| 标准编号 | PLAN20191069-T-339-2020 (PLAN20191069-T-339-2020) | | 中文名称 | 车载信息交互系统信息安全技术要求 | | 英文名称 | [20191069-T-339 Draft version] Technical Requirements for Cybersecurity of On-board Information Interactive System | | 行业 | Chinese Industry Standard | | 字数估计 | 22,262 | PLAN20191069-T-339-2020: 车载信息交互系统信息安全技术要求
PLAN20191069-T-339-2020 英文名称: [20191069-T-339 Draft version] Technical Requirements for Cybersecurity of On-board Information Interactive System
中华 人民共 和国 国家标 准
车载信息交互系统信息安全技术要求
发 布国家市场监督管理总局国家标准化管理委员会
1 范围
本标准规定了车载信息交互系统硬件、通信协议与接口、操作系统、应用软件、数据的信息安全技
术要求与测试方法。
本标准适用于指导整车厂、零部件供应商、软件供应商等企业,开展车载信息交互系统信息安全技
术的设计开发、验证与生产等工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术 术语
3 术语与定义
5 技术要求
5.1 硬件安全要求
5.1.1 车载信息交互系统所使用的芯片应满足以下要求:
a) 按照 6.1 a)进行测试,调试接口应禁用或设置安全访问控制;
b) 按照 6.1 b)进行测试,不存在后门或隐蔽接口;
5.1.2 按照 6.1 c)进行测试,车载信息交互系统所使用的关键芯片(例如:处理器、存储模块、通讯
IC 等用于处理、存储和传输敏感信息的芯片以及安全芯片)应减少暴露管脚;
5.1.3 按照 6.1 d)进行测试,车载信息交互系统所使用的安全芯片之间应减少通信线路的数量(例如:
使用多层电路板的车载信息交互系统可采用内层布线方式隐藏通信线路);
5.1.4 按照 6.1 e)进行测试,电路板及芯片不宜暴露用以标注、端口和管脚功能的可读丝印。
5.2 通信协议与接口安全要求
5.2.1 对外通信协议安全
5.2.1.1 通信连接安全
按照6.2.1.1 a)进行测试,车辆端应实现对平台服务端或外部终端的身份认证。当身份认证成功后,
按照6.2.1.1 b)进行测试,车辆端与平台服务端或外部终端才能进行业务数据的通信交互。
5.2.1.2 通信传输安全
按照6.2.1.2 进行测试,车辆端与平台服务端或外部终端间传输的数据内容应进行密钥加密。
5.2.1.3 通信连接终止安全
车载信息交互系统进行通信时, 按照6.2.1.3 a)、b) 进行测试,发生身份鉴权失败、有加密要求的
数据内容校验失败等情况,应终止该响应操作。
5.2.1.4 远程通信协议安全
5.2.1.4.1 公有远程通信协议安全
公有远程通信协议(例如:HTTP、FTP等),按照6.2.1.4.1进行测试,应采用TLS(版本不低于1.2)
或至少同等安全级别(例如:同等级别的国密算法等)的安全通信协议。
5.2.1.4.2 私有远程通信协议安全
私有远程通信协议(例如:整车厂或零部件厂与TSP自定义的通信协议等)应满足以下要求:
a) 按照 6.2.1.4.2 a)进行测试,支持以安全方式进行数据加密密钥的更新;
b) 按照 6.2.1.4.2 b)进行测试,其使用的密钥应进行安全存储。
5.2.1.5 短距离通信协议安全
5.2.1.5.1 短距离通信口令应用安全
短距离通信口令应用安全应满足以下要求:
a) 按照 6.2.1.5.1 a)进行测试,缺省口令应使用至少包括数字、大小写字母,长度不少于 8 位的
强复杂度的口令;
b) 按照 6.2.1.5.1 b)进行测试,同一个缺省口令不复用于不同系统;
c) 按照 6.2.1.5.1 c)进行测试,更改口令时,限制用户设置 a)要求的口令或向用户提示风险;
d) 按照 6.2.1.5.1 d)进行测试,对于人机接口或跨信任网络的不同车载信息交互系统之间接口的
登录认证,应支持口令防暴力破解机制,且按照 6.2.1.5.1e)进行测试,口令文件应设置安全
访问控制。
5.2.1.5.2 车载蓝牙通信协议安全
对具有车载蓝牙通信功能的车载信息交互系统应满足以下要求:
a) 按照 6.2.1.5.2 a)进行测试,车载蓝牙通信设备不应存在后门;
b) 按照6.2.1.5.2 b)进行测试,外部设备请求与车载蓝牙配对的方式应为SSP模式(针对Classic
场合)或 LE Secure Connection 模式(针对 LE 场合);
c) 按照 6.2.1.5.2 c)进行测试,车载蓝牙通信设备应验证配对请求,配对成功后,应对外部设备
进行鉴权;
d) 对于高安全要求的车载蓝牙通信功能(例如:利用蓝牙进行非接触控制车辆等),按照
6.2.1.5.2 d)进行测试,应对外部设备进行认证以防止非法接入;
e) 对于高安全要求的车载蓝牙通信功能(例如:利用蓝牙进行非接触控制车辆等),按照
6.2.1.5.2 e)进行测试,应对相关数据进行安全加密处理。
5.2.1.5.3 车载 WLAN 通信协议安全
对具有WLAN热点功能的车载信息交互系统,按照6.2.1.5.3进行测试,应使用WPA2-PSK或更高安全级
别的加密认证方式。
5.2.2 内部通信安全
当车载信息交互系统通过CAN或车载以太网等总线与车内其他控制器节点进行数据交互时,按照
6.2.2进行测试,应使用安全机制确保传输的重要数据(例如:车辆控制指令等)完整性和可用性。
5.2.3 通信接口安全
5.2.3.1 总体要求
车载信息交互系统的通信接口应满足以下要求:
a) 按照 6.2.3.1 a)进行测试,不应存在任何后门或隐蔽接口;
b) 按照 6.2.3.1 b)进行测试,访问权限等需授权内容应满足“最小化授权原则”,不应超出正常
业务范围。
5.2.3.2 车外通信接口安全
5.2.3.2.1 按照 6.2.3.2 a)进行测试,车载信息交互系统应支持路由隔离,隔离核心业务平台(例如:
执行控制车辆指令、收集个人敏感信息等功能的业务平台)的通信、内部通信(非核心业务平台的通信)、
外网通信(非核心业务平台的通信)等;
5.2.3.2.2 按照 6.2.3.2 b)进行测试,车载信息交互系统与核心业务平台(例如:能执行控制车辆指
令、收集个人敏感信息等功能的业务平台)的通信宜采用专用网络或者虚拟专用网络通信,与公网隔离。
5.2.3.3 车内通信接口安全
车载信息交互系统应满足以下要求:
a) 按照 6.2.3.3 a)进行测试,对合法指令设置白名单;
a) 按照 6.2.3.3 b)进行测试,对总线控制指令来源进行校验。
5.3 操作系统安全要求
5.3.1 操作系统安全配置
车载信息交互系统在其操作系统安全配置方面,应满足以下要求:
a) 按照 6.3.1 a)进行测试,禁止 ROOT 用户直接登录,且限制用户提权操作;
b) 按照 6.3.1 b)进行测试,删除或禁用无用账号,并使用至少包括数字、大小写字母,长度不少
于 8位的强复杂度的口令;
c) 按照 6.3.1 c)进行测试,具备访问控制机制,依据安全策略控制用户、进程等主体对文件、数
据库等客体进行访问;
d) 按照 6.3.1 d)进行测试,禁止不必要的服务(例如:FTP 服务等),按照 6.3.1 e)进行测试,
禁止非授权的远程接入服务。
5.3.2 安全调用控制能力
5.3.2.1 通信类功能受控机制
5.3.2.1.1 拨打电话
具有拨打电话功能的车载信息交互系统应满足以下要求:
a) 按照 6.3.2.1.1 a)进行测试,在用户确认后,调用拨打电话操作才能执行;
b) 按照 6.3.2.1.1 b)进行测试,向用户明示业务内容,且在用户确认后,调用拨打电话开通呼叫
转移业务操作才能执行。
注:紧急情况下,E-Call 等应急功能不限定于以上条款要求内。
5.3.2.1.2 三方通话
具有三方通话功能的车载信息交互系统,按照6.3.2.1.2进行测试,应在用户确认后,调用三方通话
操作才能执行。
5.3.2.1.3 发送短信
具有发送短信功能的车载信息交互系统,按照6.3.2.1.3进行测试,应在用户确认后,调用发送短信
操作才能执行。
5.3.2.1.4 发送彩信
具有发送彩信功能的车载信息交互系统,按照6.3.2.1.4进行测试,应在用户确认后,调用发送彩信
操作才能执行。
5.3.2.1.5 发送邮件
具有发送邮件功能的车载信息交互系统,按照6.3.2.1.5进行测试,应在用户确认后,调用发送邮件
操作才能执行。
5.3.2.1.6 移动通信网络连接
具有交互界面的车载信息交互系统,在移动通信网络连接时,应满足以下要求:
a) 按照 6.3.2.1.6 a)进行测试,提供开关以开启或关闭移动通信网络连接功能;
b) 按照 6.3.2.1.6 b)进行测试,向用户进行提示,且在用户确认后,调用移动通信网络连接功能
的操作才能执行;
c) 按照 6.3.2.1.6 c)进行测试,向用户提供通过配置应用软件调用移动通信网络连接的功能;
d) 当移动通信网络处于已连接状态时,按照 6.3.2.1.6 d) 进行测试,应在交互界面上给用户相
应的状态提示;
e) 当正在传送数据时,按照 6.3.2.1.6 e) 进行测试,应在交互界面上给用户相应的状态提示;
f) 上述 d)和 e)中,按照 6.3.2.1.6 f) 进行测试,状态提示的方式应不同。
注:紧急情况下,E-Call 等应急功能不限定于以上条款要求内。
5.3.2.1.7 WLAN 网络连接
具有交互界面的车载信息交互系统,在WLAN网络连接时,应满足以下要求:
a) 按照 6.3.2.1.7 a) 进行测试,提供开关以开启或关闭 WLAN 网络连接功能;
b) 按照 6.3.2.1.7 b) 进行测试,向用户进行提示,且在用户确认后,调用 WLAN 网络连接功能的
操作才能执行;
c) 当 WLAN 网络处于已连接状态时,按照 6.3.2.1.7 c) 进行测试,应在交互界面上给用户相应的
状态提示;
d) 当正在传送数据时,按照 6.3.2.1.7 d) 进行测试,应在交互界面上给用户相应的状态提示;
e) 上述 c)和 d)中,按照 6.3.2.1.7 e) 进行测试,状态提示的方式应不同。
5.3.2.2 本地敏感功能受控机制
5.3.2.2.1 定位功能
具有交互界面的车载信息交互系统,在调用定位功能时,要求如下:
a) 按照 6.3.2.2.1 a) 进行测试,在用户确认后,才能执行定位功能;
b) 按照 6.3.2.2.1 b) 进行测试,向用户提供后台定位控制功能以配置应用软件是否可调用定位
功能;
c) 上述 a)和 b)中,按照 6.3.2.2.1 c) 进行测试,应让用户分别操作。
d) 当调用定位功能时,按照 6.3.2.2.1 d) 进行测试,宜在交互界面上给用户相应的状态提示。
5.3.2.2.2 通话录音功能
具有交互界面的车载信息交互系统,在调用通话录音功能时,按照6.3.2.2.2进行测试,应在用户确
认后,才能执行通话录音功能。
5.3.2.2.3 本地录音功能
具有交互界面的车载信息交互系统,在调用本地录音功能时,按照6.3.2.2.3进行测试,应在用户确
认后,才能执行本地录音功能。
5.3.2.2.4 对用户数据的操作
处理用户数据时,按照6.3.2.2.4进行测试,操作系统应进行相应授权(例如:当应用软件需要调用
对电话本数据、通话记录、上网记录、短信数据、彩信数据的读或写操作时,操作系统应在应用软件授
权的情况下方可执行)。
5.3.3 操作系统安全启动
车载信息交互系统应满足以下要求:
a) 按照 6.3.3 a)进行测试,操作系统的启动应始于一个无法被修改的信任根;
b) 按照 6.3.3 b)进行测试,应在验证操作系统签名后,才能从可信存储区域加载车载端操作系统,
防止加载被篡改的操作系统;
c) 在执行其它的安全启动代码前,按照 6.3.3 c)进行测试,应验证代码完整性。
5.3.4 操作系统更新
车载信息交互系统要求如下:
a) 按照 6.3.4 a)进行测试,应具备系统镜像的防回退校验功能;
b) 当更新镜像安装失败时,按照 6.3.4 b)进行测试,应恢复到更新前的版本;
c) 按照 6.3.4 c)、d)进行测试,宜具有验证更新镜像完整性和来源可靠的安全机制。
5.3.5 操作系统隔离
对预置功能平行的多操作系统,除必要的接口和数据(例如:拨打电话等功能和电话本和短信等数
据)可共享外,按照6.3.5进行测试,不同操作系统之间不应进行通信。
5.3.6 操作系统安全管理
车载信息交互系统要求如下:
a) 针对车机类智能操作系统,按照 6.3.6 a)进行测试,应对应用软件运行的实时环境进行监控,
对异常状况(例如:异常网络连接、内存占用突增等状况)进行告警;
b) 针对车机类智能操作系统,按照 6.3.6 b)进行测试,应具有清理内存、存储垃圾等功能;
c) 针对车机类智能操作系统,按照 6.3.6 c)进行测试,应支持审计功能;
d) 按照 6.3.6 d)进行测试,应具备重要事件(例如:关键配置变更、安全启动校验失败等事件)
的日志记录功能,并按照 6.3.6 e)进行测试,应能按照策略上传至服务器;
e) 按照 6.3.6 g)进行测试,应对日志文件进行安全存储;
f) 按照 6.3.6 f)进行测试,应采取访问控制机制,对日志读取写入的权限进行管理;
g) 按照 6.3.6 h)进行测试,应对开发者调试接口进行管控,禁止非授权访问;
h) 按照 6.3.6 i)进行测试,不应存在由权威漏洞平台公开发布 6 个月及以上且未经处置的高危安
全漏洞;
i) 按照 6.3.6......
|