Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.
This standard is developed in accordance with the rules given in GB/T 1.1-2009.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this standard shall not be held responsible for identifying any or all such patent rights.
This standard was proposed by and is under the jurisdiction of the National Technical Committee 260 on Information Security of Standardization Administration of China (SAC/TC 260).
Information security technology - Cybersecurity guide for automotive electronics systems
1 Scope
This standard gives the framework of cybersecurity activities of automotive electronics systems, and suggestions on cybersecurity activities, organization management, and support of automotive electronics systems under such framework.
This standard is applicable to guiding all organizations involved in the automotive electronics supply chain, such as automobile manufacturers, parts suppliers, software suppliers, chip suppliers and various service providers, to carry out cybersecurity activities, and to guide relevant personnel to meet basic cybersecurity needs in the process of design, development, production, operation, service, etc. of automotive electronics systems.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
GB/T 18336-2015
(all parts) Information technology - Security techniques - Evaluation criteria for IT security
GB/T 20984-2007 Information security technology - Risk assessment specification for information security
GB/T 29246-2017 Information technology - Security techniques - Information security management systems - Overview and vocabulary
GB/T 30279-2013 Information security technology - Vulnerability classification guide
GB/T 31167-2014 Information security technology - Security guide of cloud computing services
GB/T 31168-2014 Information security technology - Security capability requirements of cloud computing services
GB/T 31509-2015 Information security technology - Guide of implementation for information security risk assessment
GB/T 31722-2015 Information technology - Security techniques - Information security risk management
3 Terms and definitions
For the purposes of this document, the terms and definitions given in GB/T 29246-2017 and the following apply.
3.1
automotive electronics systems
system for realizing control or service through electronic technology in automobile, which is an embedded system applied in automobile field, including vehicle body control electronics system and vehicle service electronics system
Note 1: Vehicle body control electronics system shall be used in conjunction with on-board mechanical system, including engine control system, chassis control system and vehicle body electronics control system.
Note 2: In-vehicle service electronics system can be used independently of automobile environment, including the in-vehicle infotainment and personal device interactive information system.
3.2
pending question
cybersecurity threats which cannot be reduced or cannot always be reduced by existing cybersecurity control measures during the security assessment, as well as problems that need to be further analyzed and dealt with in the follow-up process
3.3
system context
collection of contents to define the system hardware and software interfaces, critical data flow, storage and information processing
3.4
attack tree analysis
method to analyze the possible attack paths of attackers starting from the application layer of the system
3.5
cyber-physical system
system consisting of computing components and physical control components
3.6
cyber-physical vehicle system
vehicle embedded control system with tightly-coupled locomotion between the computational components and physical components of the system and the surrounding environment of the system
3.7
cybersecurity statement
cybersecurity assessment, before the production link where the product is about to be officially released and after all the stage inspections are completed, to provide the conclusion and evidence that each design and development feature meets the cybersecurity goal
3.8
cybersecurity goal
cybersecurity goal that needs to be achieved according to the functional characteristics of a certain system from the results of threat analysis and risk assessment
Note: The cybersecurity goal(s) is (are) the highest abstract level of security needs, and specific functional and technical cybersecurity needs will be derived based on it (them) in the product development stage.
3.9
trust boundary
boundary where the "trust" level of program data or execution flow changes
Note: The trust boundary of an execution flow can be where the permission of an application is promoted.
4 Abbreviations
For the purposes of this standard, the following abbreviations apply.
CAN Control Area Network
ECU Electronic Control Unit
FOTA Firmware Over The Air
IVI In-Vehicle Infotainment
JTAG Joint Test Access Group
MISRA Motor Industry Software Reliability Association
OBD On-Board Diagnostic
SIM Subscriber Identity Module
SOTA Software Over The Air
T-BOX Telematics BOX
USB Universal Serial Bus
V2X Vehicle to Everything
5 Cybersecurity activity frameworks of automotive electronics systems
5.1 General
The cybersecurity activity frameworks of automotive electronics systems are shown in Figure 1, including cybersecurity activities of automotive electronics systems, organization management and support, of which, cybersecurity activities are the core of the framework, mainly refer to the related security activities carried out in various stages of automotive electronics system life cycle. These stages include conceptual design stage, system-level product development stage, hardware-level product development stage, software-level product development stage, and product production, operation and service stage.
Foreword i
1 Scope
2 Normative references
3 Terms and definitions
4 Abbreviations
5 Cybersecurity activity frameworks of automotive electronics systems
5.1 General
5.2 Organization management
5.3 Cybersecurity activities
5.4 Support
6 Organization management for cybersecurity of automobile electronics systems
6.1 Organization settings
6.2 Establishment of a communication and coordination platform
6.3 System construction and staff training
6.4 Testing and assessment
6.5 Stage inspection
7 Cybersecurity activities of automobile electronics systems
7.1 Conceptual design stage
7.2 System-level product development stage
7.3 Hardware-level product development stage
7.4 Software-level product development stage
7.5 Production, operation and service stages of the product
8 Automotive electronics system cybersecurity support
8.1 Configuration management
8.2 Needs management
8.3 Change management
8.4 Document management
8.5 Supply chain management
8.6 Security of cloud, channel and device
Annex A (Informative) Typical cybersecurity risks of automotive electronics systems
Annex B (Informative) Examples of protective measures for cybersecurity of automotive electronics systems
Annex C (Informative) Example of the incident handling checklist
Bibliography
信息安全技术
汽车电子系统网络安全指南
1 范围
本标准给出了汽车电子系统网络安全活动框架,以及在此框架下的汽车电子系统网络安全活动、组织管理和支撑保障等方面的建议。
本标准适用于指导整车厂、零部件供应商、软件供应商、芯片供应商以及各种服务提供商等汽车电子供应链上各组织机构开展网络安全活动,指导相关人员在从事汽车电子系统的设计开发、生产、运行和服务等过程中满足基本的网络安全需求。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336—2015(所有部分) 信息技术 安全技术 信息技术安全评估准则
GB/T 20984—2007 信息安全技术 信息安全风险评估规范
GB/T 29246—2017 信息技术 安全技术 信息安全管理体系 概述和词汇
GB/T 30279—2013 信息安全技术 安全漏洞等级划分指南
GB/T 31167—2014 信息安全技术 云计算服务安全指南
GB/T 31168—2014 信息安全技术 云计算服务安全能力要求
GB/T 31509—2015 信息安全技术 信息安全风险评估实施指南
GB/T 31722—2015 信息技术 安全技术 信息安全风险管理
3 术语和定义
GB/T 29246—2017界定的以及下列术语和定义适用于本文件。
3.1
汽车电子系统 automotive electronics systems
在汽车中通过电子技术实现控制或服务的系统,是一类应用于汽车领域的嵌入式系统,包含车体控制电子系统和车载服务电子系统。
注1:车体控制电子系统与车上机械系统配合使用,包括发动机控制系统、底盘控制系统、车身电子控制系统等。
注2:车载服务电子系统能够独立于汽车环境使用,包括车载信息娱乐系统及个人设备交互信息系统等。
3.2
未决问题 pending question
在进行安全性评估时,现有网络安全控制措施不能降低或不确定能够降低的网络安全威胁,以及需要在后续过程中进一步分析和处理的问题。
3.3
系统上下文 system context
定义系统软硬件接口、关键数据流、存储和信息处理等内容的集合。
3.4
攻击树分析 attack tree analysis
由系统应用层出发,分析攻击者可能进行的攻击路径的方法。
3.5
信息物理系统 cyber-physical system
由计算部件和物理控制部件组成的系统。
3.6
信息物理车辆系统 cyber-physical vehicle system
在系统的计算部件和物理部件以及系统周围环境之间存在紧密耦合的车辆嵌入式控制系统。
3.7
网络安全状况说明 cybersecurity statement
在所有的阶段检查完成后,在产品即将正式发布的生产环节之前进行的网络安全评估,为每一个设计和开发的特性提供其满足网络安全目标的结论与证据。
3.8
网络安全目标 cybersecurity goal
从威胁分析和风险评估结果中获得的,针对某系统功能特性需要达到的网络安全目标。
注:网络安全目标是最高抽象层次的安全需求,在产品的开发阶段将会以它(们)为基础导出具体功能的和技术的网络安全需求。
3.9
信任边界 trust boundary
程序的数据或执行流的“信任”级别发生改变的边界。
注:一个执行流的信任边界可以是在一个应用的权限被提升的地方。
4 缩略语
下列缩略语适用于本文件。
CAN:控制域网络(Control Area Network)
ECU:电子控制单元(Electronic Control Unit)
FOTA:固件空中下载(Firmware Over The Air)
IVI:车载信息娱乐系统(In-Vehicle Infotainment)
JTAG:联合测试访问组(Joint Test Access Group)
MISRA:汽车工业软件可靠性协会(Motor Industry Software Reliability Association)
OBD:车载诊断系统(On-Board Diagnostic)
SIM:用户身份模块(Subscriber Identity Module)
SOTA:软件空中下载(Software Over The Air)
T-BOX:智能网联汽车的通信网关(Telematics BOX)
USB:通用串行总线(Universal Serial Bus)
V2X:车对车、车对外界的信息交换(Vehicle to Everything)
5 汽车电子系统网络安全活动框架
5.1 概述
汽车电子系统网络安全活动框架如图1所示,包含汽车电子系统网络安全活动、组织管理以及支撑保障,其中网络安全活动是框架的核心,主要是指在汽车电子系统生命周期各阶段开展的相关安全活动,这些阶段包括概念设计阶段,系统层面的产品开发阶段,硬件层面的产品开发阶段,软件层面的产品开发阶段,产品生产、运行和服务阶段。
汽车电子系统网络安全组织管理
组织机构设置
建立沟通协调平台
网络安全制度与人员培训
测试与评估
阶段检查
汽车电子系统网络安全活动
概念设计阶段
系统层面产品开发阶段
产品生产、运行和服务阶段
现场监测
事件响应
事件跟踪管理
系统功能定义
网络安全过程启动
威胁分析及风险评估
网络安全目标确定
网络安全策略设计
识别网络安全需求
网络安全初步评估
系统层面产品开发启动
网络安全技术需求规格
系统设计
硬件层面产品开发阶段
硬件产品开发启动
硬件网络安全需求规格
硬件设计
硬件集成/网络安全测试
硬件网络安全需求验证
细化网络安全评估及阶段检查
产品发布
网络安全评估及阶段检查
网络安全验证
系统功能集成和测试
软件层面产品开发阶段
软件产品开发启动
软件网络安全需求规格
软件架构设计
软件单元设计与实现
软件单元测试
软件集成/网络安全测试
软件网络安全需求验证
细化网络客全评估及阶段检查
汽车电子系统网络安全支撑保障
配置管理
需求管理
变更管理
文档管理
供应链管理
云管端安全
图1 汽车电子系统网络安全活动框架
组织可以根据自身实际情况,对网络安全活动框架中各部分进行配置和裁剪,并考虑与组织现有的管理体系(比如质量管理体系)的机构设置、过程活动进行结合,以便落实本标准所建议的网络安全措施,以较小的代价实现高效的安全。
5.2 组织管理
组织管理是指开展汽车电子系统网络安全活动所需要具备的组织、人员能力、制度等方面的条件,主要包括组织机构设置、建立沟通协调平台、制度建设与员工培训、建立网络安全测试与评估、阶段检查能力等。
5.3 网络安全活动
5.3.1 概念设计阶段
概念设计阶段主要包括系统功能定义、网络安全过程启动、威胁分析及风险评估、网络安全目标确定、网络安全策略设计、网络安全需求识别、初始网络安全评估、阶段检查等环节的活动。
5.3.2 产品开发阶段
产品开发阶段包括系统层面产品开发阶段、硬件层面产品开发阶段和软件层面产品开发阶段。图2展示了产品开发阶段的基本过程,以及系统层面、硬件层面和软件层面产品开发之间的关系。图2没有包含迭代过程,但实际上许多阶段都需要反复迭代,才能最终实现开发目标。
系统层面产品开发阶段主要包括系统层面产品开发启动、网络安全技术需求规格(包括系统层面漏洞分析、网络安全策略具体化、确定网络安全技术需求等)、系统设计、系统功能集成和网络安全测试、网络安全验证、网络安全评估和检查以及产品发布等环节的工作。
硬件层面产品开发阶段主要包括硬件产品开发启动、硬件网络安全需求规格(包括硬件层面漏洞分析、确定网络安全需求)、硬件设计、硬件集成和网络安全测试、硬件网络安全需求验证、细化网络安全评估等环节。
软件层面产品开发阶段主要包括软件产品开发启动、软件网络安全需求规格(包括软件层面漏洞分析、确定网络安全需求)、软件架构设计、软件单元设计与实现、软件单元测试、软件集成和网络安全测试、软件网络安全需求验证、细化网络安全评估等环节。
在产品开发阶段需要用到密码技术时需要符合国家密码管理相关规定。
系统层面产品开发
系统层面产品开发启动(计划)
技术化网络安全需求规格
系统设计
产品发布
网络安全评估及阶段检查
网络安全验证
系统功能集成和网络安全测试
设计阶段
集成和测试阶段
软件开发启动(计划)
硬件开发启动(假话)
软件层面网络安全需求规格
硬件层面网络安全需求规则
软件架构设计
软件单元设计和实现
硬件设计
软件单元测试
软件集成和网络安全测试
硬件集成和网络安全测试
验证软件层面网络安全需求、阶段检查
验证硬件层面网络安全需求、阶段检查
注1:图中双向箭头线表示对应或一致性关系,比如“系统设计”和“系统功能集成和网络安全测试”之间的双向箭头线表示,系统的功能集成和网络安全测试以与系统设计相一致的方式进行,集成和测试的内容、顺序以及具体方式等以系统设计为依据。
注2:图中单向箭头线表示过程活动之间的顺序关系。箭头左边的活动在前面执行,箭头右边的活动在后面执行。
图2 系统层面、硬件层面与软件层面产品开发的关系
5.3.3 产品生产、运行与服务阶段
产品生产、运行与服务阶段主要包括现场监测、事件响应和后续相关的事件跟踪管理等活动。
5.4 支撑保障
汽车电子系统网络安全支撑保障主要包括配置管理、需求管理、变更管理、文档管理、供应链管理、云管端安全等方面的内容。
6 汽车电子系统网络安全组织管理
6.1 组织机构设置
组织需高度重视网络安全,把网络安全放在组织的战略层面进行考虑,并具体通过如下方面体现:
a) 制定和实施组织的网络安全战略、方针和目标;
b) 落实网络安全的领导责任制,可建立有组织高层领导负责的网络安全领导小组,负责网络安全战略、方针和目标的制定和实施监督,并协调各部门之间的配合协作;
c) 设置专门的机构,负责有关网络安全方面的文化建设、信息沟通、培训、跨部门资源调配以及其他相关工作;
d) 员工能够清楚地知道组织内部与网络安全相关的机构设置及职责分工。
6.2 建立沟通协调平台
组织宜建立有关网络安全的内部及外部信息沟通协调渠道,包括但不限于以下方面:
a) 制定组织内部或外部的个人或组织报告突发网络安全事件的流程,明确组织内相关各部门之间的衔接方式及应承担的责任;
b) 制定组织向相关方通报有关网络安全事件的流程,对事件的严重性程度进行分级管理;
c) 制定响应和处理来自政府、媒体、公众和组织内部的有关网络安全事件的处理流程。
6.3 制度建设与员工培训
组织宜将网络安全制度作为组织建设的重要内容,创建、培养和维持组织的网络安全文化,以增强员工的网络安全意识能力。可具体从如下方面开展组织工作:
a) 编制有关网络安全的制度或过程文件;
b) 收集、积累和传播网络安全相关的实践经验、网络安全漏洞的解决方案和相关产品的应用案例,包括与汽车电子领域相关的网络安全内容;
c) 密切关注国际国内在网络安全方面的最新进展情况,包括汽车电子领域重大安全漏洞的情况;
d) 及时响应网络安全相关事件,优先处理风险程度高的网络安全威胁;
e) 制定培训计划,定期组织有关网络安全的培训活动,通过培训提升员工的网络安全意识和能力,使得员工能够理解在产品的开发、生产、运行和服务中可能出现的各种网络安全漏洞和威胁,掌握威胁分析和风险评估的流程与方法。
6.4 测试与评估
6.4.1 网络安全测评团队
网络安全测试与评估工作宜由有经验的、有公正性的测评团队完成。具体条件可包括:
a) 测评团队与被测评对象的开发、生产、运行和服务以及网络安全控制措施的设计没有任何利益冲突;
b) 测评团队与被测评组织没有建立利益关系或产生利益冲突;
c) 测评团队不宜测评自己的工作;
d) 测评团队不宜是被测评组织的员工;
e) 测评团队不宜诱导组织使用自己的服务;
f) 测评团队宜将测评结果详细记录在案,包括找到的新漏洞。
注:这里主要是针对组织聘请第三方测评团队的建议要求,组织自建测评团队的情况可以参考。
6.4.2 网络安全测试内容
漏洞测试、渗透测试和模糊测试是评价一个对象网络安全能力的重要方法。其中,漏洞测试是较为常用的方法,可包含但不限于如下具体方式:
a) 漏洞扫描,检测对象是否存在可能被攻击的漏洞;
b) 探测性测试,检测和探查可能在软件或硬件实现中产生的漏洞;
c) 攻击性测试,通过破坏、绕过、篡改网络安全控制措施等手段入侵对象,以达到测试对象抗攻击能力的目的。
6.4.3 网络安全评估
网络安全评估用于检验当前所实施的网络安全策略是否满足网络安全需求,以及是否能有效降低威胁和风险,可包括但不限于以下内容:
a) 评估各阶段的网络安全策略是否满足网络安全需求;
b) 评估各阶段的网络安全设计是否符合网络安全策略;
c) 对于网络安全策略未能解决的威胁,将其定义为相应的未决问题,并评估该未决问题是否可以被接受;
d) 如果未决问题可被接受,则提供相应的说明,解释该网络安全问题可以被接受的原因;如果未决问题不可被接受,并且可以通过后续阶段的活动解决,则记录该未决问题,以便将其作为下一阶段开发的依据。
