推荐性国家标准 《电动汽车远程服务与管理系统信 息安全技术 … ·...
TRANSCRIPT
-
推荐性国家标准
《电动汽车远程服务与管理系统信
息安全技术要求》
(征求意见稿)
编制说明
标准起草项目组
2020 年 4 月
-
目 次
一、 工作简况.............................................................................................................................3二、 国家标准编制原则和确定国家标准主要内容................................................................ 6三、 主要试验(或验证)情况分析........................................................................................ 8四、 标准中涉及专利的情况.................................................................................................. 12五、 预期达到的社会效益等情况.......................................................................................... 12六、 采用国际标准和国外先进标准的情况.......................................................................... 13七、 与现行相关法律、法规、规章及相关标准的协调性.................................................. 13八、 重大分歧意见的处理经过和依据.................................................................................. 13九、 标准性质的建议说明.......................................................................................................13十、 贯彻标准的要求和措施建议.......................................................................................... 13十一、 废止现行相关标准的建议.......................................................................................... 13十二、 其他应予说明的事项.................................................................................................. 13
-
《电动汽车远程服务与管理系统信息安全技术要求》
(征求意见稿)
编制说明
一、 工作简况
(一) 任务来源
本项目是根据国家标准委[2019]11号文《关于下达2019年第一批推荐性国家标准计划的
通知》(计划项目编号20191066-T-339,标准项目名称《电动汽车远程服务与管理系统信息
安全技术要求》)进行制定。
(二)工作过程
任务下达后,汽标委智能网联汽车分标委根据单位申请情况成立标准起草项目组,确定
东软集团股份有限公司为牵头单位,并在此基础上明确了任务和分工,积极开展标准的研究、
调研、起草、研讨等工作。
2018年05月~06月,标准项目启动预研,确定了标准制定的指导思想和原则,制订了标
准的总体框架和工作计划。
2018年06月~2019年12月,收集、整理、并系统地分析了国内外与电动汽车远程信息服
务系统相关的法规、标准、文献资料、市场应用情况等,开展了相关技术研究。
2018年7月26日,标准起草项目组第一次电话会议,讨论标准体系关系梳理和项目组工
作方式,对第一版草案的征集意见进行讨论并修改更新草案。
2018年8月,工作组牵头单位扩大会议,汇报项目进展和后续计划。讨论项目状态和热
点问题,对标准体系和框架进行讨论。
2018年9月6日,标准起草项目组第二次电话会议,对第二版草案的征集意见进行讨论并
修改更新草案。
2018年10月23日,标准起草项目组天津会议。对第三版草案的征集意见进行讨论并修改
更新草案,讨论测试验证需求和方法。
2018年12月19日,工作组牵头单位会议,汇报项目进展和后续计划。汇报项目状态,探
讨共性问题。
2018年12月~2019年5月,草案修改完善和项目组内意见征集。期间,标准项目正式获
-
批立项。
2019年6月4日,标准起草项目组无锡会议。对第四版草案的征集意见进行讨论和修改更
新草案,确定增加测试验证章节内容,并进行讨论。
2019年8月9日,标准起草项目组电话会议,对第五版草案的内容进行了讨论,对新增加
的测试与验证章节内容进行了交流和讨论。
2019年8月~12月,开展标准测试方法验证工作,根据测试数据完善标准文本;组织专
家进行研讨和多次修改,形成工作组征求意见稿。
2019年11月7日,标准起草项目组杭州会议。对第五版草案的征集意见进行讨论并修改
更新草案,总结测试验证工作。
2019年11月28日~12月18日,面向工作组内各成员单位广泛征求意见。
2019年12月~2020年2月,根据工作组内征求意见,组织专家进行研讨,对意见进行回
复并对标准草案进行修改完善,编制标准编制说明。
2020年03月-04月,根据秘书处专家评审意见,修改标准草案和编制说明,形成征求意
见稿。
1.项目组第一次会议
2018年5月22日,项目组在广州召开“《电动汽车远程信息服务与管理系统信息安全技
术要求》标准起草组第一次会议”。会议对电动汽车远程信息服务与管理系统的基本情况进
行了交流,对标准背景、标准的总体框架、标准的基本内容进行了讨论,并围绕标准的编制
原则、适用范围、内容取舍以及工作方式等几方面进行了深入的讨论。会议明确了本标准需
要结合GB/T 32960的技术要求,对标准中涉及的具体业务提出相应的信息安全技术补充,主
要包括:车载终端安全技术要求,通信协议安全技术要求,远程管理业务的安全技术要求等。
会议还就终端监控和平台建设的信息安全进行讨论。会议确定关键术语的定义,并提出各个
信息安全项目组需要协调统一。项目组基于本次会议建立工作沟通机制,分享前期关于本标
准预研过程中形成的工作材料,各成员单位与单位内部业务单元进行研讨,反馈各参与单位
的建议。针对标准所覆盖的内容进行任务分解,组织协调各参与单位进行编写。通过多边/
单边沟通,明确标准范围和原则,并进行相关决议。
2. 项目组第二次会议
2018年7月26日,项目组通过电话会议形式组织标准项目讨论。会议研究和讨论了本标
-
准与汽车信息安全标准体系的关系,旨在保证本标准与体系内其他标准相协调,形成完整的
汽车信息安全子体系。明确各成员单位所负责的标准编写工作范围,并根据草案内容提出具
体的修改意见,按照统一格式形成意见表。项目组计划于后续工作中按月度推进标准草案迭
代。基于第一版草案的意见征集表,参会各单位对意见进行讨论和研究,部分意见形成共识,
并将未形成共识的意见分配至相关单位开展深入研究并于后续会议继续讨论。基于会议讨论
内容,更新草案版本,并再进行下一阶段的项目组内意见征集。
3. 项目组第三次会议
2018年9月6日,项目组通过电话会议形式组织项目组成员单位对第二版草案的征集意见
进行讨论。基于本次征集意见,项目组对于草案的术语定义、安全通信要求、OTA要求以及
标准文字编排和格式进行修改。并就上次会议遗留的问题进行讨论,确定去掉SIM卡和等保
相关要求内容。会议明确对已形成共识的修改意见更新至下一版标准草案中并形成第三版草
案,并进行下一步的提案征集。
4. 项目组第四次会议
2018年10月23日,项目组在天津召开会议。会议再次明确标准编写的格式、用词准确性
等问题,对上次遗留的问题进行了补充说明,对第三版草案的征集意见进行讨论并完善草案,
并讨论了技术要求的测试验证需求和方法。会议明确结构图中公共平台、企业平台和车载终
端的关系,双向认证的细化,GB/T 32960标准的定义引用,车载终端与平台的通信应遵循统
一的协议等内容,确定平台安全不在本标准体现。本次会议形成第四版标准草案并启动新一
轮项目组意见征集。
5. 项目组第五次会议
2019年6月4日,项目组在无锡召开会议。会议上对第四版草案的征集意见进行讨论并修
改更新草案,确定删除规范引用文件中的密码学标准,根据GB/T 32960修改安全架构图。本
次会议主要对终端安全监控的范围、以及是否为技术要求、安全审计的描述、用户信息的涵
盖范围、安全通信协议应用范围等内容进行讨论。会议确定增加测试验证章节,由相关专家
介绍了相关领域的测试方法和测试经验,参会单位对测试编写原则和内容进行讨论,并确定
由中汽中心负责测试验证章节的编写任务。根据会议结论形成第五版草案。并进行下一步项
目组内意见征集。
-
6. 项目组第六次会议
2019 年 8 月 9 日,项目组通过电话会议形式组织会议,处理第四版征集意见表的遗留
问题,并对第五版草案的新增内容和测试与验证章节内容进行讨论。会议明确删除个人数据
相关的描述和密码学算法的规定。项目组决定与车载信息交互系统信息安全技术要求标准的
编写单位进行交流,确认终端技术要求,避免内容的冲突或重复。
7.项目组第七次会议
2019 年 11 月 7 日,项目组在杭州召开会议对第五版草案的征集意见进行讨论,通读草
案内容并对细节文字内容进行讨论修改。测试验证负责单位就测试情况进行汇报,进一步细
化测试方法。会议决定根据会议结论,完成草案完善工作,形成汽车信息安全工作组征求意
见稿。
8.工作组内部征求稿反馈意见回复
工作组征求意见稿发出后,收到 108 条的反馈意见。针对收集的反馈意见内容,项目组
组织专家分别进行了讨论,44 条意见接受,15 条意见部分接受,49 条不接受。并根据相关
意见的处理对标准草案进行了修改。
9.项目组第八次会议
2020 年 4 月 14 日,项目组通过远程线上会议形式组织项目组会议,对智能网联汽车分
标委秘书处提出的修改意见进行讨论和修改,形成征求意见稿,并结合草案内容完善编制说
明。
(三) 主要参加单位和工作组成员及其所做的工作等
本标准由十余家单位共同起草。在本标准的制定过程中,多次组织行业专家进行了研讨,
得到了相关单位的支持、协助与配合,取得了大量具有建设性的意见、建议。
二、 国家标准编制原则和确定国家标准主要内容
(一)标准编制原则
1)本标准编写符合 GB/T 1.1-2009《标准化工作导则》的要求;
2)项目组内各成员单位对标准内容多次广泛征求意见,并在工作组会议上充分讨论;
3)起草过程,充分考虑国内外现有相关标准的统一和协调。
4) 标准的要求充分综合信息安全行业、汽车主机厂、汽车零部件厂商的现行标准和意
-
见,在不偏离国际和国内当前行业术水平的基础上前瞻性地考虑技术发展方向。
5)适当考虑标准条款对汽车车载终端设备零部件的软硬件成本影响。
(二)标准主要内容
本标准规定了电动汽车远程服务与管理系统的信息安全要求与测试方法。本标准是对
GB/T 32960 电动汽车远程服务与管理系统技术规范的补充,适用于纯电动汽车、插电式混
合动力电动汽车和燃料电池电动汽车的车载终端、车辆企业平台和公共平台之间的数据通
信。
1. 术语和定义
标准的术语和定义参考GB/T 19596《电动汽车术语》、GB/T 32960.1-2016《电动汽车
远程服务与管理系统技术规范 第1部分:总则》、GB/T 32960.2-2016《电动汽车远程服务
与管理系统技术规范 第2部分:车载终端》、GB/T 32960.3-2016《电动汽车远程服务与管
理系统技术规范 第3部分:通信协议及数据格式》中的部分术语和定义,并对“可信验证”、
“主体”和“客体”进行了标准化定义。
2. 条款 4.1 总体结构图
从总体结构图可以看出,本标准主要对用于远程信息服务的电动汽车车载终端,公共平
台与企业平台间的安全通信协议以及企业平台与车载终端之间的安全通信协议等方面提出
信息安全要求。
3. 条款 4.2 车载终端信息安全
4.2.1规定车载终端应满足保密性、完整性、可用性的基本要求。
4.2.2分别从硬件、固件、软件系统、数据存储、网络接口传输、远程升级、日志和系
统安全等八个方面提出要求。
4. 条款 4.3 平台间通信安全要求
4.3.1规定在平台间采用双向身份鉴别和安全通信协议,建立安全通信链路,保证数据
传输的保密性、完整性和可用性。
4.3.2提出在通信协议栈中,安全通信协议在TCP/IP和业务应用层协议之间。
-
4.3.3规定平台间的安全通信协议应采用TLS1.2或以上版本,并要求不能降级、禁用会
话重协商、禁用TLS压缩,也对使用基于非对称密钥和对称密钥的身份认证的TLS协议提出要
求。
4.3.4规定对远程服务与管理数据进行加密,并提出加密要求。
5. 条款 4.4 车与平台通信安全要求
4.4规定车载终端和平台的通信需要满足的信息安全要求,包括链路加密和数据加密。。
5. 条款 4.5 平台安全要求
提出了企业平台和公共平台对车载终端的信息安全状况的监视管理。
6. 条款 5 和附录 A(规范性附录)信息安全试验方法
根据本标准“4.信息安全要求”的信息安全技术要求,逐一对应提出了本部分测试方法。
“4.3.4 数据单元加密要求”, 加密算法和密钥属于企业核心知识资产,从信息安全角度,
不宜进行第三方测试,因此标准中未提供对应测试方法。“4.5 平台安全要求”为符合部委
相关文件对电动汽车安全运行状况的监测要求,同时保持总体结构图框架的完整性,属于原
则性要求,行业内尚无统一的实现方案,无法明确对应的测试,因此本标准未提供对应测试
方法。
三、 主要试验(或验证)情况分析
(一) 测试概况
因为满足要求的平台端开发周期较长,且针对平台端的技术要求和测试方法在相近行业
内已有成熟的应用案例,本标准试验验证主要针对用于远程信息服务的车载终端展开。
项目组委托国内主流的电动汽车车载终端生产商按照本标准的要求准备了四台试验验
证测试用终端,以此开展了验证试验,因该终端不具备安全应用程序的功能,所以未验证和
应用程序相关的技术要求和测试方法。
-
图1 试验验证终端外型
(二) 车载终端硬件信息安全测试验证
测试人员在厂商技术人员的配合下打开了终端盒体,检查后发现:
① PCB板上所有芯片和PCB板上不存在暴露的丝印,满足标准。
② PCB板上所有芯片均是封装过的,不存在暴露的接口,满足标准的要求。
③ PCB板上存在一个未使用的UART串口,测试人员使用总线设备探针接入该接口,
发现必须要授权才能采集数据,满足标准要求。
图2 试验验证终端PCB板
(三) 车载终端固件信息安全测试验证
厂商提前准备好可以正常运行的系统镜像和bootloader固件,在测试人员的监督下,厂
商按照测试人员的要求,使用修改工具对镜像和bootloader固件的签名数据进行替换破坏,
并拍下修改前后的签名数据段代码。
测试人员将修改后的镜像和bootloader固件分别写入两个终端并上电运行,两个终端均
无法正常运行,符合标准要求。
-
图3 试验验证终端签名修改
(四) 车载终端软件系统信息安全测试验证
厂商提供临时登陆用户,测试人员使用该用户连接终端。接入终端后,测试人员根据厂
商提供的访问控制规则创建一个未添加访问控制权的软件应用程序,并使用该未添加访问控
制权的软件应用程序尝试调用受保护的软件应用程序资源,调用资源失败,满足标准要求。
厂商提前准备好可以正常运行的系统镜像,在测试人员的监督下,厂商按照测试人员的
要求,使用修改工具对镜像的关键代码进行替换破坏,并拍下修改前后的关键代码。测试人
员将修改后的系统镜像写入终端并上电运行,终端无法正常运行,符合标准要求。
图4 试验验证终端系统镜像代码修改
-
图5 修改前后运行状态比对
(五) 车载终端数据存储信息安全测试验证
测试人员根据厂商提供的车载终端存储敏感数据存储区域和地址范围信息,以非授权的
应用程序读取存储敏感区域内容,读取失败,满足标准要求。
图6 非授权的读取失败
测试人员根据厂商提供的车载终端存储敏感数据存储区域和地址范围信息,以非授权的
应用程序修改存储敏感区域内容,修改失败,满足标准要求。
图7 非授权修改失败
测试人员根据厂商提供的车载终端存储敏感数据存储区域和地址范围信息,用逆向分析
工具读取存储敏感区域内容,内容读取后无法解析为有意义的内容,满足标准要求。
-
测试人员根据厂商提供的车载终端配置文件等系统数据的区域和地址范围,使用非授权
的应用程序读取配置文件等系统数据区域内容,读取失败,满足标准要求。
(六) 车载终端网络接口传输信息安全测试验证
因缺少满足要求的客户端平台,该测试项仅进行了安全扫描项这一小项的测试验证。测
试人员在厂商的配合下,将车载终端接入网络攻击工具平台,并采用漏洞模拟攻击工具进行
网络攻击测试,网络攻击结束,终端入侵检测系统的攻击检测率为97%,满足标准要求。
(七) 车载终端日志功能信息安全测试
厂商配合提供车载终端日志功能所记录的安全时间种类、存储区域和地址范围,测试人
员以非授权的应用程序读取日志功能区域内容,读取失败,满足标准要求。
图8 非授权应用读取
图9 授权应用读取
厂商配合提供车载终端日志功能所记录的安全时间种类、存储区域和地址范围,测试人
员以非授权的应用程序修改日志功能区域内容,修改失败,满足标准要求。
厂商配合提供车载终端日志功能所记录的安全时间种类、存储区域和地址范围,测试人
员采用逆向分析工具读取日志功能区域内容,内容读取后无法解析为有意义的内容,满足标
准要求。
(八) 车载终端系统信息安全测试方法
测试人员将车载终端接入漏洞扫描工具平台,对车载终端采用漏洞扫描工具进行漏洞检
测,扫描结束后,未发现6个月及以上的高危安全漏洞存在,满足标准要求。
四、 标准中涉及专利的情况
本标准不涉及专利问题。
五、 预期达到的社会效益等情况
本标准的制定和实施,将为行业管理部门提供技术支撑,引导相关零部件和汽车整车生
产企业满足行业信息安全要求,大大提升我国汽车行业的信息安全技术水平。
-
随着车辆电子化、智能化、网联化等的快速推进,越来越多的车辆已经与外部互联网产
生通信,从而引入了巨大的信息安全风险。一旦车辆受到恶意攻击,将对财产和人生安全造
成无法预知的威胁。电动汽车远程信息服务与管理系统是电动汽车信息采集、处理和管理的
核心系统,通过对该信息服务系统实施信息安全保障措施,可以大幅降低信息安全风险,具
有显著的经济效益和社会效益。
六、 采用国际标准和国外先进标准的情况
本标准没有采用国际标准。
本标准制定过程中未查到同类国际、国外标准。
本标准修订过程中未测试国外的样品、样机。
本标准水平为国内先进水平。
七、 与现行相关法律、法规、规章及相关标准的协调性
本标准与我国现行有关法律、法规和强制性国家标准不矛盾。
八、 重大分歧意见的处理经过和依据
无。
九、 标准性质的建议说明
鉴于本标准在《国家车联网产业标准体系建设指南(智能网联汽车)》中的项目定位与
规划。根据标准化法和有关规定,建议本标准的性质为推荐性国家标准。
十、 贯彻标准的要求和措施建议
1.首先应在实施前保证本标准文本的充足供应,使每个制造厂、设计单位以及检测机构
等都能及时获得本标准文本,这是保证新标准贯彻实施的基础。
2.本次指定的《电动汽车远程信息服务与管理系统信息安全技术要求》不仅与生产企业
有关,而且与设计单位、检测机构等相关。对于标准使用过程中容易出现的疑问,起草单位
有义务进行必要的解释。
3.可以针对标准使用的不同对象,如制造厂、质量监管等相关部门,有侧重点地进行标
准的培训和宣贯,以保证标准的贯彻实施。
十一、 废止现行相关标准的建议
无。
十二、 其他应予说明的事项
无。
一、工作简况1.项目组第一次会议2. 项目组第二次会议3. 项目组第三次会议4. 项目组第四次会议5. 项目组第五次会议6. 项目组第六次会议7.项目组第七次会议8.工作组内部征求稿反馈意见回复9.项目组第八次会议
二、国家标准编制原则和确定国家标准主要内容1. 术语和定义2. 条款4.1 总体结构图3. 条款4.2 车载终端信息安全4. 条款4.3 平台间通信安全要求5. 条款4.4 车与平台通信安全要求5. 条款4.5 平台安全要求6. 条款5和附录A(规范性附录)信息安全试验方法
三、主要试验(或验证)情况分析(一)测试概况(二)车载终端硬件信息安全测试验证(三)车载终端固件信息安全测试验证(四)车载终端软件系统信息安全测试验证(五)车载终端数据存储信息安全测试验证(六)车载终端网络接口传输信息安全测试验证(七)车载终端日志功能信息安全测试(八)车载终端系统信息安全测试方法
四、标准中涉及专利的情况五、预期达到的社会效益等情况六、采用国际标准和国外先进标准的情况七、与现行相关法律、法规、规章及相关标准的协调性八、重大分歧意见的处理经过和依据九、标准性质的建议说明十、贯彻标准的要求和措施建议十一、废止现行相关标准的建议十二、其他应予说明的事项