能力。
示例:当受到恶意软件感染或拒绝服务攻击而造成车内通信流量异常时仍冇能力提供可接受的通信。
6.3.1.4.5访问可控性
车内通信应符合如下访问可控性要求:
a) 将车内网络划分为不同的信息安全区域,每个信息安全区域之间宜进行网络隔离;
b) 信息安全区域间采用边界访问控制机制对来访的报文进行控制。
示例:采用报文过滤机制、报文过载控制机制和用户访问权限控制机制等.
6.3.1.4.6 可核查性
车内通信应具备日志记录的能力。
示例:记录流量过载、高频率的收到异常报文等现象。
6.3.1.4.7可预防性
车内通信应对异常报文具有感知能力;当感知到异常报文时,宜具有告警或其他安全响应的能力。 示例:接收到高频率的重放报文或被篡改过的报文等异常现象。
6.3.2车外通信的保护要求 6.3.2.1车外远距离通信的保护要求
6.3.2.1.1真实性
车外远距离通信应符合如下真实性要求:
a) 开启3G、4G、5G通信网络层的双向认证功能;
b) 蜂窝移动通信网络层之上支持独立的双向认证机制。
6.3.2.1.2保密性
车外远距离通信应符合如下保密性要求:
a) 具备3G、4G、5G通信网络层的加密功能;
b) 蜂窝移动通信网络层之上支持独立的加密机制,宜采用TLS1.2版本及以上的安全协议。
6.3.2.1.3 完整性
车外远距离通信应符合如下完整性要求:
a) 具备3G、4G、5G通信网络层的完整性保护功能;
b) 蜂窝移动通信网络层之上支持独立的完整性机制,宜采用TLS1.2版本及以上安全协议。
6.3.2.1.4可用性
与外部通信的部件应支持防DoS/DDoS攻击。
6.3.2.1.5访问可控性
车外远距离通信应具备对通信报文进行访问控制的能力。
示例:白名单访问控制、报文过滤、防通信流量过载机制等。
6.3.2.1.6 抗抵赖
车外远距离通信应符合如下抗抵赖要求:
a)确保蜂窝移动通信网络层通信ID(如:国际移动用户识别码IMSI、集成电路卡识别码ICCID
等)的唯一性;
b)蜂窝移动通信网络层之上支持独立的抗抵赖机制(如:使用证书机制等)。
6.3.2.1.7可预防性
车外远距离通信应具备对通信报文的安全监控能力和攻击行为的感知能力;当受到信息安全攻击 时,宜进行报文清洗、流量控制或阻止攻击行为的响应。
6.3.2.2 车外近距离通信保护要求
6.3.2.2.1真实性
车外近距离通信应开启身份认证功能。
6.3.2.2.2保密性
车外近距离通信应开启加密功能。
6.3.2.2.3完整性
车外近距离通信应开启完整性保护功能。
6.3.2.2.4可用性
与外部通信的部件应支持防DoS/DDoS攻击。
6.3.2.2.5可核查性
车外近距离通信应具备记录近距离通信信息安全相关事件的能力;记录的内容宜包含来访用户ID 和通信时间。
本文如果对你有帮助,请点赞收藏《GB/T 40861-2021 英文版 汽车信息安全通用技术要求》,同时在此感谢原作者。