1T/CIVEEXXXX—XXXX無人駕駛裝備示范應(yīng)用技術(shù)規(guī)范第4部分：信息安全要求及試驗(yàn)方法本文件規(guī)定了無人駕駛裝備的信息安全要求及試驗(yàn)方法。本文件適用于在公共道路開展物流配送、巡檢、零售、環(huán)衛(wèi)等業(yè)務(wù)的無人駕駛裝備，其他特定區(qū)域上路的無人駕駛裝備可參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)GB/T35273-2017信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T18336-2015信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則YD/T3746-2020信息服務(wù)用戶個(gè)人信息保護(hù)要求YD/T3750-2020無線通信安全技術(shù)指南YD/T3751-2020信息服務(wù)數(shù)據(jù)安全技術(shù)要求YD/T3752-2020信息服務(wù)平臺(tái)安全防護(hù)技術(shù)要求YD/T3957-2021基于LTE的無線通信技術(shù)安全證書管理系統(tǒng)技術(shù)要求3術(shù)語(yǔ)、定義和縮略語(yǔ)下列術(shù)語(yǔ)和定義適用于本文件。3.1術(shù)語(yǔ)和定義3.1.1最小權(quán)限原則principleofleastprivilege要求計(jì)算環(huán)境中的特定抽象層的每個(gè)模塊如進(jìn)程、用戶或者計(jì)算機(jī)程序只能訪問當(dāng)下所必需的信息或者資源。它賦予每一個(gè)合法動(dòng)作最小的權(quán)限，就是為了保護(hù)數(shù)據(jù)以及功能避免受到錯(cuò)誤或者惡意行為的破壞。3.1.2數(shù)字簽名digitalsignature數(shù)字簽名是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時(shí)也是對(duì)信息的發(fā)送者發(fā)送信息真實(shí)性的一個(gè)有效證明。保證數(shù)據(jù)來源的真實(shí)性和和完整性，防止數(shù)據(jù)被第三方偽造，保護(hù)發(fā)送者。3.1.3端口port設(shè)備與外界通信交流的出口，本文特指TCP/IP協(xié)議中的端口，是邏輯意義上的端口。3.1.42T/CIVEEXXXX—XXXX調(diào)試接口debuginterface分為有線外部接口和無線外部接口。有線外部接口包括USB接口、SD卡接口等，無線外部接口包括藍(lán)牙接口、WLAN接口等。3.1.5終端terminal安裝在設(shè)備上，采集及保存整機(jī)及系統(tǒng)部件的關(guān)鍵狀態(tài)參數(shù)并發(fā)送到平臺(tái)的裝置或系統(tǒng)。3.1.6CANControlAreaNetwork控制器局域網(wǎng)總線，一種用于實(shí)時(shí)應(yīng)用的串行通訊協(xié)議總線。3.1.7敏感數(shù)據(jù)sensitivedata一旦泄露或者非法使用，可能導(dǎo)致車主、駕駛?cè)恕⒊塑嚾?、車外人員等受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人數(shù)據(jù)。3.2縮略語(yǔ)以下縮略語(yǔ)適用于本文件。CNVD：國(guó)家信息安全漏洞共享平臺(tái)（ChinaNationalVulnerabilityDatabase）CNNVD：中國(guó)國(guó)家信息安全漏洞庫(kù)（ChinaNationalVulnerabilityDatabaseofInformationSecurity）4試驗(yàn)項(xiàng)目無人駕駛裝備試驗(yàn)項(xiàng)目如表1所示。序號(hào)試驗(yàn)項(xiàng)目操作系統(tǒng)安全OTA升級(jí)安全軟件安全4.數(shù)據(jù)安全通信安全5信息安全要求及試驗(yàn)方法5.1操作系統(tǒng)安全5.1.1操作系統(tǒng)安全技術(shù)要求3T/CIVEEXXXX—XXXX5.1.1.1端口與服務(wù)安全操作系統(tǒng)提供的端口與服務(wù)安全要求如下：a)基于端口開放最小化原則，默認(rèn)關(guān)閉不是系統(tǒng)業(yè)務(wù)所必需的其他端口；b)操作系統(tǒng)按照模塊最小化裁剪，僅保留必須的模塊。5.1.1.2漏洞與缺陷管理安全漏洞與缺陷管理安全要求如下：a)系統(tǒng)應(yīng)不包含有CNVD與CNNVD6個(gè)月前公布的高危及以上的漏洞；b)預(yù)裝軟件、補(bǔ)丁包/升級(jí)包應(yīng)不包含惡意程序。5.1.1.3系統(tǒng)與固件升級(jí)安全系統(tǒng)與固件升級(jí)安全要求如下：a)設(shè)備應(yīng)支持固件和系統(tǒng)遠(yuǎn)程升級(jí)；b)應(yīng)對(duì)升級(jí)包的來源和完整性進(jìn)行校驗(yàn)，包括驗(yàn)證升級(jí)包的哈希值、文件大小、版本號(hào)和簽名；c)當(dāng)發(fā)生更新失敗時(shí)，設(shè)備能回退到原來的版本，可以正常啟動(dòng)；d)提供系統(tǒng)升級(jí)的日志記錄，確保異常升級(jí)時(shí)可以溯源；e)升級(jí)包文件應(yīng)做防篡改或其他合適的加密處理，防止不法分子竊取更新包導(dǎo)致源碼泄露；f)升級(jí)包應(yīng)采用加密通道傳輸。5.1.2操作系統(tǒng)安全試驗(yàn)方法5.1.2.1端口與服務(wù)安全試驗(yàn)試驗(yàn)步驟：1）無人駕駛裝備處于正常運(yùn)行狀態(tài)。2）通過數(shù)據(jù)包嗅探、修改和重放等分析手段檢查如下內(nèi)容：a)基于端口開放最小化原則，是否默認(rèn)關(guān)閉不是系統(tǒng)業(yè)務(wù)所必需的其他端口；b)操作系統(tǒng)是否按照模塊最小化裁剪僅保留必須的模塊。3）結(jié)果若符合端口與服務(wù)安全要求的要求，判定為符合，其他情況判定為不符合。5.1.2.2漏洞與缺陷管理安全試驗(yàn)試驗(yàn)步驟：1）無人駕駛裝備處于正常運(yùn)行狀態(tài)。2）通過漏洞掃描等分析手段檢查如下內(nèi)容：a)系統(tǒng)是否不包含有CNVD與CNNVD6個(gè)月前公布的高危及以上的漏洞；b)預(yù)裝軟件、補(bǔ)丁包/升級(jí)包是否不包含惡意程序。3）結(jié)果若符合漏洞與缺陷管理安全技術(shù)要求的要求，判定為符合，其他情況判定為不符合。5.1.2.3系統(tǒng)與固件升級(jí)安全試驗(yàn)4T/CIVEEXXXX—XXXX試驗(yàn)步驟：1）無人駕駛裝備處于正常運(yùn)行狀態(tài)。2）通過漏洞掃描等分析手段檢查如下內(nèi)容：a)設(shè)備是否支持固件和系統(tǒng)遠(yuǎn)程升級(jí)；b)是否對(duì)升級(jí)包的來源和完整性進(jìn)行校驗(yàn)，包括驗(yàn)證升級(jí)包的哈希值、文件大小、版本號(hào)和簽名；c)當(dāng)發(fā)生更新失敗時(shí)，設(shè)備是否能回退到原來的版本，可以正常啟動(dòng)；d)是否提供系統(tǒng)升級(jí)的日志記錄，確保異常升級(jí)時(shí)可以溯源；e)升級(jí)包文件是否做防篡改或其他合適的加密處理，防止不法分子竊取更新包導(dǎo)致源碼泄露；f)升級(jí)包是否采用加密通道傳輸。3）結(jié)果若符合系統(tǒng)與固件升級(jí)安全試驗(yàn)技術(shù)要求的要求，判定為符合，其他情況判定為不符合。5.2OTA升級(jí)安全5.2.1OTA升級(jí)安全技術(shù)要求若無人駕駛裝備支持OTA升級(jí)功能，應(yīng)滿足如下要求：a)應(yīng)在非工作狀態(tài)下方可進(jìn)行OTA升級(jí)，OTA升級(jí)應(yīng)全程可控。未完成升級(jí)的情況下，可自動(dòng)回溯到前一版本。b)車端進(jìn)行OTA升級(jí)時(shí)，車端OTAClient和云端OTA服務(wù)器之間應(yīng)采用雙向認(rèn)證。c)升級(jí)包的傳輸應(yīng)采用加密措施。d)車端OTAClient接收升級(jí)包后，應(yīng)對(duì)升級(jí)包的數(shù)字簽名信息進(jìn)行驗(yàn)證，校驗(yàn)升級(jí)包的完整性。e)車端OTAClient對(duì)數(shù)據(jù)包解壓后進(jìn)行升級(jí)包對(duì)分發(fā)，OTA升級(jí)過程，需要詳細(xì)的日志記錄和過成監(jiān)控。車端零部件OTA升級(jí)完畢，OTAClient需要收集OTA后的狀態(tài)信息，并將狀態(tài)信息加密上報(bào)給云端服務(wù)器。5.2.2OTA升級(jí)安全試驗(yàn)方法按如下步驟開展檢測(cè)：a)檢查是否在非工作狀態(tài)下方可進(jìn)行OTA升級(jí)，OTA升級(jí)應(yīng)全程可控。未完成升級(jí)的情況下，可自動(dòng)回溯到前一版本。b)采用網(wǎng)絡(luò)抓包工具進(jìn)行抓包，通過汽車信息安全評(píng)估工具箱解析通信報(bào)文數(shù)據(jù)，檢查被測(cè)無人駕駛裝備車端OTAClient和云端OTA服務(wù)器之間是否采用雙向認(rèn)證。c)采用網(wǎng)絡(luò)抓包工具進(jìn)行抓包，通過汽車信息安全評(píng)估工具箱解析通信報(bào)文數(shù)據(jù)，檢查被測(cè)無人駕駛裝備升級(jí)包的傳輸是否采用加密措施。d)通過無人駕駛裝備信息安全風(fēng)險(xiǎn)評(píng)估工具，對(duì)升級(jí)包進(jìn)行篡改，檢查被測(cè)無人駕駛裝備是否成功升級(jí)。e)檢查被測(cè)無人駕駛裝備車端OTAClient對(duì)數(shù)據(jù)包解壓后進(jìn)行升級(jí)包對(duì)分發(fā)，OTA升級(jí)過程，是否記錄詳細(xì)的日志記錄和過成監(jiān)控。f)檢查被測(cè)無人駕駛裝備是否OTA升級(jí)狀態(tài)信息加密上報(bào)給云端服務(wù)器。5.3軟件安全5.3.1軟件安全技術(shù)要求5.3.1.1預(yù)置應(yīng)用軟件的安全預(yù)置應(yīng)用軟件安全應(yīng)滿足如下要求：5T/CIVEEXXXX—XXXXa)預(yù)置的應(yīng)用軟件應(yīng)進(jìn)行加固處理，防止反編譯、二次打包，反調(diào)試等；b)預(yù)置的應(yīng)用軟件權(quán)限遵循最小權(quán)限原則；c)預(yù)置的應(yīng)用軟件不應(yīng)存在后門等隱藏接口；d)預(yù)置的應(yīng)用軟件應(yīng)不包含有CNVD與CNNVD6個(gè)月前公布的高危及以上漏洞。5.3.1.2應(yīng)用軟件的更新安全應(yīng)用軟件的更新安全如下：a)預(yù)置應(yīng)用軟件進(jìn)行更新時(shí)，應(yīng)對(duì)應(yīng)用軟件更新包進(jìn)行版本號(hào)、哈希值、簽名和文件大小校驗(yàn)；b)進(jìn)行預(yù)置應(yīng)用軟件更新時(shí)，應(yīng)對(duì)應(yīng)用軟件更新包進(jìn)行加密，防止應(yīng)用更新包被非法獲取，導(dǎo)致信息泄露。5.3.2軟件安全試驗(yàn)方法5.3.2.1預(yù)置應(yīng)用軟件的安全試驗(yàn)試驗(yàn)步驟：1）無人駕駛裝備處于正常運(yùn)行狀態(tài)。2）通過漏洞掃描等分析手段檢查如下內(nèi)容：a)預(yù)置的應(yīng)用軟件是否進(jìn)行加固處理，防止反編譯、二次打包，反調(diào)試等；b)預(yù)置的應(yīng)用軟件權(quán)限應(yīng)循最小權(quán)限原則；c)預(yù)置的應(yīng)用軟件不應(yīng)存在后門等隱藏接口；d)預(yù)置的應(yīng)用軟件不應(yīng)包含有CNVD與CNNVD6個(gè)月前公布的高危及以上漏洞。3）結(jié)果若符合預(yù)置應(yīng)用軟件的安全技術(shù)要求的要求，判定為符合，其他情況判定為不符合。5.3.2.2應(yīng)用軟件的更新安全試驗(yàn)試驗(yàn)步驟：1）無人駕駛裝備處于正常運(yùn)行狀態(tài)。2）通過漏洞掃描等分析手段檢查如下內(nèi)容：a)預(yù)置應(yīng)用軟件進(jìn)行更新時(shí)，是否對(duì)應(yīng)用軟件更新包進(jìn)行版本號(hào)、哈希值、簽名和文件大小校驗(yàn)；b)進(jìn)行預(yù)置應(yīng)用軟件更新時(shí)，是否對(duì)應(yīng)用軟件更新包進(jìn)行加密，防止應(yīng)用更新包被非法獲取，導(dǎo)致信息泄露。3）結(jié)果若符合應(yīng)用軟件的更新安全技術(shù)要求的要求，判定為符合，其他情況判定為不符合。5.4數(shù)據(jù)安全5.4.1數(shù)據(jù)安全技術(shù)要求5.4.1.1數(shù)據(jù)傳輸安全數(shù)據(jù)傳輸安全要求如下：a)針對(duì)傳輸數(shù)據(jù)被惡意篡改的現(xiàn)象，需要對(duì)重要數(shù)據(jù)的傳輸通道進(jìn)行加密保護(hù)，保證傳輸過程中數(shù)據(jù)的完整性；b)支持傳輸過程中的身份鑒別和認(rèn)證。5.4.1.2數(shù)據(jù)存儲(chǔ)和使用安全數(shù)據(jù)存儲(chǔ)和使用安全如下：a)識(shí)別用戶敏感數(shù)據(jù)，要求對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，不能以硬編碼的形式存儲(chǔ)在終端和零部件中；b)車載終端的安全重要參數(shù)在存儲(chǔ)以及使用過程中，應(yīng)只允許被授權(quán)的應(yīng)用以授權(quán)方式讀取和修改；c)應(yīng)支持?jǐn)?shù)據(jù)可用性保障，支持?jǐn)?shù)據(jù)備份和恢復(fù)的能力。5.4.1.3數(shù)據(jù)刪除安全數(shù)據(jù)刪除安全要求如下：a)在恢復(fù)出廠設(shè)置時(shí)應(yīng)刪除運(yùn)行的數(shù)據(jù)和配置文件；6T/CIVEEXXXX—XXXXb)在返廠維修時(shí)，支持?jǐn)?shù)據(jù)被徹底刪除的功能，以保證被刪除的數(shù)據(jù)不可再恢復(fù)，防止殘留的數(shù)據(jù)信息被泄露或非法獲取。5.4.2數(shù)據(jù)安全試驗(yàn)方法5.4.2.1數(shù)據(jù)傳輸安全試驗(yàn)試驗(yàn)步驟：1）無人駕駛裝備處于正常運(yùn)行狀態(tài)。2）通過數(shù)據(jù)包嗅探、修改和重放等分析手段檢查如下內(nèi)容：a)針對(duì)傳輸數(shù)據(jù)被惡意篡改的現(xiàn)象，是否對(duì)重要數(shù)據(jù)的傳輸通道進(jìn)行加密保護(hù)，保證傳輸過程中數(shù)據(jù)的完整性；b)是否支持傳輸過程中的身份鑒別和認(rèn)證。3）結(jié)果若符合數(shù)據(jù)傳輸安全技術(shù)要求的要求，判定為符合，其他情況判定為不符合。5.4.2.2數(shù)據(jù)存儲(chǔ)和使用安全試驗(yàn)試驗(yàn)步驟：1）無人駕駛裝備處于正常運(yùn)行狀態(tài)。2）通過數(shù)據(jù)包嗅探、修改和重放等分析手段檢查如下內(nèi)容：a)識(shí)別用戶敏感數(shù)據(jù)，是否對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，是否以硬編碼的形式存儲(chǔ)在終端和和零部件b)車載終端的安全重要參數(shù)在存儲(chǔ)以及使用過程中，是否只允許被授權(quán)的應(yīng)用以授權(quán)方式讀取和修c)是否支持?jǐn)?shù)據(jù)可用性保障，支持?jǐn)?shù)據(jù)備份和恢復(fù)的能力。3）結(jié)果若符合數(shù)據(jù)存儲(chǔ)和使用安全技術(shù)要求的要求，判定為符合，其他情況判定為不符合。5.4.2.3數(shù)據(jù)刪除安全試驗(yàn)試驗(yàn)步驟：1）無人駕駛裝備處于正常運(yùn)行狀態(tài)。2）通過數(shù)據(jù)包嗅探、修改和重放等分析手段檢查如下內(nèi)容：a)在恢復(fù)出廠設(shè)置時(shí)是否刪除運(yùn)行的數(shù)據(jù)和配置文件；b)在返廠維修時(shí)，是否支持?jǐn)?shù)據(jù)被徹底刪除的功能，保證被刪除的數(shù)據(jù)不可再恢復(fù)，防止殘留的數(shù)據(jù)信息被泄露或非法獲取。3）結(jié)果若符合數(shù)據(jù)刪除安全試驗(yàn)技術(shù)要求的要求，判定為符合，其他情況判定為不符合。5.5通信安全5.5.1通信安全技術(shù)要求5.5.1.1認(rèn)證機(jī)制應(yīng)具備對(duì)通信數(shù)據(jù)的消息校驗(yàn)和認(rèn)證機(jī)制，防止攻擊者偽造、篡改信息。5.5.1.2數(shù)據(jù)傳輸完整性應(yīng)采用雜湊密碼算法（如SM3）和數(shù)字簽名算法（如SM2）的檢驗(yàn)技術(shù)和密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的完整性，包括鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。5.5.1.3數(shù)據(jù)傳輸機(jī)密性應(yīng)采用對(duì)稱密碼算法（如SM4）和數(shù)字信封分發(fā)對(duì)稱密鑰的方式的檢驗(yàn)技術(shù)和密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的保密性，包括鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。5.5.1.4行為抵賴7T/CIVEEXXXX—XXXX數(shù)據(jù)傳輸應(yīng)具備抵賴性，發(fā)送方用自己的私鑰對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行簽名，接收方使用發(fā)送方的公鑰對(duì)簽名數(shù)據(jù)驗(yàn)簽，防止發(fā)送方對(duì)其行為進(jìn)行抵賴。5.5.2通信安全試驗(yàn)方法5.5.2.1認(rèn)證機(jī)制試驗(yàn)試驗(yàn)步驟：1）無人駕駛裝備處于正常運(yùn)行狀態(tài)。2）通過數(shù)據(jù)包嗅探、修改和重放等分析手段檢查，是否具備對(duì)通信數(shù)據(jù)的消息校驗(yàn)和認(rèn)證機(jī)制，防止攻擊者偽造、篡改信息。3）結(jié)果若符合認(rèn)證機(jī)制技術(shù)要求的要