国家标准 GB/T40861一2021 汽车信息安全通用技术要求 Generaltechniealrequirementsforvehieleeyberseeurity 2021-10-11发布 2022-05-01实施国家市场监督管理总局发布国家标涯花管理委员会国家标准
GB/T40861一2021 目次前言引言范围 2 规范性引用文件术语和定义缩略语 5 保护对象 5.1概述 5.2车内系统 5.3车外通信技术要求 6 6.1原则性要求 6.2系统性防御策略要求 6.3保护维度要求附录A(资料性) 信息安全威胁参考文献
GB/T40861一2021 前言本文件按照GB/T1.1一2020<标准化工作导则第1部分;标准化文件的结构和起草规则》的规定起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由工业和信息化部提出本文件由全国汽车标准化技术委员会(SAC/TC114)归口本文件起草单位:浙江吉利控股集团有限公司、华为技术有限公司、汽车技术研究中心有限公司、北京奇虎科技有限公司、戴姆勒大中华区投资有限公司、标致雪铁龙()汽车贸易有限公司上海分公司、泛亚汽车技术中心有限公司、广州汽车集团股份有限公司、工业和信息化部计算机与微电子发展研究中心、宝马()服务有限公司、大众汽车()投资有限公司、东软集团股份有限公司、大陆投资()有限公司、北京梆梆安全科技有限公司、信息通信研究院、东风汽车集团股份有限公司技术中心、第一汽车股份有限公司本文件主要起草人.尹杨、张旭武.张行、张容波、潘凯,吴含冰、,张屹、昌明冯志敏、冯海涛、张金池郭盈,王赫,赵闻,陈静相、杨文昌、卢佐华、孙娅苹、李燕、高长胜
GB/T40861一2021 引言随着智能化和网联化技术快速发展和应用,汽车从相对孤立的电子机械系统逐渐演变成能与外界进行信息交互的智能系统,汽车网联化衍生的信息安全问题随之而来与通信等行业的信息安全主要造成财产损失不同,作为高速行驶的载人和载物的交通工具,当发生汽车信息安全问题,不仅会造成财产损失,还将严重威胁人身和公共安全本文件基于汽车信息安全风险危害及诱因,针对保护对象制定通用技术要求(汽车整车及其电子电气系统和组件的技术要求可根据功能设计和风险评估结果而定,与其他管理要求标准配合使用,指导建立汽车信息安全技术体系标准框架如图1所示,在规定原则性要求,系统性防御策略要求等基础技术要求的同时,从以下八个维度针对子保护对象制定具体技术要求真实性; a b 保密性; e 完整性; 可用性 d 访问可控性; e fD 抗抵赖可核查性; 8 h)可预防性管理要求生命周期管理车内系统软件系统数据电了电气车内通信硬件系统性防御要求车外通信近跑离通们原则性要求远距离通们车外系统技术要求共享感知后端服务器系统不包含在本文件范围内保护对象分类本文件范围内图1标准框架 IN
GB/T40861一2021 汽车信息安全通用技术要求范围本文件规定了汽车信息安全的保护对象和技术要求本文件适用于M类、N类汽车整车及其电子电气系统和组件规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中,注日期的引用义件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件信息技术安全技术信息安全管理体系概述和词汇 GB/T292462017 GB/T34590.32017道路车辆功能安全第3部分概念阶段术语和定义 GB/T29246一2017界定的以及下列术语和定义适用于本文件 3.1 汽车信息安全vehieeeybhersecuritsy 汽车的电子电气系统、组件和功能被保护,使其资产不受威胁的状态 3.2 真实性authentieity -个实体是其所声称实体的特性 [来源:GB/T292462017,2.8,有修改] 3.3 保密性conffidemtiality 信息对未授权的个人、实体或过程不可用或不泄露的特性 [来源:GB/T292462017,2.12 3.4 完整性integrity 准确和完备的特性 [来源:GB/T292462017,2.40叮] 3.5 可用性availability 根据授权实体的要求可访问和可使用的特性 [来源:GB/T29246一2017,2.9] 3.6 访问可控性 accesScOntn trollability 确保对资产的访问是基于业务和安全要求进行授权和限制的特性
GB/T40861一2021 3.7 抗抵赖non-repudiatiom 证明所声称事态或行为的发生及其源头的能力 [来源;GB/T292462017,2.54] 3.8 accountabilits 可核查性确保可从一个实体的行为唯一地追溯到该实体的特性 3.9 可预防性preventability 对信息异常行为和攻击行为进行识别、侦测以及相应安全响应的能力 3.10 拒绝服务demialofservice;DnS 因阻止对系统资源的授权访问或延迟系统运行和功能实现而导致授权用户的可用性受损 3.11 分布式拒绝服务攻击distributeddemialofservice;DDns 通过损害或控制多个系统对攻击目标系统的带宽和资源进行泛洪攻击而实现拒绝服务 3.12 后门backdoor 能够绕过系统认证等安全机制的管控而进人信息系统的通道 3.13 安全重要参数seeurityimportantparameter 与安全相关的信息,包含秘密密钥和私钥、口令之类的鉴别数据或其他密码相关参数的信息 3.14 访问控制accesscontrol 确保对资产的访问是基于业务和安全要求进行授权和限制的手段 [来源.GB/T292462017,2.1] 缩略语下列缩略语适用于本文件 CAN: 控制器局域网络(ControllerAreaNetwork) Dos 拒绝服务(DenialofService DDoS 分布式拒绝服务攻击(DistributedDenialofService) ECU: 电子控制单元(EleetronieControlUnit 文件传输协议(FileTransferProtocol rIP HsM 硬件安全模块(HardwareSecureModule cID 集成电路卡识别码(IntegrateCircuitCardIdentity) N 国际移动用户识别码(I lnternationalMobileSubseriberldentity) 联合测试工作组(JointTestAction Group) " LocalInterconnectNetwork 局域互联网络(Lo owDn 车载诊断(OboardDagnoeties) TCM 可信密码模块(TrustedCryptographyModule) TEE 可信执行环境(TrustedExecutionEnvironments)
GB/T40861一2021 icationNetworkProtocol Telnet:电信网络协议(Telecommuni TFTP简单文件传输协议(TividlFileTnsferProtool TLS: 传输层安全协议(TansportLayerSeturity) TPM 可信平台模块(TrustedPlatformModule) V2X: 车辆与车外其他设备之间的无线通信(VehicletoEverything wi-Fi 无线保真(wirelessFidelity 5 保护对象 5.1概述按照保护对象范胯,汽车可划分为三类子保护对象:车内系统、车外通信和车外系统,如图2所示注1，本文件不涉及车外系统注2:为了更好地理解保护对象在不同维度的技术要求,在附录A的A.1和A.2中分别列举了车内系统和车外通信所面临的典型的安全威胁有线通信对烟公迷信对烟 27 诊断工具其车内系统后端服务器有线通道车辆产M服务器娱乐应用服务" 无线局域网，蓝牙等 o运营服务器卫星导航通信 ” 导航卫屋图2保护对象模型 5.2车内系统车内系统分为如下子保护对象: 软件系统; a 电子电气硬件; b 车内数据 c d车内通信注车内通信即车内系统,组件之间的通信,例如cAN通信、.LIN通信、以太网通信等 5.3车外通信车外通信分为如下子保护对象:
GB/T40861一202 车外远距离通信; a D)车外近距离通信注1:车外通信是指整车与车外终端的通信注2:车外远距离通信是指蜂窝移动通信,卫星导航等注3:车外近距离通信是指蓝牙,近场无线通信和W-F等技术要求 6 6.1原则性要求 6.1.1业务适用性原则产品的信息安全设计应结合业务或功能环境的实际需求,同时考虑对业务或功能的正常使用的影响 6.1.2软件无后门原则软件系统不应留有后门 6.1.3功能最小化原则无用的软件组件、协议端口和EcU硬件调试接口应禁用或移除;器件的管脚信息不宜暴露 6.1.4最小化授权原则产品的访问和信息处理活动应只授予必要的权限 6.1.5权限分离原则重要保护对象的信息处理活动应具备两个或两个以上的权限,且各权限应相互分离和单独授予 6.1.6默认设置原则产品应完成默认的信息安全设置;该设置对用户的信息安全设置诉求应做到最小化和最简单化 6.2系统性防御策略要求 6.2.1总则产品可采用下列系统性防御策略的一种: 纵深防御; a 主动防御; b e' 韧性防御注:系统性防御策略,是基于构建系统的整体信息安全防护而采取的整体防御策略,以避免因各个信息安全防护措施相互孤立而造成整体防护能力不足的间题 6.2.2纵深防御要求纵深防御符合以下要求: 根据保护对象所处的环境条件和信息安全管理的要求,应由外到里对保护对象实施层层设防 a 的防护措施; b 各层次的安全措施应相互依托,形成系统化的防护机制,从而提高系统的整体抗攻击能力
GB/T40861一2021 6.2.3主动防御要求主动防御应采用包括但不限于情报分享、人侵检测技术、信息安全策略动态调整和各信息安全模块之间协同等措施,以降低信息系统在遭受网络攻击时所面临的风险 6.2.4韧性防御要求信息安全设计应综合考虑可靠性,功能安全等多个方面的工程设计,以提高系统的生存能力和自愈能力 6.3保护维度要求 6.3.1车内系统的保护要求软件系统的保护要求 6.3.1.1 6.3.1.1.1真实性软件系统应符合以下真实性要求 a)当升级、加载和安装时,验证提供方的身份真实性和来源的合法性; b)验证登录用户身份的真实性和合法性 6.3.1.1.2保密性软件系统应支持防被逆向分析,宜采用代码混消或加壳等措施 6.3.1.1.3完整性当软件系统在启动、升级、加载和安装时,应验证其完整性 6.3.1.1.4可用性当软件系统设计符合GB/T34590.32017中ASILC和D级时,其应支持防Dos/DDoS攻击 6.3.1.1.5访问可控性软件系统应符合以下访问可控性要求具备访问权限控制的管理机制 a b验证对各软件系统资源和数据资产的访问、操作和使用的权限; 验证软件系统的升级、,加载和安装的权限 c 6.3.1.1.6抗抵赖软件系统应具备在请求的情况下为数据原发者或接收者提供数据原发证据和数据接收证据的功能示例:采用数字签名技术等 6.3.1.1.7可核查性软件系统应符合以下可核查性要求; 记录重要信息安全事件,包括但不限于用户活动和操作指令;记录内容宜包含事件的时间用户、事件类型,事件处置结果等信息;
GB/T40861一202 b 保护审计日志不被非法篡改、删除和伪造 6.3.1.1.8可预防性软件系统应具备对自身受到信息安全攻击的感知能力,当检测到信息安全攻击时,宜进行日志记录、信息安全告警或攻击阻止的响应 6.3.1.2电子电气硬件保护要求 6.3.1.2.1完整性对EcU的封装(外壳、封条等)应采用完整性保护示例;使用揭开时能留迹象的封条 6.3.1.2.2访问可控性电子电气硬件应移除或者禁止不必要的调试接口注:为了更好理解保护对象在不同维度的技术要求,在A.1.2中列举了车内硬件所面临的典型安全威胁 6.3.1.3车内数据保护要求 6.3.1.3.1保密性安全重要参数应符合如下保密性要求不以明文方式传输 a b)存储在安全的环境中示例:;存储在TPM、TCM、HSM或TEE等安全环境中 6.3.1.3.2完整性安全重要参数应支持完整性校验 6.3.1.3.3可用性安全重要参数应防止丢失和被误删除,宜采用备份或专用安全空间存储等措施 6.3.1.4车内通信的保护要求 6.3.1.4.1真实性车内通信应验证通信双方身份的真实性 6.3.1.4.2保密性车内通信应进行加密保护机制 6.3.1.43完整性车内通信应采用完整性保护机制 6.3.1.4.4可用性车内通信应具备通信流量控制能力示例当受到恶意软件感染或拒绝服务攻击而造成车内通信流量异常时,仍有能力提供可接受的通信
GB/T40861一2021 6.3.1.4.5访问可控性车内通信应符合如下访问可控性要求将车内网络划分为不同的信息安全区域,每个信息安全区域之间宜进行网络隔离; aa b)信息安全区域间采用边界访问控制机制对来访的报文进行控制示例:采用报文过滤机制、报文过载控制机制和用户访问权限控制机制等 6.3.1.4.6可核查性车内通信应具备日志记录的能力示例;记录流量过载、高频率的收到异常报文等现象 6.3.1.4.7可预防性车内通信应对异常报文具有感知能力;当感知到异常报文时,宜具有告警或其他安全响应的能力示例接收到高频率的重放报文或被篡改过的报文等异常现象 6.3.2车外通信的保护要求 6.3.2.1车外远距离通信的保护要求 6.3.2.1.1真实性车外远距离通信应符合如下真实性要求开启3G4G,5G通信网络层的双向认证功能 a b 蜂窝移动通信网络层之上支持独立的双向认证机制 6.3.2.1.2保密性车外远距离通信应符合如下保密性要求具备3G、4G,5G通信网络层的加密功能 aa D)蜂窝移动通信网络层之上支持独立的加密机制,宜采用TLS1.2版本及以上的安全协议 6.3.2.1.3完整性车外远距离通信应符合如下完整性要求具备3G、4G,5G通信网络层的完整性保护功能; aa b)蜂窝移动通信网络层之上支持独立的完整性机制,宜采用TLS1.2版本及以上安全协议 6.3.2.1.4可用性与外部通信的部件应支持防Dos/DDoS攻击 6.3.2.1.5访问可控性车外远距离通信应具备对通信报文进行访问控制的能力示例白名单访问控制.报文过滤、防通信流量过载机制等 6.3.2.1.6抗抵赖车外远距离通信应符合如下抗抵赖要求确保蜂窝移动通信网络层通信ID(如:国际移动用户识别码IMSI、集成电路卡识别码ICCID a
GB/T40861一202 等)的唯一性; b 蜂窝移动通信网络层之上支持独立的抗抵赖机制如;使用证书机制等. 6.3.2.1.7可预防性车外远距离通信应具备对通信报文的安全监控能力和攻击行为的感知能力;当受到信息安全攻击时,宜进行报文清洗流量控制或阻止攻击行为的响应 6.3.2.2车外近距离通信保护要求 6.3.2.2.1 真实性车外近距离通信应开启身份认证功能 6.3.2.2.2保密性车外近距离通信应开启加密功能 6.3.2.2.3完整性车外近距离通信应开启完整性保护功能 6.3.2.2.4可用性与外部通信的部件应支持防DoS/DDoS攻击 6.3.2.2.5可核查性车外近距离通信应具备记录近距离通信信息安全相关事件的能力;记录的内容宜包含来访用户lD 和通信时间
GB/T40861一2021 附录 A 资料性信息安全威胁 A.1车内系统信息安全威胁 A.1.1软件系统的信息安全威胁示例丧A1列举了软件系统可能面临的信息安全威胁. 表A.1软件系统的信息安全威胁编号威胁描述用户通过越权方式访问软件系统,包含两个方面普通用户通过非正常渠道算改和提升其权限,从而访问权限外的数据和文件利用系统访问机制设置不恰当的漏洞(如没有对用户做最小权限设置),访问不应访问的资源 b 用户利用用户身份认证不充分或默认账号密码未修改等问题非法访问车内软件系统利组件(如Telnet,FTP,TFTP以及其他不需要强认证攻击者利用软件系统中存在不安全的远程访问或和未加密传输的远程控制组件)远程非法访问车内系统攻击者发现并利用软件系统中未移除或禁止功能业务中未用的组件和协议端口等隐藏的服务和端口攻击系统攻击者通过操纵软件升级的确认机制,让软件系统拒绝正常的软件升级或让车辆在不恰当的时间和地点停车进行软件升级攻击者通过重放合法的升级软件包让汽车反复升级软件以干扰车辆正常工作车辆升级软件时没有进行来鄙合法性和软件包的完整性等可信环节的检查,导致非法软件安装到车辆中车辆的软件系统没有足够完备的信息安全日志或其他事件记录系统,导致无法感知攻击和异常行为,给事后的信息安全事故调查、取证和追溯等带来困难软件系统缺乏可信的启动机制,导致系统运行被算改过的或不完整的软件 10 软件系统的访问认证机制缺乏防暴力破解措施,使攻击者可利用暴力方式直接破解访问的账号和密码软件系统尤其是数据库对接收到的输人命令不校验格式的合法性,导致出现注人攻击攻击者通过“后门”(如;组合键、鼠标特殊敲击、连接特定接口,使用特定客户端、使用特殊URL、隐藏的访问 12 账号、隐藏的远程访问通道等方式)非法进人车内软件系统车辆软件系统缺乏预警与监控机制或预警与监控机制不充分,无法感知自身所面临的异常信息处理行为， 13 导致用户或后台服务器无法及时采取应对槽施 A.1.2硬件的信息安全威胁示例表A.2列举了电子电气硬件可能面临的信息安全威胁
GB/T40861一2021 表A.2电子电气硬件的信息安全威胁威胁描述编号芯片缺乏独立的信息安全存储空间或可信计算空间去存储密钥用户认证的生物特征信息等安全重要参数,从而导致泄密例如,通过0S内存泄密;在各种应用执行认证时,可直接访问安全重要参数,从而导致泄密攻击者针对芯片的信息安全存储进行攻击以窃取安全重要参数例如,实施侧信道攻击、故障注人攻击等物理攻击以及穷举暴力攻击和信息安全协议攻击等逻辑攻击方式攻击基于芯片的软件系统可信启动机制,破坏软件肩动前的可信环境和可信证明过程例如,修改预存储的软件完整性校验值或伪造软件的远程证明凭证等攻击者直接接人硬件调试接口如JTAG,串口或能访问硬件的管脚PIN,对BcU和芯片进行非法调试攻击者通过攻击物理设备或利用物理泄露进行攻击或对电子硬件实施物理注人攻击,包括人侵式攻击(如反向工程破解),半人侵式注人攻击(如噪声注人,激光照射攻击等)和非人侵式的侧通道攻击《通过电磁波时序等分析密钥等 A.1.3车内数据的信息安全威胁示例表A.3列举了车内数据可能面临的信息安全威胁表A.3车内数据的信息安全威胁编号威胁描述车内系统对安全重要参数的存储(如通信密钥、车辆数字证书私钥、车辆长期D等)缺乏有效的保护措施,导致安全重要参数的信息泄露例如,采用明文存储、未采用专门的隔离区进行存储、加密安全重要参数的密钥采用固定密钥或直接写死在代码中而导致加密密钥泄密问题车内系统对存储的车内数据缺乏有效的访问权限控制,导致攻击者通过各类通信通道非法窃取和篡改数据车内各类软件涉及安全重要参数因使用时保护不当而发生泄露例如,缓存中存在加密密钥和认证凭证、信息安全日志或其他记录文件记录了密钥和长期D等信息车内系统的配置参数如发动机配置参数、控制算法的建模参数和感知系统的配置参数等)缺乏有效的保护,导致攻击者通过修改这些配置参数操纵车辆车辆共享同样的安全重要参数(如所有车辆使用同样的root口令或车辆软件对于外部输人数据检查及保护不足)导致代码注人攻击 A.1.4车内通信的信息安全威胁示例表A.4列举了车内通信可能面临的信息安全威胁 10
GB/T40861一2021 表A.4车内通信的信息安全威胁威胁描述编号由于车内网络未采用分区分域信息安全隔离方式,导致攻击者一旦攻破某个单元即可对整个车内系统发起跨越式攻击车内网络连接缺乏对消息来源的真实性和完整性校验机制,导致攻击者一旦人侵了某个车内信息单元即可通过算改消息和伪造消息操纵车辆车内网络系统缺乏防DDoS或流控措施,发生某些信息单元被攻击者操纵或在功能故障后向车内总线发送大量的异常报文,导致车内通信系统拒绝服务攻击者截取合法报文,导致不断地进行重复发送,进行重放攻击通过oBD接口接人总线方式或植人恶意软件的方式,监听车总线的控制消息,破解不同运行状态的控制消息内容 A.2车外通信的信息安全威胁 A.2.1车外远距离通信的信息安全威胁示例表A.5列举了车外远距离通信可能面临的信息安全威胁表A.5车外远距离通信的信息安全威胁编号威胁描述对汽车实现通信欺骗例如,伪造基站或者路基通信设施身份、向车辆发送假冒的V2X消息或者卫星导航信息;伪造车辆ID,采用女巫攻击,伪造众多虚假车辆,影响车辆的正常行驶;伪造后端服务器身份,向汽车推送各种交互指令和伪造的软件升级包利用通信通道对车辆通信实施Ds/DDs攻击,造成车辆的信息处理功能中断例如,发送各种通信协议的畸形报文,重放合法报文、,大流量报文攻击等通过架设无线干扰器来干扰V2x或卫星导航信号,造成车辆无法正常通信车辆与车外系统之间的通信加密密钥被窃取或采用明文方式通信,导致通信内容存在泄漏的风险车辆与车外系统之间通信通道的完整性保护密钥被窃取或未采用完整性保护措施,导致通信内容被非法篡改采用中间人攻击方式向车辆或车外系统发送伪造的服务拒绝响应消息,干扰正常通信攻击者利用车的通信信道对车实施网络嗅探例如,IP端口扫描,ping扫描、TCPsyn扫描邻针对P通信的嗅探车辆和各类后端服务器之间的通信缺乏端到端的信息安全保护机制,使得攻击者利用中间薄弱环节实施攻击,包括窃听、伪造身份通信、篡改通信内容等针对车辆的证书发放系统的攻击例如,恶意注人伪造的证书撤销列表CRL等 A.2.2车外近距离通信的信息安全威胁示例表A.6列举了车外近距离通信可能面临的信息安全威胁 11
GB/T40861一202 表A.6车外近距离通信的信息安全威胁编号威胁描述利用门禁的无线通信信道进行伪造门禁控制命令例如,采取无线中继放大器进行中间人攻击方式,分别向车钥匙和门禁系统发生伪造信号,骗取正确的应答信号,从而打开门禁甚至启动引擎通过无线通信信道破解车钥匙例如,通过暴力破解方式,反复向门禁系统发送控制信息,或通过监听通信信道进行前向预测攻击,重放攻击、字典式攻击伪造近距离通信报文例如,伪造胎压管理系统TPMs的近距离通信消息,向相关BCU发送错误的胎压检测信息等攻击者通过各类接触式的通信接(如oEBD接口,充电桩接口,UsB接口等)人侵车内系统,包括植人恶意软件、修改车内的关键控制系统的参数配置、窃取车内数据、非法访问文件、注人非法数据等行为针对车内的无线局域通信(如蓝牙和wiF)发起包括伪造AP和暴力破解方案的攻击,或利用无线局域网非法接人车载系统 12
GB/T40861一2021 考文参献 tehnelogy一Seuritytebmiues [1]IsO/IEC21827:2008Information SscturityEmg Systems apabhilityMaturityModel Ca neering ISO/IEC27033-l:2015lnformation Part1: technolegy-Secturitytechniqes一Networkseurity Oerviewandconcepts [3]ISO/IEC27039:2015lnformation techmlbogySeuritytechmirque-sdlectiom.deploymenand operationsofintrusiondeteetionandpreventionsystems(IDPS)

汽车信息安全通用技术要求GB/T40861-2021解读

一、标准简介

《汽车信息安全通用技术要求GB/T40861-2021》是由国家标准化管理委员会制定的，于2021年1月1日正式实施。该标准旨在规范汽车信息安全方面的技术要求，保障汽车信息安全和用户隐私。

二、标准内容

该标准主要包含以下内容：

汽车信息安全基本概念和术语
汽车信息安全的基本要求和原则
汽车信息安全的危险源及评估方法
汽车信息安全防护技术体系结构
汽车信息安全防护措施及要求
汽车信息安全管理和评估要求

三、标准意义

该标准的发布，对于规范汽车信息安全技术要求、保障用户隐私、提高行业自律水平具有重要意义。同时，该标准的出台也为汽车信息安全领域的企业提供了明确的技术指导。

四、应用前景

随着智能汽车的广泛应用，汽车信息安全问题将面临更多的挑战。而该标准的发布将促进整个行业的健康发展，推动汽车信息安全技术的不断提升，为消费者提供更加安全可靠的智能汽车产品。