CCSL80DB4403深圳市市場(chǎng)監(jiān)督管理局發(fā)布IDB4403/T426—2024前言 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 25網(wǎng)絡(luò)安全總體框架 26車載設(shè)備安全要求 36.1安全啟動(dòng) 36.2操作系統(tǒng) 36.3硬件安全模塊 36.4接口安全 36.5入侵檢測(cè) 37通信安全要求 47.1車內(nèi)通信 47.2車外通信 48應(yīng)用服務(wù)安全要求 58.1聯(lián)網(wǎng)平臺(tái) 58.2車載應(yīng)用 69數(shù)據(jù)安全要求 69.1數(shù)據(jù)通用要求 69.2數(shù)據(jù)收集 79.3數(shù)據(jù)存儲(chǔ) 79.4數(shù)據(jù)傳輸 89.5數(shù)據(jù)使用 89.6數(shù)據(jù)共享 89.7數(shù)據(jù)銷毀 810網(wǎng)絡(luò)安全保障要求 910.1密碼安全 910.2算法安全 910.3風(fēng)險(xiǎn)評(píng)估 910.4安全監(jiān)測(cè) 910.5應(yīng)急響應(yīng) 參考文獻(xiàn) DB4403/T426—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由深圳市政務(wù)服務(wù)數(shù)據(jù)管理局提出并歸口。本文件起草單位：深圳市信息安全管理中心、杭州安恒信息技術(shù)股份有限公司、鵬城實(shí)驗(yàn)室、深圳市未來(lái)智能網(wǎng)聯(lián)交通系統(tǒng)產(chǎn)業(yè)創(chuàng)新中心、同濟(jì)大學(xué)、比亞迪汽車工業(yè)有限公司、深圳市智慧城市通信有限公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、深圳美團(tuán)科技有限公司、深圳安途智行科技有限公司、北京輕舟智航科技有限公司。本文件主要起草人：李蘇、董安波、林宇群、穆端端、趙劍、軒豪男、束建鋼、周亞超、蔣洪林、張雷、畢欣、趙貴權(quán)、馬登輝、鄭恬靜、何淑婷、馬鑫、苑廣勇、倪平、曹陽(yáng)、秦孟強(qiáng)、張曉超。DB4403/T426—2024智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全技術(shù)要求本文件提出了智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全總體框架，規(guī)定了車載終端安全要求、通信安全要求、應(yīng)用服務(wù)安全要求、數(shù)據(jù)安全要求、網(wǎng)絡(luò)安全保障要求。本文件適用于指導(dǎo)智能網(wǎng)聯(lián)汽車相關(guān)生產(chǎn)方、運(yùn)營(yíng)方、服務(wù)提供方等對(duì)智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全的建設(shè)和實(shí)施。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T40856—2021車載信息交互系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法GB/T40861—2021汽車信息安全通用技術(shù)要求YD/T3751—2020車聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全技術(shù)要求DB4403/T271—2022公共數(shù)據(jù)安全要求3術(shù)語(yǔ)和定義GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1智能網(wǎng)聯(lián)汽車intelligentconnectedvehicle利用車載傳感器、控制器、執(zhí)行器、通信裝置等，實(shí)現(xiàn)環(huán)境感知、智能決策和/或自動(dòng)控制、協(xié)同控制、信息交互等功能的汽車的總稱。3.2車載終端on-boardterminal安裝于智能網(wǎng)聯(lián)汽車上，具有信息的采集、處理、存儲(chǔ)、傳輸?shù)裙δ艿能囕d信息設(shè)備。DB4403/T426—202424縮略語(yǔ)下列縮略語(yǔ)適用于本文件。C-V2X：蜂窩車聯(lián)網(wǎng)（Cellular-V2X）DDOS：分布式拒絕服務(wù)（DistributedDenialofService）DSRC：專用短程通信（DedicatedShortRangeCommunications）OBD：車載診斷系統(tǒng)（On-BoardDiagnostic）OBU：車載單元（OnboardUnit）RFID：射頻識(shí)別（RadioFrequencyIdentification）TLS：安全傳輸層協(xié)議（TransportLayerSecurity）USB：通用串行總線（UniversalSerialBus）V2X：車對(duì)車、車對(duì)外界的信息交換（VehicletoEverything）Wi-Fi：無(wú)線保真技術(shù)（WirelessFidelity）3G：第三代移動(dòng)通信系統(tǒng)（3rdGeneration）4G：第四代移動(dòng)通信系統(tǒng)（4thGeneration）5G：第五代移動(dòng)通信系統(tǒng)（5thGeneration）5網(wǎng)絡(luò)安全總體框架智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全總體框架主要根據(jù)智能網(wǎng)聯(lián)汽車的基本構(gòu)成進(jìn)行劃分，分為車載終端安全要求、通信安全要求、數(shù)據(jù)安全要求、應(yīng)用服務(wù)安全要求和網(wǎng)絡(luò)安全保障要求，智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全總體框架見圖1。圖1智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全總體框架DB4403/T426—20246車載終端安全要求6.1安全啟動(dòng)支持安全芯片的車載設(shè)備應(yīng)具備安全啟動(dòng)的功能，可通過可信根實(shí)體對(duì)安全啟動(dòng)所使用的可信根進(jìn)行保護(hù)。故障注入、側(cè)信道攻擊防護(hù)要求。6.2操作系統(tǒng)操作系統(tǒng)安全要求如下：a)應(yīng)具備權(quán)限管理機(jī)制和身份識(shí)別與鑒權(quán)，刪除非必要賬戶，限制提權(quán)操作；b)應(yīng)具備訪問控制機(jī)制，依據(jù)安全策略控制用戶賬號(hào)、進(jìn)程等主體對(duì)客體的訪問；c)應(yīng)僅允許必要端口對(duì)外開放，關(guān)閉不必要的端口、進(jìn)程或服務(wù)；d)應(yīng)對(duì)開發(fā)者調(diào)試接口進(jìn)行管控，避免非授權(quán)訪問；e)應(yīng)具有內(nèi)存保護(hù)機(jī)制以降低緩沖區(qū)溢出攻擊等風(fēng)險(xiǎn)；f)不應(yīng)存在未經(jīng)處置的國(guó)家權(quán)威漏洞平臺(tái)公開發(fā)布6個(gè)月及以上的高危安全漏洞；g)系統(tǒng)升級(jí)時(shí)，應(yīng)建立升級(jí)設(shè)備與升級(jí)服務(wù)器或者離線升級(jí)設(shè)備之間的認(rèn)證機(jī)制，認(rèn)證機(jī)制宜采用雙向認(rèn)證機(jī)制；h)系統(tǒng)升級(jí)時(shí)，應(yīng)對(duì)升級(jí)包進(jìn)行完整性和合法性的驗(yàn)證，防止升級(jí)包被惡意篡改。6.3硬件安全模塊硬件安全模塊安全要求如下：a)可通過密碼學(xué)算法確認(rèn)使用者身份，如通過外部授權(quán)（對(duì)稱驗(yàn)證）或非對(duì)稱驗(yàn)證等方式實(shí)現(xiàn)；b)應(yīng)設(shè)置權(quán)限管理機(jī)制，確定權(quán)限類別、訪問權(quán)限屬性和權(quán)限范圍。6.4接口安全接口安全要求如下：a)硬件調(diào)試接口和硬件測(cè)試接口應(yīng)禁用或采用安全訪問控制措施；b)具備刷寫功能的OBD診斷接口應(yīng)具備身份鑒別功能；c)板載芯片及印制電路板不應(yīng)存在對(duì)芯片內(nèi)存進(jìn)行訪問或者更改芯片功能的隱蔽接口；d)不應(yīng)存在隱藏的系統(tǒng)通信接口；e)應(yīng)采用身份鑒別和訪問控制措施實(shí)現(xiàn)對(duì)系統(tǒng)通信接口的訪問；f)宜記錄關(guān)鍵接口的操作日志。6.5入侵檢測(cè)車載核心設(shè)備具備入侵檢測(cè)功能，其安全要求如下：a)應(yīng)檢測(cè)是否存在被Dos/DDos攻擊、后門連入、異常來(lái)源用戶訪問以及其他異常連接信息；b)應(yīng)檢測(cè)是否存在被移植惡意程序所導(dǎo)致的系統(tǒng)資源異常消耗；c)應(yīng)檢測(cè)是否存在后門或可調(diào)式的應(yīng)用，如knockd、qconn等，是否有其他未知、惡意進(jìn)程存在；d)應(yīng)檢測(cè)是否被上傳惡意文件，或文件篡改行為；e)應(yīng)檢測(cè)是否對(duì)系統(tǒng)關(guān)鍵配置的增刪改進(jìn)行監(jiān)控，防止如域隔離策略被刪除的情況；f)在檢測(cè)到入侵行為時(shí)應(yīng)進(jìn)行告警、記錄；g)可通過在線升級(jí)或離線升級(jí)方式，實(shí)現(xiàn)對(duì)特征庫(kù)、規(guī)則文件等的升級(jí)；DB4403/T426—20244h)宜具備網(wǎng)絡(luò)流量審計(jì)機(jī)制，對(duì)汽車內(nèi)部正常通信流量和異常流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并提供分析統(tǒng)計(jì)和告警；i)宜具有網(wǎng)絡(luò)安全監(jiān)測(cè)機(jī)制，對(duì)各種網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)，發(fā)現(xiàn)報(bào)文異常、系統(tǒng)入侵、異常流量攻擊等，并提供分析統(tǒng)計(jì)和警告等安全響應(yīng)動(dòng)作；j)應(yīng)對(duì)智能網(wǎng)聯(lián)汽車系統(tǒng)運(yùn)行異常、配置異常、通信異常、越權(quán)訪問、系統(tǒng)資源異常、流量異常、用戶異常、文件未授權(quán)訪問、文件未授權(quán)修改進(jìn)行監(jiān)測(cè)；k)應(yīng)對(duì)智能網(wǎng)聯(lián)汽車數(shù)據(jù)異常、數(shù)據(jù)偽造、數(shù)據(jù)竊取、日志異常進(jìn)行監(jiān)測(cè)；l)應(yīng)識(shí)別來(lái)自蜂窩網(wǎng)絡(luò)的非法連接請(qǐng)求，過濾惡意數(shù)據(jù)包。7通信安全要求7.1車內(nèi)通信7.1.1車內(nèi)通用技術(shù)要求車內(nèi)通信應(yīng)符合GB/T40861—2021中6.3.1.4規(guī)定的技術(shù)要求。7.1.2安全隔離安全隔離要求如下：a)汽車內(nèi)部網(wǎng)絡(luò)的設(shè)計(jì)，應(yīng)根據(jù)各個(gè)功能區(qū)域的重要程度、安全屬性等因素，將車內(nèi)網(wǎng)絡(luò)劃分為不同安全區(qū)域，各安全區(qū)域之間應(yīng)進(jìn)行網(wǎng)絡(luò)隔離；b)各安全區(qū)域之間應(yīng)建立安全的訪問路徑，防止非授權(quán)訪問，宜采用邊界訪問控制機(jī)制對(duì)來(lái)訪的報(bào)文進(jìn)行控制（如采用報(bào)文過濾機(jī)制、報(bào)文過載控制機(jī)制和用戶訪問權(quán)限控制機(jī)制等）。7.1.3安全防護(hù)報(bào)文安全防護(hù)要求如下：a)車內(nèi)關(guān)鍵通信報(bào)文應(yīng)保障汽車內(nèi)部通信報(bào)文的完整性、真實(shí)性、合法性和機(jī)密性，防止報(bào)文被篡改和偽造；b)車內(nèi)關(guān)鍵通信報(bào)文應(yīng)具備防止重放攻擊機(jī)制，如新鮮值機(jī)制保護(hù)報(bào)文的時(shí)效性；c)應(yīng)具有密鑰和證書的管理功能，對(duì)用于安全通信的密鑰和證書進(jìn)行全生命周期的管理；d)應(yīng)對(duì)重要信息安全告警生成日志記錄，應(yīng)將日志進(jìn)行權(quán)限訪問限制，避免日志記錄被篡改。7.2車外通信7.2.1車外通用技術(shù)要求車外通信通用技術(shù)要求應(yīng)符合GB/T40861—2021中6.3.2規(guī)定的技術(shù)要求。7.2.2有線通信有線通信是通過USB、OBD等介質(zhì)接口與車內(nèi)網(wǎng)絡(luò)進(jìn)行通信，其安全要求如下：a)應(yīng)采取訪問控制措施限制OBD接口對(duì)重要服務(wù)的訪問請(qǐng)求，防止攻擊者通過OBD接口對(duì)汽車總線網(wǎng)絡(luò)進(jìn)行攻擊；b)宜采用身份認(rèn)證來(lái)確保接入OBD接口的設(shè)備為合法授權(quán)的設(shè)備，防止黑客通過未授權(quán)的OBD設(shè)備攻擊汽車總線網(wǎng)絡(luò)；c)應(yīng)對(duì)USB端口接入設(shè)備中的文件進(jìn)行訪問控制，只允許安裝或執(zhí)行指定簽名的應(yīng)用軟件。DB4403/T426—20247.2.3近距離無(wú)線通信近距離無(wú)線通信是通過Wi-Fi、藍(lán)牙、RFID等通信信道在車載網(wǎng)絡(luò)中進(jìn)行通信，其安全要求如下：a)應(yīng)具備啟用與關(guān)閉近距離無(wú)線連接的管理功能；b)應(yīng)對(duì)請(qǐng)求連接的設(shè)備進(jìn)行訪問控制；c)已建立的短距離通信，應(yīng)在相應(yīng)的輸出設(shè)備上有明確的連接狀態(tài)顯示；d)車載端的應(yīng)用調(diào)用短距離無(wú)線連接功能時(shí)，車載端應(yīng)明示用戶，并提供配置能力和符合場(chǎng)景的配置方式；e)應(yīng)使用安全協(xié)議進(jìn)行通訊。7.2.4V2X通信V2X通信是OBU設(shè)備通過C-V2X、DSRC等通信信道在車載網(wǎng)絡(luò)中進(jìn)行通信，其安全要求如下：a)應(yīng)具備符合標(biāo)準(zhǔn)的身份標(biāo)識(shí)，并可以對(duì)所連接的通信節(jié)點(diǎn)的設(shè)備進(jìn)行身份驗(yàn)證；b)應(yīng)使用注冊(cè)證書和假名證書相結(jié)合的方式，為V2X消息提供數(shù)字簽名服務(wù)。其中，注冊(cè)證書是車輛或者行人參與V2X直連通信的身份憑證；假名證書用來(lái)對(duì)V2X直連通信發(fā)送的消息進(jìn)行數(shù)字簽名；c)證書由云端管理系統(tǒng)進(jìn)行統(tǒng)一分發(fā)，參與V2X直連通信的車輛或者行人按照流程向云端系統(tǒng)提供身份信息，在通過身份認(rèn)證后可獲得相應(yīng)的注冊(cè)證書，并進(jìn)一步獲得假名證書；d)云端管理系統(tǒng)和V2X通信設(shè)備均應(yīng)申請(qǐng)支持顯式證書、隱式證書等多種方式，具體采用的方式由云端管理系統(tǒng)和V2X通信設(shè)備協(xié)商確定；e)OBU設(shè)備應(yīng)依據(jù)云端管理系統(tǒng)下發(fā)的安全策略使用安全服務(wù)，并保持與云端管理系統(tǒng)的同步更新；f)OBU設(shè)備宜具備向云端管理系統(tǒng)上報(bào)有惡意行為的V2X通信設(shè)備的能力；g)OBU設(shè)備應(yīng)對(duì)所接收到的其它V2X通信設(shè)備發(fā)送的數(shù)據(jù)進(jìn)行簽名驗(yàn)證，并且只對(duì)通過驗(yàn)證的數(shù)據(jù)進(jìn)行進(jìn)一步的處理；未通過驗(yàn)證的消息將被丟棄；h)OBU設(shè)備應(yīng)支持使用安全運(yùn)行環(huán)境、安全單元或安全處理器等對(duì)敏感信息（如密鑰、證書等）的保護(hù)；i)宜保護(hù)V2V/V2I通信終端的匿名性和隱私性，保證V2X設(shè)備不應(yīng)被未經(jīng)監(jiān)管機(jī)構(gòu)或用戶授權(quán)的一方在該區(qū)域追蹤。7.2.5蜂窩網(wǎng)絡(luò)通信蜂窩網(wǎng)絡(luò)通信是通過3G、4G、5G等通信通道在車載網(wǎng)絡(luò)中進(jìn)行通信，其安全要求如下：a)與網(wǎng)絡(luò)側(cè)通信設(shè)備之間建立通信連接，宜充分使用通信技術(shù)提供的認(rèn)證鑒權(quán)、加密解密等安全機(jī)制，平臺(tái)側(cè)應(yīng)具備對(duì)接入請(qǐng)求進(jìn)行二次鑒權(quán)的能力，確保接入真實(shí)可靠的網(wǎng)絡(luò)和請(qǐng)求接入的合法性；b)與核心業(yè)務(wù)平臺(tái)的通信信道，應(yīng)與公網(wǎng)邏輯隔離；c)應(yīng)采取技術(shù)措施，不應(yīng)使用功能需求范圍外的蜂窩網(wǎng)絡(luò)通信功能。8應(yīng)用服務(wù)安全要求8.1聯(lián)網(wǎng)平臺(tái)聯(lián)網(wǎng)平臺(tái)安全要求如下：DB4403/T426—20246a)保障聯(lián)網(wǎng)平臺(tái)基礎(chǔ)設(shè)備安全，對(duì)設(shè)備的物理端口、服務(wù)端口和系統(tǒng)資源等進(jìn)行實(shí)時(shí)監(jiān)控，出現(xiàn)問題及時(shí)上報(bào)和處理，確保系統(tǒng)的穩(wěn)定性和可靠性；b)聯(lián)網(wǎng)平臺(tái)應(yīng)進(jìn)行安全域劃分，并在邊界部署防火墻或在核心交換機(jī)上配置防火墻模塊、訪問控制策略（如：IPS入侵防御系統(tǒng)、ACL訪問控制列表等）實(shí)現(xiàn)訪問控制；c)聯(lián)網(wǎng)平臺(tái)定期檢測(cè)服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)配置等，識(shí)別安全隱患，評(píng)測(cè)安全風(fēng)險(xiǎn)，提供改進(jìn)措施；d)聯(lián)網(wǎng)平臺(tái)應(yīng)對(duì)通信接口進(jìn)行訪問控制，防止非法終端接入、非法數(shù)據(jù)注入等；e)聯(lián)網(wǎng)平臺(tái)與客戶端的通信應(yīng)使用TLS1.2及以上版本傳輸；f)聯(lián)網(wǎng)平臺(tái)應(yīng)在邊界部署WEB攻擊防范設(shè)備，如WEB應(yīng)用防火墻，實(shí)現(xiàn)對(duì)WEB攻擊的檢測(cè)和阻斷，防止接口越權(quán)控制、SQL注入、XSS攻擊、越權(quán)漏洞利用、暴力破解、文件上傳漏洞利用、CSRF等；g)聯(lián)網(wǎng)平臺(tái)本地存儲(chǔ)的敏感數(shù)據(jù)應(yīng)進(jìn)行加密；h)聯(lián)網(wǎng)平臺(tái)應(yīng)采用IDS對(duì)客戶端傳輸?shù)臄?shù)據(jù)進(jìn)行檢測(cè)；i)聯(lián)網(wǎng)平臺(tái)宜對(duì)平臺(tái)狀態(tài)、行為、數(shù)據(jù)變化進(jìn)行監(jiān)控，檢測(cè)異常行為并及時(shí)告警。8.2車載應(yīng)用車載應(yīng)用安全要求如下：a)應(yīng)對(duì)第三方應(yīng)用的訪問權(quán)限及資源進(jìn)行訪問控制，對(duì)控制外的應(yīng)用安裝應(yīng)提示風(fēng)險(xiǎn)、控制訪問權(quán)限；b)不應(yīng)存在由權(quán)威漏洞平臺(tái)6個(gè)月前公布且未經(jīng)處置的高危及以上的安全漏洞；c)不應(yīng)在代碼中硬編碼密碼、密鑰等內(nèi)容；d)應(yīng)符合GB/T40856—2021中5.4.2規(guī)定的應(yīng)用軟件代碼安全要求。9數(shù)據(jù)安全要求9.1數(shù)據(jù)通用技術(shù)要求9.1.1數(shù)據(jù)分類分級(jí)數(shù)據(jù)分類分級(jí)要求如下：a)按GB/T35273—2020、DB4403/T271—2022、YD/T3751—2020描述的要求，制定本組織的數(shù)據(jù)分類分級(jí)和安全保護(hù)制度，特別是智能網(wǎng)聯(lián)汽車相關(guān)個(gè)人信息和重要數(shù)據(jù)的識(shí)別和保護(hù)策略；b)按DB4403/T271—2022描述的內(nèi)容形成數(shù)據(jù)資產(chǎn)清單，并明確數(shù)據(jù)資產(chǎn)類型、數(shù)據(jù)量、存放位置、數(shù)據(jù)關(guān)聯(lián)系統(tǒng)、數(shù)據(jù)共享情況、數(shù)據(jù)出境情況等。9.1.2數(shù)據(jù)安全評(píng)估數(shù)據(jù)安全評(píng)估要求如下：a)涉及處理敏感個(gè)人信息或者國(guó)家規(guī)定的重要數(shù)據(jù)、核心數(shù)據(jù)的機(jī)構(gòu)，應(yīng)定期開展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告；b)涉及數(shù)據(jù)安全合規(guī)監(jiān)管的相關(guān)機(jī)構(gòu)，應(yīng)定期開展數(shù)據(jù)安全合規(guī)性評(píng)估，并向有關(guān)主管部門報(bào)送合規(guī)性評(píng)估報(bào)告；DB4403/T426—2024c)個(gè)人敏感信息處理、個(gè)人信息自動(dòng)化決策、委托處理、他人提供（含境外）、公開等對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)，應(yīng)事先開展個(gè)人信息保護(hù)影響評(píng)估，評(píng)估記錄至少保存三年。9.1.3數(shù)據(jù)安全管控?cái)?shù)據(jù)安全管控要求如下：a)針對(duì)不同的數(shù)據(jù)保護(hù)級(jí)別，依據(jù)數(shù)據(jù)保護(hù)策略實(shí)施相應(yīng)級(jí)別的數(shù)據(jù)訪問權(quán)限、數(shù)據(jù)防泄漏、數(shù)據(jù)接口管控；b)在適用于安全管控的終端層面及時(shí)對(duì)異常數(shù)據(jù)操作行為進(jìn)行預(yù)警；c)宜在網(wǎng)絡(luò)層面對(duì)異常數(shù)據(jù)操作行為及時(shí)定位和阻斷；d)宜在硬件層面對(duì)可能造成數(shù)據(jù)泄露或異常的物理行為進(jìn)行物理層面的阻斷。9.2數(shù)據(jù)收集數(shù)據(jù)收集安全要求如下：a)在平臺(tái)收集之前，對(duì)收集設(shè)備及軟件應(yīng)使用身份鑒別技術(shù)進(jìn)行雙向身份認(rèn)證，確保收集設(shè)備是用戶所允許的，不應(yīng)未經(jīng)授權(quán)訪問和非法使用用戶個(gè)人信息；b)對(duì)不同等級(jí)的數(shù)據(jù)使用不同的收集標(biāo)準(zhǔn)，應(yīng)對(duì)敏感數(shù)據(jù)設(shè)置高等級(jí)的收集要求；c)收集前應(yīng)對(duì)數(shù)據(jù)類型進(jìn)行確認(rèn)，并確保不同類型數(shù)據(jù)收集的合法性和機(jī)密性，收集數(shù)據(jù)類型包括重要數(shù)據(jù)、個(gè)人信息和一般數(shù)據(jù)等；d)測(cè)繪地理信息、高精度定位等相關(guān)國(guó)家安全的重要數(shù)據(jù)，應(yīng)向相關(guān)監(jiān)管機(jī)構(gòu)進(jìn)行報(bào)備；e)與用戶身份、位置信息等相關(guān)的個(gè)人信息，應(yīng)通過顯式的方式告知用戶并獲得用戶明示同意，并說(shuō)明數(shù)據(jù)收集所依據(jù)的國(guó)家法律法規(guī)及業(yè)務(wù)需求；f)可能影響人員及車輛安全的重要數(shù)據(jù)的收集，應(yīng)進(jìn)行簽名并加蓋時(shí)間戳；g)對(duì)用戶數(shù)據(jù)的收集應(yīng)在提供相應(yīng)服務(wù)的同時(shí)進(jìn)行。若業(yè)務(wù)需要事先收集相關(guān)數(shù)據(jù)，應(yīng)向用戶明示事先收集的目的和范圍，并且在用戶同意的情況下方可繼續(xù)；h)收集用戶使用行為等用戶數(shù)據(jù)時(shí)，應(yīng)提示用戶并向用戶提供關(guān)閉數(shù)據(jù)收集的功能；i)對(duì)于軟件中非應(yīng)用必需的數(shù)據(jù)收集，系統(tǒng)應(yīng)進(jìn)行適當(dāng)?shù)母深A(yù)，比如娛樂導(dǎo)航等應(yīng)用軟件不能訪問車機(jī)系統(tǒng)的敏感數(shù)據(jù)；j)收集的個(gè)人信息的類型應(yīng)與業(yè)務(wù)功能有直接關(guān)聯(lián)；k)自動(dòng)收集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)服務(wù)的業(yè)務(wù)功能所必需的最低頻率；l)間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量。9.3數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)安全要求如下：a)敏感數(shù)據(jù)應(yīng)存儲(chǔ)在安全存儲(chǔ)區(qū)域，或?yàn)槊舾袛?shù)據(jù)設(shè)置適當(dāng)?shù)脑L問權(quán)限，只允許被授權(quán)的應(yīng)用訪b)存儲(chǔ)個(gè)人生物識(shí)別信息時(shí)，應(yīng)采用技術(shù)措施確保信息安全后再進(jìn)行存儲(chǔ)，例如將個(gè)人生物識(shí)別信息的原始信息和摘要分開存儲(chǔ)，或僅存儲(chǔ)摘要信息；c)設(shè)備中的口令、密鑰等敏感數(shù)據(jù)應(yīng)以非明文方式存儲(chǔ)；d)對(duì)被授權(quán)訪問數(shù)據(jù)的人員應(yīng)建立授權(quán)的訪問控制策略，使其只能訪問職責(zé)所需的信息，且僅具備完成職責(zé)所需的數(shù)據(jù)操作權(quán)限；DB4403/T426—20248e)應(yīng)控制敏感數(shù)據(jù)（如輸入的賬號(hào)密碼信息、指紋信息等）的使用范圍和使用時(shí)間，保證敏感服務(wù)不被非法使用。若超出服務(wù)范圍和使用時(shí)間則設(shè)備應(yīng)退出敏感服務(wù)并返回到正常模式；f)未向用戶明示或未經(jīng)用戶同意不應(yīng)擅自修改用戶數(shù)據(jù)；g)個(gè)人信息保存期限應(yīng)為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所必需的最短時(shí)間，超出上述個(gè)人信息保存期限后，應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理；h)傳輸和存儲(chǔ)個(gè)人敏感信息時(shí)，應(yīng)采用加密等安全措施；i)應(yīng)提供數(shù)據(jù)的備份與恢復(fù)功能，定期備份重要數(shù)據(jù)；j)車輛信息系統(tǒng)中的應(yīng)用配置數(shù)據(jù)等應(yīng)具有備份，應(yīng)用異常時(shí)可使用備份數(shù)據(jù)恢復(fù)；k)應(yīng)具備相關(guān)的災(zāi)難恢復(fù)機(jī)制，保證業(yè)務(wù)的持續(xù)性；l)數(shù)據(jù)的存儲(chǔ)期限應(yīng)滿足保存六個(gè)月的要求。9.4數(shù)據(jù)傳輸數(shù)據(jù)傳輸安全要求如下：a)車載終端上傳數(shù)據(jù)到云端服務(wù)器，車輛身份標(biāo)識(shí)應(yīng)做匿名化處理，匿名后標(biāo)識(shí)唯一，不重復(fù)；b)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中重要數(shù)據(jù)的完整性；c)應(yīng)建立跨境數(shù)據(jù)的評(píng)估、審批及監(jiān)管控制流程，并依據(jù)流程實(shí)施相關(guān)控制并記錄過程。9.5數(shù)據(jù)使用數(shù)據(jù)使用安全要求如下：a)使用個(gè)人信息時(shí)，不應(yīng)超出與收集個(gè)人信息時(shí)所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。因業(yè)務(wù)需要，確需超出上述范圍使用個(gè)人信息的，應(yīng)再次征得個(gè)人信息主體明示同意；b)保障數(shù)據(jù)在授權(quán)范圍內(nèi)被訪問、處理，防止數(shù)據(jù)被竊取、泄露、刪除；c)根據(jù)數(shù)據(jù)使用過程中數(shù)據(jù)安全需求設(shè)立數(shù)據(jù)安全域，同一安全域應(yīng)具有相同的訪問控制和邊界控制策略，保證數(shù)據(jù)的安全；d)在數(shù)據(jù)使用的過程中，應(yīng)使用數(shù)據(jù)脫敏等技術(shù)防止隱私信息泄露；e)對(duì)數(shù)據(jù)使用的日志應(yīng)進(jìn)行管理和審計(jì)。9.6數(shù)據(jù)共享數(shù)據(jù)共享安全要求如下：a)應(yīng)對(duì)數(shù)據(jù)的共享行為進(jìn)行授權(quán)和管理；b)敏感數(shù)據(jù)向第三方分享過程中，應(yīng)采用數(shù)據(jù)去標(biāo)識(shí)化技術(shù)，保障數(shù)據(jù)分享安全；c)有效管理數(shù)據(jù)共享行為，防范數(shù)據(jù)共享過程中被竊取或者泄露。9.7數(shù)據(jù)銷毀數(shù)據(jù)銷毀安全要求如下：a)建立數(shù)據(jù)銷毀與刪除規(guī)程，明確數(shù)據(jù)銷毀與刪除場(chǎng)景、方式及審批機(jī)制，設(shè)置相關(guān)監(jiān)督角色，應(yīng)記錄數(shù)據(jù)銷毀與刪除操作過程；b)委托數(shù)據(jù)合作方完成數(shù)據(jù)處理后，應(yīng)及時(shí)銷毀委托相關(guān)的數(shù)據(jù)，法律、法規(guī)另有規(guī)定或者雙方另有約定的除外；c)根據(jù)要求、約定刪除數(shù)據(jù)或完成數(shù)據(jù)處理后無(wú)需保留源數(shù)據(jù)的，應(yīng)及時(shí)刪除相關(guān)數(shù)據(jù)；d)當(dāng)運(yùn)營(yíng)主體停止運(yùn)營(yíng)其產(chǎn)品或服務(wù)時(shí)，應(yīng)及時(shí)停止收集相關(guān)數(shù)據(jù)并對(duì)所持?jǐn)?shù)據(jù)進(jìn)行刪除或匿名化處理。DB4403/T426—2024910網(wǎng)絡(luò)安全保障要求10.1密碼安全密碼安全要求如下：a)用于車載設(shè)備中使用的密碼產(chǎn)品和密碼服務(wù)，應(yīng)符合GB/T39786—2021附錄A的要求；b)用于車載設(shè)備中使用的密鑰的全生命周期管理，應(yīng)符合GB/T39786—2021附錄B的要求；c)應(yīng)支持商用密碼算法，包括但不限于SM2、SM3、SM4、SM9。10.2算法安全算法安全要求如下：a)所使用的相關(guān)算法應(yīng)采用國(guó)家或行業(yè)主管部門批準(zhǔn)使用的，安全有效期內(nèi)未被破解的算法；b)應(yīng)采用具有足夠強(qiáng)度的算法和足夠長(zhǎng)度的密鑰進(jìn)行密碼運(yùn)算，對(duì)稱算法不低于128位，非對(duì)稱算法不低于2048位；c)應(yīng)使用安全區(qū)域或硬件安全模塊保護(hù)密鑰的安全性。10.3風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估要求如下：a)應(yīng)建立智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，包括確立評(píng)估標(biāo)準(zhǔn)、評(píng)估執(zhí)行主體、評(píng)估內(nèi)容、評(píng)估周期等；b)應(yīng)識(shí)別和管理車型產(chǎn)品與供應(yīng)商相關(guān)的風(fēng)險(xiǎn)；c)應(yīng)確認(rèn)車型的關(guān)鍵要素，對(duì)車型進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估，應(yīng)處理及管理已識(shí)別的風(fēng)險(xiǎn)；d)應(yīng)對(duì)風(fēng)險(xiǎn)