标准搜索结果: 'GB/T 40861-2021'
| 标准编号 | GB/T 40861-2021 (GB/T40861-2021) | | 中文名称 | | | 英文名称 | General technical requirements for vehicle cybersecurity | | 行业 | 国家标准 (推荐) | | 中标分类 | T40 | | 字数估计 | 18,170 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 40861-2021: 汽车信息安全通用技术要求
GB/T 40861-2021 英文名称: General technical requirements for vehicle cybersecurity
ICS 43.020
CCST40
中华人民共和国国家标准
2021-10-11发布
2022-05-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。请注意本文件的某些内容可能涉及专利。本文件的发布
机构不承担识别专利的责任。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国汽车标准化技术委员会(SAC/TC114)归口。
本文件起草单位:浙江吉利控股集团有限公司、华为技术有限公司、中国汽车技术研究中心有限公
司、北京奇虎科技有限公司、戴姆勒大中华区投资有限公司、标致雪铁龙(中国)汽车贸易有限公司上海
分公司、泛亚汽车技术中心有限公司、广州汽车集团股份有限公司、工业和信息化部计算机与微电子发
展研究中心、宝马(中国)服务有限公司、大众汽车(中国)投资有限公司、东软集团股份有限公司、大陆投
资(中国)有限公司、北京梆梆安全科技有限公司、中国信息通信研究院、东风汽车集团股份有限公司技
术中心、中国第一汽车股份有限公司。
本文件主要起草人:尹杨、张旭武、张行、张容波、潘凯、吴含冰、张屹、吕明、冯志敏、冯海涛、张金池、
郭盈、王喆、赵闻、陈静相、杨文昌、卢佐华、孙娅苹、李燕、高长胜。
引 言
随着智能化和网联化技术快速发展和应用,汽车从相对孤立的电子机械系统逐渐演变成能与外界
进行信息交互的智能系统,汽车网联化衍生的信息安全问题随之而来。
与通信等行业的信息安全主要造成财产损失不同,作为高速行驶的载人和载物的交通工具,当发生
汽车信息安全问题,不仅会造成财产损失,还将严重威胁人身和公共安全。
本文件基于汽车信息安全风险危害及诱因,针对保护对象制定通用技术要求(汽车整车及其电子电
气系统和组件的技术要求可根据功能设计和风险评估结果而定),与其他管理要求标准配合使用,指导
建立汽车信息安全技术体系。标准框架如图1所示,在规定原则性要求、系统性防御策略要求等基础技
术要求的同时,从以下八个维度针对子保护对象制定具体技术要求:
a) 真实性;
b) 保密性;
c) 完整性;
d) 可用性;
e) 访问可控性;
f) 抗抵赖;
g) 可核查性;
h) 可预防性。
汽车信息安全通用技术要求
1 范围
本文件规定了汽车信息安全的保护对象和技术要求。
本文件适用于 M类、N类汽车整车及其电子电气系统和组件。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该
日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇
GB/T 34590.3-2017 道路车辆 功能安全 第3部分:概念阶段
3 术语和定义
GB/T 29246-2017界定的以及下列术语和定义适用于本文件。
3.1
汽车信息安全
汽车的电子电气系统、组件和功能被保护,使其资产不受威胁的状态。
3.2
真实性 一个实体是其所声称实体的特性。
[来源:GB/T 29246-2017,2.8,有修改]
3.3
保密性 信息对未授权的个人、实体或过程不可用或不泄露的特性。
[来源:GB/T 29246-2017,2.12]
3.4
完整性 准确和完备的特性。
[来源:GB/T 29246-2017,2.40]
3.5
可用性 根据授权实体的要求可访问和可使用的特性。
[来源:GB/T 29246-2017,2.9]
3.6
访问可控性 确保对资产的访问是基于业务和安全要求进行授权和限制的特性。
3.7
抗抵赖 证明所声称事态或行为的发生及其源头的能力。
[来源:GB/T 29246-2017,2.54]
3.8
可核查性 确保可从一个实体的行为唯一地追溯到该实体的特性。
3.9
可预防性 对信息异常行为和攻击行为进行识别、侦测以及相应安全响应的能力。
3.10
拒绝服务 因阻止对系统资源的授权访问或延迟系统运行和功能实现而导致授权用户的可用性受损。
3.11
分布式拒绝服务攻击
通过损害或控制多个系统对攻击目标系统的带宽和资源进行泛洪攻击而实现拒绝服务。
3.12
后门 能够绕过系统认证等安全机制的管控而进入信息系统的通道。
3.13
安全重要参数
与安全相关的信息,包含秘密密钥和私钥、口令之类的鉴别数据或其他密码相关参数的信息。
3.14
访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。
[来源:GB/T 29246-2017,2.1]
5 保护对象
5.1 概述
按照保护对象范畴,汽车可划分为三类子保护对象:车内系统、车外通信和车外系统,如图2所示。
注1:本文件不涉及车外系统。
注2:为了更好地理解保护对象在不同维度的技术要求,在附录A的 A.1和 A.2中分别列举了车内系统和车外通
信所面临的典型的安全威胁。
5.2 车内系统
车内系统分为如下子保护对象:
a) 软件系统;
b) 电子电气硬件;
c) 车内数据;
d) 车内通信。
注:车内通信即车内系统、组件之间的通信,例如CAN通信、LIN通信、以太网通信等。
5.3 车外通信
车外通信分为如下子保护对象:
a) 车外远距离通信;
b) 车外近距离通信。
注1:车外通信是指整车与车外终端的通信。
注2:车外远距离通信是指蜂窝移动通信、卫星导航等。
注3:车外近距离通信是指蓝牙、近场无线通信和 Wi-Fi等。
6 技术要求
6.1 原则性要求
6.1.1 业务适用性原则
产品的信息安全设计应结合业务或功能环境的实际需求,同时考虑对业务或功能的正常使用的影响。
6.1.2 软件无后门原则
软件系统不应留有后门。
6.1.3 功能最小化原则
无用的软件组件、协议端口和ECU硬件调试接口应禁用或移除;器件的管脚信息不宜暴露。
6.1.4 最小化授权原则
产品的访问和信息处理活动应只授予必要的权限。
6.1.5 权限分离原则
重要保护对象的信息处理活动应具备两个或两个以上的权限,且各权限应相互分离和单独授予。
6.1.6 默认设置原则
产品应完成默认的信息安全设置;该设置对用户的信息安全设置诉求应做到最小化和最简单化。
6.2 系统性防御策略要求
6.2.1 总则
产品可采用下列系统性防御策略的一种:
a) 纵深防御;
b) 主动防御;
c) 韧性防御。
注:系统性防御策略,是基于构建系统的整体信息安全防护而采取的整体防御策略,以避免因各个信息安全防护措
施相互孤立而造成整体防护能力不足的问题。
6.2.2 纵深防御要求
纵深防御符合以下要求:
a) 根据保护对象所处的环境条件和信息安全管理的要求,应由外到里对保护对象实施层层设防
的防护措施;
b) 各层次的安全措施应相互依托,形成系统化的防护机制,从而提高系统的整体抗攻击能力。
6.2.3 主动防御要求
主动防御应采用包括但不限于情报分享、入侵检测技术、信息安全策略动态调整和各信息安全模块
之间协同等措施,以降低信息系统在遭受网络攻击时所面临的风险。
6.2.4 韧性防御要求
信息安全设计应综合考虑可靠性、功能安全等多个方面的工程设计,以提高系统的生存能力和自愈能力。
6.3 保护维度要求
6.3.1 车内系统的保护要求
6.3.1.1 软件系统的保护要求
6.3.1.1.1 真实性
软件系统应符合以下真实性要求:
a) 当升级、加载和安装时,验证提供方的身份真实性和来源的合法性;
b) 验证登录用户身份的真实性和合法性。
6.3.1.1.2 保密性
软件系统应支持防被逆向分析,宜采用代码混淆或加壳等措施。
6.3.1.1.3 完整性
当软件系统在启动、升级、加载和安装时,应验证其完整性。
6.3.1.1.4 可用性
当软件系统设计符合GB/T 34590.3-2017中ASILC和D级时,其应支持防DoS/DDoS攻击。
6.3.1.1.5 访问可控性
软件系统应符合以下访问可控性要求:
a) 具备访问权限控制的管理机制;
b) 验证对各软件系统资源和数据资产的访问、操作和使用的权限;
c) 验证软件系统的升级、加载和安装的权限。
6.3.1.1.6 抗抵赖
软件系统应具备在请求的情况下为数据原发者或接收者提供数据原发证据和数据接收证据的功能。
示例:采用数字签名技术等。
6.3.1.1.7 可核查性
软件系统应符合以下可核查性要求:
a) 记录重要信息安全事件,包括但不限于用户活动和操作指令;记录内容宜包含事件的时间、用
户、事件类型、事件处置结果等信息;
b) 保护审计日志不被非法篡改、删除和伪造。
6.3.1.1.8 可预防性
软件系统应具备对自身受到信息安全攻击的感知能力,当检测到信息安全攻击时,宜进行日志记
录、信息安全告警或攻击阻止的响应。
6.3.1.2 电子电气硬件保护要求
6.3.1.2.1 完整性
对ECU的封装(外壳、封条等)应采用完整性保护。
示例:使用揭开时能留迹象的封条。
6.3.1.2.2 访问可控性
电子电气硬件应移除或者禁止不必要的调试接口。
注:为了更好理解保护对象在不同维度的技术要求,在A.1.2中列举了车内硬件所面临的典型安全威胁。
6.3.1.3 车内数据保护要求
6.3.1.3.1 保密性
安全重要参数应符合如下保密性要求:
a) 不以明文方式传输;
b) 存储在安全的环境中。
示例:存储在TPM、TCM、HSM或TEE等安全环境中。
6.3.1.3.2 完整性
安全重要参数应支持完整性校验。
6.3.1.3.3 可用性
安全重要参数应防止丢失和被误删除,宜采用备份或专用安全空间存储等措施。
6.3.1.4 车内通信的保护要求
6.3.1.4.1 真实性
车内通信应验证通信双方身份的真实性。
6.3.1.4.2 保密性
车内通信应进行加密保护机制。
6.3.1.4.3 完整性
车内通信应采用完整性保护机制。
6.3.1.4.4 可用性
车内通信应具备通信流量控制能力。
示例:当受到恶意软件感染或拒绝服务攻击而造成车内通信流量异常时,仍有能力提供可接受的通信。
6.3.1.4.5 访问可控性
车内通信应符合如下访问可控性要求:
a) 将车内网络划分为不同的信息安全区域,每个信息安全区域之间宜进行网络隔离;
b) 信息安全区域间采用边界访问控制机制对来访的报文进行控制。
示例:采用报文过滤机制、报文过载控制机制和用户访问权限控制机制等。
6.3.1.4.6 可核查性
车内通信应具备日志记录的能力。
示例:记录流量过载、高频率的收到异常报文等现象。
6.3.1.4.7 可预防性
车内通信应对异常报文具有感知能力;当感知到异常报文时,宜具有告警或其他安全响应的能力。
示例:接收到高频率的重放报文或被篡改过的报文等异常现象。
6.3.2 车外通信的保护要求
6.3.2.1 车外远距离通信的保护要求
6.3.2.1.1 真实性
车外远距离通信应符合如下真实性要求:
a) 开启3G、4G、5G通信网络层的双向认证功能;
b) 蜂窝移动通信网络层之上支持独立的双向认证机制。
6.3.2.1.2 保密性
车外远距离通信应符合如下保密性要求:
a) 具备3G、4G、5G通信网络层的加密功能;
b) 蜂窝移动通信网络层之上支持独立的加密机制,宜采用TLS1.2版本及以上的安全协议。
6.3.2.1.3 完整性
车外远距离通信应符合如下完整性要求:
a) 具备3G、4G、5G通信网络层的完整性保护功能;
b) 蜂窝移动通信网络层之上支持独立的完整性机制,宜采用TLS1.2版本及以上安全协议。
6.3.2.1.4 可用性
与外部通信的部件应支持防DoS/DDoS攻击。
6.3.2.1.5 访问可控性
车外远距离通信应具备对通信报文进行访问控制的能力。
示例:白名单访问控制、报文过滤、防通信流量过载机制等。
6.3.2.1.6 抗抵赖
车外远距离通信应符合如下抗抵赖要求:
a) 确保蜂窝移动通信网络层通信ID......
|