Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.
This standard is developed in accordance with the rules given in GB/T 1.1-2009.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this standard shall not be held responsible for identifying any or all such patent rights.
This standard was proposed by and is under the jurisdiction of the National Technical Committee 260 on Information Security of Standardization Administration of China (SAC/TC 260).
Information security technology - Cybersecurity guide for automotive electronics systems
1 Scope
This standard gives the framework of cybersecurity activities of automotive electronics systems, and suggestions on cybersecurity activities, organization management, and support of automotive electronics systems under such framework.
This standard is applicable to guiding all organizations involved in the automotive electronics supply chain, such as automobile manufacturers, parts suppliers, software suppliers, chip suppliers and various service providers, to carry out cybersecurity activities, and to guide relevant personnel to meet basic cybersecurity needs in the process of design, development, production, operation, service, etc. of automotive electronics systems.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
GB/T 18336-2015
(all parts) Information technology - Security techniques - Evaluation criteria for IT security
GB/T 20984-2007 Information security technology - Risk assessment specification for information security
GB/T 29246-2017 Information technology - Security techniques - Information security management systems - Overview and vocabulary
GB/T 30279-2013 Information security technology - Vulnerability classification guide
GB/T 31167-2014 Information security technology - Security guide of cloud computing services
GB/T 31168-2014 Information security technology - Security capability requirements of cloud computing services
GB/T 31509-2015 Information security technology - Guide of implementation for information security risk assessment
GB/T 31722-2015 Information technology - Security techniques - Information security risk management
3 Terms and definitions
For the purposes of this document, the terms and definitions given in GB/T 29246-2017 and the following apply.
?
3.1
automotive electronics systems
system for realizing control or service through electronic technology in automobile, which is an embedded system applied in automobile field, including vehicle body control electronics system and vehicle service electronics system
Note 1: Vehicle body control electronics system shall be used in conjunction with on-board mechanical system, including engine control system, chassis control system and vehicle body electronics control system.
Note 2: In-vehicle service electronics system can be used independently of automobile environment, including the in-vehicle infotainment and personal device interactive information system.
3.2
pending question
cybersecurity threats which cannot be reduced or cannot always be reduced by existing cybersecurity control measures during the security assessment, as well as problems that need to be further analyzed and dealt with in the follow-up process
3.3
system context
collection of contents to define the system hardware and software interfaces, critical data flow, storage and information processing
3.4
attack tree analysis
method to analyze the possible attack paths of attackers starting from the application layer of the system
3.5
cyber-physical system
system consisting of computing components and physical control components
3.6
cyber-physical vehicle system
vehicle embedded control system with tightly-coupled locomotion between the computational components and physical components of the system and the surrounding environment of the system
3.7
cybersecurity statement
cybersecurity assessment, before the production link where the product is about to be officially released and after all the stage inspections are completed, to provide the conclusion and evidence that each design and development feature meets the cybersecurity goal
3.8
cybersecurity goal
cybersecurity goal that needs to be achieved according to the functional characteristics of a certain system from the results of threat analysis and risk assessment
Note: The cybersecurity goal(s) is (are) the highest abstract level of security needs, and specific functional and technical cybersecurity needs will be derived based on it (them) in the product development stage.
3.9
trust boundary
boundary where the "trust" level of program data or execution flow changes
Note: The trust boundary of an execution flow can be where the permission of an application is promoted.
4 Abbreviations
For the purposes of this standard, the following abbreviations apply.
CAN Control Area Network
ECU Electronic Control Unit
FOTA Firmware Over The Air
IVI In-Vehicle Infotainment
JTAG Joint Test Access Group
MISRA Motor Industry Software Reliability Association
OBD On-Board Diagnostic
SIM Subscriber Identity Module
SOTA Software Over The Air
T-BOX Telematics BOX
USB Universal Serial Bus
V2X Vehicle to Everything
5 Cybersecurity activity frameworks of automotive electronics systems
5.1 General
The cybersecurity activity frameworks of automotive electronics systems are shown in Figure 1, including cybersecurity activities of automotive electronics systems, organization management and support, of which, cybersecurity activities are the core of the framework, mainly refer to the related security activities carried out in various stages of automotive electronics system life cycle. These stages include conceptual design stage, system-level product development stage, hardware-level product development stage, software-level product development stage, and product production, operation and service stage.
Foreword i
1 Scope
2 Normative references
3 Terms and definitions
4 Abbreviations
5 Cybersecurity activity frameworks of automotive electronics systems
5.1 General
5.2 Organization management
5.3 Cybersecurity activities
5.4 Support
6 Organization management for cybersecurity of automobile electronics systems
6.1 Organization settings
6.2 Establishment of a communication and coordination platform
6.3 System construction and staff training
6.4 Testing and assessment
6.5 Stage inspection
7 Cybersecurity activities of automobile electronics systems
7.1 Conceptual design stage
7.2 System-level product development stage
7.3 Hardware-level product development stage
7.4 Software-level product development stage
7.5 Production, operation and service stages of the product
8 Automotive electronics system cybersecurity support
8.1 Configuration management
8.2 Needs management
8.3 Change management
8.4 Document management
8.5 Supply chain management
8.6 Security of cloud, channel and device
Annex A (Informative) Typical cybersecurity risks of automotive electronics systems
Annex B (Informative) Examples of protective measures for cybersecurity of automotive electronics systems
Annex C (Informative) Example of the incident handling checklist
Bibliography
信息安全技術
汽車電子系統網絡安全指南
1 范圍
本標準給出了汽車電子系統網絡安全活動框架,以及在此框架下的汽車電子系統網絡安全活動、組織管理和支撐保障等方面的建議。
本標準適用于指導整車廠、零部件供應商、軟件供應商、芯片供應商以及各種服務提供商等汽車電子供應鏈上各組織機構開展網絡安全活動,指導相關人員在從事汽車電子系統的設計開發、生產、運行和服務等過程中滿足基本的網絡安全需求。
2 規范性引用文件
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 18336—2015(所有部分) 信息技術 安全技術 信息技術安全評估準則
GB/T 20984—2007 信息安全技術 信息安全風險評估規范
GB/T 29246—2017 信息技術 安全技術 信息安全管理體系 概述和詞匯
GB/T 30279—2013 信息安全技術 安全漏洞等級劃分指南
GB/T 31167—2014 信息安全技術 云計算服務安全指南
GB/T 31168—2014 信息安全技術 云計算服務安全能力要求
GB/T 31509—2015 信息安全技術 信息安全風險評估實施指南
GB/T 31722—2015 信息技術 安全技術 信息安全風險管理
3 術語和定義
GB/T 29246—2017界定的以及下列術語和定義適用于本文件。
3.1
汽車電子系統 automotive electronics systems
在汽車中通過電子技術實現控制或服務的系統,是一類應用于汽車領域的嵌入式系統,包含車體控制電子系統和車載服務電子系統。
注1:車體控制電子系統與車上機械系統配合使用,包括發動機控制系統、底盤控制系統、車身電子控制系統等。
注2:車載服務電子系統能夠獨立于汽車環境使用,包括車載信息娛樂系統及個人設備交互信息系統等。
3.2
未決問題 pending question
在進行安全性評估時,現有網絡安全控制措施不能降低或不確定能夠降低的網絡安全威脅,以及需要在后續過程中進一步分析和處理的問題。
3.3
系統上下文 system context
定義系統軟硬件接口、關鍵數據流、存儲和信息處理等內容的集合。
3.4
攻擊樹分析 attack tree analysis
由系統應用層出發,分析攻擊者可能進行的攻擊路徑的方法。
3.5
信息物理系統 cyber-physical system
由計算部件和物理控制部件組成的系統。
3.6
信息物理車輛系統 cyber-physical vehicle system
在系統的計算部件和物理部件以及系統周圍環境之間存在緊密耦合的車輛嵌入式控制系統。
3.7
網絡安全狀況說明 cybersecurity statement
在所有的階段檢查完成后,在產品即將正式發布的生產環節之前進行的網絡安全評估,為每一個設計和開發的特性提供其滿足網絡安全目標的結論與證據。
3.8
網絡安全目標 cybersecurity goal
從威脅分析和風險評估結果中獲得的,針對某系統功能特性需要達到的網絡安全目標。
注:網絡安全目標是最高抽象層次的安全需求,在產品的開發階段將會以它(們)為基礎導出具體功能的和技術的網絡安全需求。
3.9
信任邊界 trust boundary
程序的數據或執行流的“信任”級別發生改變的邊界。
注:一個執行流的信任邊界可以是在一個應用的權限被提升的地方。
4 縮略語
下列縮略語適用于本文件。
CAN:控制域網絡(Control Area Network)
ECU:電子控制單元(Electronic Control Unit)
FOTA:固件空中下載(Firmware Over The Air)
IVI:車載信息娛樂系統(In-Vehicle Infotainment)
JTAG:聯合測試訪問組(Joint Test Access Group)
MISRA:汽車工業軟件可靠性協會(Motor Industry Software Reliability Association)
OBD:車載診斷系統(On-Board Diagnostic)
SIM:用戶身份模塊(Subscriber Identity Module)
SOTA:軟件空中下載(Software Over The Air)
T-BOX:智能網聯汽車的通信網關(Telematics BOX)
USB:通用串行總線(Universal Serial Bus)
V2X:車對車、車對外界的信息交換(Vehicle to Everything)
5 汽車電子系統網絡安全活動框架
5.1 概述
汽車電子系統網絡安全活動框架如圖1所示,包含汽車電子系統網絡安全活動、組織管理以及支撐保障,其中網絡安全活動是框架的核心,主要是指在汽車電子系統生命周期各階段開展的相關安全活動,這些階段包括概念設計階段,系統層面的產品開發階段,硬件層面的產品開發階段,軟件層面的產品開發階段,產品生產、運行和服務階段。
汽車電子系統網絡安全組織管理
組織機構設置
建立溝通協調平臺
網絡安全制度與人員培訓
測試與評估
階段檢查
汽車電子系統網絡安全活動
概念設計階段
系統層面產品開發階段
產品生產、運行和服務階段
現場監測
事件響應
事件跟蹤管理
系統功能定義
網絡安全過程啟動
威脅分析及風險評估
網絡安全目標確定
網絡安全策略設計
識別網絡安全需求
網絡安全初步評估
系統層面產品開發啟動
網絡安全技術需求規格
系統設計
硬件層面產品開發階段
硬件產品開發啟動
硬件網絡安全需求規格
硬件設計
硬件集成/網絡安全測試
硬件網絡安全需求驗證
細化網絡安全評估及階段檢查
產品發布
網絡安全評估及階段檢查
網絡安全驗證
系統功能集成和測試
軟件層面產品開發階段
軟件產品開發啟動
軟件網絡安全需求規格
軟件架構設計
軟件單元設計與實現
軟件單元測試
軟件集成/網絡安全測試
軟件網絡安全需求驗證
細化網絡客全評估及階段檢查
汽車電子系統網絡安全支撐保障
配置管理
需求管理
變更管理
文檔管理
供應鏈管理
云管端安全
圖1 汽車電子系統網絡安全活動框架
組織可以根據自身實際情況,對網絡安全活動框架中各部分進行配置和裁剪,并考慮與組織現有的管理體系(比如質量管理體系)的機構設置、過程活動進行結合,以便落實本標準所建議的網絡安全措施,以較小的代價實現高效的安全。
5.2 組織管理
組織管理是指開展汽車電子系統網絡安全活動所需要具備的組織、人員能力、制度等方面的條件,主要包括組織機構設置、建立溝通協調平臺、制度建設與員工培訓、建立網絡安全測試與評估、階段檢查能力等。
5.3 網絡安全活動
5.3.1 概念設計階段
概念設計階段主要包括系統功能定義、網絡安全過程啟動、威脅分析及風險評估、網絡安全目標確定、網絡安全策略設計、網絡安全需求識別、初始網絡安全評估、階段檢查等環節的活動。
5.3.2 產品開發階段
產品開發階段包括系統層面產品開發階段、硬件層面產品開發階段和軟件層面產品開發階段。圖2展示了產品開發階段的基本過程,以及系統層面、硬件層面和軟件層面產品開發之間的關系。圖2沒有包含迭代過程,但實際上許多階段都需要反復迭代,才能最終實現開發目標。
系統層面產品開發階段主要包括系統層面產品開發啟動、網絡安全技術需求規格(包括系統層面漏洞分析、網絡安全策略具體化、確定網絡安全技術需求等)、系統設計、系統功能集成和網絡安全測試、網絡安全驗證、網絡安全評估和檢查以及產品發布等環節的工作。
硬件層面產品開發階段主要包括硬件產品開發啟動、硬件網絡安全需求規格(包括硬件層面漏洞分析、確定網絡安全需求)、硬件設計、硬件集成和網絡安全測試、硬件網絡安全需求驗證、細化網絡安全評估等環節。
軟件層面產品開發階段主要包括軟件產品開發啟動、軟件網絡安全需求規格(包括軟件層面漏洞分析、確定網絡安全需求)、軟件架構設計、軟件單元設計與實現、軟件單元測試、軟件集成和網絡安全測試、軟件網絡安全需求驗證、細化網絡安全評估等環節。
在產品開發階段需要用到密碼技術時需要符合國家密碼管理相關規定。
系統層面產品開發
系統層面產品開發啟動(計劃)
技術化網絡安全需求規格
系統設計
產品發布
網絡安全評估及階段檢查
網絡安全驗證
系統功能集成和網絡安全測試
設計階段
集成和測試階段
軟件開發啟動(計劃)
硬件開發啟動(假話)
軟件層面網絡安全需求規格
硬件層面網絡安全需求規則
軟件架構設計
軟件單元設計和實現
硬件設計
軟件單元測試
軟件集成和網絡安全測試
硬件集成和網絡安全測試
驗證軟件層面網絡安全需求、階段檢查
驗證硬件層面網絡安全需求、階段檢查
注1:圖中雙向箭頭線表示對應或一致性關系,比如“系統設計”和“系統功能集成和網絡安全測試”之間的雙向箭頭線表示,系統的功能集成和網絡安全測試以與系統設計相一致的方式進行,集成和測試的內容、順序以及具體方式等以系統設計為依據。
注2:圖中單向箭頭線表示過程活動之間的順序關系。箭頭左邊的活動在前面執行,箭頭右邊的活動在后面執行。
圖2 系統層面、硬件層面與軟件層面產品開發的關系
5.3.3 產品生產、運行與服務階段
產品生產、運行與服務階段主要包括現場監測、事件響應和后續相關的事件跟蹤管理等活動。
5.4 支撐保障
汽車電子系統網絡安全支撐保障主要包括配置管理、需求管理、變更管理、文檔管理、供應鏈管理、云管端安全等方面的內容。
6 汽車電子系統網絡安全組織管理
6.1 組織機構設置
組織需高度重視網絡安全,把網絡安全放在組織的戰略層面進行考慮,并具體通過如下方面體現:
a) 制定和實施組織的網絡安全戰略、方針和目標;
b) 落實網絡安全的領導責任制,可建立有組織高層領導負責的網絡安全領導小組,負責網絡安全戰略、方針和目標的制定和實施監督,并協調各部門之間的配合協作;
c) 設置專門的機構,負責有關網絡安全方面的文化建設、信息溝通、培訓、跨部門資源調配以及其他相關工作;
d) 員工能夠清楚地知道組織內部與網絡安全相關的機構設置及職責分工。
6.2 建立溝通協調平臺
組織宜建立有關網絡安全的內部及外部信息溝通協調渠道,包括但不限于以下方面:
a) 制定組織內部或外部的個人或組織報告突發網絡安全事件的流程,明確組織內相關各部門之間的銜接方式及應承擔的責任;
b) 制定組織向相關方通報有關網絡安全事件的流程,對事件的嚴重性程度進行分級管理;
c) 制定響應和處理來自政府、媒體、公眾和組織內部的有關網絡安全事件的處理流程。
6.3 制度建設與員工培訓
組織宜將網絡安全制度作為組織建設的重要內容,創建、培養和維持組織的網絡安全文化,以增強員工的網絡安全意識能力。可具體從如下方面開展組織工作:
a) 編制有關網絡安全的制度或過程文件;
b) 收集、積累和傳播網絡安全相關的實踐經驗、網絡安全漏洞的解決方案和相關產品的應用案例,包括與汽車電子領域相關的網絡安全內容;
c) 密切關注國際國內在網絡安全方面的最新進展情況,包括汽車電子領域重大安全漏洞的情況;
d) 及時響應網絡安全相關事件,優先處理風險程度高的網絡安全威脅;
e) 制定培訓計劃,定期組織有關網絡安全的培訓活動,通過培訓提升員工的網絡安全意識和能力,使得員工能夠理解在產品的開發、生產、運行和服務中可能出現的各種網絡安全漏洞和威脅,掌握威脅分析和風險評估的流程與方法。
6.4 測試與評估
6.4.1 網絡安全測評團隊
網絡安全測試與評估工作宜由有經驗的、有公正性的測評團隊完成。具體條件可包括:
a) 測評團隊與被測評對象的開發、生產、運行和服務以及網絡安全控制措施的設計沒有任何利益沖突;
b) 測評團隊與被測評組織沒有建立利益關系或產生利益沖突;
c) 測評團隊不宜測評自己的工作;
d) 測評團隊不宜是被測評組織的員工;
e) 測評團隊不宜誘導組織使用自己的服務;
f) 測評團隊宜將測評結果詳細記錄在案,包括找到的新漏洞。
注:這里主要是針對組織聘請第三方測評團隊的建議要求,組織自建測評團隊的情況可以參考。
6.4.2 網絡安全測試內容
漏洞測試、滲透測試和模糊測試是評價一個對象網絡安全能力的重要方法。其中,漏洞測試是較為常用的方法,可包含但不限于如下具體方式:
a) 漏洞掃描,檢測對象是否存在可能被攻擊的漏洞;
b) 探測性測試,檢測和探查可能在軟件或硬件實現中產生的漏洞;
c) 攻擊性測試,通過破壞、繞過、篡改網絡安全控制措施等手段入侵對象,以達到測試對象抗攻擊能力的目的。
6.4.3 網絡安全評估
網絡安全評估用于檢驗當前所實施的網絡安全策略是否滿足網絡安全需求,以及是否能有效降低威脅和風險,可包括但不限于以下內容:
a) 評估各階段的網絡安全策略是否滿足網絡安全需求;
b) 評估各階段的網絡安全設計是否符合網絡安全策略;
c) 對于網絡安全策略未能解決的威脅,將其定義為相應的未決問題,并評估該未決問題是否可以被接受;
d) 如果未決問題可被接受,則提供相應的說明,解釋該網絡安全問題可以被接受的原因;如果未決問題不可被接受,并且可以通過后續階段的活動解決,則記錄該未決問題,以便將其作為下一階段開發的依據。
