车辆信息安全风险分析和风险管理技术要求(T-GHDQ 113—2022).pdf

2022-12-14 实施2022-12-13 发布CCS T40ICS 43.020T/GHDQ 113-2022团体标准吉林省汽车电子协会发 布发布车辆信息安全风险分析和风险管理技术要求Vehicle technical requirements for information security risks analysisand risks managementT/GHDQ 113-2022I目次前言.III引言.V1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.25 车辆信息安全风险分析.35.1 概述.35.2 风险分析关键要素.35.3 车辆信息安全风险分析.36 车辆信息安全风险管理.56.1 信息安全管理体系总体要求.56.2 车辆信息安全风险管理.5附 录 A（资料性）车辆外连信息安全风险类型、攻击方式（风险）车辆信息安全风险管理.8T/GHDQ 113-2022III前言本文件按照 GB/T 1.1-2020标准化工作导则 第 1 部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国第一汽车集团有限公司智能网联开发院、长春吉大正元信息技术股份有限公司联合提出。本文件由吉林省汽车电子协会归口。本文件由吉林省汽车电子协会组织实施。本文件主要起草单位：沙龙机甲科技有限公司、一汽丰田汽车股份有限公司、中国软件评测中心、中国信息通信研究院云计算与大数据研究所。本文件主要起草人：王思涵、王铱、李天池、李天阳、李溳、杨陆峰。本文件参与起草单位：中国第一汽车集团有限公司智能网联开发院、智车信安（苏州）信息安全科技有限公司、吉林大学汽车仿真与控制国家重点实验室、同济大学电子与信息工程学院、一汽奔腾轿车有限公司、上汽通用五菱汽车股份有限公司、毕马威企业咨询（中国）有限公司、荣科科技股份有限公司、联通智网科技股份有限公司、北京车和家科技有限公司、长城汽车股份有限公司、中国移动（上海）产业研究院。本文件参与起草人：刘毅、李木犀、路海峰、李杰、郭露露、雷凯、张亮、黎飞、陈炼松、尹天翼、王硕、程长高、刘书勇、董威、张小东、张德玮。本文件审查人：孙航（中国汽车技术研究中心有限公司）、孟令军（东软集团股份有限公司）、刘健皓（北京百度智行科技有限公司）、王建（华为技术有限公司）、孔晓霜（中国第一汽车集团有限公司创新技术研究院）。本文件为首次发布。T/GHDQ 113-2022V引言近年来,随着汽车产业智能化、网联化、数字化蓬勃发展，汽车行业面临巨大的产业变革和产品变革，传统的车辆通信几乎处于信息孤岛状态，而随着 5G 通信技术、大数据、云技术和人工智能技术等新一代信息技术飞速发展，逐步深度应用在车辆的智能座舱、车载娱乐、自动驾驶等场景中，使得车辆不再处于信息孤岛的状态中，而将成为万物互联的重要节点，这使得车辆将重新面对信息安全技术风险，车辆的信息安全技术需求彻底改变，并伴随着汽车产业发展不断改变和增长。面对当下车辆信息安全新挑战,行业有必要编制一个基础性车辆信息安全技术风险整体管理的规范化要求,本文件定义车辆信息安全技术管理的分类和主要对象、面临信息安全技术风险以及对应的信息安全技术管理措施。有望通过本文件有效发挥组织在车辆信息安全技术管控中的作用。T/GHDQ 113-20221车辆信息安全风险分析和风险管理技术要求1范围本文件规定了车辆信息安全风险分析的方法以及车辆风险管理技术要求。本文件适用于指导整车厂以及供应链上的各级组织机构开展车辆信息安全技术风险分析及信息安全技术管理活动，在从事车辆汽车电子信息系统安全生命周期管理上规避信息安全技术风险。本文件范围包含车辆自身以及车辆通信的信息安全风险评估和管理。而与车辆相关或互连的信息系统与应用平台不在本文件范围内，同样因硬件安全、功能安全和预期功能安全产生的信息安全风险也不在本文件范围内。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25056-2018信息安全技术证书认证系统密码及相关安全技术规范GB/T 31509-2015信息安全技术信息安全风险评估实施指南GB/T 386482020信息安全技术蓝牙使用安全指南T/GHDQ 79-2021智能网联汽车密码模块安全技术要求T/GHDQ 81-2021智能网联汽车密钥管理系统安全技术要求T/GHDQ 83-2021智能网联汽车签名验签服务器技术要求T/GHDQ 85-2021智能网联汽车证书认证系统安全技术要求3术语和定义GB/T 25056-2018、GB/T 31509-2015 界定的以及下列术语和定义适用于本文件。3.1智能网联汽车Intelligent Connected Vehicles,ICV是指具备环境感知、智能决策和自动控制，或与外界信息交互，乃至协同控制功能的汽车。3.2风险评估Risk Assessment是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。3.3信息系统安全Information System SecurityT/GHDQ 113-20222信息系统及其所存储、传输、处理的信息的保密性、完整性、可用性的表征，一般包括保障计算机及其相关和配套的设备、设施的安全，运行环境安全、保障信息的安全。3.4威胁Threat对资产或组织可能导致负面结果的一个事件的潜在源。3.5威胁信息Threat Intelligence一种基于证据的知识，用于描述现有或可能出现的威胁，从而实现对威胁的响应和预防，包括上下文、攻击机制、攻击指标、可能影响等信息。3.6网络安全漏洞Cybersecurity Vulnerability网络产品或系统在需求分析、设计、实现、配置、测试、运行、维护等过程中，无意或有意产生的、有可能被利用的缺陷或薄弱点。这些缺陷或薄弱点以不同形式存在于网络产品或系统的各个层次和环节之中，一旦被恶意主体所利用，就会对网络产品或系统的安全造成损害，从而影响其正常运行。4缩略语下列缩略语适用于本文件：App:手机软件（Mobile Application）；DDOS:分布式拒绝服务（Distributed Denial of Service）；GPS:全球定位系统(Global Positioning System)；IVI:车载信息娱乐系统（In-Vehicle Infotainment）；MCU:微控制单元(Micro Controller Unit)；OBD:车载自动诊断系统（On-Board Diagnostics）；OTA:空中下载技术（Over-the-Air Technology）；Radio:无线电广播(Radio)；SGW:车载防火墙（Secure Gateway）；TBOX:车联网系统（Telematics-BOX）；TPMS:轮胎压力监测系统(Tire Pressure Monitoring System)；TSP:汽车远程服务提供商(Telematics Service Provider)；USB:通用串行总线（Universal Serial Bus）；V2X:车与其他车、路、人、网的信息交互（Vehicle to Everything）；VLAN:虚拟局域网（Virtual Local Area Network）；WiFi:无线网络通信技术。T/GHDQ 113-202235车辆信息安全风险分析5.1概述信息系统的安全风险评估，应以被评估组织的关键业务作为评估工作的核心，把涉及这些业务的相关基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。车辆的信息安全风险应基于车内软硬件代码和系统平台安全、车内外通信安全、数据安全、加密安全、应用安全以及与其他程序和应用系统和平台的安全身份认证、访问控制以及各种攻击场景作为评估的重点,再根据内容、对象、安全需求进行风险分析和风险处置。5.2风险分析关键要素组织在开展风险评估工作时应采取的必要活动：a）应建立风险领导小组、专家组和风险评估工作团队，组织职责：规划风险评估项目的总体工作思路和方向，确定风险评估工作的目标、角色对应的职责和工作分工，关键问题决策，确定风险评估结论；b）应做好评估前需准备工作:明确评估对象、评估范围、自身现状、参考标准、评估资源等因素，确定评估方案和确定评估工具、协调组织、文档管理以及评估过程中风险的规避；注：应做好评估过程中风险的规避:比如使用安全技术工具破坏被评估系统的安全性、完整性和可用性。c）应做好对评估资产的识别、资产分类并对资产重要程度赋值，根据赋值结果进一步识别威胁、脆弱性并计算出风险，根据风险分析的结果最终输出相应的风险评估报告；d）应根据风险评估报告提出相应的评审意见（处置措施、整改建议）；e）应处理好残余信息安全风险并制定后续计划。注：企业实际存在的信息安全风险是无法彻底消除的（受制于企业特殊情况、预算、风险本身等因素），针对处置后的风险应当有进一步后续计划。5.3车辆信息安全风险分析5.3.1车辆信息安全保护对象车辆信息安全保护对象如下:a）软件系统；注：车控系统、应用系统、包含操作系统、软件开发代码、业务应用、智能座舱。b）电子电气硬件；注:ECU(MCU)、车控芯片。c）车内数据；d）车外通信。注 1：车外物理接口通信是指整车与车外终端的物理接口互连通信。注 2:车外远距离通信是指蜂窝移动通信、卫星导航等。注 3:车外近距离通信是指蓝牙通信,无线通信等。T/GHDQ 113-202245.3.2车辆信息安全脆弱性可能造成车辆存在信息安全脆弱性问题如下：a）车型存在车辆网络安全架构设计缺陷；b）车辆开发过程中没有充分参照相关标准做差距分析；c）车辆开发过程中存在的安全管理问题；注：比如技术管理不充分导致代码泄露。d）车辆开发过程中存在安全开发标准不完善、安全测试不充分、代码安全漏洞较多的问题；e）车辆开发过程中没有做好充分的信息安全风险评估和风险处置；f）车辆开发过程中缺乏合理有效的技术监控措施和风险处理手段；g）车辆开发过程中存在供应商管理缺失的问题，比如对供应商提供的产品和服务缺乏审计和（或）验证、产品和（或）服务验收测试不充分等。注：车辆制造商在集成供应商提供的软硬件过程中未充分验证芯片组件、硬件底层以及操作系统的安全漏洞。5.3.3车辆信息安全威胁由于车辆信息安全脆弱性导致车辆受到的安全威胁,主要体现在如下几个方面：a）身份盗用、欺诈和滥用；b）计算机病毒植入；c）车辆内部信息受外部攻击的风险；d）远程非法控制汽车；e）敏感数据泄露和窃取；f）车辆破坏和盗窃；g）拒绝服务攻击；h）OTA 升级安全。5.3.4车辆信息安全技术风险车辆信息安全技术风险如下：a）车辆可能存在的整体信息安全风险如下：1)攻击者通过 OBD、SGW、OTA、T-BOX 等接口接入车辆内部总线对整体车机网络进行监听、逆向破解和重放攻击；2)攻击者利用软硬件安全漏洞进行安全攻击；3)攻击者利用架构设计漏洞缺陷进行安全攻击；4)攻击者利用证书伪造或密钥泄露进行安全攻击。b）车辆可能存在通信外连风险如下：1）车辆物理接口连接风险；2）短距安全通信风险；3）远距安全通信风险。注：详见参考附录 A.车辆外连信息安全风险类型、攻击方式及后果。T/GHDQ 113-202256车辆信息安全风险管理6.1信息安全管理体系总体要求汽车制造商在搭建车辆相关信息安全管理体系要求如下:a）应建立车辆合法合规有效的内部信息安全管理制度和培训制度；b）应建立车辆的设计、开发、生产、维护到报废的全生命周期安全技术检测和安全技术管理评估体系；c）应针对车辆重要信息资产的脆弱性进行信息安全风险识别、风险评估和计算、风险处置以及残余风险管理；d）应建立车辆安全事件管理体系，需包含威胁情报分析、实时监控、安全事件汇报、应急响应、灾难恢复、攻击溯源；e）应建立车辆数据安全技术管理体系，需包含车辆数据采集、数据车内计算和存储、数据车内车外交互等过程数据技术安全；f)应针对供应商提供的产品和（或）服务建立有效的安全管控机制，需包含产品和（或）服务合同的技术评审、需考虑安全资质评估、服务安全质量标准、测试安全标准、安全交付标准、验收标准、安全服务意外风险。6.2车辆信息安全风险管理6.2.1整车信息安全技术风险管理车辆制造商应建立从开发阶段到运维阶段车辆整体风险技术管理体系，主要内容如下：a）应明确车辆信息安全风险管理目标、范围、内容、合作和沟通机制；注：需明确信息安全与硬件芯片安全风险、功能安全风险、预期功能安全风险之间的关系，以及信息安全造成的潜在风险：比如,控制安全气囊的 ECU 被恶意控制可能造成其在行驶中爆炸。b）应建立安全的代码开发环境,防止核心代码泄露；c）应建立内部统一的代码开发安全开发标准、测试标准、验收标准；注：确保开发人员、测试人员都有遵守，可采用培训、抽查、考核等方式。d）应在测试环境转生产环境下进行代码白盒检验，可通过代码扫描结合人工复查的方式对开发代码审计；e）应对开源代码进行安全管控；注：对开源代码缺陷以及开源代码安全补丁、不安全的开源版本进行重点监控和管理。f）应建立整车的内部网络安全架构设计；注：需要有安全域的划分,基于不同的安全优先级进行边界防护，使用域控、防火墙手段、访问控制措施、VLAN 技术、黑白名单、基于端到端的访问控制等。g）应建立整车的安全加密认证加密体系；注：可参考 T/GHDQ 79-2021 智能网联汽车密码模块安全技术要求;可参考 T/GHDQ 85-2021 智能网联汽车证书认证系统安全技术要求。h）应建立整车安全技术能力管理体系。注：包含整车安全技术架构设计能力、整车安全技术开发能力、整车安全技术升级能力、整车安全技术控制能力、整车安全防病毒能力、整车安全抗 DDoS 攻击能力等。T/GHDQ 113-202266.2.2车辆外连信息安全技术风险管理6.2.2.1车辆外连信息安全风险管理车辆外连信息安全包含外连接口安全、短距离通信安全、远距离通信安全。车辆外连信息安全风险管理应注意如下方面：a）应对所有外连的软硬件可信验证管理；b）应对所有外连设备通信通道采用足够强的加密手段，保证通信机密性、完整性和可用性；c）应对不同权限不同角色的访问采取相应的访问控制手段；d）连接车内网络的数据包需有入侵检测、监控、报警以及防御手段；e）应有对 Dos 攻击有足够强的技术防护手段。6.2.2.2车辆外连接口技术风险管理针对车辆主要外连接口是 USB 接口和 OBD 接口。针对车辆外连接口技术风险管理应有如下措施：a）依据最小必须原则针对不同身份用户给予文件级管控权限；b）应采取技术措施限制安装使用非安全签名的软件；c）应通过有效手段尽可能保障外接设备无计算机病毒和（或）高风险安全漏洞；d）所有经过外连接口传入车内的文件需经过车内防病毒措施进行检测和防御；e）关闭不必要的端口和服务；f）不应存在后门。6.2.2.3近距离通信技术风险管理针对近距离通信技术风险管理应主要从以下方面考虑：a）WiFi 安全应考虑：1）应采取必要的用户密码功能策略，包含但不限于诸如首次登录必须修改默认密码的措施、不允许使用默认密码通信以及键盘连续和连续字符串、常用高频单词、密码复杂度长度限制等；注：最低标准应考虑 至少 8 位以上字符，使用增强密码（密码字符串至少包含数字、字符、大小写）。2）应采取必要手段保证 WiFi 通信的机密性、完整性和可用性。b）蓝牙安全应考虑：1）应建立整套的车辆蓝牙漏洞、协议和通信的安全防控体系；注：蓝牙安全风险请参考 GB/T 386482020信息安全技术 蓝牙使用安全指南6.安全使用建议和附录 A 蓝牙安全机制。2）应考虑蓝牙安全攻击场景下安全解决方案。注：模拟蓝牙钥匙重放攻击针对车辆防盗安全性测试。c）V2X 安全应重点考虑：注:V2X 仅指近距离 V2X,不代表远距离 V2X,比如车辆对云端,车辆对云端请参考 6.2.2.4。1）应建立健全 V2X 相关的身份认证机制，包含但不限于车载节点采集端到服务器端技术管理安全链条，防止攻击者冒充合法身份越权实现访问控制；2）应对传输信息进行私密性、完整性和可用性保障，防止诸如 V2X 传输敏感个人信息时造成的信息泄露（通信地址、证书、用户身份、车辆唯一标识符、位置信息、轨迹信息等）；T/GHDQ 113-202273）应对 V2X 持续安全技术监控。6.2.2.4远距离通信技术风险管理针对远距离通信技术风险管理应主要从以下方面考虑：a）应采用基于PKI的双向身份认证方式对远程通信身份真实合法性进行校验包括车端、座舱端、App端、服务器端等；b）应建立汽车基于密钥、证书的安全技术管理手段；注：参考 T/GHDQ 79-2021 智能网联汽车密码模块安全技术要求。T/GHDQ 81-2021 智能网联汽车密钥管理系统安全技术要求。T/GHDQ 83-2021 智能网联汽车签名验签服务器技术要求。T/GHDQ 85-2021 智能网联汽车证书认证系统安全技术要求。c）应建立汽车架构安全模块安全技术管理手段；d）应对远程控制性指令信息的真实性进行完整性校验；e）应对远程控制性操作依照最小必须原则做好权限和访问控制的安全评估；f）应具备完整的安全日志功能，日志需包含唯一ID、日期、发送者、接受者、状态和结果信息；g）应对审计进程进行安全保护，防止未授权的中断；审计日志要特殊保护，防止非预期的破坏；h）应有防中间人攻击和防会话劫持的控制手段；i）应有车辆软件升级安全技术管控手段；j）应具备车辆软件代码防泄漏提取手段；k）应有远距离通信数据机密性、完整性和有效性的验证手段。T/GHDQ 113-20228附录A（资料性）车辆外连信息安全风险类型、攻击方式（风险）车辆外连信息安全风险类型、攻击方式（风险）如表A.1所示。表A.1车辆外连信息安全风险类型、攻击方式（风险）风险种类风险类型攻击方式（风险）接口风险USBa).攻击者利用 IVI 漏洞，通过 USB 进行恶意攻击；b).攻击者通过 USB 漏洞提升瞬时电压，对电路系统造成破坏；c).攻击者通过 USB，自动运行恶意脚本，对汽车总线系统破坏攻击。OBDa).攻击者通过 OBD 接口接入 CAN 总线进行攻击、逆向分析、非法控车、泄露数据、恶意刷固件等恶意操作；b).攻击者利用安全漏洞控制 OBD 设备进而对车辆实行远程操控/攻击；c).默认开启风险服务并共享同一默认秘钥。短距通信安全风险WiFia).攻击者破解 WIFI 加密秘钥,获取 WiFi 最高权限；b).攻击者伪造 WiFi SSID 进行中间人攻击。蓝牙应用a).攻击者对使用旧版本蓝牙系统的车机，通过安全协议漏洞进行攻击；b).攻击者使用近场攻击手段，攻击信号中继重放欺骗汽车开锁；c).攻击者通过加密算法漏洞攻击车辆。*参考 GB/T 386482020 信息安全技术 蓝牙使用安全指南附录 B 蓝牙漏洞和蓝牙威胁。V2Xa).攻击者利用通信脆弱性对车辆发起攻击，攻击方式包含但不限于窃取敏感信息、仿冒车主信息、通信完整和可用性破坏等。远距离安全风险OTAa).攻击者劫持 OTA 传输报文,在车辆升级过程中发起攻击；b).攻击者通过 T-BOX 端提取的固件分析得到升级服务器的地址，进而对 OTA平台发起 DDOS 拒绝服务攻击。Radioa).无线数据监听，攻击者使用与被攻击者同频的监听设备对无线报文进行手机逆向分析，通过解密无线电报文逆向分析车载收音机系统运作原理，从而利用车载收音机攻击。SGWa).攻击者通过车载安全网关向总线 ECU 发送恶意控制消息；b).攻击者通过车辆通信软硬件漏洞等手段控制安全网关进而控制车辆。TBOXa).攻击者破解 T-BOX 传输加密算法进行攻击；b).攻击者破解 T-BOX 固件代码解析秘钥进行攻击；c).攻击者通过会话劫持，实现远程控制；d).攻击者通过高危漏洞对 T-BOX 进行攻击。Appa).攻击者通过调试、反编译等手段获取通信密钥,分析通信协议并结合车联网远程控制功能伪造控制指令等获取智能网联汽车的最高权限；b).攻击者利用车辆控制安防密码的脆弱性对智能网联汽车进行攻击。T/GHDQ 113-20229表A.1车辆外连信息安全风险类型、攻击方式（风险）（续）风险种类风险类型攻击方式（风险）远距离安全风险TPMSa).攻击者通过 TPMS 内的数据，得到被攻击者汽车行驶轨迹信息；b).攻击者远程窃听 TPMS 通信数据包,伪造数据包欺骗干扰车内接收机，造成异常告警。GPSa).攻击者通过设备模拟 GPS 信号，错误引导智能网联车，造成严重后果。IVI 座舱a).攻击者利用 USB 对 IVI 进行恶意攻击；b).攻击者通过升级、更新软件的方式进行破坏；c).攻击者通过对 IVI 拆解硬件，进行接口逆向。TSPa).攻击者通过渗透攻击智能网联车远程服务提供商。