《汽车整车信息安全技术要求》要点解析
AI智能总结
。CAIC口T中国中信国通信院通信院通 《汽车整车信息安全技术要求》要点解析 柯皓仁车联网安全中心 2024年4月 www.caict.ac.cn 国家车联网安全政策体系逐步健全完善CAICT中国信通院 我国坚持发展与安全并重,紧抓车联网安全的多项重点工作任务,密集出台系列政策文件,强化安全体系化布局 2022年03月:工信部《车联网网络安全和数据安全标准体系建设指南 国际:UNR155和ISO/SAE21434 从2024年7月起,UN155/156将要求所有原始设备制造商及其供应 2021年09月:工信部《关于加强车联网网络安全和数据安全工作的通知》链包括多层网络安全解决方案,以防御当前和未来的网络攻击 2021年09月:工信部《关于加强车联网卡实名登记管理的通知》标准体系 漏洞管理 口2021年08月:工信部国家互联网信息办公室公安部网络产品安全漏洞管理规定的通知 定级备案身份认证 口2021年08月:工信部《关于加强智能网联汽车生产企业及产品准入管理的意见产品准入 口2021年07月:网信办、发改委、工信部等5部委印发《汽车数据安全管理若干规定(试行)》 口2021年06月:工信部印发《关于开展车联网身份认证和安全信任试点工作的通知 车联网卡实 名登记 专项要求与产业政策完善 口2018年12月:工信部印发《车联网(智能网联汽车)产业发展行动计划个 法律法规中华人民共和国网络安中华人民共和国数据安关键信息基础设施安全保中华人民共和国个人信息基础安全合规: 基础性责任义务 全法全法护条例保护法明确企业通用性、 标准发展CAICT中国信通院 中国信通 全球第一个汽车信息安全强制法规,中国非缔约方 国信达 UNECER155 1、网络安全管理体系认证(CsMSGyberSecurityManagementSystem)2、车辆网络安全型式认证(VTA,VehicleTypeApproval), 支撑落地 汉化? ISO/SAE21434《汽车整车信息安全技术要求》 产品网络安全生命周期的相关流程 车辆网络安全的完整框架标准要求更为细致和中严苛,国“中国信系列要求”的开始 言通院 出台背景CAICT中国信通院 联汽车)》中提出,基于国内行业发展现状和管理需求自主制定。于2021年4月正式调整为强制性国家标 准项目计划。 2021年2024年 下达强标修订计划强标发布 2019年成立项目编制组 国家标准化管理委员会文件2023年5月公开征求意见稿; 口预计2024年上半年正式发布 国标委发(2021】27号坚持与时俱进强调技管结合注重实操实践 GB 中人民共租国国家标准 国家标准化管理委员会关于下达 (包装机械安全要求)等31项强制性 适应中国汽车产业发 国家标准制修订计划及相关标准外文版计划的通知展现状的汽车整车信息汽车整车信员安全接来更 安全技术要求, 工业和室惠化部、住房热多建设部、交通运验部、应急码,烟草局、药益用: 中国信通 CAICT中国信通院 目录 QNTENTS 中国信01巡X出院台背景 02中内国容信解读通院 国中 通院 1.内容解读一适用范围和实施时间CAICT中国信通院 《汽车整车信息安全技术要求》的编制主要参考网络安全法规UNECER155和ISO/SAE21434《道 路车辆网络安全工程》。主要涵盖了信息安全管理体系建设、车型要求、车辆安全要求和信息安全要求 审核评估及测试验证方法等内容, 车辆类别定义 M至少有四个轮子并用于载客的 车辆 第五章信息安全管理体系要求 第六章车辆信息安全一般要求 口对于新申请VTA车型: 第七章车辆外部连接安全要求自强标实施之日起开 至少有四个轮子的汽车,用于始执行; 运载货物第八章车辆通信安全要求口对于已获得VTA车型: 适用对象 第九章车辆软件升级安全要求 实施时间 自强标实施之日起第 至少有一个ECU的拖车25个月开始执行。 资料来源:R155.2022GI.0BAI AUTOMOTIVECYBERSECURITYREPORT" 制图:车联网安全集智联盟 主要技术内容 第十章车辆数据代码安全要求 2.内容解读一目录结构CAICT中国信通院 国信 1.范围 国信通 《汽车整车信息安全技术要求》 2.规范性引用文件3.术语和定义4.缩略语 5.信息安全管理体系要求CSMS 主要涵盖了信息安全管理体系要求6.车辆信息安全一般要求 车辆信息安全一般要求、安全技术7.车辆外部连接安全要求8.车辆通信安全要求车辆安全 要求等内容。 言通院 9.车辆软件升级安全要求10车辆数据代码安全要求 11.审核评估及测试方法 12.车辆型式的变更和扩广展 13.实施日期 附录A(规范性)车辆信息安全要求测试验证方法 图标准结构图 技术要求 3.内容解读一编制关联CAICT中国信通院 《汽车整车信息安全技术要求》标准内容基于WP.29R155车辆网络安全管理体系,内容及相关材料 参考ISO/SAE21434《道路车辆-网络安全工程标准》等。 UNECER155《汽车整车信息安全技术要求》ISO/SAE21434 标准支撑内容参考 1.范围 2.定义4.相概述 3.审批申请4.标记5.审批5.组织级网络安全管理 5.信息安全管理体系要求 6.软件更新管理系统合规证书(CSMS)6.基于项目的网络安全管理 6.车辆信息安全一般要求 7.规范要求7.分布的网络安全活动 8.车型修改和延期9.产品符合性7.车辆外部连接安全要求8.持续的网络安全活动 10.产品不符合惩罚11.停产9.概念 【712.车辆型式的变更和扩展8.车辆通信安全要求阶段 10.产品开发 11.网络安全确 认 A附录1.信息文件附录2.通信模板 9.车辆软件升级安全要求 12.生产13.运维14.网络安全支持 附录3.审批标记安排附录4.CSMS证书模板 结束和退役 附录5.威胁列表和对应缓解措施10车辆数据代码安全要求15.威分析和风险评估方法 合规认证:CSMS认证VTA认证更符合中国汽车的标准 面向汽车行业全供应链的 车辆网络安全管理指导文件 4.内容解读-网络安全管理相关要求CAICT中国信通院 《汽车整车信息安全技术要求》第五章汽车信息安全管理体系要求,提及车辆生产企业应建立车辆全生命周期的汽车信息安全管理体系,并建立内部管理信息安全的流程,识别、评估、分类,处置车辆信息安全风险,建立车辆信息安全测试流程,监测、响应和上报告网络攻击,管理企业与供应商、服务提供商之间信息安全依赖关系,这与UNECER155基本一致 汽车整车信息安全技术要求UNECER.155 第五章闻述了汽车信息安全管理体系要求7.2系统匣述了网络安全管理系统的要求 车辆全生命周期的汽车信息安全管理体系要求网络安全管理系统使用发展、生产,后期制作阶段要求涵盖必要流程,以确保充分考虑安全风险要求充分考虑安全性要求 口建立用于车辆信息安全测试的流程要求响应威肋、漏洞应在合理的时间范围内缓解 口监测、响应及上报流程要求监控持续进行 中国信通口供应商信息安全依赖关系流程要求供应链管理 5.内容解读-车辆要求CAICT中国信通院 《汽车整车信息安全技术要求》第六章车辆信息安全一般要求。与UNECER.155关于车辆类型的要求 基本一致,此外增加了关于默认安全设置和车辆数据处里的要求。充分考虑了国内当前的行业技术水平 汽车整车信息安全技术要求UNECER.155 第六章阐述了车辆信息安全一般要求7.3系统闸述了对车辆类型的要求 口应遵循汽车信息安全管理体系要求开发阶段充分考虑网络安全 进行详细的风险评估,合理管理已识别的风险进行详尽的风险评估,并应适当处理/管理已识别的风险 口识别和防御网络攻击的措施 口采用默认安全设置 车辆数据处理应符合《智能网联汽车数据通用 中检测和国防御网络件攻击的措施 中国信通院 要求》的规定 6.内容解读-安全要求CAICT中国信通院 《汽车整车信息安全技术要求》第七、八、九、十章,详细阐述了安全威胁及安全要求。强标对身份 认证、身份识别、V2X数据、存储在车内的敏感个人信息、关键数据、境外传输数据要求等国家关注的几 大方面做出详细的要求。 UNECER.155 口规定七项安全要求 车辆外部连接安全要求 车辆通信安全要求 《汽车整车信息安全技术要求》 分别阐述四大方面威胁的38 项安全要求。 中国信70个威胁清单。车辆数据代码安全要求 言通院 潜在漏洞 非预期人类行为 后端服务器 7.内容解读-审核评估及测试方法CAICT中国信通院 《汽车整车信息安全技术要求》附录A中详细阐述了测试验证方法。对测试条件、测试输入信息、车 测试方法等内容进行了规定,并分别与正文第7章~第10章的要求条款进行对应,给出具体的通过条件 附录A车辆信息安全要求测试验证方法 测试条件输入信息 中国 车辆外部连接安全测试方法 车辆通信通道安全测试方法 测试方法辆软件升级安全测试方法车辆数据代码安全测试方法 8.车辆型式的变更和扩展 CAICT中国信通院 《汽车整车信息安全技术要求》第12章,针对车辆型式的变更和拓展进行描述,相比较UNECER155 更为严苛。车型获得扩展后,此扩展车型不可再扩展到其他车型。当送检车型具有多种选装方案时 判定条件扩展限制 口直接护展判定条件: 车辆生产企业相同:通过汽车信息安全管理体系审核:车型整车电子电气口无法扩展的判定条件: 架构相同:中央网关的硬件型号相同:车载软件升级系统硬件型号相同: 真备蜂窝移动通信系统功能的零件硬件型号相同:车辆无线通信方式所 车辆生产企业发生变更 使用的协议类型、版本相同;汽车信息安全管理体系失效 口审核后扩展的判定条件: 经审核车辆生产企业提供的车型风险评估报告后,确认整车信息安全风险 未增加 发生严重影响整车信息安全的变更 口测试验证后扩展的判定条件TONECER155无明显折展限制 应针对受影响的项目补充测试验证,测试验证通过后可获得扩展 中国信通 CAICT中国信通院 通院 目录 中国信巡院 已开展工作 QNTENTS中国信通院 国中 言通院 以定级备案为基础,提升车联网服务平台防护水平CAICT中国信通院 《关于加强车联网网络安全和数据安开展车联网服务平台网络安全防护定 全工作的通知》 《关干做好车联网网络安全防护定级 级备案 开展远程安全检测通报 开展网络安全检查 备案工作的通知》开展基础电信企业车联网业务考核 政策要求 车联网安全防护定级备案网络安全符合性评测 主要管理举措 网络安全风险评估定级备案安全评估 监测预警机制和技术手段 网络安全应急响应机制 监测预警应急处置 企业落实措施 以数据流转关键环节为重点,加强数据安全监管CAICT中国信通院 《汽车数据安全管理若干规定(试车内数据处理等3项试点 行)》 口《工和信息化领域数据安全管理重点企业数据分类分级和重要数据备案 办法(试行)》数据出境安全监管技术手段建设部署 数据出境全流程监测、报备出境数据检查 政策要求 汽车敏感数据匿名化数据分类分级管理重要和核心数据报备 数据安全监测预警 主要管理举措 数据分类分级安全风险评估 数据出境安全管理 数据安全监测 数据出境评估 重要数据应当依法在境内存储,确需 向境外提供的,应当道过安全评估。 车内数据若名化及人人信息显著告知 企业落实措施 17 以实网演练和标准建设为抓手,赋能安全能力提升 CAICT中国信通院 口探索开展智能网联汽车网络安全能力评价口持续举办“铸网”车联网安全演练 试点开展12款在售客观评价整车安全累计百余家企业积极 智能网联汽车的网络能力,引导企业不参与,覆盖汽车工作检验提升企业网络 安全能力评价工作。 断提升防护能力。发达省份,覆盖产业安全风险防范能力。 链上下游。 口加快建设车联网网络和数据安全标准体系口成立“车联网安全集智联盟 推进成立车联网安全统筹推进体系建设,联盟成员超140家,打造产业促进平台,任务组(TF2)高效推进标准研制覆盖汽车生产企业大力推动协同创新推进53项标准研制和应用高校、安全企业等。和
