车联网安全态势感知平台技术要求

1车联网安全态势感知平台技术要求本文件规定了车联网安全态势感知平台技术要求，包括车联网安全态势感知平台数据采集、数据预处理、威胁风险分析、监测管理协同、可视化展示和安全等方面的要求。本文件适用于车联网相关企业(包括基础电信企业、车联网企业)的车联网安全态势感知平台的设计、开发、测试验证等。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。3术语和定义GB/T25069界定的以及下列术语及定义适用于本文件。车联网服务平台TOVservieeplatform车联网的信息管理和服务平台，负责车辆及相关设备信息的汇聚、计算、监控和管理，提供主动安全、智能交通管控、远程诊断、电子呼叫中心、道路救援等应用服务。智能联网汽车和安装在智能联网汽车上的设备，通过无线通信技术与互联网或其他车辆进行通态势感知situationawareness在一定的时间和空间条件下，对环境因素的获取、理解以及对未来的发展趋势进行预测。威胁告警threatwarning基于威胁情报关联、流量特征分析和异常检测模型等方式，提取流量中的有效告警信息，用于记录已经发生的网络安全事件，及时发出告警。2通联记录communicationlogs车联网终端或车联网服务平台之间的通信活动记录，记录车联网终端和车联网服务平台相关的网络通信活动。识别车联网终端唯一性的标识。下列缩略语适用于本文件。APN接入点名称APP手机应用软件CAN控制器局域网络FTP文件传输协议HTTPS超文本传输安全协议IMEI国际移动设备识别码IP网际互连协议MQTT消息队列遥测传输OTA空中下载技术PEI永久设备标识符T-BOX车联网通讯终端TSP汽车远程服务提供商URL统一资源定位器VIN车辆识别号码HypertextTransferPrnternationalMobileEquipmentIdentitymumbrInternetofVehicleMessageQueuingTelemePermanentEquipmentIdeUniformResourceLocatoVchicleIdentificationNu5.1平台体系车联网安全态势感知平台体系由两部分组成：一是监管平台，接收企业侧车联网安全态势感知平台的报送数据，并结合统计模型、关联算法、机器学习等技术手段对数据进行深入挖掘与分析，可向企业侧平台下发指令：二是企业侧平台，分为基础电信企业侧平台和车联网企业侧平台两部分。本标准主要对企业侧平台的技术要求进行定义。基础电信企业侧主要对车联网终端、车联网服务平台的流量进行安全威胁分析，并将分析结果报送至监管平台：车联网企业侧主要收集车联网终端、车联网服务平台，以及车联网APP的监测结果。并对数据进行分析、加工后报送至监管平台车联网安全态势感知平台体系详见图1。监监企数来管侧监管平台业侧图1平台体系5.2平台功能柜架监管平台监管平台企业侧平台5YD/Txxxxx—xxxXa)应包括车联网终端流量数据，涉及车内关键设备，以及车联网终端与外部交互的流量：b)应包括自有车联网服务平台流量6.2数据采集通用数据采集要求如下a)应支持采集以下车联网基础信息：1)车联网终端信息：包括终端类型、终端品牌、终端唯一编号等信息；2)服务平台信息：包括平台域名、接入IP、URL和服务类型等信息：3)车联网APN信息：包括APN地址、APN业务描述：b)应支持数据导入，可导入的数据类型包括基础信息、威胁情报、漏洞信息等：c)应至少支持两种数据传输方式，包括Syslog、WebService、FTP、SFTP等方式。d)宜支持报送流量中检测到的恶意样本，以及样本相关的基本信息数据：e)宜留存符合监测规则的报文(PCAP包形式)。6.2.2基础电信企业侧网络安全数据基础电信企业安全数据采集要求如下：a)应具备对基础电信企业采集位置的双向原始流量进行实时获取、协议解析、数据包重组和文件还原等操作的能力；b)应具备基于TCPIUDP端口识别、报文负载特征识别、行为特征识别、关联分析检测等技术手段实现移动互联网通用网络协议的识别，可识别协议包括GB/T32960、JT/T808、JT/Tc)应具备识别各操作系统中apk、xap、exe、sis、ipa等格式的文件样本的能力，可识别出在车联网中传播的恶意的APP,并具备对样本哈希值、下载地址、控制端等的识别能力：d)应采集通联记录数据，包括车联网终端与车联网服务平台、车联网终端与第三方服务平台之间的通信记录，采集字段包括源IP、源端口、目的IP、目的端口、上行流量大小、上行流量包数、下行流量大小、下行流量包数、URL、终端标识(如IMEI、PED)等：e)应采集车联网终端、车联网服务平台相关通信流量的威胁告警数据，包括恶意受控事件、恶意传播事件、网络安全攻击事件等，采集字段包括IP、源端口、目的IP、目的端口、上行流9YD/Txxxxx—xxxxa)应支持车联网总体态势展示。包括活跃车联网终端分布、车联网终端被攻击排名、被攻击车联网终端类型排名等；b)应支持车联网服务平台安全态势展示，包括车联网服务平台被攻击趋势分析、遭受攻击类型排名、平台漏洞类型分布等：c)应支持车联网终端安全态势展示，包括遭受攻击类型分布、被攻击车联网终端排名、攻击来源国家排名等：d)应支持车联网APP安全风险态势展示，包括恶意APP排名、APP漏洞类型分布等：e)应支持两种以上视图展示以上维度，包括趋势图、柱状图、饼图等。11安全要求11.1数据保密数据保密要求如下：a)应具备密码算法和密钥管理等数据保密性保护能力，其算法强度应符合国家相关规定；b)应采用加密、防泄露等技术手段来保障所采集的重要数据在采集、存储、传输、使用过程中的保密性：e)应针对数据全生命周期采取有效技术保护措施，防范数据泄露、毁损、丢失、篡改、误用、滥用等风险：对于敏感数据的存储和传输，需要进行脱敏处理，严格保护用户隐私不被泄身份鉴别要求如下：a)应对本平台登录的用户实施身份标识和鉴别，身份标识和用户初次登录使用口令具有唯