汽車供應鏈網(wǎng)絡安全管理白皮書(2022)汽車供應鏈網(wǎng)絡安全管理白皮書(2022)主要貢獻單位南德檢測認證(中國)有限公司上海分公司國汽(北京)智能網(wǎng)聯(lián)汽車研究院有限公司司限公司公司中國軟件評測中心(工業(yè)和信息化部軟件與集成電路促進中心)公司技有限公司究所汽車供應鏈網(wǎng)絡安全管理白皮書(2022)前言重要意義。等)的網(wǎng)絡安全能力建設提供實踐參考。汽車供應鏈網(wǎng)絡安全管理白皮書(2022)I 商網(wǎng)絡安全最佳實踐 11 AE 4.1.2可信信息安全評估交換(TISAX) 33 B 汽車供應鏈網(wǎng)絡安全管理白皮書(2022)1一、智能網(wǎng)聯(lián)汽車網(wǎng)絡安全發(fā)展概況1.1行業(yè)網(wǎng)絡安全發(fā)展現(xiàn)狀行業(yè)正迎來發(fā)展的黃金期，中國將成為世界第一大智能汽車市場。預計到2025速增多，風險顯著加大，安全事件頻發(fā)，安全形勢極為嚴峻。根據(jù)云安全廠商起國家高層重視。1.2政策法規(guī)推進情況(1)國內(nèi)方面汽車供應鏈網(wǎng)絡安全管理白皮書(2022)2入及質(zhì)量和生產(chǎn)的一致性。全全協(xié)同做好安全體系建設工作。(2)國外方面，制定內(nèi)部人員的安全培訓和管理制度。乘客信息的搜集、保存、使用等方面的保護措施。汽車供應鏈網(wǎng)絡安全管理白皮書(2022)3汽控等。2020年6月，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇(簡稱UN/WP.29)發(fā)布重要法R155是全球第一個汽車信息安全強制法規(guī)，其合規(guī)認證是車輛在特定國家進R156法規(guī)提出了軟件升級管理體系認證要求，規(guī)范了軟件升級實施流程，具備相關(guān)功能，如可訪問所有初始和升級的軟件版本信息及對應的軟件識別碼 輛制造商還應證明將如何安全地執(zhí)行升級或采用技術(shù)手段來確保車輛處于安全1.3標準體系建設情況(1)國內(nèi)方面汽車供應鏈網(wǎng)絡安全管理白皮書(2022)4根據(jù)指南要求，全國汽車標準化技術(shù)委員會(TC114，簡稱“汽標委”)、全國信息安全標準化技術(shù)委員會(TC260，簡稱“信安標委”)、中國通信標準化協(xié)會(CCSA)、中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟(CAICV)等各標準委員會及元器件和軟件提供商、設備提供商、并取得部分階段性成果。5汽車供應鏈網(wǎng)絡安全管理白皮書(2022)圖1.1車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全標準體系框架圖發(fā)布，即GB/T40861-2021《汽車信息安全通用技術(shù)要求》、GB/T40856-2021《車載信息交互系統(tǒng)信息安全技術(shù)要求及試驗方法》、GB/T40857-2021《汽車網(wǎng)關(guān)信息安全技術(shù)要求及試驗方法》、GB/T40855-2021《電動汽車遠程服務與汽車供應鏈網(wǎng)絡安全管理白皮書(2022)6內(nèi)征集意見，ISO/SAE21434《道路車輛—信息安全工程(Roadvehicles—lGBT息安全技術(shù)汽車電子系統(tǒng)網(wǎng)絡安全指南》已完成發(fā)布，推薦性國家標準《信息安全技術(shù)汽車數(shù)據(jù)處理安全要求》已完成標準報批，推薦性國家標準《信息安全技術(shù)車載YDTLTE的車聯(lián)網(wǎng)YD/T3751-2020《車聯(lián)網(wǎng)信息服務數(shù)據(jù)安全技術(shù)要求》、YD/T3746-2020《車聯(lián)網(wǎng)信息服務用戶個人信息保護要求》、YD/T3752-2020《車聯(lián)網(wǎng)信息服務平供風l盟中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟依托中國汽車工程學會(CSAE)團體標準平目前，已發(fā)布和立項的智能網(wǎng)聯(lián)汽車網(wǎng)絡安全相關(guān)團幣標準包括T/CSAE1-2018《智能網(wǎng)聯(lián)汽車車載端信息安全技術(shù)要求》、T/CSAE211-2021《智能汽車數(shù)據(jù)共享安全要求》、T/CSAE252-2022《智能網(wǎng)聯(lián)汽車車載信息安全汽車供應鏈網(wǎng)絡安全管理白皮書(2022)7《汽車遠程升級(OTA)信息安全測試規(guī)范(立項)》等。(2)國外方面美國汽車工程師學會(SAE)提出強調(diào)汽車信息安全的系統(tǒng)工程性，將信息括SAEJ3061《信息物理汽車系統(tǒng)網(wǎng)絡安全指南(CybersecurityGuidebookfor的一系列汽車網(wǎng)絡安全相關(guān)標準。美國汽車行業(yè)信息共享與分析中心(簡稱需要在產(chǎn)品上部署足夠的網(wǎng)絡安全防護措施。汽車供應鏈網(wǎng)絡安全管理白皮書(2022)8與一級供應商與二級供應商。1.4汽車供應鏈網(wǎng)絡安全問題和挑戰(zhàn)從而引發(fā)供應鏈網(wǎng)絡安全的巨大風險。SS施督管理流程規(guī)范和管控措施等。汽車供應鏈網(wǎng)絡安全管理白皮書(2022)9二、汽車制造商供應鏈網(wǎng)絡安全管理2.1供應鏈網(wǎng)絡安全評估及準入商全技術(shù)能力相關(guān)維度的評估。評2.2定廠前的監(jiān)督管理l要求潛在供應商遵循評估準入的相關(guān)要求，并保證提供不低于評估過程l認的安全協(xié)議中的網(wǎng)絡安全職責；l對潛在供應商所提供報價的產(chǎn)品或服務明確相關(guān)的網(wǎng)絡安全目標及網(wǎng)絡汽車供應鏈網(wǎng)絡安全管理白皮書(2022)l制造商和供應商需各自提供符合網(wǎng)絡安全相關(guān)要求的人員作為聯(lián)絡人，由聯(lián)絡人進行工作項、進度、職責的溝通和確認(建議參考ISO/SAE2.3定廠后的監(jiān)督管理(1)定期審核發(fā)過程中依據(jù)供應商日常業(yè)績評價標準對供應商工作執(zhí)行情況(網(wǎng)絡安全)(2)臨時審核l時；(3)項目例會作進展同步、網(wǎng)絡安全漏洞同步等。(4)網(wǎng)絡安全檔案管理ll。(5)供應商如有)簽訂安全協(xié)議。(6)安全漏洞修補汽車供應鏈網(wǎng)絡安全管理白皮書(2022)三、汽車供應商網(wǎng)絡安全最佳實踐3.1汽車供應商網(wǎng)絡安全管理體系該要求的目的是確保可以證明來自供應商的風險能夠在網(wǎng)絡安全管理體系(CSMS)中，需要考慮具備以下流程：l對于部分服務提供商，由于其提供了車輛可能依賴的網(wǎng)聯(lián)功能或服務，導致車輛可能面臨網(wǎng)絡安全風險，因此需要對其進行管理，如：云服務l確保簽約供應商和/或服務提供商能夠證明他們?nèi)绾喂芾砼c其相關(guān)的風險，這些過程可能包括考慮可用于證明風險得到適當管理的驗證或測試3.1.1網(wǎng)絡安全組織管理管理流程。汽車供應鏈網(wǎng)絡安全管理白皮書(2022)在設計認可時提供相應材料進行完整性及正確性評估。3.1.2網(wǎng)絡安全流程管理考慮與實際已有流程進行融合和匹配。(1)網(wǎng)絡安全概念階段、(2)網(wǎng)絡安全開發(fā)階段弱性分析、代碼審計、網(wǎng)絡安全測試等。證明產(chǎn)品在開發(fā)中未引入中高風險漏洞。(3)網(wǎng)絡安全后開發(fā)階段汽車供應鏈網(wǎng)絡安全管理白皮書(2022)3.2汽車供應商網(wǎng)絡安全關(guān)鍵技術(shù)3.2.1網(wǎng)絡安全防護技術(shù)3.2.1.1代碼安全汽車作為一個復雜供應鏈的產(chǎn)物，所運行的軟件涉及供應商代碼/第三方組并V段的工作。(1)安全要求C(2)架構(gòu)設計容錯機制等，充分考慮數(shù)據(jù)的機密性、完整性、可用性。(3)威脅分析E(4)單元設計與實現(xiàn)汽車供應鏈網(wǎng)絡安全管理白皮書(2022)(5)代碼實現(xiàn)漏洞分析編(6)單元測試和集成測試(7)安全需求驗證的安全需求。(8)軟件漏洞和滲透測試(9)運行別和追蹤。3.2.1.2接口安全(1)物理硬件接口、設備偽造等，一般可采取標識隱藏、汽車供應鏈網(wǎng)絡安全管理白皮書(2022)(2)外部訪問接口車輛與外界需要進行各式各樣的信息交互，涉及到多種信息交互方式，如(3)軟件架構(gòu)接口車電氣/電子構(gòu)架開發(fā)一套開放的行業(yè)標準，獨立于硬件的分層軟件架構(gòu)，制定UTOSAR入侵檢測以及整車安全管理類的功能特性等。3.2.1.3通信安全(1)車載網(wǎng)絡認證加密essageAuthenticationCode保證消息的真實性和完整性。車載以太網(wǎng)使用MACsec(MediaAccessControlSecurity)、IPsec(InternetProtocolSecurity)、TLS(TransportLayer實性。汽車供應鏈網(wǎng)絡安全管理白皮書(2022)存儲。(2)網(wǎng)絡隔離與訪問控制3.2.1.4數(shù)據(jù)安全(1)數(shù)據(jù)采集數(shù)據(jù)采集階段首先需要對數(shù)據(jù)進行分類分級，明確需要保護的數(shù)據(jù)；對數(shù)據(jù)。(2)數(shù)據(jù)傳輸術(shù)防止數(shù)據(jù)偽造攻擊。(3)數(shù)據(jù)存儲汽車供應鏈網(wǎng)絡安全管理白皮書(2022)硬件安全模塊(HSM)、安全芯片等保存證書、密鑰等敏感數(shù)據(jù)，采用固件防提(4)數(shù)據(jù)處理。(5)數(shù)據(jù)交換(6)數(shù)據(jù)刪除圖、行駛數(shù)據(jù)、用戶個人信息等，3.2.1.5操作系統(tǒng)與OTA(1)安全啟動如驗證指定軟件區(qū)域的CMAC值，確保軟件的完整性。(2)操作系統(tǒng)安全防護汽車供應鏈網(wǎng)絡安全管理白皮書(2022)車及物聯(lián)網(wǎng)行業(yè)高級別安全認證強制要求對操作系統(tǒng)進行形式化證明。如(3)安全OTA以恢復到升級前的狀態(tài)。3.2.1.6入侵檢測與防御(1)車內(nèi)總線入侵檢測庫文件(DBC)經(jīng)人工或利用工具導出CAN檢測規(guī)則文件，并根據(jù)實際需要增刪(2)汽車以太網(wǎng)入侵檢測和防御汽車供應鏈網(wǎng)絡安全管理白皮書(2022)針對汽車以太網(wǎng)的攻擊包括DoS攻擊、畸形報文攻擊、掃描探測攻擊、木馬以對LL檢測，以及針對L5-L7層的深度包異常檢測；3.2.1.7其他安全車聯(lián)網(wǎng)服務平臺即汽車遠程服務提供商(TSP)平臺，該平臺能夠提供地理據(jù)恢復。n3.2.2網(wǎng)絡安全測試技術(shù)3.2.2.1汽車網(wǎng)絡安全驗證測試方法汽車供應鏈網(wǎng)絡安全管理白皮書(2022)、模糊測試和漏洞掃描等。(1)功能性網(wǎng)絡安全測試nSSL必須滿足代碼安全標準，如MISRA-C(MISRAC是由汽車產(chǎn)業(yè)軟件可靠性協(xié)會提出的C語言開發(fā)標準,其目的是在增進嵌入式系統(tǒng)的安全性及可移植性)。此(2)滲透測試行標準PTES(PenetrationTestingExecutionStandard)，該標準是滲透測汽車供應鏈網(wǎng)絡安全管理白皮書(2022)l黑盒測試l白盒測試和可能性的估計不太可靠。l灰盒測試經(jīng)獲。感的比例。。(3)模糊測試OST汽車供應鏈網(wǎng)絡安全管理白皮書(2022)考慮將模糊測試也應用于汽車目標系統(tǒng)作為安全測試過程的一部分的想法是很后監(jiān)視目標系統(tǒng)以檢測程序流中的錯誤。試行用的漏洞。經(jīng)典協(xié)議和現(xiàn)代軟件應用程序的模糊測試經(jīng)驗。(4)漏洞掃描漏洞掃描用于從不斷更新的已知汽車安全漏洞數(shù)據(jù)庫中檢查汽車系統(tǒng)的所、網(wǎng)絡和后端基礎設施中的已知安全漏洞。汽車供應鏈網(wǎng)絡安全管理白皮書(2022)。3.2.2.2常見汽車網(wǎng)絡安全測試汽車網(wǎng)絡安全測試方法可參考“ISO/IECJTC1/SC27-ISO/TC22/SCIEC、智能化相關(guān)的功能展開。(1)車載終端安全測試二道靜表3.3車載終端安全測試評估方面評估項目評估內(nèi)容護措施，包括但不限式芯片和主板是否存在更改芯片功證階段使用安全機制保證密鑰的銷毀過程的安全性現(xiàn)是否具備抵抗側(cè)信析等物理攻擊的能被破解汽車供應鏈網(wǎng)絡安全管理白皮書(2022)備硬件實現(xiàn)的安全區(qū)夠?qū)崿F(xiàn)車載終端隔離操作系統(tǒng)(固件)安全動機制，對引導程序只有通過驗證系統(tǒng)，評估是否不同操作系統(tǒng)之間的汽車各應用場景的告應用程序?qū)ο到y(tǒng)敏感知；是否對使用敏感數(shù)全執(zhí)行空間，控制對護資源和數(shù)據(jù)的保密授權(quán)訪問和篡改等多事件的日志記錄功事件主體、事件事件是否成功等系統(tǒng)(固件)進行簽名校驗和完統(tǒng)能有效恢復至升級安全：Python、Lua等語言的源代碼)應進行b)客戶端應具備源代碼完整性校驗能力c)客戶端應對簽名信息進行安全校驗全障客戶端正常穩(wěn)定運制境安全：a)客戶端應對運行環(huán)境進行安全檢測。例用b)客戶端應具有版本檢測機制，提供版本汽車供應鏈網(wǎng)絡安全管理白皮書(2022)：調(diào)用組件內(nèi)容b)客戶端應對組件進行安全配置，避免發(fā)SD卡等)上可讀取和可執(zhí)行的文件類型，存介質(zhì)的惡意攻擊內(nèi)網(wǎng)CAN總線和對外接口(如USB、SD等)隔離性整性包括如下內(nèi)容：a)傳輸時應支持信息完整性校驗機制，實據(jù)的傳輸完整性保性a)新鮮性：數(shù)據(jù)來源與系統(tǒng)采用統(tǒng)一時間中宜包含時間標識統(tǒng)正常運行性保護能力，具體包括：知可能的隱私收集與存b)需要時，對數(shù)據(jù)傳輸雙方身份進行隱私算法等進行數(shù)據(jù)(2)車聯(lián)網(wǎng)絡安全測試汽車供應鏈網(wǎng)絡安全管理白皮書(2022)式包括蜂窩通信接口(Uu)與直連通信接口(PC5)兩種方式。此域中面臨的威。(3)車載無線電系統(tǒng)安全測試情況。汽車供應鏈網(wǎng)絡安全管理白皮書(2022)過監(jiān)發(fā)行進圖3.1基于模糊測試的無線安全評估框架數(shù)據(jù)感器網(wǎng)絡傳輸安全要求基礎上,通過搭建無線傳感網(wǎng)仿真環(huán)境,采集所監(jiān)控的傳感網(wǎng)節(jié)點狀態(tài)和鏈路狀態(tài)數(shù)據(jù),分析無線傳感網(wǎng)在不同安全威脅和攻擊下的安全狀態(tài)變化,通過分析和歸納影響無線傳感網(wǎng)傳輸安全因素,確定針對無線傳感器網(wǎng)安全傳輸測評內(nèi)容的傳輸安全指標。測評方法及判定要求主要包括:特定信道數(shù)檢測器,模擬非法入侵、仿冒攻擊、重放攻擊等。汽車供應鏈網(wǎng)絡安全管理白皮書(2022)表3.4無線傳感網(wǎng)安全傳輸評估評估方面評估項目評估內(nèi)容和完整性保護算法下，通過訪問控制列表限制存儲機制和完整性保護算法向鑒權(quán)能力整性校驗功能(條件性支持)傳輸求問控制模式或安(4)數(shù)據(jù)安全測試關(guān)(5)云服務平臺安全測試患。安全等級保護要求進行相關(guān)測試。汽車供應鏈網(wǎng)絡安全管理白皮書(2022)四、汽車供應鏈網(wǎng)絡安全評估及認證主機廠或上游需求方可以要求認證機構(gòu)按網(wǎng)絡安全管理體系要求對其供應商進4.1企業(yè)信息安全管理體系認證4.1.1ISO/SAE21434認證核針對網(wǎng)絡安全的風險評估方法論進行了介紹。資質(zhì)而言，主流資質(zhì)為CNAS(中國合格評定國家認可委員會)和DAkkS(DAkkS汽車供應鏈網(wǎng)絡安全管理白皮書(2022)ISO/SAE21434流程認證主要針對企業(yè)的網(wǎng)絡安全相關(guān)流程，以ISO/SAEE表4.1ISO/SAE21434流程認證組成部分子部分文檔進要求文檔劃估報告報告理活動汽車供應鏈網(wǎng)絡安全管理白皮書(2022)括流程、規(guī)評估報告評估驗證報告件求規(guī)范驗證報告告告告產(chǎn)控制計劃汽車供應鏈網(wǎng)絡安全管理白皮書(2022)EE4.1.2可信信息安全評估交換(TISAX)可信信息安全評估交換(TrustedInformationSecurityAssessmentExchange，TISAX)，是由德國汽車工業(yè)協(xié)會(VD