国家标准《车载网络设备信息安全技术要求》全文

前言

众所周知，智能网联汽车信息安全系统的开发必须从车辆设计阶段就开始进行，并贯彻整个车辆研发过程始终，国外也出现了相关的汽车信息安全技术配套企业，协助汽车企业的信息安全保障工作。

而我国信息安全的相关研究处于起步阶段，汽车的信息安全标准、技术等方面相对薄弱，在智能网联汽车、自动驾驶汽车等技术全球化发展的重要阶段，与国际标准同时，甚至赶超于国际标准发布之前制定出适宜我国国情的汽车信息安全标准，是保障我国汽车产业健康发展、促进我国汽车品牌跻身于国际重大品牌的关键要素。

正是基于上述原因，《信息安全技术车载网络设备信息安全技术要求》国家标准应运而生。

国际组织情况

（1）欧盟Evita组织2011年推出了“E-Safety Vehicle Intrusion Protected Application Protection”项目。主要发布信息安全需求分析、车载安全架构设计、信息安全架构原理样机、原理样机展示。

（2）日本 IPA组织2013年发布了“Vehicle information security guide”指南，主要针对车辆信息安全保护对象、汽车信息安全威胁分析、生命周期信息安全管理。

（3）美国SAE组织2016年发布了“Cybersecurity Guidebook for Cyber-Physical Vehicle Systems”标准指南，主要针对全生命周期流程框架以及提供高级网络安全技术指导原则和工具方法。

国际标准推进情况

（1）IOS与汽车信息安全相关的标准主要有：ISO/TC204 、ISO/TC22 、ISO/TC241 、ISO/IEC JTC1。

（2）ISO /TC204智能交通系统国际标准化委员会，目前已经发布226项国际标准，现有12个活跃工作组。我国是TC204成员国，负责国际ITS相关标准投票等工作。

（3）ISO/TC22：SC32新设立WG11负责汽车安全工程标准化项目。

（4）WP29下属ITS/AD非正式工作组，制定了《网联汽车和自动驾驶汽车技术汽车网络安全及数据保护措施指南》是全球统一法规出台前的过渡性指导文件。（WP29的全称为联合国世界车辆法规协调论坛，WP29的工作是目前我国汽车行业参加的主要国际汽车技术法规工作）。

标准内容简介

主要内容包括车载网络设备的硬件安全要求、操作系统安全要求、应用软件安全要求、网络传输安全要求、数据安全防护要求、系统远程升级安全防护技术要求以及管理安全要求等。

车载网络设备硬件安全要求包括设计安全和抗攻击防护。操作系统安全要求包括安全启动、安全加固、安全更新、日志审计等。应用程序安全要求包括安全启动、通信安全、运行安全、日志审计等。网络传输安全要求，是保证车内网或车对外网络通信的数据传输的机密性、完整性、可用性，包括网络边界的安全和网络传输的安全。数据安全要求，是数据的采集、处理、存储、传输、销毁等过程中不被非法获取和篡改。系统远程升级安全防护，是确保升级包的完整性、来源合法性，以及升级过程的安全运行。管理安全技术要求，主要提供对系统运行状态、网络通信、数据操作等过程的监视或管理。

标准正文