电车试验：数据监控管理——车辆信息安全

车辆信息安全是指针对车辆及其生态系统中功能、接口等信息资产的安全威胁，所采取的资产保护措施，包括技术保护、流程管理等手段，确保信息资产免遭破坏、更改、泄露，或者不因信息安全攻击而影响车辆及其生态系统的功能安全和业务的正常使用。

从电动汽车的保护对象划分，可以将需要保护的对象分为车内的电子电气系统及车辆对外的通信通道。其中车内电子电气系统可以分为软件系统、车内通信系统、电子电气硬件及车内数据。

一、车辆软件系统的信息安全

车内软件系统应重点保护软件的真实性、保密性、完整性以及可用性。

软件、固件和配置文件的升级、加载和安装时，从整车层面应确保系统能验证提供方的身份真实性和来源的合法性。软件系统应具备对所有的登录用户进行认证和鉴权的能力，确保所有登录用户身份的真实性和合法性。

重要软件系统应防止被逆向分析，宜采用代码混淆或加壳等措施。

汽车系统软件、固件和配置文件的升级、加载和安装时，建议使用相应手段验证其软件的完整性。汽车系统软件启动和运行时，建议使用相应手段验证其软件的完整性。

对于有ASIL C, D 级（GB/T 34590-2017）功能安全要求的车内系统软件，宜具备抗拒绝服务攻击能力，避免授权用户在系统受到DoS/DDoS 攻击时，无法使用正常的服务和功能的问题。

应采取相应措施确保对各软件资源和数据资产的访问、操作和使用是被正确授权的，这些信息处理行为被系统的鉴权机制所管控。对于自主访问权限内的软件、固件的升级或者安装，应得到授权和确认。软件系统宜具备访问权限控制的管理机制。

建议对软件系统的审计日志进行保护，确保其无法被非法篡改、删除和伪造；针对具有多用户的软件系统，建议提供覆盖到每个用户的安全审计功能，对涉及到用户活动和操作指令等重要安全事件进行记录；审计记录的内容宜包括事件的日期、时间、发起者信息、类型、描述和结果等。

车内软件系统宜对自身受到攻击的安全事件具备感知能力，并可根据系统设定的安全策略，进行日志记录、安全告警或者攻击阻止等方式的安全响应动作。

二、车辆车内通信系统的信息安全

车内通信系统包括但不限于CAN、CANFD、车内以太网、LIN 等多种通信方式，根据不同的通信方式的特点，建议采取相对应保护措施。

车内部件之间通信时，建议使用相应机制验证通信双方身份的真实性。

建议采用加密机制对车内通信数据进行保护。

建议对车内通信数据进行完整性保护，例如AUTOSAR SECOC 安全通信机制。

车内通信系统宜具备通信流量控制能力，确保其在受到恶意软件感染或者服务拒绝攻击而造成车内通信流量异常时，仍然有能力提供可接受的通信能力。

可将车内网络划分为不同的安全区域，每个安全区域之间宜进行网络隔离。安全区域间宜采用边界访问控制机制对来访的报文进行控制，如可采用报文过滤机制、报文过载控制机制和用户访问权限控制机制等。

建议对车内通信系统日志进行保护，确保其无法被非法篡改、删除和伪造。

车内通信系统日志，宜具备记录通信异常事件的能力，例如流量过载、高频率的收到异常报文等现象。

车内通信系统宜对异常报文具有感知能力，例如：接收到高频率的重放报文或者被篡改过的报文等异常现象，并根据既定的安全策略进行告警、日志记录或者其他安全响应动作。

三、车辆电子电气硬件的信息安全

车辆电子电气硬件主要是通过硬件设计布局、安全芯片（模组）以及硬件接口等方面进行安全保护车内使用到的密钥等关键数据宜存储在特定的安全环境中，如TPM 芯片、TEE 或者带有HSM 的主控芯片等，确保该根密钥不被外界直接明文获取。

单板上的关键信号（如可能泄露敏感数据的数据总线、串行总线等）宜在PCB 内层走线，且去掉不必要的测试点。印制电路板上的调测功能标识的丝印设计（如UART、JTAG、等），如果不是业务功能要求或生产必须要求，宜予以去除，以增加攻击者识别硬件的难度。

对关键ECU 的封装（外壳、封条等）宜采取完整性的保护措施，例如使用揭开时能留迹象的封条。

出厂前产品宜移除或者禁止隐蔽接口或未明示功能组件。对于量产部件中仍需保留的硬件调试接口，建议采取访问控制措施，对接入操作进行身份认证和鉴权。

四、车辆内部数据的信息安全

车辆内部数据中，应考虑对用户个人数据、关键安全参数进行保护。

用户个人数据可参见GB/T 35273《信息安全技术个人信息安全规范》。

建议采用加密或其他有效措施，来确保车辆系统中存储的关键安全参数的保密性。与车外系统有通信连接的ECU，应确保车辆软件日志中不会以明文的方式记录关键安全参数。建议采用加密或其他有效措施，来确保车辆系统中关键安全参数的传输保密性。

在车内部件间存储和传输关键安全参数时，建议对其进行完整性保护，并支持完整性校验。

对关键安全参数，系统宜采取防丢失、防被误删除等保护措施，如采用备份、专用安全空间存储等措施。对所存储的关键安全参数，应采用访问控制措施，防止其被非授权访问和操作。

五、车辆对外通信系统的信息安全

车辆对外通信系统基于通信方式主要可以划分为远距离通信和近场通信。

针对远距离通信，车与外部通信单元应支持3G、4G、5G 等网络层通信通道的加密功能。业务层的通信通道，宜支持独立于网络层通信通道的加密机制，如采用TLS1.2 版本及以上或者DTLS等安全协议进行加密。

车与外部通信单元应支持3G、4G、5G 等网络层的通信通道的完整性保护功能。业务层的通信通道，宜支持独立于网络层通信通道的完整性机制，如采用TLS1.2 版本及以上或者DTLS 等安全协议进行完整性保护。

车与外部通信单元应支持3G、4G、5G 等网络层的通信通道的完整性保护功能。业务层的通信通道，宜支持独立于网络层通信通道的完整性机制，如采用TLS 或者DTLS 等安全协议进行完整性保护。

车与外部通信单元应支持防DoS/DDoS 攻击能力，包括且不限于报文泛洪攻击、报文重放攻击、畸形报文攻击等。无线通信接收系统，包括卫星通信导航、3G/4G/5G 等，应具备抗无线干扰能力。

车与外部通信单元宜具备对通信报文进行访问控制的能力，例如白名单访问控制、报文过滤、防通信流量过载机制等。

应确保车辆的网络层通信ID（如：国际移动用户识别码IMSI）的全球唯一性

对于来自车外的通信报文，宜具备安全监控能力和攻击行为的感知能力，并能够进行报文清洗、流量控制或者攻击行为阻止等方式的安全响应。

针对近场通信，近距离通信通道宜开启身份认证功能、加密功能、完整性保护功能，与外部通信的部件应支持防DoS/DDoS 攻击；近距离通信系统宜具备记录近距离通信安全相关的事件，包括记录来访用户ID 和通信时间等事件。

六、OTA 数据安全加密与防篡改

车辆的OTA 主要分为两类，一种是FOTA（Firmware-over-the-air，固件在线升级），指给车载系统或内部控制器进行固件升级；另一种是SOTA（Software-over-the-air，软件在线升级），指对固件以外的软件（如地图）升级。无论哪种升级，都面临车辆端与服务器间的升级包传输风险及升级包篡改风险。

在进行OTA 升级过程中，需从升级包发布、升级包传输、终端升级三个阶段进行防御。

OTA 服务器端可增加部署安全服务器，提供安全基础设施、如密钥生成与管理、数字加密及数字签名等，以抵御针对升级包的逆向分析攻击、篡改攻击等。基于安全服务器实现升级包加固功能，最终由OTA 服务器发布加固后的升级包。安全服务器的基础功能可使用软件方案实现，也可配合部署硬件加密机实现。

在OTA 服务端与车辆端构建安全传输通道，实现双向身份认证，及传输加密等功能，保证升级包传输过程的安全。终端系统在升级流程前增加升级包校验机制，对升级包进行解密和合法性验证，验证通过方可进入系统升级流程。