2024道路车辆信息安全工程.docx
《2024道路车辆信息安全工程.docx》由会员分享,可在线阅读,更多相关《2024道路车辆信息安全工程.docx(67页珍藏版)》请在课桌文档上搜索。
1、道路车辆信息安全工程道路车辆信息安全工程1 范围本文件规定了道路车辆中电子电气(E/E)系统(包括其组件和接口)在概念、产品开发、生产、运行、维护和报废阶段的信息安全风险管理的工程要求。本文件定义了一个框架,其中包括信息安全过程要求以及沟通和管理信息安全风险的通用语言。本文件适用于在本文件发布后开发或修改的批量生产的道路车辆E/E系统,包括其组件和接口。本文件未规定与信息安全有关的具体技术或解决方案。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
2、文件。GBZT34590.3-2022,道路车辆功能安全第三部分:概念阶段3 术语和定义下列术语和定义适用于本文件。3.1架构设计architecturaldesign可以识别组件、边界、接口和交互的表示方法。3.2资产asset具有价值或对价值做出贡献的对象。注:资产具有一个或多个信息安全属性,未达到要求时可能导致一个或多个危害场景。3.3攻击可行性attackfeasibiIity攻击路径的属性,描述成功执行相应攻击活动的难易度。3.4攻击路径attackpath为实现威胁场景的一组攻击活动。3.5攻击者attacker执行攻击路径的个人、团体或组织。3.6审核audit对过程进行检查,以
3、确定过程目标的实现程度。3.7组件component逻辑上和技术上可分离的组成部分。3.8客户customer接受服务或产品的个人或组织。3.9道路车辆信息安全cybersecurity使资产受到充分保护,免受道路车辆相关项、其功能及其电气或电子组件的威胁场景的危害。注:为简洁起见,本文件使用信息安全”一词代替道路车辆信息安全。3.10信息安全评估cybersecurityassessment信息安全状态的评价。3.11信息安全档案cybersecuritycase有证据支持的结构化论证,表明风险的合理性。3.12信息安全声明cybersecurityclaim关于风险的信息安全索赔声明。注:
4、信息安全声明可包括保留或分担风险的理由。3.13信息安全概念cybersecurityconcept相关项的信息安全需求和对操作环境的要求以及有关信息安全控制的相关信息。3.14信息安全控制cybersecuritycontrol改变风险的措施。3.15信息安全事态cybersecurityevent与相关项或组件有关的信息安全信息。3.16信息安全目标cybersecuritygoal与一个或多个威胁情景相关的概念级信息安全需求。3.17信息安全事件cybersecurityincident可能涉及漏洞利用的情况。3.18信息安全信息cybersecurityinformation与信息安全
5、有关的信息,其相关性尚未确定。3.19信息安全接口协议cybersecurityinterfaceagreement客户和供应商之间关于分布式信息安全活动的协议。3.20信息安全属性cybersecurityproperty值得保护的属性。注:属性包括保密性、完整性和/或可用性。3.21信息安全规范cybersecurityspecification信息安全需求和相应的架构设计。3.22危害场景damagescenario涉及车辆或车辆功能并影响道路使用者的不良后果。3.23分布式信息安全活动distributedcybersecurityactivities相关项或组件的信息安全活动,其责任
6、在客户和供应商之间分配。3.24影响impact对危害场景下的损害程度或物理伤害程度的估计。3.25相关项item在车辆层面实现一个功能的组件或组件集。注:如果一个系统在车辆层面实现了一个功能,它就可以成为一个相关项,否则就是一个组件。3.26操作环境OPeratiOnalenvironment在操作使用中考虑到相互作用的环境。注:相关项或组件的操作使用,包括在车辆功能,生产,和/或服务和修理中的使用。3.27独立于环境out-of-context未在特定相关项定义下的开发。示例:基于假设信息安全需求的处理单元可集成到不同的相关项中。3.28渗透测试penetrationtesting模拟实际
7、攻击的信息安全测试,用以识别破坏信息安全目标的方法。3.29风险risk信息安全风险,道路车辆信息安全不确定性的影响,可用攻击可行性和影响表示。3.30风险管理riSkmanagement指导和控制组织风险的协调活动。3.31道路使用者roaduser参与道路交通活动的人员。3.32裁剪tailor以与本文件描述不同的方式省略或执行某项活动。3.33威胁场景threatscenario为实现危害场景,一个或多个资产的信息安全属性遭到破坏的潜在原因。3.34分类triage分析以确定信息安全信息与某一相关项或组件的相关性。3.35触发器trigger用于分类的准则。3.36确认VaIidatio
8、n通过提供客观证据以证明相关项的信息安全目标是否充分并已实现。3.37验证verification通过提供客观证据确认是否满足特定要求。3 .38脆弱性或漏洞vulnerabiIity能被利用的弱点,可作为攻击路径的一部分。4 .39漏洞分析vulnerabiIityanalysis系统地识别和评估漏洞。5 .40弱点weakness可导致非预期行为的缺陷或特征。示例:如缺少需求或规范:架构或设计缺陷、包括安全协议的不正确设计:实现的弱点,包括硬件和软件的缺陷,安全协议的不正确的实现;操作过程或程序有缺陷,包括操作不当和用户培训不足:使用过时或弃用的功能,包括加密算法等06 缩略语CAL:信息
9、安全保障等级(CyberSeCUrilyAssuranceLevel)CVSS:常见漏洞评分系统(CommonVulnerabilityScoringSystem)E/E:电子电气(ElectricalandElectronic)ECU:电子控制单元(EleCtroniCeOntroIUnil)OBD:车教诊断(On-BoardDiagnostic)OEM:原始设备制造商(OriginalEquipmcntManufacturcr)PM:许可(PermiSSion)RC:建议(ReCOmmendation)RQ:要求(ReqUirement)WP:工作成果(WorkPrOdUCl)RASIC:
10、责任、批准、支持、知情、咨询(ReSPonSibIe,Accountable,Supporting,Infbrmed,Consulted)TARA:威胁分析和风险评估(ThrCatAnaIySiSandRiSkASSeSSment)7 整体考虑一个相关项包括车辆中实现整车级别特定功能(如制动)的所有电子设备和软件(即其组件)。一个相关项或一个组件与各自的运行环境相互作用。本文件仅适用于批量生产的道路车辆(即不是原型车)与信息安全相关的相关项和组件,包括售后件和服务件。车辆的外部系统(如后端服务器)出于信息安全的目的可以考虑,但不在本文件的范围内。本文件从单个相关项的角度来描述信息安全工程。本文
11、件没有规定如何进行道路车辆E/E架构中相关项功能的适当分配。对于车辆整体而言,可以考虑构建车辆E/E架构或其信息安全相关的相关项和组件的信息安全档案集。如果本文件中描述的信息安全活动是在相关项和组件上进行的,那么将会解决不合理的车辆信息安全风险。如图1所示,本文件中描述的组织整体信息安全风险管理适用于全生命周期。图1整体信息安全风险管理信息安全风险管理适用于整个供应链,以支持信息安全工程。汽车供应链表现出多样化的合作模式。并非所有的信息安全活动都适用于与某个特定项目相关的所有组织。信息安全活动可以根据具体情况的需要进行裁剪。某一特定相关项或部件的开发伙伴应就工作分工达成一致,以便执行适用的信息
12、安全活动。图2显示了一个相关项、功能、组件和相关术语之间的关系。第16章描述了信息安全风险评估的模块化方法,这些方法会在其他章节所述的信息安全风险活动中被引用。在信息安全工程背景下的分析活动,可识别和探索具有恶意意图的抽象敌对行为者的潜在行为,以及车辆E/E系统的信息安全损害后可能产生的危害。信息安全工程和其他学科的专业知识之间的协调可以支持深入分析并减轻具体的信息安全风险。信息安全监测、补救和事件响应活动作为概念和产品开发活动的补充,可以作为一种被动的方法,确认环境中不断变化的条件(如新的攻击技术),持续地识别和管理道路车辆E/E系统的弱点和漏洞。纵深防御的方法可用于减轻信息安全风险。纵深防
13、御方法利用多层信息安全控制来提高车辆的信息安全。如果攻击能够穿透或绕过一个层,另一个层可以帮助遏制攻击并保持对资产的保护。8 组织的信息安全管理8.1 总则为了实现信息安全工程,组织应建立并维护包括信息安全意识管理、能力管理和持续改进在内的信息安全治理和信息安全文化。这涉及到制定组织层面的规则和过程,并依据本文件中的目标进行独立审核。为了支持信息安全工程,组织还应为信息安全建立管理体系,包括工具的管理和质量管理体系的应用。8.2 目标本章的目标是:a)定义信息安全方针和组织层面的信息安全规则和过程:b)分配执行信息安全活动所需的职责和相应的权限;c)支持信息安全的实施,包括资源的提供和信息安全
14、过程与其他相关过程之间相互作用的管理;d)管理信息安全风险;e)建立并维护信息安全文化,包括能力管理、意识管理和持续改进;f)支持并管理信息安全信息的共享;g)建立并维护支撑信息安全维护的管理体系;h)提供证据证明使用的工具不会对信息安全产生不利的影响;i)执行组织层面的信息安全审核。8.3 输入无。6. 3.1先决条件无。7. 3.2更多支持信息可以考虑以下信息:-符合质量管理标准的证据。例如:IATF16949与其他标准的联合,如:ISO9001,AutomotiveSPICE,ISO/IEC330XX系列标准,ISO/IEC/IEEE15288和ISO/IEC/IEEE12207o6.4
15、要求和建议6.4.1信息安全治理RQ-05-01组织应定义信息安全方针,包含:a)对道路车辆信息安全风险的确认;b)最高管理层对相应信息安全风险进行管理的承诺。注1:信息安全方针可以与组织目标及其他方针相关联。注2:在考虑内部和外部环境的情况下,信息安全方针可以包括一项声明,说明对组织的产品或服务组合的一般威胁场兔的风险处理。RQ-05-02组织应建立并维护组织层面的规则和过程,以满足以下要求:a)能够实施本文件的要求;b)支持相应活动的执行。示例1:如过程定义、技术规则、指南、方法和模板。注3:信息安全风险管理能包括活动的付出-收益的考虑。注4:这些规则和过程覆盖概念、产品开发、生产、运营、
16、维护和报废,包括TARA的方法、信息共享、信息安全监测、信息安全事件响应和触发。注5:有关漏洞披露的规则和过程,例如信息共享的一部分,可以依据ISO29147定义。注6:图3概述了总体的信息安全方针(见RQ-05-(H)与具体组织的信息安全规则和过程(见RQ-05-02)、职成(见RQ-05-03)和资源(见RQ-0504)之间的关系。图3信息安全治理RQ-05-03组织应分配实现与维护信息安全的职责,并给予相应的组织权力。注7:这既关系到项目层面的活动也关系到组织层面的活动。RQ-05-04组织应提供解决信息安全问题所需的资源。注8:资源包括负责信息安全风险管理、开发、事件管理的人员。示例2
17、:熟练的人员和合适的工具来完成信息安全活动。RQ-05-05组织应识别与信息安全有关或相互作用的专业领域,并在这些专业领域之间建立和维护沟通的渠道,以满足以下要求:a)确定是否要将信息安全融入到现有过程中,以及如何融合;b)协调相关信息的交换。注9:协调各学科之间共享过程,以及策略和工具的使用。注10:学科包含信息技术安全、功能安全和隐私保护。示例3:跨学科的交换:- 威胁场景和危害信息:- 信息安全目标和功能安全目标的冲突或对抗;- 信息安全要求与功能安全要求的冲突或对抗。6.4.2信息安全文化RQ-05-06组织应培养并维护强大的信息安全文化。注1:示例见附录B。RQ-05-07组织应确保
18、被分配了信息安全角色和职责的人员具有履行这些角色和职责的能力和意识。注2:能力、意识和培训项目考虑以下范围:- 与信息安全相关的组织规则和过程,包括信息安全风险管理:- 与信息安全学科相关的信息安全规则和过程,例如功能安全和隐私保护:- 领域知识;- 系统工程:- 信息安全有关的方法、工具、指南:- 已知的攻击手段和信息安全控制。RQ-05-08组织应建立并维护持续改进过程。示例:持续改进过程包括:- 从以前的经验中学习,包括通过信息安全监测和内外部信息安全相关信息观察而收集的信息安全信息;- 从领域中类似的应用产品的信息安全信息中学习:- 在后续的信息安全活动中进行改进;- 将信息安全经验教
19、训传达给适当的人员:- 根据RQ-05-02检查组织规则和过程的充分性。注3:持续改进适用于本文件中的所有信息安全活动。6.4.3信息共享RQ-05-09组织应界定在哪些情况下,要求、允许或者被禁止组织内部和外部共享信息安全相关的信息。注:共享信息的情况可以基于:-共享的信息类型;-共享的审批过程:-信息的编辑要求:- 源头归属的规则:- 为特定方提供的通讯类型;- 漏洞披露程序(见5.4.1的注5)- 面向接收方的处理高度敏感信息的要求RC-05T0组织应根据RQ-05-09的规定,将共享数据的信息安全管理与其他各方保持一致。示例:公共、内部、机密和第三方机密的安全分类级别的一致。6.4.4
20、管理体系RQ-05-11组织应按国际标准或者同等标准建立和维护一个质量管理体系来支撑信息安全工程,包含:示例1:IATF16949与ISO9001相结合。a)变更管理;注1:信息安变更管理的范围处管理相关项及其组件的变更,以便继续满足适用的信息安全目标和要求。例如,根据生产控制计划评审生产过程的变更,以防止此类变更引入新的漏洞。b)文档管理;注2:一项工作成果可以被合并或映射到不同的文档库。C)配置管理;d)需求管理。RQ-05-12用于维护该领域内产品信息安全的配置信息应保持可用,直至产品的网络安全支持结束,以便能采取补救措施。注3:归档构建环境有助于确保配置信息的后续使用。例2:物料清单、
21、软件配置。RC-05-13应建立生产过程的信息安全管理体系,以便支持12章的活动。例3:IEC624432-lo6. 4.5工具管理RQ-05-14应管理能够影响相关项或组件信息安全的工具。示例1:用于概念或产品开发的工具,如:基于模型的开发工具、静态检查工具、验证工具。示例2:用于生产的工具,如FlaSh写入、EOL测试工具。示例3:用于售后维修的工具,如OBD工具或者重新编程工具。注:这类管理可以通过以下方式确立:- 用户手册及勘误表的使用;- 对非预期的使用和操作进行防护;- 对工具使用者进行访问控制;- 对工具进行认证。RC-05-15支持信息安全事件补救措施的合适环境应该是可复现的,
22、直至产品的信息安全支持结束。例4:用于复现和管理漏洞的测试、软件构建和开发环境。例5:用于构建产品软件的工具链和编译器。6. 4.6信息安全管理RC-05-16工作成果应按照信息安全管理体系进行管理。例:可以将工作成果存储在文件服务器上,以防止未经授权的变更或删除。7. 4.7信息安全审核RQ-05-17应独立进行信息安全审核以判断组织的过程是否达到了本文件的目标。注1:信息安全审核可以纳入质量管理体系标准的审核中,或者与之相结合。例如,IATFI6949与ISO9001相结合。注2:独立性可以基于,例如,GB/T34590系列标准。注3:执行审核的人员可以来自组织内部或者外部。注4:为了确保
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2024 道路 车辆 信息 安全工程
链接地址:https://www.desk33.com/p-1168203.html