車聯(lián)網(wǎng)安全標準化白皮書（2023年）

車聯(lián)網(wǎng)安全標準化白皮書中國通信標準化協(xié)會2023年11月I本白皮書版權(quán)屬于中國通信標準化協(xié)會，并受法律保護。轉(zhuǎn)載、摘編或利用其他方式使用本白皮書文字或者觀點本協(xié)會將追究其法律責(zé)任。IIIV 1 2 2 3 3 3 4 4 5 5 5 6 7 9 9 9 12 3.1.2.車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全 17 18 19 20 21 21 4.1.立足強化風(fēng)險應(yīng)對提升標準研 22 22 23 234.5.深度參與車聯(lián)網(wǎng)安全國際標準 23 11.車聯(lián)網(wǎng)安全法律政策進展美國加強與各利益相關(guān)方廣泛合作，推動道路運輸技術(shù)創(chuàng)新和安全，確保的安全集成準備交通系統(tǒng)。美國交通運輸部（USDOT）將與利益相關(guān)者合作，2歐盟明確車聯(lián)網(wǎng)網(wǎng)絡(luò)安全與數(shù)據(jù)安全基線，更加注重隱私保護，通過行業(yè)NIS2指令大大擴展了屬于其范圍的關(guān)鍵實體部門和類型，同時也加強了企業(yè)需（DGA）、《數(shù)據(jù)治理法》等已出臺的法規(guī)，共同構(gòu)成數(shù)據(jù)保護的法律體系。在汽車產(chǎn)品的安全管理方面，歐盟通過將聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇英國關(guān)注網(wǎng)聯(lián)汽車全生命周期的網(wǎng)絡(luò)安全，將安全責(zé)任拓展到產(chǎn)業(yè)鏈各主3日本重視數(shù)據(jù)安全和隱私保護，汽車網(wǎng)絡(luò)安全方面主要沿用聯(lián)合國世界車都獨具特色。為加快制定L4級自動駕駛法規(guī)，4家發(fā)展改革委、公安部等部委相繼出臺一系列頂層規(guī)劃及政策文件，車聯(lián)網(wǎng)安52.國外車聯(lián)網(wǎng)安全標準化進展軟件升級、V2X通信安全、自動駕駛安全等為重點方向加快車聯(lián)網(wǎng)安全標準研2.1.1.聯(lián)合國（UN/WP29）聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（TheWorl6R155法規(guī)要求包含網(wǎng)絡(luò)安全管理體系認證（CSMS）和車輛網(wǎng)絡(luò)安全產(chǎn)品R156法規(guī)要求包含軟件升級管理體系認證（SUMS）和車輛軟件升級產(chǎn)品其中，在保護軟件包的真實性及完整性、保障升級相關(guān)鏈路安全等部分，則與動系統(tǒng)AEBS（R152）、事件數(shù)據(jù)記錄系統(tǒng)（R160）等。這些法規(guī)和正在制定國際標準化組織（ISO）下設(shè)的道路車輛技術(shù)委員會（ISO/TC22Road32作為其分技術(shù)委員會，目前已發(fā)布的標準有ISO/SAE21434、ISOISO24089:2023Roadvehicles—Softwareupdateengineering（7ISO/PAS5112:2022Roa關(guān)于車聯(lián)網(wǎng)安全相關(guān)標準一般在Intelligenttransportationsystem(ITS)與外部設(shè)備間通信接口的威脅和對與車輛通信的外部設(shè)備的威脅兩個部分分析82.1.4.國際汽車工程師學(xué)會（SAE）準化工作，由相關(guān)行業(yè)的128,000多名工程師和相關(guān)技術(shù)專家組成，其所制定3GPPTS33.536SecurityVehicle-to-Everything(V2X)2.1.6.國際電氣與電子工程師協(xié)會（IEEE）國際電氣與電子工程師協(xié)會（IEEE）的標準協(xié)會主要從事研究信息技術(shù)、92.2.重點國家地區(qū)工程師學(xué)會等標準化組織開展車輛通信、數(shù)據(jù)安全等方面標準研制工作。2016制定工業(yè)、商品和服務(wù)方面標準；歐洲電工標準化委員會（CENELEC）—主要負責(zé)電氣和電子領(lǐng)域的標準制定；歐洲電信標準協(xié)會（ETSI）—主要負責(zé)電信1除此之外，歐盟標委在自動駕駛的標準起草方面也發(fā)揮了重要作用，其中組參與起草，主要涉及道路安全、車輛/基礎(chǔ)設(shè)施/道路使用者之間應(yīng)用信息通訊防盜系統(tǒng)規(guī)范程度的安全標準（BSAU209-2:1998,汽車安全娛樂和通信用車內(nèi)設(shè)備防盜安全系統(tǒng)規(guī)范），安全設(shè)備/系統(tǒng)在車輛上的應(yīng)用指南（BSAU209-0:1996，汽車安全汽車安全設(shè)備/系統(tǒng)應(yīng)用指南），車聯(lián)網(wǎng)服務(wù)安全跟蹤變化標準（BSISO20078-3:2021,道路車輛擴展的車輛網(wǎng)絡(luò)服務(wù)安全BSISO日本工業(yè)標準（JIS,JapaneseIndustrialStandards）由日本工業(yè)標準調(diào)查會范圍實施訪問控制管理等相關(guān)標準。主要包括信息技術(shù)（IT）檢索設(shè)備安全第13.我國車聯(lián)網(wǎng)安全標準化現(xiàn)狀3.1.標準框架3.1.1.車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系（1+5分2021年，工業(yè)和信息化部、交通運輸部以及國家標準化管理委員會聯(lián)合印礎(chǔ)類標準、道路設(shè)施標準、車路交互標準、管理與服務(wù)標準和網(wǎng)絡(luò)安全標準5部分（如下圖所示）。其中網(wǎng)絡(luò)安全標準包括證書密鑰管理、網(wǎng)絡(luò)安全防護2類技術(shù)標準。證書密鑰管理類標準主要包括車路信息交互所使用的交通行業(yè)證2018年，工業(yè)和信息化部、國家標準化管理委員會聯(lián)合印發(fā)《國家車聯(lián)網(wǎng)份與安全、道路交通管理設(shè)施身份與安全、身份認證平臺及電子證件等3類標2018年，工業(yè)和信息化部、國家標準化管理委員會聯(lián)合印發(fā)《國家車聯(lián)網(wǎng)3.1.2.車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標準體系框架圖7車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標準體系框3.2.總體與基礎(chǔ)共性標準3.3.終端和設(shè)施網(wǎng)絡(luò)安全標準終端和設(shè)施網(wǎng)絡(luò)安全標準主要針對汽車內(nèi)外包含路側(cè)的設(shè)備設(shè)施的網(wǎng)絡(luò)安車載設(shè)備網(wǎng)絡(luò)安全標準主要規(guī)范聯(lián)網(wǎng)汽車關(guān)鍵智能設(shè)備和組件的安全防護路側(cè)通信設(shè)備網(wǎng)絡(luò)安全標準主要規(guī)范聯(lián)網(wǎng)路側(cè)設(shè)備的安全防護設(shè)計與實現(xiàn)網(wǎng)絡(luò)設(shè)施與系統(tǒng)安全標準主要規(guī)范車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施與系統(tǒng)的安全防護與檢紫蜂（Zigbee）、超寬帶（UWB）等安全防護與檢測要求。目前，國內(nèi)已經(jīng)形YD/T3737-2020《基于公眾電信網(wǎng)的聯(lián)網(wǎng)汽車信息安全技術(shù)要求》和YD/T技術(shù)安全認證測試方法》《汽車數(shù)字證書應(yīng)用規(guī)范》等標準。這些標準規(guī)定了聯(lián)網(wǎng)認證授權(quán)系統(tǒng)技術(shù)要求》和《C-V2X車輛異常行為管理技術(shù)要求》，來規(guī)蹤等多種可能的安全威脅，這些威脅將影響C-V2X業(yè)務(wù)的正常運行。因此，C-V2X需要輕量化的身份認證和完善訪問授權(quán)機制以提高通信效率的同時保證安全性，同時，隱私保護也是車聯(lián)網(wǎng)系統(tǒng)中的重要要求。因此，更需要針對3.5.數(shù)據(jù)安全標準目前，在通用要求、數(shù)據(jù)分類分級、個人信息保護方面，已發(fā)布GB/T就如何系統(tǒng)化對車聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)進行分類和分級管理方面，T/CAAMTB34-2021《智能網(wǎng)聯(lián)汽車數(shù)據(jù)格式與定義》中引入了數(shù)據(jù)安全等級的定義，在該3.6.應(yīng)用服務(wù)安全標準等團體標準對應(yīng)的行業(yè)標準/國家標準已經(jīng)完成立項申請，正加緊制定中。同時3.7.安全保障支撐標準異常行為檢測機制》《汽車信息安全應(yīng)急響應(yīng)管理規(guī)范》《道路車輛信息安全建議加快風(fēng)險評估和安全監(jiān)測與應(yīng)急管理標準研制步伐促使標準盡快發(fā)布4.工作建議4.1.立足強化風(fēng)險應(yīng)對提升標準研判能力4.2.持續(xù)夯實標準體系建設(shè)和迭代更新4.3.加強標準宣傳推廣和符合性評估4.4.加大標準化人才培養(yǎng)力度4.5.深度參與車聯(lián)網(wǎng)安全國際標準化工作積極參與國際標準化組織（ISO）、國際電信聯(lián)盟（ITU）、國際電工技術(shù)委員會（IEC）、聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（WP.29）等相關(guān)國際標準化組121434ROADVEHICLES-CYBE23TR4804-Roadvehicles-Safetyandcybersecurityfautomateddrivingsystems-Design,verificationand4EPR2020013-UnsettledTopicsConc5EPR2020026-UnsettledTopicsConcerningtheImpactofQuantumTechnologieson6J3061-CybersecurityG7NEMANEMATS10-ConnectedVehicleInfrastructure8DS/ISO/TR23786-Roadvehicles-Solutionsforremoteacctovehicle-Criteriaforriskassessment9ISOTR23786-Roadvehicles-Solutionsforremoteavehicle-CriteriaforriskassessmentNEMANEMATS8－智能交通系統(tǒng)（ITS）的網(wǎng)絡(luò)和物理安全UNECEUniformprovisionsconcerningtheapprovalofvehicleswithregardstocybersecurityandcybersecuritymanagementUNECEUniformprovisionsconcerningtheapprovalofvehicleswithregardstosoftwareupdateandsoftwareupdatesmanagementUNECEUniformprovisionsconcerningtheapprovalofvehicleswithregardtoAutomatedLaneISO/SAE21434-2021Roadvehicles-CybersecSAEJ3061CybersecurityGuidebookforISO/PAS5112:2022RoadvecybersecurityenginISO24089:2023Roadvehicles-SoftwareupdateengineITU-TX.1371SecuritythreatstoconnectedvehiclesITU-TX.1372Securityguidelinesforvehicle-to-everythingITU-TX.1373SecuresoftwareupdatecapabilityforintelligenttransportationsystemcommunicationdevITU-TX.1374SecurityrequirementsforexternalinterfacesanddeviceswithvehicleaccesscaITU-TX.1375GuidelinesforanintrusiondetectionsystemITU-TX.1376Security-relatedmisbehaviourdetectionmechanismusingbigdataforconnectedvehiclesITU-TX.1377Guidelinesforanintrusionpreventionsystemsidelink;UserEquipmeUserEquipment(UE)radiotransmissionandreception22.185servicerequirementforV2Xse37.885studyonevaluationmethodologyofn