国家标准《车载网络设备信息安全技术要求》介绍

我国信息安全的相关研究处于起步阶段，汽车的信息安全标准、技术等方面相对薄弱，在智能网联汽车、自动驾驶汽车等技术全球化发展的重要阶段，与国际标准同时，甚至赶超于国际标准发布之前制定出适宜我国国情的汽车信息安全标准，是保障我国汽车产业健康发展、促进我国汽车品牌跻身于国际重大品牌的关键要素。

基于以上原因，《信息安全技术 车载网络设备信息安全技术要求》国家标准应运而生，目前全国信息安全标准化技术委员会已经发出了该标准的征求意见稿。该标准从车载网络设备的角度提出了详细的信息安全技术要求。

该标准适用于指导和规范整车制造商、设备供应商进行车载网络设备信息安全功能的设计、研发、生产、实施以及测试评估，也可作为职能部门进行监督、检查和指导的依据。

首先标准从汽车常规的威胁入手，列举了十一种威胁手段，比如通信窃听、信息重放、旁路攻击、拒绝服务、暴力破解、非授权访问、数据窃取、系统及软件漏洞等常规的威胁形式，以此作为信息安全技术方面需要应对问题。

1.   安全架构

车载网络设备信息安全技术的最终落脚点重点还是在在于车辆技术本身，这不得不从车辆的安全架构谈起。

汽车网关、车载T-Box和车载信息娱乐系统（IVI）是汽车内部网络和对外通信的重要组成设备。汽车网关是汽车内部网络的核心设备，通过转发实现ECU之间的数据通信；车载T-Box和车载信息娱乐系统（IVI）负责汽车对外通信连接，是实现汽车与外界通信的功能单元。

汽车网关、车载T-Box和车载信息娱乐系统（IVI）都应具有相应的安全要求，确保其正常运行。这些安全要求包括：硬件安全，操作系统安全，应用软件安全，数据安全和网络传输安全。安全要求的实现机制都是相同的。比如，机密性保护、完整性保护、审计、访问控制、认证和鉴权等，在每一个安全要求中都有体现。

2.   安全目标

车载网络设备信息安全技术涉及到的维度一般从云管端的角度来说，但此次标准从五个角度提出了要求，从自身软硬件设计、网络传输、数据安全、远程升级安全、再到安全管理功能均提出了相关的要求

在安全属性要求方面，除了传统的CIA(机密性、完整性、可用性)之外，还重点扩展了可审计性、可控性、隐私保护，安全保护基本也从以上六个角度进行维护。

3.   安全技术要求

在此标准里，围绕以上提到的五个角度进行了详细的展开，包括硬件安全要求、操作系统安全要求、应用软件要求、网络传输要求、数据安全保护要求、系统远程升级安全防护要求，接下来，我们从汽车研发工程师相对比较熟悉的硬件安全要求和网络传输要求、数据安全防护要求做简单的介绍。

3.1  硬件安全要求

车载网络设备在硬件设计上应满足以下安全要求：

a)   在电路主板上，不应存在用以标注芯片、端口和管脚功能的可读丝印；

b)   在板载芯片中，不应存在可非法对芯片内存进行访问或者更改芯片功能的隐蔽接口。

c)   应对板载芯片调试接口进行禁用或实施安全访问控制；

d)   板载芯片的诊断接口应具有鉴权功能。；

e)   应具有存储和隔离敏感数据的安全区域或安全模块；

f) 应防止非授权获取或篡改在安全区域或安全模块中一次性写入的敏感信息；

g)   安全区域或安全模块应具有检测与处置非授权访问的机制。

3.2   网络传输安全要求

3.2.1  汽车网关网络传输安全要求：

a) 应采用加密、认证等安全措施保护关键通信数据的保密性、完整性、可用性和抗重放攻击；

b)   应具有网络安全监测机制，提供针对报文异常和非法入侵的实时监测，并提供分析统计和告警等；

c)    应能够抵抗拒绝服务攻击；

d)   应具有安全存储功能，将用于安全通信的密钥等相关信息进行加密存储；

e)   应对需要网络通信的业务的按照重要性划分优先等级，优先保障高优先级业务的网络通信需求；

f)   应对网络通信的相关访问操作和安全事件生成日志记录。

3.2.2  车载T-BOX和车载信息娱乐系统（IVI）通信安全技术要求

3.2.2.1  网络接入安全要求

车载T-Box和车载信息娱乐系统（IVI）应满足如下的网络接入安全要求：

a)    不应存在未经声明的外围介质（例如：CD/DVD、SD卡、USB）接口；

b)   应对外部实体发起的通信连接请求进行身份认证；

c)   应定义通过外围接口接入的存储介质上的文件类型和权限，并限制通过接口对车载网络设备进行的操作类型；

d)   应关闭用于监听外部服务的网络服务端口。

3.2.2.2  网络传输安全要求

车载T-Box和车载信息娱乐系统（IVI）应满足如下的网络传输安全要求：

a)   与核心业务平台的通信应采用专用网络或者虚拟专用网络，与公网隔离；

b)   与远程服务平台进行通信时，应能够互相认证对方的身份，当双方身份相互验证合法后，建立通信链路连接；

c)    应具有针对网络传输的访问控制功能；

d)   应采用安全通信协议或数据加密的机制；

e)    应对外界接入访问进行监视和入侵防御；

f)    具有安全存储功能，将用于安全通信的密钥等相关信息进行加密存储，并 保证其完整性；

g)   应具有日志审计功能。

3.3  数据安全防护要求

3.3.1  数据采集

车载网络设备的数据采集应满足如下安全要求：

a)   与用户身份、位置信息等相关的敏感数据，应通过显式的方式告知用户并获得用户确认，并说明数据采集所依据的国家法律法规或者业务需求；

b)   对用户数据的采集应在提供相应服务的同时进行。若出于业务需要而必须事先采集相关数据，应向用户明示事先采集的目的和范围，并且应在用户同意的情况下方可继续；

c)   采集用户使用行为等用户数据时，应提示用户并向用户提供关闭数据采集的功能。在执行此类操作前，应首先对用户身份进行认证。

3.3.2  数据存储

车载网络设备的数据存储应满足如下安全要求：

a)   用户敏感数据（例如：用户身份、位置信息）应存储在物理或软件隔离的专用存储区域，同时为保存数据的文件设置适当的访问权限；

b)   应采用加密形式保存涉及用户生物特征的数据；

c)    未向用户明示或未经用户同意禁止擅自修改用户数据；

d)   安全存储的文件应具有标识信息。

3.3.3  数据传输

车载网络设备的数据传输应满足如下安全要求：

a)    应使用安全的传输协议传输数据；

b)   应对重要的数据进行加密传输。

3.3.4  数据销毁

车载网络设备的数据销毁应满足如下安全要求：

a)   共享类应用（例如：共享汽车），在当前用户退出后，该用户的敏感数据应被清空；

b)   通过车载网络设备采集的用户数据，在传送到云端服务器后，应具有防止用户隐私泄露的脱敏措施；

c)   车载网络设备更换件后，应同步相关用户数据至新件，并删除换下的旧件中存放的数据并；

d)   应对不再使用的敏感数据销毁并且不能被恢复。

4.   总结

以上，针对《信息安全技术 车载网络设备信息安全技术要求》中的关键内容做了基础的介绍，从整车的安全架构入手，提到了整体的安全目标，然后从车辆可能涉及到的信息安全维度进行技术要求的明确。

尽管标准本身无法指导具体的产品开发，但从信息安全技术的角度为汽车产品开发提供了思考的维度，填补了车载网络设备信息安全技术要求标准方面的空白，也为后续的标准细化和扩展打下了框架基础。

编者简介：

主笔：杨文昌（ID:文昌007），国家智能网联汽车创新中心，专注汽车信息安全流程开发及咨询

主理人：李强（ID:Keellee），国家智能网联汽车创新中心，专注汽车安全情报及运营管理

声明：本文来自汽车信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。