版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
ICS
43.020CCS
40
DB4403 DB4403/T
355—2023智能網(wǎng)聯(lián)汽車(chē)整車(chē)信息安全技術(shù)要求Technical
requirements
of
security
for
and
connected2023-08-22
發(fā)布 2023-09-01
實(shí)施深圳市市場(chǎng)監(jiān)督管理局 發(fā)
布DB4403/T
3552023
II
10
11
.....................................DB4403/T
3552023 本文件按照GB/T
1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則
第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件以強(qiáng)制性國(guó)家標(biāo)準(zhǔn)《汽車(chē)整車(chē)信息安全技術(shù)要求》(計(jì)劃號(hào):20214422-Q-339)(2023年5IIDB4403/T
3552023
3.13.23.3
management
system
risk
risk
assessment3.4
threat3.5
3.6
on-board
software
update
system3.7
over-the-air
update3.8DB4403/T
3552023
offline
update3.9
personal
information
CAN:控制器局域網(wǎng)絡(luò)(Control
Area
HSM:硬件安全模塊(Hardware
Secure
MD5:MD5信息摘要算法(MD5
Message-Digest
NFC:近距離無(wú)線通訊技術(shù)(Near
TLS:安全傳輸層協(xié)議(Transport
USB:通用串行總線(Universal
Serial
Bus)VLAN:虛擬局域網(wǎng)(Virtual
Area
VIN:車(chē)輛識(shí)別代號(hào)(Vehicle
Identification
WLAN:無(wú)線局域網(wǎng)(Wireless
Area
5.1
5.2
5.3
5.4
車(chē)輛生產(chǎn)企業(yè)應(yīng)建立識(shí)別、評(píng)估、分類、處置車(chē)輛信息安全風(fēng)險(xiǎn)及核實(shí)已識(shí)別風(fēng)險(xiǎn)得到適當(dāng)處置5.5
5.6
a)
b)
c)
d)
立評(píng)估所施的信息全措施在現(xiàn)新的網(wǎng)攻擊、網(wǎng)威脅和漏的情況下否仍然有e)
5.7
車(chē)輛生產(chǎn)企業(yè)應(yīng)建立管理車(chē)輛生產(chǎn)企業(yè)與合同供應(yīng)商、服務(wù)提供商、車(chē)輛生產(chǎn)企業(yè)子組織之間信
DB4403/T
35520236.1
6.2
6.3
車(chē)輛產(chǎn)品開(kāi)發(fā)流程中應(yīng)識(shí)別車(chē)輛的關(guān)鍵要素,對(duì)車(chē)輛進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估,合理管理已識(shí)別的風(fēng)6.4
10
注1:注2:6.5
如有專用環(huán)境,則車(chē)輛生產(chǎn)企業(yè)應(yīng)采取相應(yīng)適當(dāng)?shù)拇胧?,以保護(hù)車(chē)輛用于存儲(chǔ)和執(zhí)行后裝軟件、6.6
6.7
6.8
6.9
WLAN
7.1
車(chē)輛遠(yuǎn)程控制系統(tǒng)、授權(quán)的第三方應(yīng)用等外部連接系統(tǒng)應(yīng)不存在由權(quán)威漏洞平臺(tái)
7.2
7.3
DB4403/T
3552023
應(yīng)對(duì)非授權(quán)的第三方應(yīng)用的安裝運(yùn)行進(jìn)行提示,并對(duì)已安裝的非授權(quán)的第三方應(yīng)用進(jìn)行訪問(wèn)控7.4
USB
接口讀取和寫(xiě)入的文件進(jìn)行讀寫(xiě)控制,只允許讀寫(xiě)指定格式的文件或安裝執(zhí)行指定
USB
8.1
8.2
8.3
8.4
8.5
8.6
8.7
8.8
8.9
車(chē)輛內(nèi)部網(wǎng)絡(luò)應(yīng)劃分安全區(qū)域,并實(shí)現(xiàn)安全區(qū)域之間的隔離,對(duì)跨域請(qǐng)求應(yīng)進(jìn)行訪問(wèn)控制,并遵8.10
8.11
V2X
8.12
9.1
DB4403/T
3552023
9.2
9.3
若車(chē)輛不使用車(chē)載軟件升級(jí)系統(tǒng)進(jìn)行離線升級(jí),應(yīng)采取保護(hù)措施保證刷寫(xiě)接入端的安全性,并10
10.110.2 10.3
VIN
10.410.510.610.711
11.1 11.2
10
DB4403/T
3552023
測(cè)試驗(yàn)證實(shí)施方案包括第7章、第8章、第9章、第10章于待測(cè)試驗(yàn)證車(chē)輛的適用條款、各適用條款所對(duì)應(yīng)的測(cè)DB4403/T
3552023
A.1
A.2
測(cè)試環(huán)境應(yīng)保證測(cè)試車(chē)輛能安全運(yùn)行,影響車(chē)輛運(yùn)行狀態(tài)的測(cè)試應(yīng)在多運(yùn)行工況的整車(chē)轉(zhuǎn)鼓環(huán)
測(cè)試環(huán)境應(yīng)保證車(chē)輛通信穩(wěn)定且測(cè)試不會(huì)對(duì)公網(wǎng)環(huán)境產(chǎn)生影響,影響公網(wǎng)環(huán)境的測(cè)試應(yīng)在具備
A.3
a)
試車(chē)輛遠(yuǎn)控制功能包括遠(yuǎn)程制指令應(yīng)場(chǎng)景和使權(quán)限、遠(yuǎn)控制指令計(jì)方式及b)
c)
d)
e)
f)
g)
V2X
h)
i)
j)
k)
l)
m)
n)
o)
p)
q)
A.4
DB4403/T
3552023A.4.1.1
a)
用漏洞掃工具對(duì)車(chē)外部連接統(tǒng)進(jìn)行漏掃描測(cè)試測(cè)試是否在權(quán)威漏平臺(tái)
b)
存在權(quán)威洞平
月前公布高危及以的安全漏,對(duì)照車(chē)生產(chǎn)企業(yè)交的漏洞置方案清,確認(rèn)車(chē)生產(chǎn)企業(yè)交的漏洞置方案清中是否覆該漏洞,應(yīng)存在由
A.4.1.2
a)
測(cè)試人員通過(guò)
WLAN、車(chē)載以太網(wǎng)等形式將測(cè)試車(chē)輛與掃描測(cè)試設(shè)備組網(wǎng),查看配置文件獲得
IP
b)
用掃描測(cè)設(shè)備查看試車(chē)輛所放的端口并將車(chē)輛放的端口表與提交車(chē)輛業(yè)務(wù)
A.4.2.1
a)
b)
A.4.2.2
a)
b)
A.4.2.3
a)
b)
用授權(quán)的戶或工具導(dǎo)出遠(yuǎn)程制系統(tǒng)安日志文件驗(yàn)證文件錄的內(nèi)容否包含遠(yuǎn)控制指令日期、時(shí)、發(fā)送主、操作是成功等信,應(yīng)包括程控制指的日期、A.4.2.4
a)
b)
A.4.3.1
DB4403/T
3552023測(cè)試人員應(yīng)依據(jù)A.3b)測(cè)試車(chē)輛授權(quán)第三方應(yīng)用真實(shí)性和完整性校驗(yàn)方式,依據(jù)車(chē)輛生產(chǎn)企業(yè)第三a)
用二進(jìn)制具,依據(jù)權(quán)第三方用真實(shí)性完整性校方式,篡第三方應(yīng)程序的代b)
車(chē)輛生產(chǎn)業(yè)不允許輛安裝執(zhí)非授權(quán)第方應(yīng)用,試安裝并行篡改后授權(quán)第三c)
車(chē)輛生產(chǎn)業(yè)允許車(chē)安裝執(zhí)行授權(quán)第三應(yīng)用,嘗使用篡改的授權(quán)第方應(yīng)用程A.4.3.2
測(cè)試人員應(yīng)依據(jù)A.3c)測(cè)試車(chē)輛非授權(quán)第三方應(yīng)用的訪問(wèn)控制機(jī)制,并按照如下測(cè)試方法,檢驗(yàn)測(cè)a)
b)
試使用非權(quán)第三方用程序訪超出訪問(wèn)制權(quán)限的源,應(yīng)無(wú)訪問(wèn)控制限外的資
A.4.4.1
a)
b)
A.4.4.2
USB
測(cè)試人員應(yīng)依據(jù)A.3d)測(cè)試車(chē)輛的外部接口,并按照如下測(cè)試方法,檢驗(yàn)測(cè)試車(chē)輛是否滿足7.4.2a)
USB
b)
將移動(dòng)存儲(chǔ)介質(zhì)連接到車(chē)輛
USB
接口,測(cè)試車(chē)輛是否可以執(zhí)行除媒體文件和指定簽名的應(yīng)用A.4.4.3
USB
測(cè)試人員應(yīng)依據(jù)A.3d)測(cè)試車(chē)輛的外部接口,并按照如下測(cè)試方法,檢驗(yàn)測(cè)試車(chē)輛是否滿足7.4.3a)
USB
b)
將移動(dòng)存儲(chǔ)介質(zhì)連接到車(chē)輛
USB
接口,嘗試執(zhí)行病毒文件,測(cè)試車(chē)輛系統(tǒng)是否可以測(cè)試出移A.4.4.4
測(cè)試人員應(yīng)依據(jù)A.3d)測(cè)試車(chē)輛的外部接口,并按照如下測(cè)試方法,檢驗(yàn)測(cè)試車(chē)輛是否滿足7.4.4a)
用非授權(quán)戶或工具診斷接口送車(chē)輛關(guān)參數(shù)寫(xiě)操請(qǐng)求,測(cè)車(chē)輛是否行該操作DB4403/T
3552023b)
用授權(quán)用在診斷接發(fā)送超出限的車(chē)輛鍵參數(shù)寫(xiě)作請(qǐng)求,試車(chē)輛是執(zhí)行該操A.5
a)
車(chē)輛與車(chē)生產(chǎn)企業(yè)平臺(tái)通信用專用網(wǎng)或虛擬專網(wǎng)絡(luò)環(huán)境行通信,證通信網(wǎng)b)
車(chē)輛與車(chē)生產(chǎn)企業(yè)平臺(tái)通信用公共網(wǎng)環(huán)境進(jìn)行信,且使公有通信議,采用
TLS
V1.2
TLS
V1.2
c)
車(chē)輛與車(chē)生產(chǎn)企業(yè)平臺(tái)通信用公共網(wǎng)環(huán)境進(jìn)行信,且使私有通信議,對(duì)私
測(cè)試人員應(yīng)依據(jù)A.3f)測(cè)試車(chē)輛通信方法、A.3g)測(cè)試車(chē)輛的V2X功能,并按照如下測(cè)試方法,檢驗(yàn)使用合法證書(shū),利用V2X仿真測(cè)試設(shè)備模擬車(chē)輛、路側(cè)單元和移動(dòng)終端,并嘗試與測(cè)試車(chē)輛建清除V2X仿真測(cè)試設(shè)備的通信記錄,并將證書(shū)替換為無(wú)效證書(shū)或非法證書(shū),測(cè)試替換證書(shū)后測(cè)
10DB4403/T
3552023
測(cè)試人員應(yīng)依據(jù)A.3h)測(cè)試車(chē)輛向外傳輸敏感個(gè)人信息的通信通道,并按照如下測(cè)試方法,檢驗(yàn)測(cè)
測(cè)試人員應(yīng)依據(jù)A.3i)測(cè)試車(chē)輛與外部直接通信的零部件,并按照如下測(cè)試方法,檢驗(yàn)測(cè)試車(chē)輛是
測(cè)試人員應(yīng)依據(jù)A.3i)測(cè)試車(chē)輛與外部直接通信的零部件,并按照如下測(cè)試方法,檢驗(yàn)測(cè)試車(chē)輛是
測(cè)試人員依據(jù)A.3j)測(cè)試車(chē)內(nèi)通信方案及通信矩陣樣例,并按照如下測(cè)試方法,檢驗(yàn)測(cè)試車(chē)輛是否A.5.10
A.5.10.1CAN
測(cè)試人員應(yīng)依據(jù)A.3j)測(cè)試車(chē)輛車(chē)內(nèi)通信方案及通信矩陣樣例,并按照如下測(cè)試方法,檢驗(yàn)測(cè)試車(chē)將拒絕服務(wù)攻擊測(cè)試設(shè)備接入車(chē)輛的CAN總線,識(shí)別該通道總線波特率,測(cè)試設(shè)備對(duì)該通道發(fā)
在拒絕服務(wù)攻擊時(shí),測(cè)試車(chē)輛未受攻擊的CAN通道通信性能和預(yù)設(shè)的功能是否受到影響,應(yīng)不11DB4403/T
3552023A.5.10.2
測(cè)試人員應(yīng)依據(jù)A.3j)測(cè)試車(chē)輛車(chē)內(nèi)通信方案及通信矩陣樣例,并按照如下測(cè)試方法,檢驗(yàn)測(cè)試車(chē)A.5.10.3
測(cè)試人員應(yīng)按照如下測(cè)試方法,檢驗(yàn)測(cè)試車(chē)輛V2X通信拒絕服務(wù)攻擊識(shí)別防護(hù)能力是否滿足8.10的在拒絕服務(wù)攻擊結(jié)束后,測(cè)試車(chē)輛的V2X功能是否恢復(fù)并可正常運(yùn)行,應(yīng)從攻擊中恢復(fù)并正常A.5.11
測(cè)試人員應(yīng)依據(jù)車(chē)輛接收消息類型,從如下方法中選擇適用的方法,檢驗(yàn)測(cè)試車(chē)輛是否滿足8.11A.5.12
試人應(yīng)依車(chē)輛信信安全志記機(jī)制,并照如測(cè)試法,驗(yàn)測(cè)車(chē)輛否滿A.6
A.6.1.1
測(cè)試人員應(yīng)依據(jù)A.3k)測(cè)試車(chē)輛車(chē)載軟件升級(jí)系統(tǒng)可信根、引導(dǎo)加載程序、系統(tǒng)固件的訪問(wèn)方式和12DB4403/T
3552023A.6.1.2
使用漏洞掃描工具對(duì)車(chē)載軟件升級(jí)系統(tǒng)進(jìn)行漏洞掃描測(cè)試,測(cè)試是否存在權(quán)威漏洞平臺(tái)6個(gè)月如存在權(quán)威漏洞平臺(tái)6個(gè)月前公布的高危及以上的安全漏洞,對(duì)照車(chē)輛生產(chǎn)企業(yè)提交的漏洞處
A.6.2.1
A.6.2.2
測(cè)試人員應(yīng)確認(rèn)在線升級(jí)功能正常執(zhí)行,并按照如下測(cè)試方法,檢驗(yàn)測(cè)試車(chē)輛是否滿足9.2.2的要A.6.2.3
A.6.3.1
若車(chē)輛使用車(chē)載軟件升級(jí)系統(tǒng)進(jìn)行離線升級(jí),測(cè)試人員應(yīng)依據(jù)A.3l)實(shí)現(xiàn)離線軟件升級(jí)的方式及工A.6.3.2
若車(chē)輛不使用車(chē)載軟件升級(jí)系統(tǒng)進(jìn)行離線升級(jí),測(cè)試人員應(yīng)依據(jù)A.3l)實(shí)現(xiàn)離線軟件升級(jí)的方式及13DB4403/T
3552023A.7
測(cè)試人員應(yīng)依據(jù)A.3m)測(cè)試車(chē)輛對(duì)稱密鑰和私鑰的存儲(chǔ)方式及說(shuō)明文檔,選擇以下兩種方法中適用若采取HSM等硬件安全模塊存儲(chǔ)密鑰,應(yīng)依據(jù)硬件安全模塊安裝位置說(shuō)明文檔,驗(yàn)證車(chē)輛是否
測(cè)試人員應(yīng)
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 基礎(chǔ)會(huì)計(jì)課件
- 單位管理制度展示合集員工管理十篇
- 單位管理制度展示大全人事管理篇
- 電子行業(yè)年度策略報(bào)告:科技自立AI具能
- 單位管理制度品讀選集【人力資源管理篇】
- 2024年江蘇工程職業(yè)技術(shù)學(xué)院?jiǎn)握新殬I(yè)技能測(cè)試題庫(kù)附答案
- 遼陽(yáng)檢驗(yàn)檢測(cè)儀器項(xiàng)目投資分析報(bào)告
- 2025外來(lái)員工勞動(dòng)合同「版」
- Unit 2 單元課后培優(yōu)練(原卷版)
- 山東發(fā)電機(jī)及發(fā)電機(jī)組制造市場(chǎng)前景及投資研究報(bào)告
- 愛(ài)上國(guó)樂(lè)智慧樹(shù)知到答案章節(jié)測(cè)試2023年?yáng)|華理工大學(xué)
- 高中新教材化學(xué)必修一課后習(xí)題答案(人教版)
- GB/T 19326-2022鍛制支管座
- GB/T 9740-2008化學(xué)試劑蒸發(fā)殘?jiān)鼫y(cè)定通用方法
- GB/T 7424.1-1998光纜第1部分:總規(guī)范
- 拘留所教育課件02
- 兒童營(yíng)養(yǎng)性疾病管理登記表格模板及專案表格模板
- 天津市新版就業(yè)、勞動(dòng)合同登記名冊(cè)
- 數(shù)學(xué)分析知識(shí)點(diǎn)的總結(jié)
- 2023年重癥醫(yī)學(xué)科護(hù)理工作計(jì)劃
- 年會(huì)抽獎(jiǎng)券可編輯模板
評(píng)論
0/150
提交評(píng)論