DB4403T426-2024智能網(wǎng)聯(lián)汽車網(wǎng)絡安全技術要求

ICS35.030CCSL80

DB4403深 圳 市 地 方 標 準DB4403/T426—2024智能網(wǎng)聯(lián)汽車網(wǎng)絡安全技術要求Technicalrequirementsfornetworksecurityofintelligentconnectedvehicles2024-01-222024-01-222024-02-01深圳市市場監(jiān)督管理局發(fā)布DB4403/T426—2024DB4403/T426—2024DB4403/T426—2024DB4403/T426—2024目??次前言 II范圍 1規(guī)范性引用文件 1術語和定義 1縮略語 2網(wǎng)絡安全總體框架 2車載設備安全要求 3安全啟動 3操作系統(tǒng) 3硬件安全模塊 3接口安全 3入侵檢測 3通信安全要求 4車內(nèi)通信 4車外通信 4應用服務安全要求 5聯(lián)網(wǎng)平臺 5車載應用 6數(shù)據(jù)安全要求 6數(shù)據(jù)通用要求 6數(shù)據(jù)收集 7數(shù)據(jù)存儲 7數(shù)據(jù)傳輸 8數(shù)據(jù)使用 8數(shù)據(jù)共享 8數(shù)據(jù)銷毀 8網(wǎng)絡安全保障要求 9密碼安全 9算法安全 9風險評估 9安全監(jiān)測 9應急響應 10參考文獻 11I前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由深圳市政務服務數(shù)據(jù)管理局提出并歸口。本文件主要起草人：李蘇、董安波、林宇群、穆端端、趙劍、軒豪男、束建鋼、周亞超、蔣洪林、張雷、畢欣、趙貴權、馬登輝、鄭恬靜、何淑婷、馬鑫、苑廣勇、倪平、曹陽、秦孟強、張曉超。IIII智能網(wǎng)聯(lián)汽車網(wǎng)絡安全技術要求范圍注：在不引起混淆的情況下，本文件中的“汽車”“車”“車輛”均為“智能網(wǎng)聯(lián)汽車”。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T25069—2022信息安全技術術語GB/T35273—2020信息安全技術個人信息安全規(guī)范GB/T39786—2021信息安全技術信息系統(tǒng)密碼應用基本要求GB/T40856—2021車載信息交互系統(tǒng)信息安全技術要求及試驗方法GB/T40861—2021汽車信息安全通用技術要求YD/T3751—2020車聯(lián)網(wǎng)信息服務數(shù)據(jù)安全技術要求DB4403/T271—2022公共數(shù)據(jù)安全要求術語和定義GB/T25069—2022界定的以及下列術語和定義適用于本文件。3.1智能網(wǎng)聯(lián)汽車intelligentconnectedvehicle利用車載傳感器、控制器、執(zhí)行器、通信裝置等，實現(xiàn)環(huán)境感知、智能決策和/或自動控制、協(xié)同控制、信息交互等功能的汽車的總稱。注1：環(huán)境感知、智能決策、自動控制以及協(xié)同控制等功能一般稱為智能功能，其中協(xié)同控制功能一般需要網(wǎng)聯(lián)功能支持。注2：車輛利用通信技術實現(xiàn)與外界信息交互的功能稱為網(wǎng)聯(lián)功能，“外界”是指車輛自身范疇以外，例如穿戴設備等屬于“外界”的范疇。注3：具備智能功能的汽車稱為智能汽車，具備網(wǎng)聯(lián)功能的汽車稱為網(wǎng)聯(lián)汽車。3.2車載終端on-boardterminal安裝于智能網(wǎng)聯(lián)汽車上，具有信息的采集、處理、存儲、傳輸?shù)裙δ艿能囕d信息設備。1縮略語下列縮略語適用于本文件。C-V2X：蜂窩車聯(lián)網(wǎng)（Cellular-V2X）DDOS：分布式拒絕服務（DistributedDenialofService）DSRC：專用短程通信（DedicatedShortRangeCommunications）OBD：車載診斷系統(tǒng)（On-BoardDiagnostic）OBU：車載單元（OnboardUnit）RFID：射頻識別（RadioFrequencyIdentification）TLS：安全傳輸層協(xié)議（TransportLayerSecurity）USB：通用串行總線（UniversalSerialBus）V2X：車對車、車對外界的信息交換（VehicletoEverything）Wi-Fi：無線保真技術（WirelessFidelity）3G：第三代移動通信系統(tǒng)（3rdGeneration）4G：第四代移動通信系統(tǒng)（4thGeneration）5G：第五代移動通信系統(tǒng)（5thGeneration）網(wǎng)絡安全總體框架體框架見圖1。圖1智能網(wǎng)聯(lián)汽車網(wǎng)絡安全總體框架2體框架見圖1。圖1智能網(wǎng)聯(lián)汽車網(wǎng)絡安全總體框架2車載終端安全要求安全啟動操作系統(tǒng)操作系統(tǒng)安全要求如下：應具備權限管理機制和身份識別與鑒權，刪除非必要賬戶，限制提權操作；應具備訪問控制機制，依據(jù)安全策略控制用戶賬號、進程等主體對客體的訪問；應僅允許必要端口對外開放，關閉不必要的端口、進程或服務；應對開發(fā)者調(diào)試接口進行管控，避免非授權訪問；應具有內(nèi)存保護機制以降低緩沖區(qū)溢出攻擊等風險；6系統(tǒng)升級時，應建立升級設備與升級服務器或者離線升級設備之間的認證機制，認證機制宜采用雙向認證機制；系統(tǒng)升級時，應對升級包進行完整性和合法性的驗證，防止升級包被惡意篡改。硬件安全模塊硬件安全模塊安全要求如下：可通過密碼學算法確認使用者身份，如通過外部授權（對稱驗證）或非對稱驗證等方式實現(xiàn)；應設置權限管理機制，確定權限類別、訪問權限屬性和權限范圍。接口安全接口安全要求如下：硬件調(diào)試接口和硬件測試接口應禁用或采用安全訪問控制措施；OBD板載芯片及印制電路板不應存在對芯片內(nèi)存進行訪問或者更改芯片功能的隱蔽接口；不應存在隱藏的系統(tǒng)通信接口；應采用身份鑒別和訪問控制措施實現(xiàn)對系統(tǒng)通信接口的訪問；宜記錄關鍵接口的操作日志。入侵檢測車載核心設備具備入侵檢測功能，其安全要求如下：Dos/DDos應檢測是否存在被移植惡意程序所導致的系統(tǒng)資源異常消耗；knockd、qconn應檢測是否被上傳惡意文件，或文件篡改行為；應檢測是否對系統(tǒng)關鍵配置的增刪改進行監(jiān)控，防止如域隔離策略被刪除的情況；在檢測到入侵行為時應進行告警、記錄；可通過在線升級或離線升級方式，實現(xiàn)對特征庫、規(guī)則文件等的升級；3宜具備網(wǎng)絡流量審計機制，對汽車內(nèi)部正常通信流量和異常流量進行實時監(jiān)測，并提供分析統(tǒng)計和告警；宜具有網(wǎng)絡安全監(jiān)測機制，對各種網(wǎng)絡行為進行實時監(jiān)測，發(fā)現(xiàn)報文異常、系統(tǒng)入侵、異常流量攻擊等，并提供分析統(tǒng)計和警告等安全響應動作；應對智能網(wǎng)聯(lián)汽車系統(tǒng)運行異常、配置異常、通信異常、越權訪問、系統(tǒng)資源異常、流量異常、用戶異常、文件未授權訪問、文件未授權修改進行監(jiān)測；應對智能網(wǎng)聯(lián)汽車數(shù)據(jù)異常、數(shù)據(jù)偽造、數(shù)據(jù)竊取、日志異常進行監(jiān)測；應識別來自蜂窩網(wǎng)絡的非法連接請求，過濾惡意數(shù)據(jù)包。通信安全要求車內(nèi)通信車內(nèi)通用技術要求車內(nèi)通信應符合GB/T40861—2021中6.3.1.4規(guī)定的技術要求。安全隔離安全隔離要求如下：汽車內(nèi)部網(wǎng)絡的設計，應根據(jù)各個功能區(qū)域的重要程度、安全屬性等因素，將車內(nèi)網(wǎng)絡劃分為不同安全區(qū)域，各安全區(qū)域之間應進行網(wǎng)絡隔離；各安全區(qū)域之間應建立安全的訪問路徑，防止非授權訪問，宜采用邊界訪問控制機制對來訪的報文進行控制（如采用報文過濾機制、報文過載控制機制和用戶訪問權限控制機制等）。安全防護報文安全防護要求如下：車內(nèi)關鍵通信報文應保障汽車內(nèi)部通信報文的完整性、真實性、合法性和機密性，防止報文被篡改和偽造；車內(nèi)關鍵通信報文應具備防止重放攻擊機制，如新鮮值機制保護報文的時效性；應具有密鑰和證書的管理功能，對用于安全通信的密鑰和證書進行全生命周期的管理；應對重要信息安全告警生成日志記錄，應將日志進行權限訪問限制，避免日志記錄被篡改。車外通信車外通用技術要求車外通信通用技術要求應符合GB/T40861—2021中6.3.2規(guī)定的技術要求。有線通信有線通信是通過USB、OBD等介質接口與車內(nèi)網(wǎng)絡進行通信，其安全要求如下：OBDOBDOBDOBD設備攻擊汽車總線網(wǎng)絡；USB4近距離無線通信近距離無線通信是通過Wi-Fi、藍牙、RFID等通信信道在車載網(wǎng)絡中進行通信，其安全要求如下：應具備啟用與關閉近距離無線連接的管理功能；應對請求連接的設備進行訪問控制；已建立的短距離通信，應在相應的輸出設備上有明確的連接狀態(tài)顯示；車載端的應用調(diào)用短距離無線連接功能時，車載端應明示用戶，并提供配置能力和符合場景的配置方式；應使用安全協(xié)議進行通訊。V2XV2X通信是OBU設備通過C-V2X、DSRC等通信信道在車載網(wǎng)絡中進行通信，其安全要求如下：應具備符合標準的身份標識，并可以對所連接的通信節(jié)點的設備進行身份驗證；V2XV2XV2XV2XV2XV2XOBUOBUV2XOBUV2XOBU（如密鑰、證書等）的保護；V2V/V2IV2X蜂窩網(wǎng)絡通信蜂窩網(wǎng)絡通信是通過3G、4G、5G等通信通道在車載網(wǎng)絡中進行通信，其安全要求如下：與網(wǎng)絡側通信設備之間建立通信連接，宜充分使用通信技術提供的認證鑒權、加密解密等安全機制，平臺側應具備對接入請求進行二次鑒權的能力，確保接入真實可靠的網(wǎng)絡和請求接入的合法性；與核心業(yè)務平臺的通信信道，應與公網(wǎng)邏輯隔離；應采取技術措施，不應使用功能需求范圍外的蜂窩網(wǎng)絡通信功能。應用服務安全要求聯(lián)網(wǎng)平臺聯(lián)網(wǎng)平臺安全要求如下：5保障聯(lián)網(wǎng)平臺基礎設備安全，對設備的物理端口、服務端口和系統(tǒng)資源等進行實時監(jiān)控，出現(xiàn)問題及時上報和處理，確保系統(tǒng)的穩(wěn)定性和可靠性；聯(lián)網(wǎng)平臺應進行安全域劃分，并在邊界部署防火墻或在核心交換機上配置防火墻模塊、訪問控制策略（如：IPSACL）實現(xiàn)訪問控制；聯(lián)網(wǎng)平臺定期檢測服務器的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)配置等，識別安全隱患，評測安全風險，提供改進措施；聯(lián)網(wǎng)平臺應對通信接口進行訪問控制，防止非法終端接入、非法數(shù)據(jù)注入等；TLS1.2WEBWEBWEBSQLXSS聯(lián)網(wǎng)平臺本地存儲的敏感數(shù)據(jù)應進行加密；IDS聯(lián)網(wǎng)平臺宜對平臺狀態(tài)、行為、數(shù)據(jù)變化進行監(jiān)控，檢測異常行為并及時告警。車載應用車載應用安全要求如下：不應在代碼中硬編碼密碼、密鑰等內(nèi)容；應符合GB/T40856—2021中5.4.2規(guī)定的應用軟件代碼安全要求。9數(shù)據(jù)安全要求不應在代碼中硬編碼密碼、密鑰等內(nèi)容；應符合GB/T40856—2021中5.4.2規(guī)定的應用軟件代碼安全要求。9數(shù)據(jù)安全要求數(shù)據(jù)通用技術要求數(shù)據(jù)分類分級數(shù)據(jù)分類分級要求如下：a)按GB/T35273—2020、DB4403/T271—2022、YD/T3751—2020描述的要求，制定本組織的數(shù)據(jù)分類分級和安全保護制度，特別是智能網(wǎng)聯(lián)汽車相關個人信息和重要數(shù)據(jù)的識別和保護策略；b)按DB4403/T271—2022數(shù)據(jù)安全評估數(shù)據(jù)安全評估要求如下：涉及處理敏感個人信息或者國家規(guī)定的重要數(shù)據(jù)、核心數(shù)據(jù)的機構，應定期開展風險評估，并向有關主管部門報送風險評估報告；涉及數(shù)據(jù)安全合規(guī)監(jiān)管的相關機構，應定期開展數(shù)據(jù)安全合規(guī)性評估，并向有關主管部門報送合規(guī)性評估報告；6個人敏感信息處理、個人信息自動化決策、委托處理、他人提供（含境外）、公開等對個人權益有重大影響的個人信息處理活動，應事先開展個人信息保護影響評估，評估記錄至少保存三年。數(shù)據(jù)安全管控數(shù)據(jù)安全管控要求如下：針對不同的數(shù)據(jù)保護級別，依據(jù)數(shù)據(jù)保護策略實施相應級別的數(shù)據(jù)訪問權限、數(shù)據(jù)防泄漏、數(shù)據(jù)接口管控；在適用于安全管控的終端層面及時對異常數(shù)據(jù)操作行為進行預警；宜在網(wǎng)絡層面對異常數(shù)據(jù)操作行為及時定位和阻斷；宜在硬件層面對可能造成數(shù)據(jù)泄露或異常的物理行為進行物理層面的阻斷。數(shù)據(jù)收集數(shù)據(jù)收集安全要求如下：對不同等級的數(shù)據(jù)使用不同的收集標準，應對敏感數(shù)據(jù)設置高等級的收集要求；測繪地理信息、高精度定位等相關國家安全的重要數(shù)據(jù)，應向相關監(jiān)管機構進行報備；與用戶身份、位置信息等相關的個人信息，應通過顯式的方式告知用戶并獲得用戶明示同意，并說明數(shù)據(jù)收集所依據(jù)的國家法律法規(guī)及業(yè)務需求；可能影響人員及車輛安全的重要數(shù)據(jù)的收集，應進行簽名并加蓋時間戳；收集用戶使用行為等用戶數(shù)據(jù)時，應提示用戶并向用戶提供關閉數(shù)據(jù)收集的功能；收集的個人信息的類型應與業(yè)務功能有直接關聯(lián)；自動收集個人信息的頻率應是實現(xiàn)服務的業(yè)務功能所必需的最低頻率；間接獲取個人信息的數(shù)量應是實現(xiàn)服務的業(yè)務功能所必需的最少數(shù)量。注：直接關聯(lián)是指沒有該等信息的參與，產(chǎn)品或服務的功能無法實現(xiàn)。數(shù)據(jù)存儲數(shù)據(jù)存儲安全要求如下：設備中的口令、密鑰等敏感數(shù)據(jù)應以非明文方式存儲；7（未向用戶明示或未經(jīng)用戶同意不應擅自修改用戶數(shù)據(jù)；傳輸和存儲個人敏感信息時，應采用加密等安全措施；應提供數(shù)據(jù)的備份與恢復功能，定期備份重要數(shù)據(jù)；車輛信息系統(tǒng)中的應用配置數(shù)據(jù)等應具有備份，應用異常時可使用備份數(shù)據(jù)恢復；應具備相關的災難恢復機制，保證業(yè)務的持續(xù)性；數(shù)據(jù)的存儲期限應滿足保存六個月的要求。數(shù)據(jù)傳輸數(shù)據(jù)傳輸安全要求如下：車載終端上傳數(shù)據(jù)到云端服務器，車輛身份標識應做匿名化處理，匿名后標識唯一，不重復；應采用校驗技術或密碼技術保證通信過程中重要數(shù)據(jù)的完整性；應建立跨境數(shù)據(jù)的評估、審批及監(jiān)管控制流程，并依據(jù)流程實施相關控制并記錄過程。數(shù)據(jù)使用數(shù)據(jù)使用安全要求如下：保障數(shù)據(jù)在授權范圍內(nèi)被訪問、處理，防止數(shù)據(jù)被竊取、泄露、刪除；在數(shù)據(jù)使用的過程中，應使用數(shù)據(jù)脫敏等技術防止隱私信息泄露；對數(shù)據(jù)使用的日志應進行管理和審計。數(shù)據(jù)共享數(shù)據(jù)共享安全要求如下：應對數(shù)據(jù)的共享行為進行授權和管理；敏感數(shù)據(jù)向第三方分享過程中，應采用數(shù)據(jù)去標識化技術，保障數(shù)據(jù)分享安全；有效管理數(shù)據(jù)共享行為，防范數(shù)據(jù)共享過程中被竊取或者泄露。數(shù)據(jù)銷毀數(shù)據(jù)銷毀安全要求如下：建立數(shù)據(jù)銷毀與刪除規(guī)程，明確數(shù)據(jù)銷毀與刪除場景、方式及審批機制，設置相關監(jiān)督角色，應記錄數(shù)據(jù)銷毀與刪除操作過程；根據(jù)要求、約定刪除數(shù)據(jù)或完成數(shù)據(jù)處理后無需保留源數(shù)據(jù)的，應及時刪除相關數(shù)據(jù)；8網(wǎng)絡安全保障要求密碼安全密碼安全要求如下：用于車載設備中使用的密碼產(chǎn)品和密碼服務，應符合GB/T39786—2021附錄A的要求；用于車載設備中使用的密鑰的全生命周期管理，應符合GB/T39786—2021附錄B的要求；應支持商用密碼算法，包括但不限于SM2、SM3、SM4、SM9。算法安全算法安全要求如下：所使用的相關算法應采用國家或行業(yè)主管部門批準使用的，安全有效期內(nèi)未被破解的算法；應采用具有足夠強度的算法和足夠長度的密鑰進行密碼運算，對稱算法不低于128位，