| 标准编号 | PLAN20191066-T-339-2020 (PLAN20191066-T-339-2020) | | 中文名称 | 电动汽车远程服务与管理系统信息安全技术要求 | | 英文名称 | [20191066-T-339 Draft version] Technical requirements for cybersecurity of remote service and management system for electric vehicles | | 行业 | Chinese Industry Standard | | 字数估计 | 16,176 | PLAN20191066-T-339-2020: 电动汽车远程服务与管理系统信息安全技术要求
PLAN20191066-T-339-2020 英文名称: [20191066-T-339 Draft version] Technical requirements for cybersecurity of remote service and management system for electric vehicles
中华 人民共 和国 国家标 准
电动汽车远程服务与管理系统信息安全技
术要求
国家市场监督管理总局
国家标准化管理委员会
1 范围
本标准规定了电动汽车远程服务与管理系统的信息安全要求。
本标准适用于纯电动汽车、插电式混合动力电动汽车和燃料电池电动汽车的车载终端、车辆企业平
台和公共平台之间的数据通信。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19596 电动汽车术语
GB/T 32960.1-2016 电动汽车远程服务与管理系统技术规范 第1部分:总则
GB/T 32960.2-2016 电动汽车远程服务与管理系统技术规范 第2部分:车载终端
GB/T 32960.3-2016 电动汽车远程服务与管理系统技术规范 第3部分:通信协议及数据格式
3 术语和定义
GB/T 19596、GB/T 32960.1-2016、GB/T 32960.3-2016界定的以及下列术语和定义适用于本文件。为
了便于使用,以下重复列出了GB/T 32960.1-2016和GB/T 32960.3-2016中的某些术语和定义。
4 信息安全要求
4.1 总体结构图
电动汽车远程服务与管理系统信息安全总体结构见图1。
4.2 车载终端安全要求
4.2.1 一般要求
车载终端应保证硬件、固件、软件系统、数据存储、网络接口传输、远程升级、日志和系统的信息
安全,满足保密性、完整性、可用性的基本要求。
若车载终端和其它信息交互系统存在共用硬件的情况,则整个设备软硬件也应满足本标准的要求。
4.2.2 功能要求
4.2.2.1 车载终端硬件
车载终端的硬件安全要求如下:
a)不应存在后门或隐蔽接口;
b)调试接口应禁用或设置安全访问控制。
4.2.2.2 车载终端固件
车载终端应具备安全启动的功能,可通过可信根实体对安全启动所使用的可信根进行保护。
4.2.2.3 车载终端软件系统
车载终端软件系统要求如下:
a) 应具备判定和授予应用程序对系统资源的访问和操作权限的能力;
b) 宜进行可信验证。
4.2.2.4 车载终端数据存储
车载终端数据存储要求如下:
a) 应保证按照GB/T 32960.3-2016要求所存储的远程服务与管理数据的保密性和完整性;
b) 车载终端的安全重要参数在存储以及使用过程中,应只允许被授权的应用以授权方式读取和修
改。
4.2.2.5 车载终端网络接口传输安全
车载终端网络接口传输安全要求如下:
a) 应通过对数据包的源地址、目的地址、源端口、目的端口和协议进行检查决定允许或拒绝数据
包进出;
b) 应具备根据会话状态信息为进出数据流判定允许或拒绝访问的能力;
c) 应基于应用协议和应用内容对进出网络接口的数据流实现访问控制;
d) 应关闭非业务相关的网络服务端口,并对业务相关的网络服务端口进行访问控制;
e) 应对进入车内的数据进行入侵检测,对恶意网络数据与攻击的识别率不低于95%;
f) 宜采用专用网络或者虚拟专用网络通信,与公网隔离;
g) 宜具备更新扩展安全规则的能力。
4.2.2.6 车载终端远程升级功能
若车载终端具备远程升级功能,车载终端应具备升级包校验机制,确保升级包的完整性以及来源真
实性。
4.2.2.7 车载终端日志功能
车载终端日志功能要求如下:
a) 应记录车载终端在远程服务过程中发生的信息安全相关事件,如检测受到网络攻击行为等;
b) 应使每个日志信息记录的内容包括但不限于:日期和时间(精确到秒)、车辆唯一识别码、事
件类型;
c) 应保证所存储日志信息的保密性和完整性;
d) 车载终端日志应只允许被授权的应用以授权方式读取;
e) 应具有日志的上传机制,并使用安全通信协议将日志信息发送到企业平台。
4.2.2.8 车载终端系统安全
车载终端不应存在由权威漏洞平台公开发布6个月及以上且未经处置的高危安全漏洞。
4.3 平台间通信安全要求
4.3.1 一般要求
电动汽车远程服务与管理系统应满足传输数据的保密性、完整性和可用性要求。电动汽车远程服务
与管理系统在客户端平台进行平台登入之前,应和服务端平台进行双向身份鉴别。
4.3.2 通信协议栈要求
电动汽车远程服务与管理系统通信协议栈应包含安全通信协议,在客户端平台和服务端平台之间建
立安全通信连接,保障GB/T 32960.3-2016定义的业务应用层通信的安全性。
安全通信协议应基于TCP/IP之上、业务应用层之下,如图2所示。
4.3.3 安全通信协议要求
安全通信协议要求如下:
a) 应使用TLS1.2或以上版本;
b) 应不允许降级(降到TLS1.1、TLS1.0或SSLv3);
c) 应禁用会话重协商;
d) 应禁用TLS压缩;
e) 若使用基于非对称密钥的身份认证的TLS协议,应具有对应的证书更新及撤销机制,宜使用SM2、
RSA(长度不低于2048位)或同级别以及更高级的加密算法,证书的有效期宜不超过365天;
f) 若使用基于对称密钥的身份认证的TLS协议,应具有对应的密钥更新机制,宜使用SM4、AES(长
度不低于128位)或同级别以及更高级的加密算法。
4.3.4 数据单元加密要求
GB/T 32960.3-2016所要求的远程服务与管理数据加密要求如下:
a) 数据单元加密方式应采用SM4、AES(长度不低于128位)或其它同级别以及更高级的加密算法
来进行数据加密;
b) 加密数据单元的密钥应与安全通信协议所使用的密钥不同。
4.4 车载终端与平台通信安全要求
车载终端到平台的通信应满足双向身份鉴别和传输数据的保密性、完整性和可用性要求。车载终端
向平台实时上报GB/T 32960.3-2016所要求的远程服务与管理数据时,应按照4.3.4进行加密处理。车载
终端到平台的安全通......
|