2024智能网联汽车信息安全风险评估规范

目 范 检 测 缩略 附录A智能网联汽车信息安全资产与脆弱性测评内 IVI系统安 OBD安全-服务安 附录B智能网联汽车信息安全风险评估先决条件与判定准 附录C智能网联汽车信息安全风险的计算方 条 条 附件D智能网联汽车信息安全风险评估的工 附录E产生文 附录F测试方法和工 38PAGE1目的范围规范性引用文件101－2018度CSTCQBYAJB058移动应用软件安全测试规范《GB/T18336.1–20151部分：简介和《GB/T18336.3–20153部分：安全保术语和定义38PAGE10 车载JTAGJointTestActionGroupSDK 智能网联汽车信息安全风险评估原则测评环境要求智能网联汽车信息安全风险评估流程智能网联汽车信息安全风险评估准备根据《GB-T20984-20071列出了基于 OTA2提供了一种保密性赋值的参考。 3提供了一种完整性赋值的参考。34提供了一种可用性赋值的参考。 99.9%以上，或系统不允许中断90%10min正常工作时间达到70%以上，或系统允许中断时间小于正常工作时间达到25%以上，或系统允许中断时间小于25%5中的资产等级划分表明了不同等级的重要性的综合描述。 6 人为因7提供了基于表现形式的威胁分类方法。 无作为或操作失权限非正常修改系统配8 出现的频率较高（或≥1次/月；或在大多数情况下很有可能会发生；出现的频率中等（或>1次/半年；或在某种情况下可能会发生；或被

《信息安全技术信息安全风险评估规范》、GB/T19716–20059B对不 附录 智能网联汽车信息安全资产与脆弱性测评内I٧I说明彻底关闭了研发阶段使 能的隐蔽接口；芯片在检查I٧I硬件是否有安全区重要数据安全存储与隔ROOT检查IVI系统是否具有检测检查IVI系统是否具有对IVI系统应该具有检测ROOT行为进行防御的 系统是否对其进行完整性校应采用完整性校验手段数字摘要技术或数字签程序是否具有访问保护措检查IVI系统应是否有授权检查IVI系统是否具有授权整性检测、恶意代码检程序应具有访问保护措IVI系统应具有授权IVI系统应具有授权​应用非授权访问控制的功验的机制,加密所使用密钥检查IVI系统使用的安全的 用非授权访问控制的功的机制,加密所使用密IVI系统使用的安全的WiFi协议，可避免WiFi系统通信时应进行双向IVIIVI系统应具有证书管 ​ 安全的通信协议进行升T–box检查被测TBX硬件芯片接是否说明彻底关闭了研发阶 T-BOX所使用的芯片不存在对芯片内存进行非法访问或者更改芯片功能的隐蔽接口；芯片在设计验证阶段使用的调试接口应在上市产品中T-BOX的电路板不能存T-BOX硬件具备安全区设备重要数据安全存储ROOT检查T-BOXT-BOX应该具有系统完T-BOXROOT行为进行防御的 系统是否对其进行完整性校应采用完整性校验手段数字摘要技术或数字签检查T-BOXT-BOX安装包代码不应T-BOX安装包代码不应 主体都不能通过反编译获得T-BOX安装包代码不应T-BOX安装包代码不应T-BOX安装包代码不应代码在经过编译之前需任何主体都不能通过反端口非授权访问控制的功非授权的网络访问的保护措检查T-BOXT-BOX系统应具有对端口非授权访问控制的功T-BOX系统应具有对非授权的网络访问的保护T-BOX系统应具有证书T-BOX系统不应具有可T-BOX系统的通信端口具有防数据监听和篡改T-BOX系统应使用安全T-BOX系统应使用的安T-BOX系统应使用安全11 的WiFi协议，避免WiFiT-BOX系统与后台通信T-BOX系统应对传输数具有分权限使用日志的功T-BOX系统应具有安全T-BOX系统应具有可以T-BOX系统的后台应具有分权限使用日志的功检查T-BOXT-BOX系统应具有管理T-BOX系统应具有管理检查T-BOXT-BOX系统应具有对数T-BOX系统不应残留用T-BOX系统应具有配置检查T-BOXT-BOX系统应具有对升升级包进行授权检测的功 检查当T-BOX系统采用远程采用安全的通信协议进行升级包进行授权检测的功T-BOX系统应具有对升级包进行完整性校验的当T-BOX系统采用远程升级模式时，T-BOX系统应采用安全的通信协OBD安全–OBD具备校验外部设备身份机具备CAN总线数据过滤机​备校验外部设备身份机​网关安全–网关应具有不同总线间网关应具有一定的入侵网关应具有一定入侵防​网关应具备限制外部接口的网络最大流量数及接口的网络最大流量数及网检查网关是否在网络边界处监视以下攻击行为：端口扫P网关应在网络边界处监总线安全–检查总线是否具有必要的数据包安全保护，以确保信息检查总线数据包协议是否遵从国标 总线应具有必要的数据性、真实性和不可抵赖应保证车内总线网络设车辆正常行驶与控制业应保证将动力与底盘控制部分和车身控制部分两个重要总线网段应采总线间数据传输应遵从总线数据包协议应遵从车内总线网络应具备对总线消息帧进行过滤的应能够检测出挂载到车内总线网络的非授权设送的控制指令进行认证校 线中继设备转发信号指令攻钥匙系统应对钥匙发送的控制指令进行认证校钥匙系统应能防止无线中继设备转发信号指令钥匙系统中用到的秘钥 钥匙系统代码应避免已检查APP程序运行时是否被检查APP程序是否具有措施检查APP程序是否具有措施防止被篡改后可以正常运检查APP程序是否能防止被检查APP程序是否使用已知检查远程控制APP程序是否APP程序运行时不应被APP程序应该具有措施防止被反编译为明文的APP程序应该具有措施防止被篡改后可以正常APP程序应能防止被动时立即结束正常业务流APP程序不应使用已知远程控制APP程序应具检查APP程序是否以明文形检查APP程序内存是否残留 否预先显著标明所访问信息APP程序不应以明文形APP程序内存不应残留先显著标明所访问信息传，并征得用户明确许检查APP程序与各端交互过程是否以明文传输敏感数检查APP程序与各端交互过 检查APP程序与各端交互过程的通信是否使用具有证书APP程序与各端交互过程不以明文传输敏感数APP程序与各端交互过程的通信应该使用安全APP程序与各端交互过程的通信应该使用具有检查手机端是否具有对APP升级包进行授权检测的功 检查手机端是否具有对APP升级包进行完整性校验的功手机端应具有对APP升级包进行授权检测的功手机端应具有对APP升级包进行完整性校验的 网络互联设备以及防火墙等网络安全设备是否具备安全平台不应对外暴露安全平台应具备审计配置和程服务平台不应私自联平台应具有对攻击行为网段应具有对病毒等恶等网络互联设备以及防火墙等网络安全设备应能设备进行身份鉴别的功平台应具有对其中所运行的应用程序与所接入的智能设备进行身份鉴平台应具备访问控制功平台应具备可以保护已信系统与汽车远程服务平台通信连接应具有完统应用与汽车远程服务平台通信连接应具有加平台应用之间应提供容错误时采取必要的恢复措 务平台的数据完整性是否满汽车远程服务平台应能够对自身关键数据进行应在检测到完整性错误应能够检测到受保护资源在存储过程中完整性整性错误时采取必要的车辆上传至汽车远程服务平台的数据完整性应汽车远程服务平台采用加密或其他有效措施实现受保护资源传输保密检查车辆应用上传至汽车远汽车远程服务平台应采用加密或其他有效措施实现保护资源存储保密车辆应用上传至汽车远程服务平台的数据保密否具有备份，应用异常时应检查如有外部网络连接功汽车远程服务平台信息系统中的应用配置数据时应可使用备份数据恢与车辆运行相关的应用备份数据应具有访问权备份数据资源占用应在附录 智能网联汽车信息安全风险评估先决条件与判定准 附录C智能网联汽车信息安全风险的计算方法5.6.1z

xx1x2,xi,xm},1imxiy{y1y2,yj,yn},1ynyjxyA.1y矩阵列值为要素x的所有取值。矩阵内mz{z11z12,zij,zmn},1im,1jnzijA.1

个值即为要素z的取值，zzijzijxiyj，zijxiyj，zijxiyj，其中zijzij值的计算不一定遵循统一的计算公式，但必须ƒzijxiyj的值递增，反之亦然。5.6.1A1A2A3；A1T1T2；A2T3；A3T4T1A1V1T2A1V3V4V5；T3A2V6V7；A1=2A2=3A3=5；AA1T1T2T1A1存在的脆弱性T2A1A1存在的风险值包括A1T1V1为例，A.2A.26。A.32。A.3A.4A.45。A.51A.5A.6所示。A.66AA2A3A.7A.7A.8所示。A.8A.1资产 资产 资产图A.1zzƒ(xyxy

ƒzƒ(x,y)xy或z或z

ƒ(x,y)

xyxyxyz

ƒ(x,y)

x

5.6.1A1A1T1T2T3；A2T4T5；T1A1T2A1V2V3；T3A1V4；A1=4A2=5；V5=4V6=3。AxA1T1T2T3T1A1存A1A1存在的风险值包括四个。四个风险值的计算过程类