首页 购物车 询价
www.GB-GBT.com

[PDF] GB/T 38628-2020 - 自动发货. 英文版

标准搜索结果: 'GB/T 38628-2020'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 38628-2020 英文版 355 GB/T 38628-2020 3分钟内自动发货[PDF] 信息安全技术 汽车电子系统网络安全指南 有效

基本信息
标准编号 GB/T 38628-2020 (GB/T38628-2020)
中文名称 信息安全技术 汽车电子系统网络安全指南
英文名称 Information security technology -- Cybersecurity guide for automotive electronics systems
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 30,351
发布日期 2020-04-28
实施日期 2020-11-01
引用标准 GB/T 18336.1-2015; GB/T 18336.2-2015; GB/T 18336.3-2015; GB/T 20984-2007; GB/T 29246-2017; GB/T 30279-2013; GB/T 31167-2014; GB/T 31168-2014; GB/T 31509-2015; GB/T 31722-2015
起草单位 中国电子技术标准化研究院、电子科技大学、东软集团股份有限公司、国家信息技术安全研究中心、中国汽车技术研究中心有限公司、国汽(北京)智能网联汽车研究院有限公司、浙江吉利控股集团有限公司、重庆长安汽车股份有限公司、中国第一汽车集团有限公司、上海汽车集团有限公司、北京新能源汽车股份有限公司、威马汽车科技集团有限公司、三六零科技有限公司、上海银基信息安全技术股份有限公司、惠州德赛西威智能交通技术研究院有限公司、惠州华阳通用电子有限公司、广东为辰信息科技有限公司、四川省信息安全测评中心、北京百度网讯科技有限公司、东
归口单位 全国信息安全标准化技术委员会(SAC/TC 260)
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 国家市场监督管理总局、国家标准化管理委员会
范围 本标准给出了汽车电子系统网络安全活动框架,以及在此框架下的汽车电子系统网络安全活动、组织管理和支撑保障等方面的建议。本标准适用于指导整车厂、零部件供应商、软件供应商、芯片供应商以及各种服务提供商等汽车电子供应链上各组织机构开展网络安全活动,指导相关人员在从事汽车电子系统的设计开发、生产、运行和服务等过程中满足基本的网络安全需求。

GB/T 38628-2020 Information security technology--Cybersecurity guide for automotive electronics systems ICS 35.040 L80 中华人民共和国国家标准 信息安全技术 汽车电子系统网络安全指南 2020-04-28发布 2020-11-01实施 国 家 市 场 监 督 管 理 总 局 国 家 标 准 化 管 理 委 员 会 发 布 目次 前言 Ⅰ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 缩略语 2 5 汽车电子系统网络安全活动框架 2 5.1 概述 2 5.2 组织管理 3 5.3 网络安全活动 3 5.4 支撑保障 4 6 汽车电子系统网络安全组织管理 4 6.1 组织机构设置 4 6.2 建立沟通协调平台 5 6.3 制度建设与员工培训 5 6.4 测试与评估 5 6.5 阶段检查 6 7 汽车电子系统网络安全活动 7 7.1 概念设计阶段 7 7.2 系统层面产品开发阶段 10 7.3 硬件层面产品开发阶段 12 7.4 软件层面产品开发阶段 15 7.5 产品生产、运行和服务阶段 17 8 汽车电子系统网络安全支撑保障 18 8.1 配置管理 18 8.2 需求管理 18 8.3 变更管理 19 8.4 文档管理 19 8.5 供应链管理 19 8.6 云管端安全 20 附录A(资料性附录) 汽车电子系统典型网络安全风险 21 附录B(资料性附录) 汽车电子系统网络安全防护措施示例 24 附录C(资料性附录) 事件处理检查清单示例 26 参考文献 27 前言 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国电子技术标准化研究院、电子科技大学、东软集团股份有限公司、国家信息技 术安全研究中心、中国汽车技术研究中心有限公司、国汽(北京)智能网联汽车研究院有限公司、浙江吉 利控股集团有限公司、重庆长安汽车股份有限公司、中国第一汽车集团有限公司、上海汽车集团有限公 司、北京新能源汽车股份有限公司、威马汽车科技集团有限公司、三六零科技有限公司、上海银基信息安 全技术股份有限公司、惠州德赛西威智能交通技术研究院有限公司、惠州华阳通用电子有限公司、广东 为辰信息科技有限公司、四川省信息安全测评中心、北京百度网讯科技有限公司、东风汽车集团有限公 司、国家计算机网络应急技术处理协调中心。 本标准主要起草人:龚洁中、刘贤刚、范科峰、罗蕾、陈丽蓉、路娜、陈静相、李京春、王羽、秦洪懋、 王建、刘建行、付朝辉、汪向阳、罗薇、李允、汤利顺、李秋实、董威、杨起森、张军响、刘健皓、张屹、仇兆峰、 周方俊男、张裁会、苗澎锋、罗建超、赵焕宇、王丹琛、李显杰、王重钦、郑伟、王晖、李琳、周睿康、王秉政。 信息安全技术 汽车电子系统网络安全指南 1 范围 本标准给出了汽车电子系统网络安全活动框架,以及在此框架下的汽车电子系统网络安全活动、组 织管理和支撑保障等方面的建议。 本标准适用于指导整车厂、零部件供应商、软件供应商、芯片供应商以及各种服务提供商等汽车电 子供应链上各组织机构开展网络安全活动,指导相关人员在从事汽车电子系统的设计开发、生产、运行 和服务等过程中满足基本的网络安全需求。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 18336-2015(所有部分) 信息技术 安全技术 信息技术安全评估准则 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇 GB/T 30279-2013 信息安全技术 安全漏洞等级划分指南 GB/T 31167-2014 信息安全技术 云计算服务安全指南 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南 GB/T 31722-2015 信息技术 安全技术 信息安全风险管理 3 术语和定义 GB/T 29246-2017界定的以及下列术语和定义适用于本文件。 3.1 在汽车中通过电子技术实现控制或服务的系统,是一类应用于汽车领域的嵌入式系统,包含车体控 制电子系统和车载服务电子系统。 注1:车体控制电子系统与车上机械系统配合使用,包括发动机控制系统、底盘控制系统、车身电子控制系统等。 注2:车载服务电子系统能够独立于汽车环境使用,包括车载信息娱乐系统及个人设备交互信息系统等。 3.2 未决问题 pendingquestion 在进行安全性评估时,现有网络安全控制措施不能降低或不确定能够降低的网络安全威胁,以及需 要在后续过程中进一步分析和处理的问题。 3.3 系统上下文 systemcontext 定义系统软硬件接口、关键数据流、存储和信息处理等内容的集合。 3.4 攻击树分析 attacktreeanalysis 由系统应用层出发,分析攻击者可能进行的攻击路径的方法。 3.5 信息物理系统 cyber-physicalsystem 由计算部件和物理控制部件组成的系统。 3.6 在系统的计算部件和物理部件以及系统周围环境之间存在紧密耦合的车辆嵌入式控制系统。 3.7 在所有的阶段检查完成后,在产品即将正式发布的生产环节之前进行的网络安全评估,为每一个设 计和开发的特性提供其满足网络安全目标的结论与证据。 3.8 网络安全目标 cybersecuritygoal 从威胁分析和风险评估结果中获得的,针对某系统功能特性需要达到的网络安全目标。 注:网络安全目标是最高抽象层次的安全需求,在产品的开发阶段将会以它(们)为基础导出具体功能的和技术的 网络安全需求。 3.9 信任边界 trustboundary 程序的数据或执行流的“信任”级别发生改变的边界。 注:一个执行流的信任边界可以是在一个应用的权限被提升的地方。 4 缩略语 下列缩略语适用于本文件。 CAN:控制域网络(ControlAreaNetwork) IVI:车载信息娱乐系统(In-VehicleInfotainment) SOTA:软件空中下载(SoftwareOverTheAir) USB:通用串行总线(UniversalSerialBus) 5.1 概述 汽车电子系统网络安全活动框架如图1所示,包含汽车电子系统网络安全活动、组织管理以及支撑 保障,其中网络安全活动是框架的核心,主要是指在汽车电子系统生命周期各阶段开展的相关安全活 动,这些阶段包括概念设计阶段,系统层面的产品开发阶段,硬件层面的产品开发阶段,软件层面的产品 开发阶段,产品生产、运行和服务阶段。 图1 汽车电子系统网络安全活动框架 组织可以根据自身实际情况,对网络安全活动框架中各部分进行配置和裁剪,并考虑与组织现有的 管理体系(比如质量管理体系)的机构设置、过程活动进行结合,以便落实本标准所建议的网络安全措 施,以较小的代价实现高效的安全。 5.2 组织管理 组织管理是指开展汽车电子系统网络安全活动所需要具备的组织、人员能力、制度等方面的条件, 主要包括组织机构设置、建立沟通协调平台、制度建设与员工培训、建立网络安全测试与评估、阶段检查 能力等。 5.3 网络安全活动 5.3.1 概念设计阶段 概念设计阶段主要包括系统功能定义、网络安全过程启动、威胁分析及风险评估、网络安全目标确 定、网络安全策略设计、网络安全需求识别、初始网络安全评估、阶段检查等环节的活动。 5.3.2 产品开发阶段 产品开发阶段包括系统层面产品开发阶段、硬件层面产品开发阶段和软件层面产品开发阶段。 图2展示了产品开发阶段的基本过程,以及系统层面、硬件层面和软件层面产品开发之间的关系。图2 没有包含迭代过程,但实际上许多阶段都需要反复迭代,才能最终实现开发目标。 系统层面产品开发阶段主要包括系统层面产品开发启动、网络安全技术需求规格(包括系统层面漏 洞分析、网络安全策略具体化、确定网络安全技术需求等)、系统设计、系统功能集成和网络安全测试、网 络安全验证、网络安全评估和检查以及产品发布等环节的工作。 硬件层面产品开发阶段主要包括硬件产品开发启动、硬件网络安全需求规格(包括硬件层面漏洞分 析、确定网络安全需求)、硬件设计、硬件集成和网络安全测试、硬件网络安全需求验证、细化网络安全评 估等环节。 软件层面产品开发阶段主要包括软件产品开发启动、软件网络安全需求规格(包括软件层面漏洞分 析、确定网络安全需求)、软件架构设计、软件单元设计与实现、软件单元测试、软件集成和网络安全测 试、软件网络安全需求验证、细化网络安全评估等环节。 在产品开发阶段需要用到密码技术时需要符合国家密码管理相关规定。 注1:图中双向箭头线表示对应或一致性关系,比如“系统设计”和“系统功能集成和网络安全测试”之间的双向箭 头线表示,系统的功能集成和网络安全测试以与系统设计相一致的方式进行,集成和测试的内容、顺序以及 具体方式等以系统设计为依据。 注2:图中单向箭头线表示过程活动之间的顺序关系。箭头左边的活动在前面执行,箭头右边的活动在后面执行。 图2 系统层面、硬件层面与软件层面产品开发的关系 5.3.3 产品生产、运行与服务阶段 产品生产、运行与服务阶段主要包括现场监测、事件响应和后续相关的事件跟踪管理等活动。 5.4 支撑保障 汽车电子系统网络安全支撑保障主要包括配置管理、需求管理、变更管理、文档管理、供应链管理、 云管端安全等方面的内容。 6 汽车电子系统网络安全组织管理 6.1 组织机构设置 组织需高度重视网络安全,把网络安全放在组织的战略层面进行考虑,并具体通过如下方面体现: a) 制定和实施组织的网络安全战略、方针和目标; b) 落实网络安全的领导责任制,可建立有组织高层领导负责的网络安全领导小组,负责网络安全 战略、方针和目标的制定和实施监督,并协调各部门之间的配合协作; c) 设置专门的机构,负责有关网络安全方面的文化建设、信息沟通、培训、跨部门资源调配以及其 他相关工作; d) 员工能够清楚地知道组织内部与网络安全相关的机构设置及职责分工。 6.2 建立沟通协调平台 组织宜建立有关网络安全的内部及外部信息沟通协调渠道,包括但不限于以下方面: a) 制定组织内部或外部的个人或组织报告突发网络安全事件的流程,明确组织内相关各部门之 间的衔接方式及应承担的责任; b) 制定组织向相关方通报有关网络安全事件的流程,对事件的严重性程度进行分级管理; c) 制定响应和处理来自政府、媒体、公众和组织内部的有关网络安全事件的处理流程。 6.3 制度建设与员工培训 组织宜将网络安全制度作为组织建设的重要内容,创建、培养和维持组织的网络安全文化,以增强 员工的网络安全意识能力。可具体从如下方面开展组织工作: a) 编制有关网络安全的制度或过程文件; b) 收集、积累和传播网络安全相关的实践经验、网络安全漏洞的解决方案和相关产品的应用案 例,包括与汽车电子领域相关的网络安全内容; c) 密切关注国际国内在网络安全方面的最新进展情况,包括汽车电子领域重大安全漏洞的情况; d) 及时响应网络安全相关事件,优先处理风险程度高的网络安全威胁; e) 制定培训计划,定期组织有关网络安全的培训活动,通过培训提升员工的网络安全意识和能 力,使得员工能够理解在产品的开发、生产、运行和服务中可能出现的各种网络安全漏洞和威 胁,掌握威胁分析和风险评估的流程与方法。 6.4 测试与评估 6.4.1 网络安全测评团队 网络安全测试与评估工作宜由有经验的、有公正性的测评团队完成。具体条件可包括: a) 测评团队与被测评对象的开发、生产、运行和服务以及网络安全控制措施的设计没有任何利益 冲突; b) 测评团队与被测评组织没有建立利益关系或产生利益冲突; c) 测评团队不宜测评自己的工作; d) 测评团队不宜是被测评组织的员工; e) 测评团队不宜诱导组织使用自己的服务; f) 测评团队宜将测评结果详细记录在案,包括找到的新漏洞。 注:这里主要是针对组织聘请第三方测评团队的建议要求,组织自建测评团队的情况可以参考。 6.4.2 网络安全测试内容 漏洞测试、渗透测试和模糊测试是评价一个对象网络安全能力的重要方法。其中,漏洞测试是较为 常用的方法,可包含但不限于如下具体方式: a) 漏洞扫描,检测对象是否存在可能被攻击的漏洞; b) 探测性测试,检测和探查可能在软件或硬件实现中产生的漏洞; c) 攻击性测试,通过破坏、绕过、篡改网络安全控制措施等手段入侵对象,以达到测试对象抗攻击 能力的目的。 6.4.3 网络安全评估 网络安全评估用于检验当前所实施的网络安全策略是否满足网络安全需求,以及是否能有效降低 威胁和风险,可包括但不限于以下内容: a) 评估各阶段的网络安全策略是否满足网络安全需求; b) 评估各阶段的网络安全设计是否符合网络安全策略; c) 对于网络安全策略未能解决的威胁,将其定义为相应的未决问题,并评估该未决问题是否可以 被接受; d) 如果未决问题可被接受,则提供相应的说明,解释该网络安全问题可以被接受的原因;如果未 决问题不可被接受,并且可以通过后续阶段的活动解决,则记录该未决问题,以便将其作为下 一阶段开发的依据。 6.5 阶段检查 在生命周期的每个阶段结束前宜进行阶段检查,以确保在下一阶段开始之前已经正确、一致地执行 完成了当前阶段的活动。 阶段检查可由组织的技术专家小组来进行,该小组宜独立于产品开发团队。此外,为了保持产品在 整个生命周期中所有功能的一致性和完整性,该小组宜参与产品整个开发过程中的所有检查工作。检 查结果以“通过”“有条件通过”(即需要采取一些整改措施)或“不通过”表示,只有当检查结果是“通过” 或“有条件通过”并且相关整改措施已实施和确认的情况下,才能进入到下一阶段的工作。各阶段检查 的主要内容如图3所示,具体内容见各阶段对应章节。 注:在进入生产和运行阶段后,也可根据需要开展阶段检查活动,进一步确保安全措施执行到位。 图3 各生命周期阶段的检查内容 7 汽车电子系统网络安全活动 7.1 概念设计阶段 7.1.1 概述 概念设计阶段的活动流程如图4所示,包括系统功能定义、网络安全过程启动、风险评估与目标确 定、网络安全策略设计、网络安全需求识别、初始网络安全评估及概念设计阶段检查等。 图4 概念设计阶段活动流程 7.1.2 系统功能定义 组织宜明确汽车电子系统中被开发的、可以实施网络安全的子系统及其功能的适用范围,并对其进 行如下内容的分析: a) 子系统的物理边界; b) 子系统的网络边界; c) 子系统的信任边界; d) 子系统的网络安全边界。 7.1.3 网络安全过程启动 在启动汽车电子系统的网络安全生命周期过程时,组织宜制定相应的网络安全计划,包括但不限于 以下内容: a) 需要执行的网络安全活动; b) 确定各项活动的负责人; c) 明确各项活动的开始时间和截止时间; d) 明确各项活动状态的报告和监督规则。 7.1.4 威胁分析及风险评估 组织宜对汽车电子系统开展威胁分析及风险评估,以便系统性地识别汽车电子系统可能面临的网 络安全威胁,并对网络安全风险进行合理的估算,为确定汽车电子系统的网络安全目标、采取相应的风 险处置措施提供依据。掌握威胁分析及风险评估的技术,在产品的早期开发阶段实施,能够尽量降低在 产品生命周期较晚阶段发现问题而导致的昂贵修复代价;另外,随着产品开发过程的不断深入,威胁分 析及风险评估活动还可以适时地针对产品的逐步细化而不断地迭代,为产品各开发阶段的网络安全评 估提供依据。 汽车电子系统的威胁分析及风险评估活动宜按照 GB/T 18336-2015、GB/T 20984-2007、 GB/T 31509-2015和GB/T 31722-2015等标准内容,并结合汽车行业的实践经验开展,主要可包括 以下步骤: a) 准备:确定威胁分析及风险评估的目标与范围。 b) 功能定义:识别汽车电子系统主要功能和需要被保护的资产。 示例1: 汽车电子系统需要保护的资产可主要从以下方面考虑: ---车载设备:包括ECU、传感器、执行器、网络通信设备等; ---运行于在设备上的功能安全关键和非功能安全关键的应用; ---ECU内部、ECU之间、ECU和传感器/执行器之间、ECU和网络通信设备及应用程序之间的数据链路。 c) 威胁分析:识别来自组织外部或内部各种渠道的、针对汽车电子系统资产的潜在威胁并进行分 析,可包括如下内容:威胁模型、系统功能用例分析、数据流/控制流分析、安全边界分析、攻击 树分析等。组织可综合应用各种分析技术,形成规范化的分析流程。在威胁分析过程中,需要 综合考虑威胁来源、威胁动机(或攻击动机)等因素,对威胁进行合理的分类。 示例2: 针对汽车电子系统的攻击动机可能是:获取车辆信息;获取驾驶员信息;对驾驶员、乘客等个人身体和精神造 成伤害;扰乱行业经济或造成大规模基础设施损坏;恐怖袭击;使攻击者获得声誉;获取经济利益;获取其他利益。 注1:一种常用的分类方法是将威胁分为仿冒、篡改、抵赖、信息泄露、拒绝服务、特权提升等几种类型。 d) 脆弱性分析:分析针对汽车电子系统资产可能的攻击途径和漏洞,其目标是基于汽车电子系统 的具体实现,识别其中的薄弱环节或缺陷,以便对风险评估提供依据。可参考通用的信息系统 脆弱性数据库,针对已发现的脆弱性,对汽车电子系统的实现进行分析或开展渗透测试,检验 相关脆弱性是否真的存在。另外,组织还需要建立或参考本行业相关机构所建立的专业性脆 弱性(或漏洞)数据库,以便针对汽车电子系统进行特定的脆弱性分析。 e) 风险评估:基于威胁和脆弱性分析的结果,主要从两个方面对风险等级进行估算:一是威胁可 能造成影响的严重程度,二是威胁成功实施攻击的概率。综合这两方面的评估数据,对每个具 体的资产威胁,明确其风险等级。 注2:有关汽车电子系统典型网络安全风险参见附录A。 注3:对于威胁可能造成结果的严重程度,可从对汽车的功能安全、隐私、经济、操控性等方面的影响进行综合 分析;对于威胁成功实施攻击的概率,可综合考虑多方面因素,包括攻击所需要花费的时间(包括识别漏 ......