2024道路车辆信息安全工程.docx

《2024道路车辆信息安全工程.docx》由会员分享，可在线阅读，更多相关《2024道路车辆信息安全工程.docx（67页珍藏版）》请在优知文库上搜索。

1、道路车辆信息安全工程道路车辆信息安全工程1 范围本文件规定了道路车辆中电子电气（E/E）系统（包括其组件和接口）在概念、产品开发、生产、运行、维护和报废阶段的信息安全风险管理的工程要求。本文件定义了一个框架，其中包括信息安全过程要求以及沟通和管理信息安全风险的通用语言。本文件适用于在本文件发布后开发或修改的批量生产的道路车辆E/E系统，包括其组件和接口。本文件未规定与信息安全有关的具体技术或解决方案。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

2、文件。GBZT34590.3-2022,道路车辆功能安全第三部分：概念阶段3 术语和定义下列术语和定义适用于本文件。3.1架构设计architecturaldesign可以识别组件、边界、接口和交互的表示方法。3.2资产asset具有价值或对价值做出贡献的对象。注：资产具有一个或多个信息安全属性，未达到要求时可能导致一个或多个危害场景。3.3攻击可行性attackfeasibiIity攻击路径的属性，描述成功执行相应攻击活动的难易度。3.4攻击路径attackpath为实现威胁场景的一组攻击活动。3.5攻击者attacker执行攻击路径的个人、团体或组织。3.6审核audit对过程进行检查，以

3、确定过程目标的实现程度。3.7组件component逻辑上和技术上可分离的组成部分。3.8客户customer接受服务或产品的个人或组织。3.9道路车辆信息安全cybersecurity使资产受到充分保护，免受道路车辆相关项、其功能及其电气或电子组件的威胁场景的危害。注：为简洁起见，本文件使用信息安全”一词代替道路车辆信息安全。3.10信息安全评估cybersecurityassessment信息安全状态的评价。3.11信息安全档案cybersecuritycase有证据支持的结构化论证，表明风险的合理性。3.12信息安全声明cybersecurityclaim关于风险的信息安全索赔声明。注：

4、信息安全声明可包括保留或分担风险的理由。3.13信息安全概念cybersecurityconcept相关项的信息安全需求和对操作环境的要求以及有关信息安全控制的相关信息。3.14信息安全控制cybersecuritycontrol改变风险的措施。3.15信息安全事态cybersecurityevent与相关项或组件有关的信息安全信息。3.16信息安全目标cybersecuritygoal与一个或多个威胁情景相关的概念级信息安全需求。3.17信息安全事件cybersecurityincident可能涉及漏洞利用的情况。3.18信息安全信息cybersecurityinformation与信息安全

5、有关的信息,其相关性尚未确定。3.19信息安全接口协议cybersecurityinterfaceagreement客户和供应商之间关于分布式信息安全活动的协议。3.20信息安全属性cybersecurityproperty值得保护的属性。注：属性包括保密性、完整性和/或可用性。3.21信息安全规范cybersecurityspecification信息安全需求和相应的架构设计。3.22危害场景damagescenario涉及车辆或车辆功能并影响道路使用者的不良后果。3.23分布式信息安全活动distributedcybersecurityactivities相关项或组件的信息安全活动，其责任

6、在客户和供应商之间分配。3.24影响impact对危害场景下的损害程度或物理伤害程度的估计。3.25相关项item在车辆层面实现一个功能的组件或组件集。注：如果一个系统在车辆层面实现了一个功能，它就可以成为一个相关项，否则就是一个组件。3.26操作环境OPeratiOnalenvironment在操作使用中考虑到相互作用的环境。注：相关项或组件的操作使用，包括在车辆功能，生产，和/或服务和修理中的使用。3.27独立于环境out-of-context未在特定相关项定义下的开发。示例：基于假设信息安全需求的处理单元可集成到不同的相关项中。3.28渗透测试penetrationtesting模拟实际

7、攻击的信息安全测试，用以识别破坏信息安全目标的方法。3.29风险risk信息安全风险，道路车辆信息安全不确定性的影响，可用攻击可行性和影响表示。3.30风险管理riSkmanagement指导和控制组织风险的协调活动。3.31道路使用者roaduser参与道路交通活动的人员。3.32裁剪tailor以与本文件描述不同的方式省略或执行某项活动。3.33威胁场景threatscenario为实现危害场景，一个或多个资产的信息安全属性遭到破坏的潜在原因。3.34分类triage分析以确定信息安全信息与某一相关项或组件的相关性。3.35触发器trigger用于分类的准则。3.36确认VaIidatio

8、n通过提供客观证据以证明相关项的信息安全目标是否充分并已实现。3.37验证verification通过提供客观证据确认是否满足特定要求。3 .38脆弱性或漏洞vulnerabiIity能被利用的弱点，可作为攻击路径的一部分。4 .39漏洞分析vulnerabiIityanalysis系统地识别和评估漏洞。5 .40弱点weakness可导致非预期行为的缺陷或特征。示例：如缺少需求或规范：架构或设计缺陷、包括安全协议的不正确设计：实现的弱点，包括硬件和软件的缺陷，安全协议的不正确的实现；操作过程或程序有缺陷，包括操作不当和用户培训不足：使用过时或弃用的功能，包括加密算法等06 缩略语CAL：信息

9、安全保障等级(CyberSeCUrilyAssuranceLevel)CVSS：常见漏洞评分系统(CommonVulnerabilityScoringSystem)E/E：电子电气(ElectricalandElectronic)ECU：电子控制单元(EleCtroniCeOntroIUnil)OBD:车教诊断(On-BoardDiagnostic)OEM：原始设备制造商(OriginalEquipmcntManufacturcr)PM：许可(PermiSSion)RC：建议(ReCOmmendation)RQ：要求(ReqUirement)WP：工作成果(WorkPrOdUCl)RASIC：

10、责任、批准、支持、知情、咨询(ReSPonSibIe,Accountable,Supporting,Infbrmed,Consulted)TARA：威胁分析和风险评估(ThrCatAnaIySiSandRiSkASSeSSment)7 整体考虑一个相关项包括车辆中实现整车级别特定功能(如制动)的所有电子设备和软件(即其组件)。一个相关项或一个组件与各自的运行环境相互作用。本文件仅适用于批量生产的道路车辆(即不是原型车)与信息安全相关的相关项和组件，包括售后件和服务件。车辆的外部系统(如后端服务器)出于信息安全的目的可以考虑，但不在本文件的范围内。本文件从单个相关项的角度来描述信息安全工程。本文

11、件没有规定如何进行道路车辆E/E架构中相关项功能的适当分配。对于车辆整体而言，可以考虑构建车辆E/E架构或其信息安全相关的相关项和组件的信息安全档案集。如果本文件中描述的信息安全活动是在相关项和组件上进行的，那么将会解决不合理的车辆信息安全风险。如图1所示，本文件中描述的组织整体信息安全风险管理适用于全生命周期。图1整体信息安全风险管理信息安全风险管理适用于整个供应链，以支持信息安全工程。汽车供应链表现出多样化的合作模式。并非所有的信息安全活动都适用于与某个特定项目相关的所有组织。信息安全活动可以根据具体情况的需要进行裁剪。某一特定相关项或部件的开发伙伴应就工作分工达成一致，以便执行适用的信息

12、安全活动。图2显示了一个相关项、功能、组件和相关术语之间的关系。第16章描述了信息安全风险评估的模块化方法，这些方法会在其他章节所述的信息安全风险活动中被引用。在信息安全工程背景下的分析活动，可识别和探索具有恶意意图的抽象敌对行为者的潜在行为，以及车辆E/E系统的信息安全损害后可能产生的危害。信息安全工程和其他学科的专业知识之间的协调可以支持深入分析并减轻具体的信息安全风险。信息安全监测、补救和事件响应活动作为概念和产品开发活动的补充，可以作为一种被动的方法，确认环境中不断变化的条件（如新的攻击技术），持续地识别和管理道路车辆E/E系统的弱点和漏洞。纵深防御的方法可用于减轻信息安全风险。纵深防

13、御方法利用多层信息安全控制来提高车辆的信息安全。如果攻击能够穿透或绕过一个层，另一个层可以帮助遏制攻击并保持对资产的保护。8 组织的信息安全管理8.1 总则为了实现信息安全工程，组织应建立并维护包括信息安全意识管理、能力管理和持续改进在内的信息安全治理和信息安全文化。这涉及到制定组织层面的规则和过程，并依据本文件中的目标进行独立审核。为了支持信息安全工程，组织还应为信息安全建立管理体系，包括工具的管理和质量管理体系的应用。8.2 目标本章的目标是：a）定义信息安全方针和组织层面的信息安全规则和过程：b）分配执行信息安全活动所需的职责和相应的权限；c）支持信息安全的实施，包括资源的提供和信息安全

14、过程与其他相关过程之间相互作用的管理；d）管理信息安全风险；e）建立并维护信息安全文化，包括能力管理、意识管理和持续改进；f）支持并管理信息安全信息的共享；g）建立并维护支撑信息安全维护的管理体系；h）提供证据证明使用的工具不会对信息安全产生不利的影响；i）执行组织层面的信息安全审核。8.3 输入无。6. 3.1先决条件无。7. 3.2更多支持信息可以考虑以下信息：-符合质量管理标准的证据。例如：IATF16949与其他标准的联合,如：ISO9001,AutomotiveSPICE,ISO/IEC330XX系列标准，ISO/IEC/IEEE15288和ISO/IEC/IEEE12207o6.4

15、要求和建议6.4.1信息安全治理RQ-05-01组织应定义信息安全方针，包含：a）对道路车辆信息安全风险的确认；b）最高管理层对相应信息安全风险进行管理的承诺。注1：信息安全方针可以与组织目标及其他方针相关联。注2：在考虑内部和外部环境的情况下，信息安全方针可以包括一项声明，说明对组织的产品或服务组合的一般威胁场兔的风险处理。RQ-05-02组织应建立并维护组织层面的规则和过程，以满足以下要求：a)能够实施本文件的要求；b)支持相应活动的执行。示例1：如过程定义、技术规则、指南、方法和模板。注3：信息安全风险管理能包括活动的付出-收益的考虑。注4：这些规则和过程覆盖概念、产品开发、生产、运营、维护和报废，包括TARA的方法、信息共享、信息安全监测、信息安全事件响应和触发。注5：有关漏洞披露的规则和过程，例如信息共享的一部分，可以依据ISO29