車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化白皮書（2023年）

V 1 2 2 3 3 3 4 4 5 5 5 6 7 9 9 9 12 3.1.2.車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全 17 18 19 20 21 21 4.1.立足強(qiáng)化風(fēng)險應(yīng)對提升標(biāo)準(zhǔn)研 22 22 23 234.5.深度參與車聯(lián)網(wǎng)安全國際標(biāo)準(zhǔn) 23 11.車聯(lián)網(wǎng)安全法律政策進(jìn)展美國加強(qiáng)與各利益相關(guān)方廣泛合作，推動道路運(yùn)輸技術(shù)創(chuàng)新和安全，確保的安全集成準(zhǔn)備交通系統(tǒng)。美國交通運(yùn)輸部（USDOT）將與利益相關(guān)者合作，2歐盟明確車聯(lián)網(wǎng)網(wǎng)絡(luò)安全與數(shù)據(jù)安全基線，更加注重隱私保護(hù)，通過行業(yè)（NIS2指令）正式取代《網(wǎng)絡(luò)和信息系統(tǒng)安全指令》（NIS指令）生效歐盟在安全防護(hù)體系的系統(tǒng)性協(xié)同指導(dǎo)與網(wǎng)絡(luò)安全監(jiān)管方法的法律支撐，NIS2指令旨在消除成員國在網(wǎng)絡(luò)安全要求和措施實(shí)施方面的差異。較之NIS指令，NIS2指令大大擴(kuò)展了屬于其范圍的關(guān)鍵實(shí)體部門和類型，同時也加強(qiáng)了企業(yè)需要遵守的網(wǎng)絡(luò)安全風(fēng)險管理要求。如今，NIS2指令同《歐盟網(wǎng)絡(luò)安全法》共同（DGA）、《數(shù)據(jù)治理法》等已出臺的法規(guī)，共同構(gòu)成數(shù)據(jù)保護(hù)的法律體系。在汽車產(chǎn)品的安全管理方面，歐盟通過將聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇英國關(guān)注網(wǎng)聯(lián)汽車全生命周期的網(wǎng)絡(luò)安全，將安全責(zé)任拓展到產(chǎn)業(yè)鏈各主3日本重視數(shù)據(jù)安全和隱私保護(hù)，汽車網(wǎng)絡(luò)安全方面主要沿用聯(lián)合國世界車都獨(dú)具特色。為加快制定L4級自動駕駛法規(guī)，4家發(fā)展改革委、公安部等部委相繼出臺一系列頂層規(guī)劃及政策文件，車聯(lián)網(wǎng)安52.國外車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化進(jìn)展軟件升級、V2X通信安全、自動駕駛安全等為重點(diǎn)方向加快車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)研2.1.1.聯(lián)合國（UN/WP29）聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（TheWorl6R155法規(guī)要求包含網(wǎng)絡(luò)安全管理體系認(rèn)證（CSMS）和車輛網(wǎng)絡(luò)安全產(chǎn)品R156法規(guī)要求包含軟件升級管理體系認(rèn)證（SUMS）和車輛軟件升級產(chǎn)品其中，在保護(hù)軟件包的真實(shí)性及完整性、保障升級相關(guān)鏈路安全等部分，則與動系統(tǒng)AEBS（R152）、事件數(shù)據(jù)記錄系統(tǒng)（R160）等。這些法規(guī)和正在制定國際標(biāo)準(zhǔn)化組織（ISO）下設(shè)的道路車輛技術(shù)委員會（ISO/TC22Road32作為其分技術(shù)委員會，目前已發(fā)布的標(biāo)準(zhǔn)有ISO/SAE21434、ISOISO24089:2023Roadvehicles—Softwareupdateengineering（7ISO/PAS5112:2022Roa除上述三個標(biāo)準(zhǔn)外，ISO/TC22/SC32及33分技術(shù)委員會還發(fā)布了ISO同時，ISO/TC22技術(shù)委員會還關(guān)注與自動駕駛相關(guān)標(biāo)準(zhǔn)的制定，如ISO和測試用例生成、ISO22733-2道路車輛評估自動緊急制動系統(tǒng)性能的試驗(yàn)方關(guān)于車聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)一般在Intelligenttransportationsystem(ITS)security部分討論。其標(biāo)準(zhǔn)號分配范圍為X.供了安全導(dǎo)則，描述了V2X通信環(huán)境中的威脅，規(guī)定了V2X通信的安全要求，并描述可能的安全V2X通信的實(shí)施方案。ITU-TX.1373與外部設(shè)備間通信接口的威脅和對與車輛通信的外部設(shè)備的威脅兩個部分分析ITU-TX.1375則為車載網(wǎng)絡(luò)（IVNs）的入侵檢測系統(tǒng)（防御系統(tǒng)（IPS）制定了指導(dǎo)方針，主要關(guān)注對入侵行為的主動響應(yīng)能力，包括82.1.4.國際汽車工程師學(xué)會（SAE）準(zhǔn)化工作，由相關(guān)行業(yè)的128,000多名工程師和相關(guān)技術(shù)專家組成，其所制定3GPPTS33.536SecurityVehicle-to-Everything(V2X)2.1.6.國際電氣與電子工程師協(xié)會（IEEE）國際電氣與電子工程師協(xié)會（IEEE）的標(biāo)準(zhǔn)協(xié)會主要從事研究信息技術(shù)、92.2.重點(diǎn)國家地區(qū)工程師學(xué)會等標(biāo)準(zhǔn)化組織開展車輛通信、數(shù)據(jù)安全等方面標(biāo)準(zhǔn)研制工作。2016標(biāo)準(zhǔn)。其中，ENISA受《歐盟網(wǎng)絡(luò)安全法》賦予的職能，在促進(jìn)成員國網(wǎng)絡(luò)安制定工業(yè)、商品和服務(wù)方面標(biāo)準(zhǔn)；歐洲電工標(biāo)準(zhǔn)化委員會（CENELEC）—主要負(fù)責(zé)電氣和電子領(lǐng)域的標(biāo)準(zhǔn)制定；歐洲電信標(biāo)準(zhǔn)協(xié)會（ETSI）—主要負(fù)責(zé)電信1除此之外，歐盟標(biāo)委在自動駕駛的標(biāo)準(zhǔn)起草方面也發(fā)揮了重要作用，其中CEN和ETSI正式發(fā)布的自動駕駛標(biāo)準(zhǔn)共計117項(xiàng)。CEN主要由其TC組參與起草，主要涉及道路安全、車輛/基礎(chǔ)設(shè)施/道路使用者之間應(yīng)用信息通訊安全管理的各個方面。該網(wǎng)絡(luò)安全標(biāo)準(zhǔn)有助于提高自動駕駛行業(yè)的彈性和準(zhǔn)備防盜系統(tǒng)規(guī)范程度的安全標(biāo)準(zhǔn)（BSAU209-2:1998,汽車安全娛樂和通信用車內(nèi)設(shè)備防盜安全系統(tǒng)規(guī)范），安全設(shè)備/系統(tǒng)在車輛上的應(yīng)用指南（BSAU209-0:1996，汽車安全汽車安全設(shè)備/系統(tǒng)應(yīng)用指南），車聯(lián)網(wǎng)服務(wù)安全跟蹤變化標(biāo)準(zhǔn)（BSISO20078-3:2021,道路車輛擴(kuò)展的車輛網(wǎng)絡(luò)服務(wù)安全BSISO20078-3:2021-TC,跟蹤變化道路車輛擴(kuò)展的車輛網(wǎng)絡(luò)服務(wù)安全），車輛與外部日本工業(yè)標(biāo)準(zhǔn)（JIS,JapaneseIndustrialStandards）由日本工業(yè)標(biāo)準(zhǔn)調(diào)查會信息技術(shù)網(wǎng)絡(luò)安全方面，JISC已制定關(guān)于信息加密、對范圍實(shí)施訪問控制管理等相關(guān)標(biāo)準(zhǔn)。主要包括信息技術(shù)（IT）檢索設(shè)備安全第1部分：通用要求：JISC6950-1-2009；信息技術(shù)安全技術(shù)要求：JISX19790-2007;信息技術(shù)安全技術(shù)IT安全評13.我國車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化現(xiàn)狀3.1.標(biāo)準(zhǔn)框架3.1.1.車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系（1+5分2021年，工業(yè)和信息化部、交通運(yùn)輸部以及國家標(biāo)準(zhǔn)化管理委員會聯(lián)合印礎(chǔ)類標(biāo)準(zhǔn)、道路設(shè)施標(biāo)準(zhǔn)、車路交互標(biāo)準(zhǔn)、管理與服務(wù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)5部分（如下圖所示）。其中網(wǎng)絡(luò)安全標(biāo)準(zhǔn)包括證書密鑰管理、網(wǎng)絡(luò)安全防護(hù)2類技術(shù)標(biāo)準(zhǔn)。證書密鑰管理類標(biāo)準(zhǔn)主要包括車路信息交互所使用的交通行業(yè)證2018年，工業(yè)和信息化部、國家標(biāo)準(zhǔn)化管理委員會聯(lián)合印發(fā)《國家車聯(lián)網(wǎng)份與安全、道路交通管理設(shè)施身份與安全、身份認(rèn)證平臺及電子證件等3類標(biāo)2018年，工業(yè)和信息化部、國家標(biāo)準(zhǔn)化管理委員會聯(lián)合印發(fā)《國家車聯(lián)網(wǎng)3.1.2.車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系框架圖7車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系框3.2.總體與基礎(chǔ)共性標(biāo)準(zhǔn)3.3.終端和設(shè)施網(wǎng)絡(luò)安全標(biāo)準(zhǔn)終端和設(shè)施網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要針對汽車內(nèi)外包含路側(cè)的設(shè)備設(shè)施的網(wǎng)絡(luò)安車載設(shè)備網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要規(guī)范聯(lián)網(wǎng)汽車關(guān)鍵智能設(shè)備和組件的安全防護(hù)路側(cè)通信設(shè)備網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要規(guī)范聯(lián)網(wǎng)路側(cè)設(shè)備的安全防護(hù)設(shè)計與實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)施與系統(tǒng)安全標(biāo)準(zhǔn)主要規(guī)范車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施與系統(tǒng)的安全防護(hù)與檢紫蜂（Zigbee）、超寬帶（UWB）等安全防護(hù)與檢測要求。目前，國內(nèi)已經(jīng)形YD/T3737-2020《基于公眾電信網(wǎng)的聯(lián)網(wǎng)汽車信息安全技術(shù)要求》和YD/T技術(shù)安全認(rèn)證測試方法》《汽車數(shù)字證書應(yīng)用規(guī)范》等標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)規(guī)定了聯(lián)網(wǎng)認(rèn)證授權(quán)系統(tǒng)技術(shù)要求》和《C-V2X車輛異常行為管理技術(shù)要求》，來規(guī)蹤等多種可能的安全威脅，這些威脅將影響C-V2X業(yè)務(wù)的正常運(yùn)行。因此，C-V2X需要輕量化的身份認(rèn)證和完善訪問授權(quán)機(jī)制以提高通信效率的同時保證安全性，同時，隱私保護(hù)也是車聯(lián)網(wǎng)系統(tǒng)中的重要要求。因此，更需要針對3.5.數(shù)據(jù)安全標(biāo)準(zhǔn)目前，在通用要求、數(shù)據(jù)分類分級、個人信息保護(hù)方面，已發(fā)布GB/T就如何系統(tǒng)化對車聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)進(jìn)行分類和分級管理方面，T/CAAMTB34-2021《智能網(wǎng)聯(lián)汽車數(shù)據(jù)格式與定義》中引入了數(shù)據(jù)安全等級的定義，在該3.6.應(yīng)用服務(wù)安全標(biāo)準(zhǔn)—2021《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級備案及分級防護(hù)的指導(dǎo)標(biāo)準(zhǔn)，為企業(yè)落實(shí)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)要求提供依據(jù)。同時，等團(tuán)體標(biāo)準(zhǔn)對應(yīng)的行業(yè)標(biāo)準(zhǔn)/國家標(biāo)準(zhǔn)已經(jīng)完成立項(xiàng)申請，正加緊制定中。同時3.7.安全保障支撐標(biāo)準(zhǔn)異常行為檢測機(jī)制》《汽車信息安全應(yīng)急響應(yīng)管理規(guī)范》《道路車輛信息安全建議加快風(fēng)險評估和安全監(jiān)測與應(yīng)急管理標(biāo)準(zhǔn)研制步伐促使標(biāo)準(zhǔn)盡快發(fā)布4.工作建議4.1.立足強(qiáng)化風(fēng)險應(yīng)對提升標(biāo)準(zhǔn)研判能力4.2.持續(xù)夯實(shí)標(biāo)準(zhǔn)體系建設(shè)和迭代更新4.3.加強(qiáng)標(biāo)準(zhǔn)宣傳推廣和符合性評估4.4.加大標(biāo)準(zhǔn)化人才培養(yǎng)力度4.5.深度參與車聯(lián)網(wǎng)安全國際標(biāo)準(zhǔn)化工作積極參與國際標(biāo)準(zhǔn)化組織（ISO）、國際電信聯(lián)盟（ITU）、國際電工技術(shù)委員會（IEC）、聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（WP.29）等相關(guān)國際標(biāo)準(zhǔn)化組121434ROADVEHICLES-CYBEENGINEERING道路車輛-網(wǎng)絡(luò)安全23TR4804-Roadvehicles-Safetyandcybersecurityfautomateddrivingsystems-Design,verificationand4EPR2020013-UnsettledTopicsConc5EPR2020026-UnsettledTopicsConcerningtheImpactofQuantumTechnologieson6J3061-CybersecurityG7NEMANEMATS10-ConnectedVehicleInfrastructure8DS/ISO/TR23786-Roadvehicles-Solutionsforremoteacctovehicle-Criteriaforriskassessment9ISOTR23786-Roadvehicles-Solutionsforremoteavehicle-CriteriaforriskassessmentNEMANEMATS8－智能交通系統(tǒng)（ITS）的網(wǎng)絡(luò)和物理安全UNECEUniformprovisionsconcerningtheapprovalofvehicleswithregardstocybersecurityandcybersecuritymanagementUNECEUniformprovisionsconcerningtheapprovalofvehicleswithregardstosoftwareupdateandsoftwareupdatesmanagementUNECEUniformprovisionsconcerningtheapprovalofvehicleswithregardtoAutomatedLaneISO/SAE21434-2021Roadvehicles-CybersecSAEJ3061CybersecurityGuidebookforISO/PAS5112:2022RoadvecybersecurityenginISO24089:2023Roadvehicles-SoftwareupdateengineITU-TX.1371SecuritythreatstoconnectedvehiclesITU-TX.1372Securityguidelinesforvehicle-to-everythingITU-TX.1373SecuresoftwareupdatecapabilityforintelligenttransportationsystemcommunicationdevITU-TX.1374SecurityrequirementsforexternalinterfacesanddeviceswithvehicleaccesscaITU-TX.1375GuidelinesforanintrusiondetectionsystemITU-TX.1376Security-relatedmisbehaviourdetectionmechanismusingbigdataforconnectedvehiclesITU-TX.1377Guidelinesforanintrusionpreventionsystemsidelink;UserEquipmeUserEquipment(UE)radiotransmission