國家智能網(wǎng)聯(lián)汽車質(zhì)量檢驗檢測中心(重慶)電話話錄01汽車信息安全法規(guī)與標(biāo)準(zhǔn)現(xiàn)狀02信息安全技術(shù)要求要點解讀汽車信息安全法規(guī)與汽車信息安全法規(guī)與標(biāo)準(zhǔn)現(xiàn)狀國內(nèi)外信息安全法規(guī)及標(biāo)準(zhǔn)發(fā)布情況《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《個人信息保護法》《保密法》工信部《關(guān)于加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安工信部《關(guān)于加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》四部委《關(guān)于開展智能網(wǎng)聯(lián)汽車準(zhǔn)入和上路通行試點工作的通知》五部委《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》重型柴油車污染物排放限值及測量方法(中國第六階段)重型車排放遠(yuǎn)程監(jiān)控技術(shù)規(guī)范車載信息交互系統(tǒng)信息安全技術(shù)要求汽車網(wǎng)關(guān)信息安全技術(shù)要求電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求汽車信息安全通用技術(shù)要求電動汽車充電系統(tǒng)信息安全技術(shù)要求信息安全技術(shù)汽車電子系統(tǒng)網(wǎng)絡(luò)安全指南智能網(wǎng)聯(lián)汽車車載端信息安全技術(shù)要求汽車數(shù)據(jù)通用技術(shù)要求汽車密碼技術(shù)要求智能網(wǎng)聯(lián)汽車自動駕駛數(shù)據(jù)記錄系統(tǒng)汽車軟件升級通用技術(shù)要求汽車整車信息安全技術(shù)要求R155《關(guān)于車輛網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全管理體系型式認(rèn)定的統(tǒng)一規(guī)定》R156《關(guān)于車輛軟件升級與軟件升級管理體系型式認(rèn)定的統(tǒng)一規(guī)定》ISO21434《道路車輛網(wǎng)絡(luò)安全工程》ISO24089《道路車輛軟件升級工程》GDPR《通用數(shù)據(jù)保護條例》 網(wǎng)絡(luò)安全規(guī)定網(wǎng)絡(luò)安全規(guī)定整個組織(包括供應(yīng)商和服務(wù)提供商)解措施網(wǎng)絡(luò)安全指南網(wǎng)絡(luò)安全指南安全控制示例(包括有關(guān)補救措施的建議)組件級磊求足ISO/SAE21434標(biāo)準(zhǔn)涉及電子產(chǎn)品開發(fā)的核心方面的所有相關(guān)內(nèi)容，從產(chǎn)品定義到設(shè)計、實施和測試。這是一個全面的面向產(chǎn)品生命周期的方法論，它通過設(shè)計來保障整個供應(yīng)鏈及車輛生命周期中的網(wǎng)絡(luò)安全。設(shè)計、生產(chǎn)、銷售、使用、運維等過程個人信息數(shù)據(jù)汽車數(shù)據(jù)通用要求重要數(shù)據(jù)基本原則：應(yīng)當(dāng)合法、正當(dāng)、具體、明確，與汽車的設(shè)計、生產(chǎn)、銷售、使用、運維等直接相關(guān)。依法、合理有效利用個人信息處理告知敏感個人信息處理要求汽車網(wǎng)絡(luò)平臺安全要求個人信息：以電子或者別或者可識別的車主、駕駛?cè)恕⒊塑嚾?、車外人員等有關(guān)的各種信息，息敏感個人信息：一旦泄露或者非法使用，可能導(dǎo)致車主、駕駛?cè)恕⒊塑嚾?，車外人員等受到歧視或者人身、財產(chǎn)安全受到嚴(yán)重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征要點解讀招商車研◆車輛生產(chǎn)企業(yè)應(yīng)具備車輛全生命周期的汽車信息安全管理體系?！魬?yīng)建立企業(yè)內(nèi)部管理汽車信息安全的過程?！魬?yīng)建立用于車輛信息安全測試的過程。◆應(yīng)建立針對車輛的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的監(jiān)測、響應(yīng)及漏洞上報過程。◆應(yīng)建立管理企業(yè)與合同供應(yīng)商、服務(wù)提供商、車輛生產(chǎn)企業(yè)子組織之間汽車信息安全依賴關(guān)系的過程。汽車信息安全管理體系文件需正式發(fā)布或受控車輛全生命周期信息安全活動汽車信息安全管理體系文件需正式發(fā)布或受控車輛全生命周期信息安全活動措施。活動。相關(guān)性判定方法資產(chǎn)識別流程通信與數(shù)據(jù)資產(chǎn)威脅分析與風(fēng)險評估流程安全需求制定企業(yè)內(nèi)部應(yīng)建立合理的管理流程，確保企業(yè)車輛網(wǎng)絡(luò)安全的有效管理和保護，保障企業(yè)的信息安全合規(guī)性·體系組織架構(gòu)·能力與意識管理·信息共享機制·工具管理流程·體系審核機制·持續(xù)改進流程應(yīng)對車輛信息安全事件、網(wǎng)絡(luò)威脅和漏洞進行持續(xù)監(jiān)控應(yīng)對車輛信息安全事件、網(wǎng)絡(luò)威脅和漏洞進行持續(xù)監(jiān)控關(guān)要求應(yīng)制定車輛信息安全事件應(yīng)急響應(yīng)預(yù)案并實施應(yīng)對新的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞進行驗證評估應(yīng)建立驗證和確認(rèn)活動流程應(yīng)制定驗證和確認(rèn)活動結(jié)果物的評審或確認(rèn)流程·滲透測試結(jié)果評審不符合項整改與回歸測試流程招商車研招商車研招商車研招商車研信息安全基本要求管理已識別的風(fēng)險。信息安全基本要求險評估中已識別的風(fēng)險影響?！ぼ囕v制造商應(yīng)采取措施，以保護車輛用于存儲和執(zhí)行后裝軟件、服務(wù)、應(yīng)·車輛制造商應(yīng)采取措施，以保護車輛用于存儲和執(zhí)行后裝軟件、服務(wù)、應(yīng)用程序或數(shù)據(jù)的專用環(huán)境?！ぼ囕v制造商應(yīng)針對車輛實施相應(yīng)措施以確保車輛可識別網(wǎng)絡(luò)攻擊?！め槍εc車輛相關(guān)的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的監(jiān)測能力及數(shù)據(jù)取證能力。國家或行業(yè)標(biāo)準(zhǔn)要求的密碼模塊、·車輛應(yīng)采用默認(rèn)安全設(shè)置，如WLAN的默認(rèn)連接口令應(yīng)滿足復(fù)雜度的要求?！ぼ囕v數(shù)據(jù)處理活動應(yīng)符合GB/T信息安全技術(shù)要求信息安全技術(shù)要求·車輛與外部交互的所有通信接口(如有線、無線、藍牙、Wi-Fi、蜂窩網(wǎng)絡(luò)等)進行安全保護。機制的有效性，以防止未授權(quán)訪問、數(shù)據(jù)篡改或泄露防止黑客和攻擊者通過升級過程中的漏洞發(fā)起攻擊。據(jù)進行保護，確保數(shù)據(jù)的機密性、完整性和可實施數(shù)據(jù)加密、訪問控制、數(shù)據(jù)最小化原則以及合規(guī)的數(shù)據(jù)處理流程，以保護用戶隱私和敏感信息不被非法獲取或濫用。招商車研招商車研針對車輛的外部連接安全、通信安全、軟件升級安全、數(shù)據(jù)安全四部分提出的信息安全要求，依據(jù)GB第8章開展共計38個信息安全技術(shù)要求的測試項。4測試周期總計15天測試周期總計15天數(shù)據(jù)保護數(shù)據(jù)保護準(zhǔn)則準(zhǔn)則組織架構(gòu)評估審計投訴資產(chǎn)識別分類分級響應(yīng)機制數(shù)據(jù)使用…個人信息出境自評估個人信息汽車全生命周期網(wǎng)絡(luò)安全防護建設(shè)公司方針車輛生命周期管理車輛生命周期管理2概念設(shè)計3威脅分析與風(fēng)險評估ITEM定義基于WP29法規(guī)文件及國內(nèi)車輛網(wǎng)絡(luò)安全合規(guī)要求整理組織架構(gòu)制度體系信息共享開發(fā)與測試安全計刻劃情報獲取內(nèi)部安全漏洞監(jiān)控安全日志攻擊入侵安全防護數(shù)據(jù)保護隱私政策持續(xù)改進內(nèi)審優(yōu)化監(jiān)控監(jiān)控7供應(yīng)商管理意識文化終止支持/退役析1235 概念設(shè)汁段營規(guī)整正支防設(shè)階段匯檢檢TARA分析重點步驟系統(tǒng)建模描述業(yè)務(wù)場景定義業(yè)務(wù)風(fēng)險影響分類及賦值標(biāo)準(zhǔn)提供邏輯架構(gòu)圖/識別關(guān)鍵資產(chǎn)識別安全風(fēng)險/攻評價安全風(fēng)險評定風(fēng)險等級設(shè)計安全風(fēng)險的處繪制風(fēng)險處置方案場景示意圖①①②③④⑤資產(chǎn)識別識別威脅場景攻擊路徑分析②③④⑤資產(chǎn)識別識別威脅場景攻擊路徑分析影響性評級攻擊可能性評分風(fēng)險定級確定處置風(fēng)險·破壞場景/威脅場景(資產(chǎn))·脆弱性分析報告6⑦86⑦8·攻擊可行性報告·風(fēng)險等級·確定處置風(fēng)險·識別相關(guān)利益者·提供業(yè)務(wù)場景圖·識別業(yè)務(wù)風(fēng)險類型·整車級數(shù)據(jù)流圖繪制·劃分業(yè)務(wù)功能權(quán)重·創(chuàng)建系統(tǒng)架構(gòu)圖·識別關(guān)鍵資產(chǎn)·確定處置優(yōu)先級·風(fēng)險處置措施清單(控制集)·處置方案場景示意圖概念要求車型數(shù)據(jù)資產(chǎn)梳理→數(shù)據(jù)安全風(fēng)險評估→數(shù)據(jù)合規(guī)基線對象對象動作數(shù)據(jù)安全數(shù)據(jù)安全數(shù)據(jù)權(quán)限數(shù)據(jù)安全數(shù)據(jù)安全數(shù)據(jù)權(quán)限…評估準(zhǔn)備要素識別風(fēng)險識別風(fēng)險分析評估總結(jié)■..■車型重點數(shù)據(jù)流圖處理公開處理公開強標(biāo)合規(guī)行業(yè)共性強標(biāo)合規(guī)行業(yè)共性權(quán)限、刪網(wǎng)絡(luò)安全、數(shù)據(jù)安全需求驗證測試與滲透測試安全TARA分析+企業(yè)網(wǎng)絡(luò)安全規(guī)范附錄5中74項威脅安全威脅利用、漏洞挖掘根據(jù)整車網(wǎng)絡(luò)安全目標(biāo)與網(wǎng)絡(luò)安全需求，從整車與零部件合規(guī)與滲透角度出發(fā)，設(shè)計網(wǎng)絡(luò)安全與軟件升級測試計劃并編制測試方案，開展全面的網(wǎng)絡(luò)安全符合性測試與滲透測試。威脅利用、漏洞挖掘無線通信安全總線安全隱私防護云平臺安全ADASN2X無線通信安全總線安全隱私防護云平臺安全ADASN2X安全重放攻擊中繼攻擊嗅探攻擊擊客戶端程序安全通信安全敏感信息安全業(yè)務(wù)安全數(shù)據(jù)傳輸安全數(shù)據(jù)存儲安全模糊測試固件提取口令爆破?系統(tǒng)漏掃測試技術(shù)檢測項目文件上傳文件上傳·通信協(xié)議安全·接口安全·應(yīng)用軟件安全數(shù)據(jù)安全·安全升·應(yīng)用軟件安全數(shù)據(jù)安全前/后端安全服務(wù)器安全軟件升級安全數(shù)據(jù)庫安全整車滲透測試范圍需覆蓋R155附錄5中適用的所