标准规范下载简介
GB/T 40856-2021 车载信息交互系统信息安全技术要求及试验方法.pdf5.3.3操作系统安全启动
车载信息交互系统应满足以下要求: a)按照6.3.3a)进行测试,操作系统的启动应始于一个无法被修改的信任根; b 按照6.3.3b)进行测试,应在可信存储区域验证操作系统签名后,才能加载车载端操作系统, 防止加载被篡改的操作系统; c)在执行其他的安全启动代码前按照6.3.3c)进行测试,应验证代码完整性
5.3.4操作系统更新
车载信息交互系统应满足以下要求: a)按照6.3.4a)进行测试,应具备系统镜像的防回退校验功能; b)当更新镜像安装失败时,按照6.3.4b)进行测试,应恢复到更新前的版本或者进人安全状态: 注:安全状态指不通过车载信息交互系统对整车引人安全威胁的状态。 c)按照6.3.4c)、d)进行测试,应具有验证更新镜像完整性和来源可靠的安全机制
连云港市某景观工程施工组织设计5.3.5操作系统隔离
5.3.6操作系统安全管理
GB/T 408562021
务器; 按照6.3.6e)进行测试,应对日志文件进行安全存储; e 按照6.3.6f)进行测试,应采取访问控制机制,对日志读取写人的权限进行管理; 按照6.3.6g)进行测试,应对开发者调试接口进行管控,禁止非授权访问; g) 按照6.3.6h)进行测试,不应存在由权威漏洞平台6个月前公布且未经处置的高危及以上的 安全漏洞; 注:处置包括消除漏洞、制定减缓措施等方式。 h)按照6.3.6i)进行测试,宜具备识别、阻断应用软件以高敏感权限,例如:最高权限用户权限、涉 及非业务内控车行为的权限等运行的能力。
5.4应用软件安全要求
5.4.1应用软件基础安全
车载信息交互系统上的应用软件基础安全应满足以下要求: 按照6.4.1a)进行测试,从安全合规的来源下载和安装软件; b)按照6.4.1b)进行测试,不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安 全漏洞; 注:处置包括消除漏洞、制定减缓措施等方式。 c)按照6.4.1c)进行测试,不存在非授权收集或泄露个人敏感信息、非授权数据外传等恶意行为; d 按照6.4.1d)进行测试,不以明文形式存储个人敏感信息; e 按照6.4.1e)进行测试,具备会话安全保护机制,例如:使用随机生成会话ID等机制; f 按照6.4.1f)进行测试,使用至少包括阿拉伯数字、大小写拉丁字母,长度不少于8位的强复杂 度口令或向用户提示风险; g) 按照6.4.1g)进行测试,符合密码学要求,不直接在代码中写人私钥;按照6.4.1h)进行测试 使用已验证、安全的加密算法和参数;按照6.4.1i)进行测试,同一个密钥不复用于不同用途; h 按照6.4.1j)进行测试,使用到的随机数符合GM/T0005一2012等随机数相关标准,保证由巨 验证、安全的随机数生成器产生
5.4.2应用软件代码安全
车载信息交互系统上的应用软件代码安全应满足以下要求: a 按照6.4.2a)进行测试,应用软件的开发者在使用第三方组件时应识别其涉及公开漏洞库中已 知的漏洞并安装补丁; b) 对于非托管代码,按照6.4.2b)进行测试,应确保内存空间的安全分配、使用和释放; 按照6.4.2c)进行测试,应用软件安装包应采用代码签名认证机制; d) 按照6.4.2d)进行测试,发布后应禁用调试功能,并删除调试信息; e) 在非调试场景或非调试模式下,按照6.4.2e)进行测试,应用软件日志不应包含调试输出; 按照6.4.2f)进行测试,宜使用构建工具链提供的代码安全机制,例如:堆栈保护、自动引用计 数等; 按照6.4.2g)进行测试,宜使用安全机制,例如:混淆、加壳等,防止被逆向分析
.4.3应用软件访问控制
车载信息交互系统上的应用软件访问控制应满足以下要求: a)按照6.4.3a)进行测试,应支持权限管理,按照6.4.3b)进行测试,不同的应用软件基于实现 定功能分配不同的接口权限;
GB/T 408562021
D)按照6.4.3c)进行测试, 户界面、URL等来源进行校验:
5.4.4应用软件运行安全
车载信息交互系统上的应用软件运行安全应满足以下要求: a)按照6.4.4a)进行测试,与控制车辆、支付相关等关键应用软件在启动时应执行自检机制; b 当输入个人敏感信息时,按照6.4.4b)进行测试,应采取安全措施确保个人敏感信息不被其他 应用窃取,并通过使用安全软键盘等防止录屏; C 应用软件正常退出时,按照6.4.4c)进行测试,应擦除缓存文件中的个人敏感信息; d)按照6.4.4d)进行测试,应用软件进程间通信不宜明文传输个人敏感信息; 按照6.4.4e)进行测试,不宜利用进程间通信提供涉及个人敏感信息功能的接口
5.4.5应用软件通信安全
车载信息交互系统上的应用软件通信安全应满足以下要求: a)对外传输个人敏感信息时,按照6.4.5a)进行测试,应采用数据加密传输方式; b)按照6.4.5b)进行测试,实现通信端之间的双向认证后,才能发送个人敏感信息; 按照6.4.5c)进行测试,使用已验证、安全的参数设置,按照6.4.5d)进行测试,只允许验证通 过OEM授信CA签发的证书
5.4.6应用软件日志安全
车载信息交互系统数据采集应满足以下要求: 采集用户数据时,按照6.5.1a)进行测试,应告知用户采集目的和范围,取得授权同意,并提供 关闭数据采集的功能; D 采集个人敏感信息时,按照6.5.1b)进行测试,应取得用户的明示同意,并确保个人信息主体 的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的意愿表示; 采集远程控制、远程诊断等功能场景下所发送的指令数据时,按照6.5.1c)进行测试,应取得用 户授权同意;
车载信息交互系统数据存储应满足以下要求: a)按照6.5.2a)进行测试,应采用SM2、SM3、SM4、长度不低于2048位的RSA、长度不低 128位的AES、哈希(Hash)摘要等加密算法存储个人敏感信息,宜采用硬件安全存储方式 b)按照6.5.2b)进行测试,应实现安全重要参数的安全存储和运算,可采用硬件防护方式;
信息交互系统数据存储应满足以下要求: 按照6.5.2a)进行测试,应采用SM2、SM3、SM4、长度不低于2048位的RSA、长度不低于 128位的AES、哈希(Hash)摘要等加密算法存储个人敏感信息,宜采用硬件安全存储方式; 按照6.5.2b)进行测试,应实现安全重要参数的安全存储和运算,可采用硬件防护方式;
GB/T 408562021
d)按照6.5.2d)进行测试,应采用技术措施处理后再进行存储个人生物识别信息,例如:仅存储 个人生物识别信息的摘要等方式; 按照6.5.2e)进行测试,未经用户授权不应修改、删除用户数据; 传输、存储、销毁等操作进行日志存储
按照6.5.3进行测试,车载信息交互系统应采取管理措施和技术手段,保护所传输用户数 性、完整性和可用性。
车载信息交互系统数据销毁应满足以下要求: a)按照6.5.4a)进行测试,应具备用户数据销毁的功能,且销毁后数据不能恢复; b)对共享类应用,例如:共享汽车等应用场景,在当前用户退出后,按照6.5.4b)进行测试,应清 空个人敏感信息
车载信息交互系统数据销毁应满足以下要求 a)按照6.5.4a)进行测试,应具备用户数据销毁的功能,且销毁后数据不能恢复; 对共享类应用,例如:共享汽车等应用场景,在当前用户退出后,按照6.5.4b)进行测试,应 空个人敏感信息
按照下列流程进行: a 检查是否存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等调试接口, 如存在则使用测试工具尝试获取调试权限; b) 拆解被测样件设备外壳,取出PCB板,检查PCB板硬件是否存在后门或隐蔽接口; C 通过采用开盒观察方法,检查关键芯片管脚暴露情况,或审查相应文档,是否有减少暴露管脚 的考量; d 查看PCB布线及设计,检查芯片之间通信线路是否做隐蔽处理,检查敏感数据的通信线路数 量或审查相应文档,检查通信线路是否有做隐蔽处理与减少通信线路数量的考量; 通过采用开盒观察方法,检查车载信息交互系统的电路板及电路板上的芯片是否存在用以标 注端口和管脚功能的可读丝印
6.2通信协议与接口安全试验
6.2.1对外通信协议安全试验
6.2.1.1通信连接安全试验
按照下列流程进行: a) 采用网络数据抓包工具进行数据抓包,解析通信报文数据,检查车载信息交互系统与平台服务 端或外部终端的通信有无身份认证; b 采用网络数据抓包工具进行数据抓包,解析通信报文数据,模拟中间人攻击方式,检查车载信 息交互系统与平台服务端或外部终端是否无法建立通信连接
6.2.1.2通信传输安全试验
采用网络数据抓包工具进行数据抓包,解析通信报文数据,检查车载信息交互系统与平台服务端 终端间传输的数据内容是否经过加密
6.2.1.3通信终止响应安全试验
GB/T 408562021
按照下列流程进行: a 采用网络数据抓包工具进行数据抓包,解析通信报文数据,将其套改,发送套改数据,触发数据 内容校验失败,检查车载信息交互系统是否终止该响应操作; 采用网络数据抓包工具进行数据抓包,解析通信报文数据,模拟伪造签名的报文数据,触发身 份鉴权失败,检查车载信息交互系统是否终止该响应操作
6.2.1.4远程通信协议安全试验
6.2.1.4.1车载公有远程通信协议安全试验
6.2.1.4.2车载私有远程通信协议安全试验
按照下列流程进行: a)对车载私有远程通信协议方案进行审核,采用网络数据抓包的方法进行数据抓包,解析通信报 文数据中加密密钥衍生和更新策略,检查是否支持以安全方式进行定期更新 D 对车载私有远程通信协议方案进行审核,采用网络数据折包的方法进行数据抓包,解析通信报 文数据中加密密钥传输策略.检查安 的方式传输数据加密密销
6.2.1.5短距离通信协议安全试验
6.2.1.5.1短距离通信口令应用安全试验
6.2.1.5.2车载蓝牙通信协议安全试验
按照下列流程进行: a)模拟遍历连接车载信息交互系统上的蓝牙设备,检查是否不存在后门提供其他车辆服务; b 采用蓝牙抓包工具进行数据抓包,解析蓝牙通信数据,检查针对Classic场合,是否采用SSP 模式或针对LE场合,是否采用LESecureConnection模式; 向车载蓝牙设备发出配对请求,检查车载蓝牙设备是否对配对请求进行验证; d) 利用未具有访问权限的外部设备,尝试进行控制车辆,检查是否不能成功接入; e) 在利用蓝牙进行非接触控制车辆业务时,采用蓝牙抓包工具进行数据抓包,解析蓝牙通信数 据,检查是否对相关数据进行安全加密处理
6.2.1.5.3车载WLAN通信协议安全试验
6.2.2车内通信协议的安全试验
采用车内网络报文抓包、解析及发送数据的方法,检查车载信息交互系统通过CAN或车载以太网 等总线与车内其他控制器节点进行数据交互、传输重要数据时,是否使用安全机制保证传输数据的完整 性及可用性。
6.2.3通信接口的安全试验
6.2.3.1总体要求试验
按照下列流程进行: a)对软硬件接口进行探测、对端口进行扫描,检查是否不存在未公开接口,是否不存在可绕过系 统安全机制对系统或数据进行访问的功能; b)对通信接口进行遍历,检查其访问权限是否满足最小权限原则。
6.2.3.2车外通信接口安全试验
按照下列流程进行: a 访问车载信息交互系统中不同区域的数据,检查车载信息交互系统是否支持路由隔离,是否可 以隔离核心业务平台的通信、内部通信、外网通信等; b 使用公网访问车载信息交互系统和核心业务平台,检查车载信息交互系统与核心业务平台的 通信是否采用专用网络或者虚拟专用网络通信,与公网隔离。
2.3.3车内通信接口安全
按照下列流程进行 a)调用非白名单指令,检查车载信息交互系统是否针对发送和接收到的指令进行白名单过滤 b)模拟恶意应用,发送控制指令,检查车载信息交互系统是否实现总线控制指令来源的校验。
6.3操作系统安全试验
6.3.1操作系统安全配置试验
按照下列流程进行: 使用最高权限用户账号登录,并使用普通账号登录后尝试进行提权,检查系统是否禁止最高权 限用户直接登录,限制普通用户提权操作; b 查看系统中的账号列表,检查是否存在无用账号,或者尝试登录其中的无用账号,验证是否无 法登陆,通过设置弱口令,检查系统是否提示口令安全弱,账号口令至少包括阿拉伯数字、大小 写拉丁字母,并且长度不小于8位; C 使用授权身份或授权进程对文件、数据库等进行访问,检查访问是否被允许,使用非授权身份 或非授权进程对文件、数据库等进行访问,检查访问是否无法成功; 查看正在运行的应用服务,检查是否关闭了不必要的应用服务; e) 使用授权身份进行远程接入,检查是否可以成功远程接入,使用非授权身份进行远程接入,检 查是否不能远程接人服务
6.3.2 安全调用控制能力试验
6.3.2.1通信类功能受控机制安全试验
GB/T 408562021
6.3.2.1.2三方通话安全试验
在应用软件内调用三方通话操作,检查应用软件调用执行三方通话操作时,是否在用户明示同 况下才能执行三方通话操作
6.3.2.1.4发送彩信安全试验
在应用软件内调用发送彩信操作,检查应用软件调用执行发送彩信操作时,是否在用户 情况下才能执行发送彩信操作
6.3.2.1.5发送邮件安全试验
仕以用软件内调用发送由 那件裸 年调用执行发送邮件操作时,是否在用户明示同 况下才能执行发送邮件操作
6.3.2.1.6移动通信网络连接安全试验
按照下列流程进行: a) 检查车载信息交互系统是否提供了开启或关闭移动通信网络数据连接的功能,开启时检查是 否可使用移动通信网络数据连接,关闭时检查是否无法使用移动通信网络数据连接; b) 检查应用软件调用开启通信网络数据连接功能时,是否对用户进行了相应的提示,且是否在用 户明示同意后才开启通信网络数据连接功能,当用户未确认时是否没有开启; 检查车载信息交互系统是否向用户提供通过配置应用软件调用移动通信网络连接的功能; d 检查当移动通信网络的数据连接处于已连接状态时,车载信息交互系统是否在用户界面上有 相应的状态提示; e 当移动通信网络正在传送数据时,检查车载信息交互系统是否在用户界面上有相应的状态 提示; 检香d)和e)的两种状态提示是否不同
6.3.2.1.7WLAN网络连接安全试验
按照下列流程进行: a 检查车载信息交互系统是否有开启或关闭的WLAN网络连接功能,开启时检查是否可使用 WLAN网络连接,关闭时检查是否不能使用WLAN网络连接; b 检查应用软件调用开启WLAN网络连接功能时,是否对用户进行相应的提示,且是否在用户 明示同意后才开启WLAN网络连接,当用户未确认时是否没有开启; C) 检查当WLAN网络连接处于已连接状态时,车载信息交互系统是否在用户界面上有相应的 状态提示; d)检查当WLAN网络正在传送数据时,车载信息交互系统是否在用户界面上有相应的状态
GB/T 408562021
提示; 检查c)和d)的两种状态提示是否不同。
6.3.2.2本地敏感功能受控机制试验
6.3.2.2.1定位功能试验
按照下列流程进行: a)检查当应用软件在使用期间调用定位功能时,车载信息交互系统是否要求用户明示同意允许 使用定位功能,用户未确认时是否会停止调用定位功能; b) 检查车载信息交互系统是否提供了后台定位控制能力,且用户是否可为每个应用软件选择开 启和关闭后台定位功能; c)检查a)和b)是否让用户分别操作; d)检查当应用软件调用定位功能时,车载信息交互系统是否在用户界面上有相应的状态提示,
6.3.2.2.2通话录音功能试验
.3.2.2.3人机交互功能
6.3.2.2.4对用户数据的操作试验
使用授权的应用软件对用户数据进行处理,检查是否可以成功执行,使用非授权的应用软件对用 居进行处理,检查是否无法成功
6.3.3操作系统安全启动试验
按照下列流程进行: a 获取操作系统安全启动信任根存储区域的访问方法和地址,使用软件调试工具写人数据,重复 多次检查是否可将数据写入该存储区域; b 提取操作系统签名,使用软件调试工具对签名进行篡改,将修改后签名写人到车载终端内的指 定可信区域内,检查是否正常工作; 获取操作系统的系统固件等其他安全启动代码,使用软件调试工具对其进行改,将修改后的 启动代码写人到车载终端内的指定区域,检查是否正常工作
6.3.4操作系统更新安全试验
按照下列流程进行: a 将镜像替换为过期的镜像,检查是否无法成功加载; b)如通过在更新镜像时人为断电等方法,确认更新镜像安装失败时,系统安装之前的版本是否可 用或是否进入安全状态; C) 修改更新镜像,检查更新流程是否无法执行; d)使用非官方授信的更新镜像,检查更新流程是否无法执行
6.3.5操作系统隔离试验
GB/T 408562021
6.3.6操作系统安全管理试验
6.4应用软件安全试验
6.4.1应用软件基础安全试验
GB/T 408562021
a 使用代码扫描工具,对应用软件代码进行扫描,检查应用软件构建设置是否满足安全要求,应 用软件使用的第三方组件是否识别已知漏洞并安装补丁; b 对于非托管代码,使用代码扫描工具,检查是否可确保内存空间的安全分配、使用和释放; 分析设计文档,检查应用软件是否采用代码签名机制; d 使用调试分析方法,检查应用软件发布后是否可用调试功能或包含调试信息; e) 在非调试场景或非调试模式下,使用调试工具进行分析,检查应用软件日志是否包含调试 输出; 使用代码扫描工具,检查是否使用构建工具链提供的代码安全机制,例如堆栈保护、自动引用 计数; 使用逆向工具进行分析,检查应用软件是否使用混淆、加壳等安全机制,对抗针对应用的逆向 分析,
6.4.3应用软件访问控制试验
按照下列流程进行: 通过遍历调用所有接口的方式,检查是否授予超出其实际业务需求的权限; b 采用分析设计文档和测试的方法,检查不同的应用软件是否分配不同的接口权限集合; 通过对应用软件的输入接口进行模糊测试的方式,检查应用软件是否对输入信息的来源,包括 用户界面、URL等进行校验; d)采用分析设计文档的方法,检查身份验证是否至少在本地进行
6.4.4应用软件运行安全试验
按照下列流程进行: a)套改或替换关键应用软件的部分代码,检查关键应用程序能否正常启动运行; b)检验输入个人敏感信息时,检查是否使用安全软键盘或其他安全措施,确保敏感信息不被其他 应用窃取,并防止录屏; 应用软件正常终止时,读取内存数据,检查是否包含个人敏感信息; 截取进程间通信内容,进行分析,检查进程间通信是否涉及明文的个人敏感信息; e 遍历接口,截取各接口通信内容,进行分析,检查应用软件是否利用进程间通信提供敏感功能 的接口
6.4.5应用软件通信安全试验
按照下列流程进行: a) 采用网络数据抓包工具进行数据抓包,解析应用软件对外传输的数据,检查个人敏感信息是否 加密; b)采用网络数据抓包工具进行数据抓包,解析通信数据,检查通信端是否进行双向认证; c)采用网络数据抓包工具进行数据抓包,解析通信数据,检查是否使用已验证、安全的参数设置; d 采用网络数据抓包工具进行数据抓包,解析通信数据,获取证书,检查证书是否是通过OEM 授信的 CA签发的
6.4.6应用软件日志安全试验
按照下列流程进行: a)通过尝试日志读取写入操作,检查是否存在访问控制机制,检查是否对日志读写进行权 管理;
D)通过会试复益、删除日 志是否实现了安全存储 c)分析应用软件存储的
6.5.1数据采集安全试验
GB/T40856202
按照下列流程进行: a)检查车端在采集用户数据时,是否通过明确告知采集目的和范围等方式得到用户的授权同意 和提供关闭数据采集的功能; b) 检查车端在采集个人敏感信息时,是否通过主动点击“同意”等方式得到用户的明示同意; 检查车端在远程控制、远程诊断等功能场景下发送指令数据时,是否通过明确告知等方式得到 用户的授权同意; d)启动一项服务,检查是否在服务启动之后才进行数据采集,终止服务时停止数据采集
6.5.2数据存储安全试验
通过尝试读取存储包含个人敏感信息的文件,检查个人敏感信息是否使用SM2、SM3、SM4、 长度不低于2048位的RSA、长度不低于128位的AES、Hash摘要等加密算法进行了加密 存储; b) 通过查看车载信息交互系统设计文档,检查是否有效实现重要安全参数的安全存储和运算; 使用非授权身份访问存储用户数据的文件,检查是否无法访问文件信息; d)检查存储在车载信息交互系统中的个人生物识别信息,是否使用了仅存摘要等技术措施; e)通过尝试修改和删除存储的用户数据,检查是否无法成功,用户同意之后,尝试修改和删除存 储的用户数据永康路步行街水电施工组织设计,检查是否成功; 检查车载信息交互系统是否支持采集、传输、存储、销毁等数据操作日志的存储功能
6.5.3数据传输安全试验
6.5.4数据销毁安全试验
按照下列流程进行: a)通过更换零部件操作或者应用安装后删除等操作,检查车载信息交互系统是否具备数据销毁 的功能;对销毁的数据尝试进行恢复,检查是否能恢复销毁数据; 启动共享应用程序,执行用户退出后再次登录,检查是否可以获取到个人敏感信息
车载信息交互系统对外可与基站、钥匙等外部终端或服务平台进行通信,对内可与网关、ECU等 子系统进行通信,其示意图见图A.1
某市第四水厂水源工程项目施工组织设计车载信息交互系统示意