車聯(lián)網(wǎng)安全態(tài)勢感知平臺技術(shù)要求

1車聯(lián)網(wǎng)安全態(tài)勢感知平臺技術(shù)要求本文件規(guī)定了車聯(lián)網(wǎng)安全態(tài)勢感知平臺技術(shù)要求，包括車聯(lián)網(wǎng)安全態(tài)勢感知平臺數(shù)據(jù)采集、數(shù)據(jù)預處理、威脅風險分析、監(jiān)測管理協(xié)同、可視化展示和安全等方面的要求。本文件適用于車聯(lián)網(wǎng)相關(guān)企業(yè)(包括基礎(chǔ)電信企業(yè)、車聯(lián)網(wǎng)企業(yè))的車聯(lián)網(wǎng)安全態(tài)勢感知平臺的設(shè)計、開發(fā)、測試驗證等。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。3術(shù)語和定義GB/T25069界定的以及下列術(shù)語及定義適用于本文件。車聯(lián)網(wǎng)服務平臺TOVservieeplatform車聯(lián)網(wǎng)的信息管理和服務平臺，負責車輛及相關(guān)設(shè)備信息的匯聚、計算、監(jiān)控和管理，提供主動安全、智能交通管控、遠程診斷、電子呼叫中心、道路救援等應用服務。智能聯(lián)網(wǎng)汽車和安裝在智能聯(lián)網(wǎng)汽車上的設(shè)備，通過無線通信技術(shù)與互聯(lián)網(wǎng)或其他車輛進行通態(tài)勢感知situationawareness在一定的時間和空間條件下，對環(huán)境因素的獲取、理解以及對未來的發(fā)展趨勢進行預測。威脅告警threatwarning基于威脅情報關(guān)聯(lián)、流量特征分析和異常檢測模型等方式，提取流量中的有效告警信息，用于記錄已經(jīng)發(fā)生的網(wǎng)絡安全事件，及時發(fā)出告警。2通聯(lián)記錄communicationlogs車聯(lián)網(wǎng)終端或車聯(lián)網(wǎng)服務平臺之間的通信活動記錄，記錄車聯(lián)網(wǎng)終端和車聯(lián)網(wǎng)服務平臺相關(guān)的網(wǎng)絡通信活動。識別車聯(lián)網(wǎng)終端唯一性的標識。下列縮略語適用于本文件。APN接入點名稱APP手機應用軟件CAN控制器局域網(wǎng)絡FTP文件傳輸協(xié)議HTTPS超文本傳輸安全協(xié)議IMEI國際移動設(shè)備識別碼IP網(wǎng)際互連協(xié)議MQTT消息隊列遙測傳輸OTA空中下載技術(shù)PEI永久設(shè)備標識符T-BOX車聯(lián)網(wǎng)通訊終端TSP汽車遠程服務提供商URL統(tǒng)一資源定位器VIN車輛識別號碼HypertextTransferPrnternationalMobileEquipmentIdentitymumbrInternetofVehicleMessageQueuingTelemePermanentEquipmentIdeUniformResourceLocatoVchicleIdentificationNu5.1平臺體系車聯(lián)網(wǎng)安全態(tài)勢感知平臺體系由兩部分組成：一是監(jiān)管平臺，接收企業(yè)側(cè)車聯(lián)網(wǎng)安全態(tài)勢感知平臺的報送數(shù)據(jù)，并結(jié)合統(tǒng)計模型、關(guān)聯(lián)算法、機器學習等技術(shù)手段對數(shù)據(jù)進行深入挖掘與分析，可向企業(yè)側(cè)平臺下發(fā)指令：二是企業(yè)側(cè)平臺，分為基礎(chǔ)電信企業(yè)側(cè)平臺和車聯(lián)網(wǎng)企業(yè)側(cè)平臺兩部分。本標準主要對企業(yè)側(cè)平臺的技術(shù)要求進行定義?；A(chǔ)電信企業(yè)側(cè)主要對車聯(lián)網(wǎng)終端、車聯(lián)網(wǎng)服務平臺的流量進行安全威脅分析，并將分析結(jié)果報送至監(jiān)管平臺：車聯(lián)網(wǎng)企業(yè)側(cè)主要收集車聯(lián)網(wǎng)終端、車聯(lián)網(wǎng)服務平臺，以及車聯(lián)網(wǎng)APP的監(jiān)測結(jié)果。并對數(shù)據(jù)進行分析、加工后報送至監(jiān)管平臺車聯(lián)網(wǎng)安全態(tài)勢感知平臺體系詳見圖1。監(jiān)監(jiān)企數(shù)來管側(cè)監(jiān)管平臺業(yè)側(cè)圖1平臺體系5.2平臺功能柜架監(jiān)管平臺監(jiān)管平臺企業(yè)側(cè)平臺5YD/Txxxxx—xxxXa)應包括車聯(lián)網(wǎng)終端流量數(shù)據(jù)，涉及車內(nèi)關(guān)鍵設(shè)備，以及車聯(lián)網(wǎng)終端與外部交互的流量：b)應包括自有車聯(lián)網(wǎng)服務平臺流量6.2數(shù)據(jù)采集通用數(shù)據(jù)采集要求如下a)應支持采集以下車聯(lián)網(wǎng)基礎(chǔ)信息：1)車聯(lián)網(wǎng)終端信息：包括終端類型、終端品牌、終端唯一編號等信息；2)服務平臺信息：包括平臺域名、接入IP、URL和服務類型等信息：3)車聯(lián)網(wǎng)APN信息：包括APN地址、APN業(yè)務描述：b)應支持數(shù)據(jù)導入，可導入的數(shù)據(jù)類型包括基礎(chǔ)信息、威脅情報、漏洞信息等：c)應至少支持兩種數(shù)據(jù)傳輸方式，包括Syslog、WebService、FTP、SFTP等方式。d)宜支持報送流量中檢測到的惡意樣本，以及樣本相關(guān)的基本信息數(shù)據(jù)：e)宜留存符合監(jiān)測規(guī)則的報文(PCAP包形式)。6.2.2基礎(chǔ)電信企業(yè)側(cè)網(wǎng)絡安全數(shù)據(jù)基礎(chǔ)電信企業(yè)安全數(shù)據(jù)采集要求如下：a)應具備對基礎(chǔ)電信企業(yè)采集位置的雙向原始流量進行實時獲取、協(xié)議解析、數(shù)據(jù)包重組和文件還原等操作的能力；b)應具備基于TCPIUDP端口識別、報文負載特征識別、行為特征識別、關(guān)聯(lián)分析檢測等技術(shù)手段實現(xiàn)移動互聯(lián)網(wǎng)通用網(wǎng)絡協(xié)議的識別，可識別協(xié)議包括GB/T32960、JT/T808、JT/Tc)應具備識別各操作系統(tǒng)中apk、xap、exe、sis、ipa等格式的文件樣本的能力，可識別出在車聯(lián)網(wǎng)中傳播的惡意的APP,并具備對樣本哈希值、下載地址、控制端等的識別能力：d)應采集通聯(lián)記錄數(shù)據(jù)，包括車聯(lián)網(wǎng)終端與車聯(lián)網(wǎng)服務平臺、車聯(lián)網(wǎng)終端與第三方服務平臺之間的通信記錄，采集字段包括源IP、源端口、目的IP、目的端口、上行流量大小、上行流量包數(shù)、下行流量大小、下行流量包數(shù)、URL、終端標識(如IMEI、PED)等：e)應采集車聯(lián)網(wǎng)終端、車聯(lián)網(wǎng)服務平臺相關(guān)通信流量的威脅告警數(shù)據(jù)，包括惡意受控事件、惡意傳播事件、網(wǎng)絡安全攻擊事件等，采集字段包括IP、源端口、目的IP、目的端口、上行流9YD/Txxxxx—xxxxa)應支持車聯(lián)網(wǎng)總體態(tài)勢展示。包括活躍車聯(lián)網(wǎng)終端分布、車聯(lián)網(wǎng)終端被攻擊排名、被攻擊車聯(lián)網(wǎng)終端類型排名等；b)應支持車聯(lián)網(wǎng)服務平臺安全態(tài)勢展示，包括車聯(lián)網(wǎng)服務平臺被攻擊趨勢分析、遭受攻擊類型排名、平臺漏洞類型分布等：c)應支持車聯(lián)網(wǎng)終端安全態(tài)勢展示，包括遭受攻擊類型分布、被攻擊車聯(lián)網(wǎng)終端排名、攻擊來源國家排名等：d)應支持車聯(lián)網(wǎng)APP安全風險態(tài)勢展示，包括惡意APP排名、APP漏洞類型分布等：e)應支持兩種以上視圖展示以上維度，包括趨勢圖、柱狀圖、餅圖等。11安全要求11.1數(shù)據(jù)保密數(shù)據(jù)保密要求如下：a)應具備密碼算法和密鑰管理等數(shù)據(jù)保密性保護能力，其算法強度應符合國家相關(guān)規(guī)定；b)應采用加密、防泄露等技術(shù)手段來保障所采集的重要數(shù)據(jù)在采集、存儲、傳輸、使用過程中的保密性：e)應針對數(shù)據(jù)全生命周期采取有效技術(shù)保護措施，防范數(shù)據(jù)泄露、毀損、丟失、篡改、誤用、濫用等風險：對于敏感數(shù)據(jù)的存儲和傳輸，需要進行脫敏處理，嚴格保護用戶隱私不被泄身份鑒別要求如下：a)應對本平臺登錄的用戶實施身份標識和鑒別，身份標識和用戶初次登錄使用口令具有唯