Q/LB.□XXXXX-XXXX目次TOC\o"1-1"\h\t"標準文件_一級條標題,2,標準文件_二級條標題,3,標準文件_附錄一級條標題,2,標準文件_附錄二級條標題,3,"前言 II1范圍 12規范性引用文件 13術語、定義和縮略語 14試驗項目 25信息安全要求及試驗方法 25.1操作系統安全 25.1.1操作系統安全技術要求 25.1.2操作系統安全試驗方法 35.2OTA升級安全 45.2.1OTA升級安全技術要求 45.2.2OTA升級安全試驗方法 45.3軟件安全 45.3.1軟件安全技術要求 45.3.2軟件安全試驗方法 55.4數據安全 55.4.1數據安全技術要求 55.4.2數據安全試驗方法 55.5通信安全 65.5.1通信安全技術要求 65.5.2通信安全試驗方法 6前言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。T/CIVEE***-2024《無人駕駛裝備示范應用技術規范》分為以下5個部分：——第1部分T/CIVEE***-2024：術語與分類——第2部分T/CIVEE***-2024：安全技術要求及試驗方法——第3部分T/CIVEE***-2024：自動駕駛要求及試驗方法——第4部分T/CIVEE***-2024：信息安全要求及試驗方法——第5部分T/CIVEE***-2024：安全監管要求本文件由××××提出。本文件由廣州市智能網聯汽車電子產業發展促進會歸口。本文件起草單位：工業和信息化部電子第五研究所、、、、等本文件主要起草人：無人駕駛裝備示范應用技術規范第4部分：信息安全要求及試驗方法范圍本文件規定了無人駕駛裝備的信息安全要求及試驗方法。本文件適用于在公共道路開展物流配送、巡檢、零售、環衛等業務的無人駕駛裝備，其他特定區域上路的無人駕駛裝備可參考使用。規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術術語GB/T35273-2017信息安全技術個人信息安全規范GB/T18336-2015信息技術安全技術信息技術安全性評估準則YD/T3746-2020信息服務用戶個人信息保護要求YD/T3750-2020無線通信安全技術指南YD/T3751-2020信息服務數據安全技術要求YD/T3752-2020信息服務平臺安全防護技術要求YD/T3957-2021基于LTE的無線通信技術安全證書管理系統技術要求術語、定義和縮略語下列術語和定義適用于本文件。術語和定義最小權限原則principleofleastprivilege要求計算環境中的特定抽象層的每個模塊如進程、用戶或者計算機程序只能訪問當下所必需的信息或者資源。它賦予每一個合法動作最小的權限，就是為了保護數據以及功能避免受到錯誤或者惡意行為的破壞。數字簽名digitalsignature數字簽名是只有信息的發送者才能產生的別人無法偽造的一段數字串，這段數字串同時也是對信息的發送者發送信息真實性的一個有效證明。保證數據來源的真實性和和完整性，防止數據被第三方偽造，保護發送者。端口port設備與外界通信交流的出口，本文特指TCP/IP協議中的端口，是邏輯意義上的端口。調試接口debuginterface分為有線外部接口和無線外部接口。有線外部接口包括USB接口、SD卡接口等，無線外部接口包括藍牙接口、WLAN接口等。終端terminal安裝在設備上，采集及保存整機及系統部件的關鍵狀態參數并發送到平臺的裝置或系統。CANControlAreaNetwork控制器局域網總線，一種用于實時應用的串行通訊協議總線。敏感數據sensitivedata一旦泄露或者非法使用，可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產安全受到嚴重危害的個人數據。 縮略語以下縮略語適用于本文件。CNVD：國家信息安全漏洞共享平臺（ChinaNationalVulnerabilityDatabase）CNNVD：中國國家信息安全漏洞庫（ChinaNationalVulnerabilityDatabaseofInformationSecurity）試驗項目無人駕駛裝備試驗項目如表1所示。序號試驗項目操作系統安全OTA升級安全軟件安全數據安全通信安全信息安全要求及試驗方法操作系統安全操作系統安全技術要求端口與服務安全操作系統提供的端口與服務安全要求如下：基于端口開放最小化原則，默認關閉不是系統業務所必需的其他端口；操作系統按照模塊最小化裁剪，僅保留必須的模塊。漏洞與缺陷管理安全漏洞與缺陷管理安全要求如下：系統應不包含有CNVD與CNNVD6個月前公布的高危及以上的漏洞；預裝軟件、補丁包/升級包應不包含惡意程序。系統與固件升級安全系統與固件升級安全要求如下：設備應支持固件和系統遠程升級；應對升級包的來源和完整性進行校驗，包括驗證升級包的哈希值、文件大小、版本號和簽名；當發生更新失敗時，設備能回退到原來的版本，可以正常啟動；提供系統升級的日志記錄，確保異常升級時可以溯源；升級包文件應做防篡改或其他合適的加密處理，防止不法分子竊取更新包導致源碼泄露；升級包應采用加密通道傳輸。操作系統安全試驗方法端口與服務安全試驗試驗步驟：無人駕駛裝備處于正常運行狀態。通過數據包嗅探、修改和重放等分析手段檢查如下內容：基于端口開放最小化原則，是否默認關閉不是系統業務所必需的其他端口；操作系統是否按照模塊最小化裁剪僅保留必須的模塊。結果若符合端口與服務安全要求的要求，判定為符合，其他情況判定為不符合。漏洞與缺陷管理安全試驗試驗步驟：無人駕駛裝備處于正常運行狀態。通過漏洞掃描等分析手段檢查如下內容：系統是否不包含有CNVD與CNNVD6個月前公布的高危及以上的漏洞；預裝軟件、補丁包/升級包是否不包含惡意程序。結果若符合漏洞與缺陷管理安全技術要求的要求，判定為符合，其他情況判定為不符合。系統與固件升級安全試驗試驗步驟：無人駕駛裝備處于正常運行狀態。通過漏洞掃描等分析手段檢查如下內容：設備是否支持固件和系統遠程升級；是否對升級包的來源和完整性進行校驗，包括驗證升級包的哈希值、文件大小、版本號和簽名；當發生更新失敗時，設備是否能回退到原來的版本，可以正常啟動；是否提供系統升級的日志記錄，確保異常升級時可以溯源；升級包文件是否做防篡改或其他合適的加密處理，防止不法分子竊取更新包導致源碼泄露；升級包是否采用加密通道傳輸。結果若符合系統與固件升級安全試驗技術要求的要求，判定為符合，其他情況判定為不符合。OTA升級安全OTA升級安全技術要求若無人駕駛裝備支持OTA升級功能，應滿足如下要求：應在非工作狀態下方可進行OTA升級，OTA升級應全程可控。未完成升級的情況下，可自動回溯到前一版本。車端進行OTA升級時，車端OTAClient和云端OTA服務器之間應采用雙向認證。升級包的傳輸應采用加密措施。車端OTAClient接收升級包后，應對升級包的數字簽名信息進行驗證，校驗升級包的完整性。車端OTAClient對數據包解壓后進行升級包對分發，OTA升級過程，需要詳細的日志記錄和過成監控。車端零部件OTA升級完畢，OTAClient需要收集OTA后的狀態信息，并將狀態信息加密上報給云端服務器。OTA升級安全試驗方法按如下步驟開展檢測：檢查是否在非工作狀態下方可進行OTA升級，OTA升級應全程可控。未完成升級的情況下，可自動回溯到前一版本。采用網絡抓包工具進行抓包，通過汽車信息安全評估工具箱解析通信報文數據，檢查被測無人駕駛裝備車端OTAClient和云端OTA服務器之間是否采用雙向認證。采用網絡抓包工具進行抓包，通過汽車信息安全評估工具箱解析通信報文數據，檢查被測無人駕駛裝備升級包的傳輸是否采用加密措施。通過無人駕駛裝備信息安全風險評估工具，對升級包進行篡改，檢查被測無人駕駛裝備是否成功升級。檢查被測無人駕駛裝備車端OTAClient對數據包解壓后進行升級包對分發，OTA升級過程，是否記錄詳細的日志記錄和過成監控。檢查被測無人駕駛裝備是否OTA升級狀態信息加密上報給云端服務器。軟件安全軟件安全技術要求預置應用軟件的安全預置應用軟件安全應滿足如下要求：預置的應用軟件應進行加固處理，防止反編譯、二次打包，反調試等；預置的應用軟件權限遵循最小權限原則；預置的應用軟件不應存在后門等隱藏接口；預置的應用軟件應不包含有CNVD與CNNVD6個月前公布的高危及以上漏洞。應用軟件的更新安全應用軟件的更新安全如下：預置應用軟件進行更新時，應對應用軟件更新包進行版本號、哈希值、簽名和文件大小校驗；進行預置應用軟件更新時，應對應用軟件更新包進行加密，防止應用更新包被非法獲取，導致信息泄露。軟件安全試驗方法預置應用軟件的安全試驗試驗步驟：無人駕駛裝備處于正常運行狀態。通過漏洞掃描等分析手段檢查如下內容：預置的應用軟件是否進行加固處理，防止反編譯、二次打包，反調試等；預置的應用軟件權限應循最小權限原則；預置的應用軟件不應存在后門等隱藏接口；預置的應用軟件不應包含有CNVD與CNNVD6個月前公布的高危及以上漏洞。結果若符合預置應用軟件的安全技術要求的要求，判定為符合，其他情況判定為不符合。應用軟件的更新安全試驗試驗步驟：無人駕駛裝備處于正常運行狀態。通過漏洞掃描等分析手段檢查如下內容：預置應用軟件進行更新時，是否對應用軟件更新包進行版本號、哈希值、簽名和文件大小校驗；進行預置應用軟件更新時，是否對應用軟件更新包進行加密，防止應用更新包被非法獲取，導致信息泄露。結果若符合應用軟件的更新安全技術要求的要求，判定為符合，其他情況判定為不符合。數據安全數據安全技術要求數據傳輸安全數據傳輸安全要求如下：針對傳輸數據被惡意篡改的現象，需要對重要數據的傳輸通道進行加密保護，保證傳輸過程中數據的完整性；支持傳輸過程中的身份鑒別和認證。數據存儲和使用安全數據存儲和使用安全如下：識別用戶敏感數據，要求對敏感數據進行加密存儲，不能以硬編碼的形式存儲在終端和零部件中；車載終端的安全重要參數在存儲以及使用過程中，應只允許被授權的應用以授權方式讀取和修改；應支持數據可用性保障，支持數據備份和恢復的能力。數據刪除安全數據刪除安全要求如下：在恢復出廠設置時應刪除運行的數據和配置文件；在返廠維修時，支持數據被徹底刪除的功能，以保證被刪除的數據不可再恢復，防止殘留的數據信息被泄露或非法獲取。數據安全試驗方法數據傳輸安全試驗試驗步驟：無人駕駛裝備處于正常運行狀態。通過數據包嗅探、修改和重放等分析手段檢查如下內容：針對傳輸數據被惡意篡改的現象，是否對重要數據的傳輸通道進行加密保護，保證傳輸過程中數據的完整性；是否支持傳輸過程中的身份鑒別和認證。結果若符合數據傳輸安全技術要求的要求，判定為符合，其他情況判定為不符合。數據存儲和使用安全試驗試驗步驟：無人駕駛裝備處于正常運行狀態。通過數據包嗅探、修改和重放等分析手段檢查如下內容：識別用戶敏感數據，是否對敏感數據進行加密存儲，是否以硬編碼的形式存儲在終端和和零部件中；車載終端的安全重要參數在存儲以及使用過程中，是否只允許被授權的應用以授權方式讀取和修改；是否支持數據可用性保障，支持數據備份和恢復的能力。結果若符合數據存儲和使用安全技術要求的要求，判定為符合，其他情況判定為不符合。數據刪除安全試驗試驗步驟：無人駕駛裝備處于正常運行狀態。通過數據包嗅探、修改和重放等分析手段檢查如下內容：在恢復出廠設置時是否刪除運行的數據和配置文件；在返廠維修時，是否支持數據被徹底刪除的功能，保證被刪除的數據不可再恢復，防止殘留的數據信息被泄露或非法獲取。結果若符合數據刪除安全試驗技術要求的要求，判定為符合，其他情況判定為不符合。通信安全通信安全技術要求認證機制應具備對通信數據的消息校驗和認證機制，防止攻擊者偽造、篡改信息。數據傳輸完整性應采用雜湊密碼算法（如SM3）和數字簽名算法（如SM2）的檢驗技術和密碼技術保證重要數據在傳輸和存儲過程中的完整性，包括鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。數據傳輸機密性應采用對稱密碼算法（如SM4）和數字信封分發對稱密鑰的方式的檢驗技術和密碼技術保證重要數據在傳輸和存儲過程中的保密性，包括鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。行為抵賴數據傳輸應具備抵賴性，發送方用自己的私鑰對傳輸的數據進行簽名，接收方使用發送方的公鑰對簽名數據驗簽，防止發送方對其行為進行抵賴。通信安全試驗方法認證機制試驗試驗步驟：無人駕駛裝備處于正常運行狀態。通過數據包嗅探