一、车联网安全原则性要求
(一)业务适用性原则
产品的信息安全设计应充分考虑业务或者功能环境的实际需求,功能或者业务的正常使用不应受到信息安全设计的影响。
(二)软件无后门原则
软件系统不应留有后门。
(三)功能最小化原则
无用的软件组件、协议端口和ECU硬件调试口应禁用或者移除,不宜暴露器件的管脚信息。
(四)最小化授权原则
产品的访问和信息处理活动应只授予必要的权限。
(五)权限分离原则
重要保护对象的信息处理活动应具备两个或两个以上的权限,且权限应相互分离和单独授予。示例:用户要进行某项保护对象的操作,同时具有登录系统的合法身份和该保护对象的操作权限。
(六)默认设置原则
产品应完成默认的信息安全设置,该设置对用户的信息安全设置诉求应做到最小化和最简单化。
二、车联网安全系统性防御策略要求
(一)总则
产品应至少采用一种如下的系统性防御策略:
- 纵深防御;
- 主动防御;
- 系统的韧性。
注:系统性防御策略,是基于构建系统的整体信息安全防护考虑,所采取的整体防御策略,避免因各个信息安全防护措施相互孤立而造成整体防护能力不足的问题。
(二)纵深防御要求
纵深防御要求符合以下要求:
1) 根据保护对象所处的环境条件和信息安全管理的要求,应对保护对象实施由外到里或由里到外,层层设防的防护措施。
2) 各层次的安全措施应相互依托,形成系统化的防护机制,从而提高系统的整体抗攻击能力。
(三)主动防御要求
主动防御应采用包括不限于情报分享、入侵检测技术、信息安全策略动态调整和各信息安全模块之间的协同措施,使信息系统在发生异常行为时降低其所面临的风险。
(四)系统的韧性要求
信息安全设计应综合考虑可靠性、功能安全等多个方面的工程设计,以提高系统的生存能力和自愈能力。
三、车内系统的保护要求
(一)软件系统的保护要求
- 真实性要求
软件系统符合以下真实性要求:
1) 在软件、固件和配置文件的升级、加载和安装时,应验证提供方的身份真实性和来源的合法性。
2) 软件系统应验证登录用户身份的真实性和合法性。
- 保密性要求
重要软件系统应防止被逆向分析,宜采用代码混淆或加壳等措施。
- 完整性要求
软件系统符合以下完整性要求:
1)软件、固件和配置文件的升级、加载和安装时,应验证其完整性。
2)软件系统启动和运行时,应验证其完整性。
- 可用性要求
当软件系统设计为符合GB/T34590.3-2017中ASILC和D级时,其应支持防DoS/DDoS攻击。。
- 访问可控性要求
软件系统符合以下访问可控性要求:
1)应具备访问权限控制的管理机制。
2)应验证对各软件资源和数据资产的访问、操作和使用的权限。
3)应验证软件、固件和配置文件的升级、加载和安装的权限。
- 抗抵赖性要求
软件系统应具有在请求的情况下为数据原发者或接收者提供数据原发证据和数据接收证据的功能。
- 可核查性要求
软件系统符合以下可核查性要求:
1)应对包括不限于用户活动和操作指令的重要信息安全事件进行记录,记录内容宜包含事件的时间、用户、事件类型、事件成功情况的信息。
2)应保护审计日志不被非法篡改、删除和伪造。
- 可预防性要求
软件系统应具备对自身受到信息安全攻击的感知能力,当受到信息安全攻击时,宜进行日志记录、信息安全告警或攻击阻止的响应。
(二)电子电气硬件保护要求
- 保密性要求
电子电气硬件符合如下保密性要求:
1)印制电路板上关键信号的线路应在内层走线。示例:可能泄露敏感数据的数据总线、串行总线等关键信号。
2)应去除印制电路板上具有标识作用的丝印设计。
- 完整性要求
对关键ECU的封装(外壳、封条等)应采用完整性保护。示例:使用揭开时能留迹象的封条。
- 访问可控性要求
不必要的调试接口应被移除或者禁止。
(三)车内数据保护要求
- 保密性要求
安全重要参数应符合如下保密性要求:
a) 不应以明文方式传输。
b)应存储在安全的环境中。示例:TPM芯片,HSM或者TEE等。
- 完整性要求
安全重要参数应支持完整性校验。
- 可用性要求
安全重要参数应防止丢失和被误删除,宜采用备份或专用安全空间存储等措施。
(四)车内通信的保护要求
- 真实性要求
车内通信应验证通信双方身份的真实性
- 保密性要求
车内通信数据应进行加密。
- 完整性要求
车内通信数据应采用完整性保护。
- 可用性要求
车内通信应具备通信流量控制能力。示例:当受到恶意软件感染或者服务拒绝攻击而造成车内通信流量异常时,仍然有能力提供可接受的通信。
- 访问可控性要求
车内通信应符合如下访问可控性要求:
1)应将车内网络划分为不同的信息安全区域,每个信息安全区域之间宜进行网络隔离
2)信息安全区域间应采用边界访问控制机制对来访的报文进行控制。示例:采用报文过滤机制、报文过载控制机制和用户访问权限控制机制等。
- 可核查性要求
车内通信应具备日志记录的能力。示例:记录流量过载、高频率的收到异常报文等现象。
- 可预防性要求
车内通信应对异常报文具有感知能力,当感知到异常报文时,宜具有告警或者其他安全响应的能力。示例:接收到高频率的重放报文或者被篡改过的报文等异常现象。
四、车外通信的保护要求
(一)车外远距离通信的保护要求
- 真实性要求
车外远距离通信符合如下真实性要求:
1)应开启3G、4G、5G通信网络层的双向认证功能。
2)蜂窝移动通信网络层之上应支持独立的双向认证机制。
- 保密性要求
车外远距离通信符合如下保密性要求:
1)应具备3G、4G、5G通信网络层的加密功能。
2)蜂窝移动通信网络层之上应支持独立的加密机制,应采用TLS1.2版本及以上的安全协议进行加密。
- 完整性要求
车外远距离通信符合如下完整性要求:
1)应具备3G、4G、5G通信网络层的完整性保护功能。
2)蜂窝移动通信网络层之上应支持独立的完整性机制,应采用TLS1.2版本及以上安全协议进行完整性保护。
- 可用性要求
车外远距离通信符合如下可用性要求:
1)与外部通信的部件应支持防DoS/DDoS攻击。
2)应支持抗无线干扰。
- 访问可控性要求
车外远距离通信应具备对通信报文进行访问控制的能力示例:白名单访问控制、报文过滤、防通信流量过载机制等。
- 抗抵赖性要求
车外远距离通信应确保蜂窝移动通信网络层通信ID(如:国际移动用户识别码IMSI等)的唯一性。
- 可预防性要求
车外远距离通信应具备对通信报文的安全监控能力和攻击行为的感知能力,当受到信息安全攻击时,宜进行报文清洗、流量控制或阻止攻击行为的响应。
(二)近距离通信保护要求
- 真实性要求
车外近距离通信应开启身份认证功能。
- 保密性要求
车外近距离通信应开启加密功能。
- 完整性要求
车外近距离通信应开启完整性保护功能。
- 可用性要求
与外部通信的部件应支持防DoS/DDoS攻击。
- 可核查性要求
车外近距离通信应具备记录近距离通信信息安全相关的事件,记录的内容宜包含来访用户ID和通信时间。