1、 汽車供應鏈網絡安全管理白皮書（2022）汽車供應鏈網絡安全管理白皮書（2022）2022 年 11 月 中國智能網聯汽車產業創新聯盟 汽車供應鏈網絡安全管理白皮書（2022）版 權 聲 明 版 權 聲 明 本白皮書版權屬于中國智能網聯汽車產業創新聯盟及各參編單位，并受法律保護。轉載、摘編本白皮書文字或者觀點的應注明來源:“中國智能網聯汽車產業創新聯盟：汽車供應鏈網絡安全管理白皮書(2022)”，以其他方式使用本白皮書應取得版權方書面同意。違反上述聲明者，聯盟將追究其相關法律責任。汽車供應鏈網絡安全管理白皮書（2022）主 要 貢 獻 單 位 主 要 貢 獻 單 位 南德檢測認證（中國）有限公

2、司上海分公司 華為技術有限公司 國汽（北京）智能網聯汽車研究院有限公司 上海汽車集團股份有限公司 廣州汽車集團股份有限公司 重慶長安汽車股份有限公司 中國軟件評測中心（工業和信息化部軟件與集成電路促進中心）奇安信科技集團股份有限公司 寧波謙川科技有限公司 上海工業控制安全創新科技有限公司 北京梆梆安全科技有限公司 紫光國芯微電子股份有限公司 工業和信息化部電子第五研究所 汽車供應鏈網絡安全管理白皮書（2022）前 言 前 言 近年來，汽車智能化、網聯化發展加快，創新技術不斷演進，產業轉型持續深入。同時，汽車面臨的網絡安全問題日益突出，由汽車網絡安全事件引發的諸多風險及危害已引起監管部門、產業各

3、界及社會公眾的重點關注。由于智能網聯汽車供應鏈長，構成主體多元復雜，網絡安全防護涉及環節眾多，容易形成安全缺口和能力短板。因此，加強智能網聯汽車全供應鏈的網絡安全保障能力，構建覆蓋智能網聯汽車全生命周期的網絡安全保障體系，對提升產業整體安全水平，推動產業健康發展具有重要意義。從監管要求來看，汽車供應鏈網絡安全逐步引起國內外監管部門的重視，近期陸續發布的政策法規已做出相關要求：一方面，明確汽車制造商的主體責任，要求做好供應鏈網絡安全風險的識別與管控；另一方面，也要求汽車產業鏈上下游的零部件供應商、服務商協同做好安全體系建設工作。從產業需求來看，供應商網絡安全管理是汽車制造商構建汽車網絡安全管理體

4、系中不可或缺的環節；同時，為有效承接汽車制造商的網絡安全需求，供應鏈各環節企業需加強自身網絡安全能力建設?；诖?，本白皮書針對汽車供應鏈網絡安全的現狀及挑戰，以當前國內外法規標準要求為依據，闡述汽車制造商進行供應鏈網絡安全管理的實踐要點，從管理體系和關鍵技術角度分析汽車供應商構建網絡安全能力的關鍵要素，系統梳理適用于汽車供應鏈網絡安全的評估及認證體系，提出推動汽車供應鏈網絡安全發展的措施建議。本白皮書可為汽車制造商的供應鏈網絡安全管理，汽車供應商（包括涉及網絡安全風險的汽車系統與零部件制造商、服務運營商、解決方案集成商等）的網絡安全能力建設提供實踐參考。汽車供應鏈網絡安全管理白皮書（2022）

5、I 目 錄 目 錄 一、一、智能網聯汽車網絡安全發展概況智能網聯汽車網絡安全發展概況.1 1.1 行業網絡安全發展現狀.1 1.2 政策法規推進情況.1 1.3 標準體系建設情況.3 1.4 汽車供應鏈網絡安全問題和挑戰.8 二、二、汽車制造商供應鏈網絡安全管理汽車制造商供應鏈網絡安全管理.9 2.1 供應鏈網絡安全評估及準入.9 2.2 定廠前的監督管理.9 2.3 定廠后的監督管理.10 三、三、汽車供應商網絡安全最佳實踐汽車供應商網絡安全最佳實踐.11 3.1 汽車供應商網絡安全管理體系.11 3.1.1 網絡安全組織管理.11 3.1.2 網絡安全流程管理.12 3.2 汽車供應商網絡

6、安全關鍵技術.13 3.2.1 網絡安全防護技術.13 3.2.2 網絡安全測試技術.19 四、四、汽車供應鏈網絡安全評估及認證汽車供應鏈網絡安全評估及認證.30 4.1 企業信息安全管理體系認證.30 4.1.1 ISO/SAE 21434 認證.30 4.1.2 可信信息安全評估交換（TISAX）.33 4.1.3 ISO/IEC 27001 認證.34 4.2 產品信息安全認證.35 4.2.1 CC 認證.35 4.2.2 CB 體系認證.36 4.2.3 商用密碼產品認證.36 五、五、展望及倡議展望及倡議.38 汽車供應鏈網絡安全管理白皮書（2022）1 一、一、智能網聯汽車網絡安

7、全發展概況 1.1智能網聯汽車網絡安全發展概況 1.1 行業網絡安全發展現狀 行業網絡安全發展現狀 當前全球新一輪科技革命和產業革命如火如荼，智能網聯汽車作為作為云計算、人工智能、大數據、傳感技術、物聯網、新型通信和電子電氣架構技術的最佳應用載體，成為引領汽車產業轉型升級、創新高質量發展的戰略高地。在 2020世界智能汽車大會上，國家發改委國際合作司副司長高健表示：“我國智能汽車行業正迎來發展的黃金期，中國將成為世界第一大智能汽車市場。預計到 2025年聯網汽車將占全球汽車市場的近 86%，規模達 7400 萬輛，中國將超過 2800 萬輛”。然而隨著汽車智能化網聯化水平日益提升，網絡攻擊涉及

8、面廣且攻擊入口迅速增多，風險顯著加大，安全事件頻發，安全形勢極為嚴峻。根據云安全廠商Upstream Security 的數據，從 2016 年至今，汽車網絡安全事件急劇增加，五年間增長了 605%，僅 2020 年和 2021 年兩年，汽車網絡安全事件就多達 900 多起。截至 2021 年 10 月，工信部已輸入車聯網安全漏洞信息超過 2000 條，2021年上半年針對車聯網平臺惡意網絡攻擊行為超過 100 萬次，較 2020 年同期增長超過 80%。2021 年,某國外品牌汽車攝像頭數據采集等熱點事件出現，使國家戰略數據資源、網絡攻擊威脅和非法控制等風險浮出水面，自動駕駛+網聯汽車的安全

9、問題引起國家高層重視。隨著網聯化的深入和應用場景的不斷豐富，網絡安全和數據安全的影響深度與廣度呈現逐步擴大的趨勢。不僅關系到公民的生命財產安全、個人隱私權益，還涉及到道路交通、車聯網通信、企業生產經營等社會公共利益，甚至威脅到國防軍事、工業生產、經濟運行、戰略資源等國家層面的安全。1.21.2 政策法規推進情況 政策法規推進情況（1）國內方面（1）國內方面 自 2015 年以來，國務院、工業和信息化部、交通運輸部、科學技術部、國家發展改革委、公安部等部委相繼出臺一系列頂層規劃及政策文件，旨在通過宏觀指導促進智能網聯汽車發展。陸續發布了汽車產業中長期發展規劃、車 汽車供應鏈網絡安全管理白皮書（2

10、022）2 聯網(智能汽車)產業發展行動計劃、智能汽車創新發展戰略 等指導性文件，并將智能網聯汽車網絡安全作為一項重要目標和工作重點。2021 年 4 月，工業和信息化部發布了智能網聯汽車生產企業及產品準入管理指南（試行），從企業和產品兩方面，對智能網聯汽車網絡安全、數據安全、軟件升級等提出了多項要求。其中，指南對智能網聯汽車生產企業安全保障能力提出了供應鏈安全管理方面的具體要求：企業應建立供應鏈網絡安全保障機制，明確供方產品和服務網絡安全評價標準、驗證規范等，確定與供方的安全協議，協同管控供應鏈網絡安全風險。2021 年 7 月，工業和信息化部發布了關于加強智能網聯汽車生產企業及產品準入管理

11、的意見，要求壓實企業主體責任，加強汽車數據安全、網絡安全、軟件升級、功能安全和預期功能安全管理，保證產品質量和生產一致性，推動智能網聯汽車產業高質量發展。由于汽車產業是供應鏈極為復雜的產業，而網絡安全的問題是牽一發而動全身，因此要保證產品質量和生產的一致性，就需要確保汽車供應鏈上下游產品質量和生產的一致性。2021 年 9 月，工業和信息化部發布關于加強車聯網網絡安全和數據安全工作的通知，要求智能網聯汽車生產企業加強車載信息交互系統、汽車網關、電子控制單元等關鍵設備和部件安全防護和安全檢測；建立在線升級服務軟件包安全驗證機制，采用安全可信的軟件。2022 年 3 月，工信部等五部門發布關于進一

12、步加強新能源汽車企業安全體系建設的指導意見，旨在指導新能源汽車企業建立健全包括網絡安全在內的六大方面安全保障體系，提供產品安全保障能力，并在其中提出各零部件供應商、售后服務等相關企業要協同做好安全體系建設工作。（2）國外方面（2）國外方面 2017 年，美國眾議院首次通過了自動駕駛法案 H.R.3388。該法案要求自動駕駛車輛廠商必須制作出網絡安全計劃，包括如何應對網絡攻擊、未授權入侵以及虛假或者惡意控制指令等安全策略，用以保護關鍵的控制、系統和程序，并根據環境的變化對此類系統進行更新，制定內部人員的安全培訓和管理制度。同時，該法案還提出自動駕駛汽車隱私保護計劃，要求廠商必須制定隱私保護計劃，

13、包括對車主以及乘客信息的搜集、保存、使用等方面的保護措施。汽車供應鏈網絡安全管理白皮書（2022）3 2017 年 8 月，英國交通部和國家基礎設施保護中心聯合制定智能網聯汽車網絡安全關鍵原則，提出 8 項原則、29 項細則，具體內容包括企業應評估和管理供應鏈中各環節的安全風險，企業供應商、分包商和潛在的第三方機構應進行獨立認證以提高整體安全性，所有軟件的安全管理應貫穿全生命周期，保障數據存儲和傳輸安全可控等。2020 年 6 月，聯合國世界車輛法規協調論壇（簡稱 UN/WP.29）發布重要法規車輛網絡安全及網絡安全管理系統與軟件升級與軟件升級管理系統，即 R155 法規、R156 法規。R1

14、55 是全球第一個汽車信息安全強制法規，其合規認證是車輛在特定國家范圍內獲得認證并批準上市銷售的前提條件。在 R155 認證的文件審查過程中，汽車制造商被要求在全供應鏈范圍內收集并確認法規中要求的相關信息，以表明對供應鏈相關的網絡安全風險進行充分識別和管理。在具體要求方面，關于網絡安全管理體系（CSMS），汽車供應商需說明如何對合同供應商、服務提供商或者子公司進行管理以滿足法規 7.2.2.2 章節相關要求；關于車輛型式認證（VTA），汽車供應商需識別并管理供應商相關的網絡安全風險。此外，在 R155 的附錄 5部分，也列舉出了部分存在于零部件或系統的漏洞威脅以及利用供應商環節進行的攻擊方法。

15、R156 法規提出了軟件升級管理體系認證要求，規范了軟件升級實施流程，確保軟件升級過程安全、可控、合規。R156 主要分為軟件升級管理體系認證（SUMS）和車輛型式審批兩部分，前者主要審查汽車制造商是否建立軟件升級管理系統并具備相關功能，如可訪問所有初始和升級的軟件版本信息及對應的軟件識別碼（RXSWIN）；提供相關保護機制的詳細說明，以確保在車輛上僅可執行經過認證和完整性檢查的軟件升級包等，以確保軟件升級過程的安全。后者主要驗證升級前后車輛安全及用戶告知等功能，覆蓋 OTA 升級前、升級中、以及升級后全流程。如在實施 OTA 升級之前，需要提前通知用戶升級目的、升級變更內容等信息；車輛制造商

16、還應證明將如何安全地執行升級或采用技術手段來確保車輛處于安全狀態下執行升級等。1.31.3 標準體系建設情況 標準體系建設情況（1）（1）國內方面 國內方面 汽車供應鏈網絡安全管理白皮書（2022）4 2022 年 2 月 25 日，工業和信息化部印發車聯網網絡安全和數據安全標準體系建設指南，明確車聯網安全標準體系建設框架，提出百余項安全標準項目。標準體系包括總體與基礎共性、終端與設施網絡安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐 6 個部分，其中車聯網供應鏈安全風險管理作為標準項目納入安全保障與支撐部分。車聯網網絡安全和數據安全標準體系框架如圖 1.1 所示。指南要求，緊密對

17、接車聯網產業對網絡安全、數據安全的迫切需求，鼓勵整車及關鍵設備、車聯網服務平臺、信息通信、網絡安全等產業鏈各環節、產學研用各方加強協作，共同推進跨行業、跨領域標準的研制與實施，不斷提升標準的質量效益。根據指南要求，全國汽車標準化技術委員會（TC114，簡稱“汽標委”）、全國信息安全標準化技術委員會（TC260，簡稱“信安標委”）、中國通信標準化協會（CCSA）、中國智能網聯汽車產業創新聯盟（CAICV）等各標準委員會及行業組織，加強與汽車供應鏈上下游企業的通力合作，積極開展車聯網網絡安全和數據安全相關標準制定，明確汽車廠商、元器件和軟件提供商、設備提供商、通信運營服務商、云服務平臺提供商、數據

18、和內容供應商等相關主體的安全管理責任和安全技術要求，并取得部分階段性成果。汽車供應鏈網絡安全管理白皮書（2022）5 圖 1.1 車聯網網絡安全和數據安全標準體系框架圖 圖 1.1 車聯網網絡安全和數據安全標準體系框架圖 l 全國汽車標準化技術委員會 全國汽車標準化技術委員會 目前，由汽標委歸口負責的 5 項汽車信息安全領域的推薦性國家標準已完成發布，即 GB/T 40861-2021汽車信息安全通用技術要求、GB/T 40856-2021車載信息交互系統信息安全技術要求及試驗方法、GB/T 40857-2021汽車網關信息安全技術要求及試驗方法、GB/T 40855-2021電動汽車遠程服務

19、與管理系統信息安全技術要求及試驗方法和 GB/T 41578-2022電動汽車充電系統信息安全技術要求及試驗方法。這些國家標準規定了汽車制造商以及供應商在智能網聯汽車遠程服務與管理、信息交互系統、網關產品、電動車充電系統等方面的信息安全要求及試驗方法。汽車供應鏈網絡安全管理白皮書（2022）6 此外，強制性國家標準汽車整車信息安全技術要求與試驗方法已完成組內征集意見，ISO/SAE 21434道路車輛信息安全工程（Road vehiclesCybersecurity engineering）”轉化的推薦性國家標準道路車輛 信息安全工程正在制定中，推薦性國家標準汽車信息安全應急響應管理規范已完成

20、公開征集意見，推薦性國家標準 汽車數字證書應用規范 正進行標準立項工作。l 全國信息安全標準化技術委員會 全國信息安全標準化技術委員會 目前，由信安標委負責的推薦性國家標準 GB/T 38628-2020信息安全技術 汽車電子系統網絡安全指南已完成發布，推薦性國家標準信息安全技術 汽車數據處理安全要求已完成標準報批，推薦性國家標準信息安全技術 車載網絡設備網絡安全評估準則已完成送審。l 中國通信標準化協會 中國通信標準化協會 目前，由中國通信標準化協會負責的 YD/T 3340-2018基于 LTE 的車聯網無線通信技術 空中接口技術要求、YD/T 3594-2019基于 LTE 的車聯網通信

21、安全技術要求、YD/T 3470-2019 面向公有云服務的文件數據安全標記規范、YD/T 3751-2020車聯網信息服務 數據安全技術要求、YD/T 3746-2020車聯網信息服務 用戶個人信息保護要求、YD/T 3752-2020車聯網信息服務平臺安全防護技術要求、YD/T 3957-2021 基于 LTE 的車聯網無線通信技術 安全證書管理系統技術要求等車聯網安全相關標準已完成發布。此外車聯網供應鏈安全風險管理、車聯網網絡安全風險分類指南、車聯網網絡安全風險評估規范等標準處于預研在編狀態。l 中國智能網聯汽車產業創新聯盟 中國智能網聯汽車產業創新聯盟 中國智能網聯汽車產業創新聯盟依托

22、中國汽車工程學會(CSAE)團體標準平臺，在工業和信息化部裝備工業發展中心、全國汽車標準化技術委員會、中國汽車工程學會的支持下，于 2020 年 9 月發布智能網聯汽車團體標準體系建設指南(2020 版)，至今已累計發布 13 項，修訂 1 項，累計立項 47 項，積極發揮標準的基礎性和引領性作用。目前，已發布和立項的智能網聯汽車網絡安全相關團幣標準包括 T/CSAE 101-2018智能網聯汽車車載端信息安全技術要求、T/CSAE 211-2021智能網聯汽車數據共享安全要求、T/CSAE 252-2022智能網聯汽車車載信息安全 汽車供應鏈網絡安全管理白皮書（2022）7 測試規范、T/C

23、SAE 251-2022V2X 車載終端安全芯片處理性能測試方法、汽車遠程升級（OTA）信息安全測試規范（立項）等。（2）（2）國外方面 國外方面 美國汽車工程師學會（SAE）提出強調汽車信息安全的系統工程性，將信息安全設計滲透到汽車系統整個生命周期開發過程中進行考量?；诖?，制定了包括 SAE J3061信息物理汽車系統網絡安全指南（CybersecurityGuidebook for Cyber-Physical Vehicle Systems）（國際標準 ISO/SAE 21434 前身）在內的一系列汽車網絡安全相關標準。美國汽車行業信息共享與分析中心（簡稱 Auto-ISAC）自 20

24、16 年至 2020 年連續發布系列汽車信息安全最佳實踐，包括 1 份執行摘要和 7 份實踐指南，涵蓋影響網聯汽車信息安全的關鍵領域。美國國家公路交通安全局（NHTSA）作為美國道路交通安全的主責監管機構，于 2016年 10 月首次發布 現代汽車網絡安全最佳實踐，2021 年 1 月，對更新版本 現代汽車安全之網絡安全最佳實踐公開征求意見，該文件提出“汽車制造商應明確網絡安全相關要求，并傳達給提供防護支持的供應商”，針對售后設備制造商，同樣需要在產品上部署足夠的網絡安全防護措施。歐洲網絡安全與數據安全署（ENISA）作為永久性的歐洲網絡安全機構，根據汽車產業實際需求或建議，建立歐洲產品標準和

25、網絡安全認證制度。通用的網絡安全認證標準能夠使歐盟成員國開發互操作性的產品，提高用戶對相關產品信任，促進智能網聯汽車在內的智能設備消費和使用。歐洲電信標準協會(ETSI)針對智能網聯汽車與智能交通系統(ITS)制定了系列信息安全標準，涉及 ITS 安全服務架構、ITS 通信安全架構與安全管理、可信與隱私管理、訪問控制和保密服務等方面。國際標準化組織 ISO 與全球多個標準化機構合作，制定、發布關于汽車網絡安全工程、車輛警告及控制系統、遠程診斷等多項標準。其中，ISO 與 SAE 聯合制定的ISO/SAE 21434 道路車輛-網絡安全工程（簡稱 ISO/SAE 21434）是目前全球適用范圍最

26、廣、認可度最高的汽車網絡安全標準之一。標準將汽車行業（包括整車、零部件等）在網絡安全體系建設方面，涉及的組織管理和產品全生命周期管理的工作項進行系統性地拆分、注解并給出相應的建議、示例、需輸出的工作成果以及部分重要的方法論。標準將“分布式網絡安全活動”獨立設章，針對 汽車供應鏈網絡安全管理白皮書（2022）8 以分布式方式進行的系統或部件開發，制造商與供應商之間的配合互動以及所有需要制造商/供應商達成接口一致性的階段提出相關要求。目標是定義制造商與供應商之間分布式網絡安全活動的配合方式，依賴關系以及責任義務，包括汽車制造商與內部供應商，一級供應商與二級供應商。1.41.4 汽車供應鏈網絡安全問

27、題和挑戰 汽車供應鏈網絡安全問題和挑戰 在汽車智能化、網聯化發展趨勢下，產業結構、供需關系融合交錯，構成主體多元，涉及環節眾多，網絡安全能力水平參差不齊，不可避免地存在網絡安全防護的空白和薄弱環節。同時，隨著軟件和系統逐漸成為汽車的核心競爭力，跨領域技術的融合應用逐步深入，技術體系的復雜程度數倍增加，由此導致更難保證網絡安全防護的統籌設計和協調一致，從而引發供應鏈網絡安全的巨大風險。從汽車制造商角度來看，汽車網絡安全管理體系（CSMS）建設普遍處于起步甚至尚未啟動狀態，即使少量已建立 CSMS 體系的汽車制造企業，其體系的完整性、成熟度和有效性仍有待驗證。而供應鏈網絡安全管理作為汽車制造企業

28、CSMS體系的重要組成部分，在整體體系尚未建立健全環境下，也難以獨立有效開展。具體問題包括：在供應商準入階段，缺乏對潛在供應商網絡安全能力和活動實施情況等方面的評估機制，包括評估流程、準入標準、證明依據等；在供應商定廠階段，缺乏在報價申請、協議簽署等重要環節的規范性要求；在供應商定廠后階段，缺乏持續的監督管理流程規范和管控措施等。從汽車供應商角度來看，需建立起適當的網絡安全能力以滿足汽車制造商或上級供應商所下放和分配的網絡安全需求，以保障在市場競爭中獲得機會。然而由于當前汽車制造商的供應商管理體系尚不健全，相關要求不夠明確，產業鏈各級供應商的網絡安全管理意識和能力普遍欠缺。具體問題包括：缺乏組

29、織層面的網絡安全管理體系；缺乏覆蓋產品全生命周期的網絡安全管理流程；對于核心產品的網絡安全防護技術設計缺失，測試驗證不足；缺乏自身網絡安全能力水平的有效證明手段等。汽車供應鏈網絡安全管理白皮書（2022）9 二、二、汽車制造商供應鏈網絡安全管理 2.1汽車制造商供應鏈網絡安全管理 2.1 供應鏈網絡安全評估及準入 供應鏈網絡安全評估及準入 汽車制造商首先需對供應商提供的產品或服務進行篩選，確認供應商是否屬于網絡安全供應商，通過差異化管理可降低供應商管理成本，提高管理效率。如供應商所提供產品或服務涉及到網絡安全相關內容，汽車制造商在對潛在供應商進行評估時，則應當增加對其網絡安全活動實施情況和能力

30、的評估，并納入供應商準入標準。對供應商的網絡安全評估主要包含管理和技術兩方面。管理方面，可綜合參考 ISO/SAE 21434 標準及其他相關標準，結合制造商內部供應商管理要求進行裁剪。供應商評估作為典型的第二方審核活動，在審核程序、操作規范等方面可參考 ISO/PAS 5112 道路車輛 信息安全工程審核指南（Road Vehicles Guidelines for Auditing Cybersecurity Engineering）標準。技術方面，可參考汽車制造商已有的潛在供應商技術評估流程，由技術部門獨立完成技術評估工作，并在評估時增加對網絡安全技術能力相關維度的評估。汽車制造商可要求

31、潛在供應商提供其網絡安全能力的記錄及相關證據，包括但不限于開發、后開發、治理、質量和信息安全等領域中網絡安全最佳實踐、持續性網絡安全活動的證明、網絡安全事件響應的證明、第三方提供的網絡安全評估報告、ISO/SAE 21434 證書及其他網絡安全相關證書或流程管理文檔等。2.22.2 定廠前的監督管理 定廠前的監督管理 在汽車制造商對定點供應商進行詢價過程中，需做出如下正式要求：l 要求潛在供應商遵循評估準入的相關要求，并保證提供不低于評估過程所展示的能力和資源；l 要求潛在供應商嚴格履行雙方確認的安全協議中的網絡安全職責；l 對潛在供應商所提供報價的產品或服務明確相關的網絡安全目標及網絡安全需

32、求。汽車制造商應制定并與定點供應商簽署安全協議，明確制造商與供應商關于網絡安全活動的職責分配，形成約束。安全協議內容可包括：汽車供應鏈網絡安全管理白皮書（2022）10 l 制造商和供應商需各自提供符合網絡安全相關要求的人員作為聯絡人，由聯絡人進行工作項、進度、職責的溝通和確認（建議參考 ISO/SAE 21434 附錄 C.2）；l 制造商和供應商的信息共享機制，確認應共享的信息和工作成果、共享的方式和使用的工具等；l 供應商在項目過程中各時間節點網絡安全活動，即網絡安全計劃，如：基于車型項目的日程計劃明確交付物的輸出時間、交付物驗收等情況。2.32.3 定廠后的監督管理 定廠后的監督管理（

33、1）（1）定期審核 定期審核 開發過程中依據供應商日常業績評價標準對供應商工作執行情況（網絡安全）進行審核評價。（2）（2）臨時審核 臨時審核 當出現以下情況時，應啟動臨時審核流程：l 因零部件網絡安全漏洞而引起網絡安全事件時；l 在交付階段出現網絡安全問題時；l 以其他途徑獲知零部件存在網絡安全漏洞時。（3）（3）項目例會 項目例會 項目例會頻率確定、網絡安全工作進展同步、網絡安全漏洞同步等。（4）（4）網絡安全檔案管理 網絡安全檔案管理 網絡安全檔案內容的收集包括但不限于以下方面：l 零部件開發的日程節點，每個節點網絡安全輸出物的名稱；l 每次項目例會/技術例會的時間、參與人、結論（會議紀

34、要）等；l 量產節點時，網絡安全的實際完成情況、實際輸出物等；l 脆弱性分析報告、網絡安全風險緩解措施等。（5）（5）供應商 供應商 應與下一級供應商（如有）簽訂安全協議。（6）（6）安全漏洞修補 安全漏洞修補 在合同約定時間內出現網絡安全問題時，如確認為部件問題后，供應商應提供修復方案/補丁，制造商負責整車驗證、向監管機構備案及車輛升級實施。汽車供應鏈網絡安全管理白皮書（2022）11 三、三、汽車供應商網絡安全最佳實踐 3.1汽車供應商網絡安全最佳實踐 3.1 汽車供應商網絡安全管理體系 汽車供應商網絡安全管理體系 目前國際上認可度最高的 UN/WP.29 R155 法規 網絡安全和網絡安

35、全管理體系，對汽車制造商的供應商管理提出了相關要求，即汽車制造商應被要求說明其網絡安全管理系統將如何管理可能存在于合同供應商、服務提供商或制造商下級組織與 R155 法規第 7.2.2.2 章節要求的符合程度。該要求的目的是確?？梢宰C明來自供應商的風險能夠在網絡安全管理體系描述的流程中被了解和管理，所采取的措施應與面對的風險相匹配。流程的最終實施可能會被納入車輛制造商與其供應商之間的雙邊協議中。在網絡安全管理體系（CSMS）中，需要考慮具備以下流程：l 識別與供應商提供的零件、組件、系統或服務相關的風險；l 對于部分服務提供商，由于其提供了車輛可能依賴的網聯功能或服務，導致車輛可能面臨網絡安全

36、風險，因此需要對其進行管理，如：云服務提供商、互聯網服務提供商等；l 確保簽約供應商和/或服務提供商能夠證明他們如何管理與其相關的風險，這些過程可能包括考慮可用于證明風險得到適當管理的驗證或測試要求；l 將相關要求下放給制造商的相關部門或下級組織，以管理已識別的風險。對于供應商而言，應當考慮支撐汽車制造商合規及準入的要求，圍繞其網絡安全管理體系從多個方面加以考慮，如網絡安全組織管理、網絡安全流程管理等。3.1.13.1.1 網絡安全組織管理 網絡安全組織管理 網絡安全組織管理即針對“管理流程的流程”進行定義，包括組織管理流程、資產管理、文化意識管理、配置管理、文件管理、工具管理、變更管理。其中

37、組織管理中的資產管理包括在整個產品全生命周期過程中，其網絡安全屬性損害可能導致安全事件；生產資料的網絡安全管理，主要針對其進行權限管理；同時，需要考慮在已有的配置管理、文件管理、工具管理、變更管理中考慮網絡安全相關話題，將網絡安全融入進已有管理流程。汽車供應鏈網絡安全管理白皮書（2022）12 網絡安全項目管理即針對項目級別的網絡安全相關工作項進行規劃和制定。包括針對網絡安全計劃的定義、網絡安全實例、網絡安全評估及設計認可。網絡安全計劃除了時間計劃外，同時應考慮在網絡安全項目的資源、人力、網絡安全活動的管理計劃，并針對每一項網絡安全活動定義輸入輸出，其輸出應與網絡安全實例相對應，以便于在設計認

38、可時提供相應材料進行完整性及正確性評估。3.1.23.1.2 網絡安全流程管理 網絡安全流程管理 網絡安全流程包括產品開發的各個階段流程，包括概念階段、開發階段及后開發階段，各階段流程應考慮與實際已有流程進行融合和匹配。（1）（1）網絡安全概念階段 網絡安全概念階段 該階段目的是通過威脅分析和風險評估，導出網絡安全目標和概念。該階段對于屬于“out-of-context”類型的零部件供應商尤其重要，因該類型供應商不存在已有需求，需要基于對環境的假設，并從整車角度出發分析其資產、損害、威脅、風險，推導出針對于零部件自身的安全目標和概念，并以此目標和概念進行后續的開發工作。所以對于“out-of-

39、context”類型供應商該部分流程不可裁剪。（2）（2）網絡安全開發階段 網絡安全開發階段 開發階段主要針對網絡安全概念進行實際落地方案的細化，包括網絡安全系統設計、網絡安全相關軟硬件設計、脆弱性分析、代碼審計、網絡安全測試等。在網絡安全開發階段過程中不可忽略脆弱性分析，其主要作用是通過分析零部件內部可能存在的脆弱性，優化已有的軟硬件架構，從而更好的實現頂層網絡安全目標和概念。代碼審計報告及網絡安全測試報告亦不可忽略，它們作為與上層需求方的對接文件用于證明產品在開發中未引入中高風險漏洞。（3）（3）網絡安全后開發階段 網絡安全后開發階段 網絡安全后開發階段主要針對生產、運維和結束支持過程的活

40、動。其中針對生產階段需考慮此階段可能引入的生產相關的需求，可能包括密鑰灌裝、網絡安全信息配置等，并需考慮將其補充至已有的生產控制計劃中進行統一管理；運維階段主要針對與零部件相關的網絡安全事件出現后的應急響應流程，其中不可忽略的是零部件供應商與利益相關方，特別是需求方的信息同步和流程對接，同時 汽車供應鏈網絡安全管理白皮書（2022）13 自有流程應能及時避免重大安全事件的影響；結束支持階段需要考慮進行與網絡安全零部件產品特性有關的網絡安全聲明及數據處理過程說明。另外，零部件供應商需監控與自身產品相關的漏洞信息，漏洞來源可以是外部，也可以是公司內部測試驗證過程中暴露的漏洞等。同時需要針對漏洞信息

41、進行分析，若與自身產品相關，則需要考慮將其升級為網絡安全事件并進行事件管理。3.23.2 汽車供應商網絡安全關鍵技術 3.2.1汽車供應商網絡安全關鍵技術 3.2.1 網絡安全防護技術 3.2.1.1網絡安全防護技術 3.2.1.1 代碼安全 代碼安全 汽車作為一個復雜供應鏈的產物，所運行的軟件涉及供應商代碼/第三方組件管理、組件/系統集成等各種問題，因此實際開發過程與一般軟件開發流程并不一致，為了進一步保障代碼的質量，汽車軟件開發流程一般采用 V 字開發模型來強化測試、驗證階段的工作。（1）（1）安全要求 安全要求 該階段重點梳理需要進行安全防護的軟件 API 接口、數據流、數據全生命周期的

42、處理過程等，明確相應的安全要求，包括：基于應用程序的輸入驗證、敏感信息加密存儲、檢查消息的完整性和身份認證等。梳理安全要求時可以借鑒一些技術規范及最佳實踐，如 R155網絡安全和網絡安全管理體系附錄 5、OWASP開放式 Web 應用程序安全項目、NIST 網絡安全框架、CAPEC 常見攻擊模式枚舉與分類等。（2）（2）架構設計 架構設計 軟件架構設計時除需要滿足上階段的安全要求外，還需要確認數據類型、數據流向、錯誤檢測、容錯機制等，充分考慮數據的機密性、完整性、可用性。（3）（3）威脅分析 威脅分析 可使用 STRIDE 等威脅建模工具對系統進行威脅分析，并可通過交叉使用多種威脅分析工具進一

43、步提升分析效果，可參考 R155 附錄 5 相關內容。（4）（4）單元設計與實現 單元設計與實現 汽車供應鏈網絡安全管理白皮書（2022）14 軟件單元設計時要考慮上階段威脅分析結果，并通過相應的技術措施消除或緩解威脅。在進行代碼實現時要注意形成良好的編碼習慣，包括：對輸入進行檢查和驗證、使用安全字符串函數、參照安全編碼標準 MISRA-C 等。MISRA C 是由汽車產業軟件可靠性協會提出的 C 語言開發標準，其目的是增進嵌入式系統的安全性及可移植性。（5）（5）代碼實現漏洞分析 代碼實現漏洞分析 良好的編碼習慣可以顯著提升代碼安全質量，但不能保證軟件就不會出現漏洞，在代碼實現時還可能出現邏

44、輯漏洞（如命令注入、數組越界等），可采用編譯工具對代碼進行檢查，部分代碼檢測工具還可以結合第三方漏洞庫（如 CNNVD、CVE 等）對代碼進行檢查。（6）（6）單元測試和集成測試 單元測試和集成測試 單元測試與單元設計、軟件實現相對應，重點關注軟件單元的輸入輸出、數據流依賴關系、邊界、錯誤處理、異常處理、失效與恢復模式。集成測試需關注各個功能模塊、供應商代碼、第三方組件的集成是否滿足架構設計等階段的安全需求。（7）（7）安全需求驗證 安全需求驗證 主要驗證代碼是否滿足預期的安全需求。（8）（8）軟件漏洞和滲透測試 軟件漏洞和滲透測試 可使用固件檢測、模糊測試等工具對軟件漏洞進行檢測，還可借助第

45、三方測試團隊進行滲透測試。（9）（9）運行 運行 持續關注軟件的安全狀態，包括開發使用的各種源代碼、模塊、框架和庫文件導致的安全威脅。如庫文件沒有源碼，可使用軟件分析工具對二進制軟件的組成部分進行分析、識別和追蹤。3.2.1.23.2.1.2 接口安全 接口安全（1）（1）物理硬件接口 物理硬件接口 硬件接口防護主要指在物理安全等方面采取必要的安全防護措施，以有效防止針對各類硬件接口的攻擊，如硬件破解、設備偽造等，一般可采取標識隱藏、接口封堵、減少管腳暴露等方式進行處理。汽車供應鏈網絡安全管理白皮書（2022）15（2）（2）外部訪問接口 外部訪問接口 車輛與外界需要進行各式各樣的信息交互，涉

46、及到多種信息交互方式，如WIFI、藍牙、USB、診斷接口、調試接口、RFID 接口等。由于這些外部訪問接口的存在，導致汽車暴露面的增加，存在大量的安全隱患，因此需要對各類車載設備的外部接口進行訪問控制，以降低外部攻擊風險。同時，還需要對相關設備的調試接口進行相應的管控，確保只有經過授權的設備或系統進行訪問。（3）（3）軟件架構接口 軟件架構接口 AUTOSAR 是由全球知名的汽車制造商、部件供應商及其他電子、半導體和軟件系統公司等于 2003 年 7 月聯合成立的一個汽車開放系統架構組織，旨在為汽車電氣/電子構架開發一套開放的行業標準，獨立于硬件的分層軟件架構，制定各種車輛應用接口規范和集成標

47、準，為應用開發提供方法論層面的指導，以減少汽車軟件設計的復雜度，提高汽車軟件的靈活性和開發效率，以及在不同汽車平臺的復用性。AutoSAR 標準為運行在 ECU 上的軟件定義了基本的軟件功能和接口，確保車輛在出廠時就具備必要的安全防護能力。如 AUTOSAR 經典平臺，主要針對計算能力、存儲空間大小、網絡帶寬等都通常十分有限，而實時性要求又很高的場合，這類 ECU 通常要求部署輕量級的安全措施，重點解決運行在 ECU 上的軟件和網絡報文的完整性和真實性。AUTOSAR 自適應平臺，針對各類資源相對豐富的場合，因此可以部署一些入侵檢測以及整車安全管理類的功能特性等。3.2.1.33.2.1.3

48、通信安全 通信安全（1）（1）車載網絡認證加密 車載網絡認證加密 車載網絡的通信數據面臨著竊聽、篡改、欺騙等安全威脅。針對車內網絡通信，傳統車載總線如 CAN 總線使用對稱密碼算法，防止總線數據被破解，保證消息的機密性；使用新鮮值、計數器等機制，防止重放攻擊，保證消息的真實性；使用 CMAC(Cipher-based Message Authentication Code)，防止消息被篡改，保證消息的真實性和完整性。車載以太網使用 MACsec(Media Access Control Security)、IPsec(Internet Protocol Security)、TLS(Transp

49、ort Layer Security)以及防火墻等成熟的網絡安全協議對通信數據進行保護，保證消息的機密性、完整性、真實性。汽車供應鏈網絡安全管理白皮書（2022）16 針對車外網絡通信，可使用公鑰基礎設施（PKI）進行安全保護，如針對車車、車路通信的 V2X PKI 安全證書管理系統和針對車云通信的 X.509 PKI 安全證書管理系統。PKI 安全證書管理系統負責管理車聯網設備的密鑰和證書，在車外通信時實現身份認證以及對通信數據的機密性和完整性保護。車外網絡通信可通過硬件安全模塊或專用安全芯片等實現相關密碼算法，以進一步提高加解密速度和系統的安全性。車載智能 ECU 可分配獨有的證書及密鑰對

50、，并使用硬件安全模塊或安全芯片進行安全存儲。（2）（2）網絡隔離與訪問控制 網絡隔離與訪問控制 智能網聯汽車內部的感知域、控制域、決策域等不同域之間應該實行物理隔離或者軟件分割，不同的域或子系統應該具備不同的安全等級，跨子系統或者域間通信需要設定安全訪問控制策略。此外，車內的通信數據可加上身份標識，以供車內電子電氣系統進行驗證。3.2.1.43.2.1.4 數據安全 數據安全 汽車數據生命周期可以劃分為采集、傳輸、存儲、處理、交換和銷毀六個階段，每個階段都面臨著不同的安全風險，需要采用相應的安全防護技術。（1）（1）數據采集 數據采集 數據采集階段首先需要對數據進行分類分級，明確需要保護的數據

51、；對數據來源進行身份認證，確保數據的真實性、有效性；對數據一致性進行檢查，防止數據失真；另外，還需要對數據采集過程進行權限控制，防止數據泄露、違規采集、越權訪問。如果涉及到個人信息的數據，需要取得個人同意或者符合法律、行政法規規定的其他情形，并明確告知個人需要采集的數據內容、類型和用途。（2）（2）數據傳輸 數據傳輸 數據傳輸階段需要注意對數據傳輸的雙方進行身份認證，確保數據來源、傳輸對象可靠；并根據數據分類分級要求，對傳輸的數據進行機密性、完整性保護，如借助對稱加密、非對稱加密等密碼技術或 TLS、HTTPS 等安全通信協議；另外，還可采用防重放等技術防止數據偽造攻擊。（3）（3）數據存儲

52、數據存儲 汽車供應鏈網絡安全管理白皮書（2022）17 在數據存儲階段，需要根據數據分類分級要求進行相應的安全處理。如通過硬件安全模塊（HSM）、安全芯片等保存證書、密鑰等敏感數據，采用固件防提取技術、代碼混淆技術等保護自動駕駛核心算法，防止被竊取。（4）（4）數據處理 數據處理 在數據處理階段，采用訪問控制技術來確保經過授權的用戶、進程訪問相應的數據資源；同時，監控數據處理進程，并記錄重要數據的處理結果。（5）（5）數據交換 數據交換 數據交換過程應進行雙向身份認證，確保數據不會被泄露；如被交換的數據涉及個人敏感信息，應進行去標識化、匿名化等脫敏處理；同時，對數據交換行為進行日志記錄，包括數

53、據內容、交換對象、交換時間、交換結果等。（6）（6）數據刪除 數據刪除 汽車一旦存儲大量敏感數據，如高精度地圖、行駛數據、用戶個人信息等，如果不能及時有效清理，可能存在數據泄露的風險。應根據數據分類分級要求，進行數據刪除操作，尤其是重要數據、敏感數據應采用更加安全可靠的刪除方法。3.2.1.53.2.1.5 操作系統與 OTA 操作系統與 OTA（1）（1）安全啟動 安全啟動 車內組件如 T-BOX、IVI、域控制器等存在被篡改的風險，因此需要在啟動過程中進行安全校驗，如驗證指定軟件區域的 CMAC 值，確保軟件的完整性。（2）（2）操作系統安全防護 操作系統安全防護 針對操作系統的安全防護可

54、以通過對操作系統做優化和加固的方式實現，如對 Linux 內核的不斷升級、對安全漏洞的修復或關閉不必要的服務等，也可以通過“本質安全”或“安全左移”的思想，在操作系統設計開發過程中就植入安全機制，如基于芯片硬件安全架構實現的更高級別的安全機制。以當前使用最為廣泛的 ARM 處理器為例，可結合處理器支持的硬件隔離防護技術，實現堅實的可信安全基座。ARM 處理器芯片級隔離技術可以對資源進行細粒度劃分，分為不同的區域并將不同的區域設置為不同的訪問權限，如 ARM 處理器的 TEE 可信執行環境就實現了硬件級別的安全保護，可以用來保護車輛核心業務代碼及數據，如遠程驗證信息、個人隱私數據等。另外，ARM

55、 處理器還針對常 汽車供應鏈網絡安全管理白皮書（2022）18 見的攻擊方法給出了硬件級別的安全防護機制，如針對內存意外執行 Shellcode攻擊的 WXN（Write Execute Never）機制，以及防止 ROP 攻擊的 CFI 機制等。另外，形式化驗證技術是解決復雜系統設計與實現安全的可靠技術手段，汽車及物聯網行業高級別安全認證強制要求對操作系統進行形式化證明。如ISO/IEC 15408 信息技術安全評估共同準則（簡稱共同準則 Common Criteria 或CC），是針對計算機安全認證的國際標準，CC 4+以上要求形式化證明。（3）（3）安全 OTA 安全 OTA 智能網聯汽

56、車的 OTA 升級過程面臨著升級包篡改、中間人攻擊等安全風險，因此需要具備一定的安全機制。如通過加密、消息認證碼、數字簽名等機制保證升級包傳輸過程的機密性、完整性、合法性；升級過程中需要對升級進程進行監控，確保 ECU 升級后能夠正常工作，同時還需要具備相應的固件回滾機制，確保升級失敗時設備也可以恢復到升級前的狀態。3.2.1.63.2.1.6 入侵檢測與防御 入侵檢測與防御（1）（1）車內總線入侵檢測 車內總線入侵檢測 隨著汽車網聯化、智能化的發展，車內 CAN 總線網絡不再完全封閉，黑客可通過遠程通訊、近場通訊或物理接觸的方式侵入關鍵零部件的操作系統，進而訪問 CAN 總線網絡并執行控車指

57、令，嚴重威脅行車安全和人身安全。針對車內總線的攻擊包括普通注入、畸形報文注入、亂序報文注入、監聽和篡改等。針對總線的入侵檢測主要采用以下方法：一般可先基于整車的 CAN 數據庫文件（DBC）經人工或利用工具導出 CAN 檢測規則文件，并根據實際需要增刪基于 DBC 要求之外的 CAN 檢測規則，之后將 CAN 檢測規則文件連同 CAN-IDS 程序植入網關中，由 CAN-IDS 程序模塊識別 CAN 檢測規則文件后，根據規則對 CAN 總線數據進行規則匹配并發現總線異常事件，同時 CAN-IDS 程序模塊也可以對異常事件日志進行記錄，供運維人員及時發現 CAN 總線相關異常。（2）（2）汽車以

58、太網入侵檢測和防御 汽車以太網入侵檢測和防御 隨著汽車網聯化、智能化的發展，汽車成為暴露在互聯網中的移動節點，面臨著各種各樣的網絡攻擊，既可能造成企業或個人數據泄露，也可能導致遠程制車等嚴重后果。汽車供應鏈網絡安全管理白皮書（2022）19 針對汽車以太網的攻擊包括DoS攻擊、畸形報文攻擊、掃描探測攻擊、木馬病毒攻擊等。以太網入侵檢測功能主要實現對汽車以太網攻擊的識別和發現，以太網防火墻功能主要實現以太網攻擊的阻斷。其中以太網入侵檢測可細分為針對L3-L4層的網絡及傳輸層數據的入侵檢測，以及針對L5-L7層的深度包異常檢測；以太網防火墻可對TCP/IP報文進行檢測，包括源IP地址、目的IP地址

59、、源端口號、目的端口號和協議類型，如符合預定策略對報文放行處理，否則進行攔截丟棄。放行后的報文可通過入侵檢測功能進行更細粒度的安全檢測。3.2.1.73.2.1.7 其他安全 其他安全 車聯網服務平臺即汽車遠程服務提供商（TSP）平臺，該平臺能夠提供地理信息服務和通信服務等功能，是支撐智能網聯汽車運行的基礎服務平臺。大多數車聯網服務平臺使用了公有云技術，由于車輛、平臺交互頻繁，因此需要關注對車聯網服務平臺的安全防護，可采用主動安全防護技術、應用安全技術等提升安全防護效果。主動安全防護包括三方面功能：網絡入侵檢測、主機安全檢測以及異?；謴拖到y。網絡入侵檢測功能對網絡流量進行監控，對網絡信息進行實

60、時匹配，發現可疑網絡入侵行為，如端口嗅探、泛洪攻擊等；主機安全檢測功能對服務器進行安全檢測，對日志文件、主機資源使用信息等進行檢測和分析；異?；謴拖到y處理服務器出現的安全問題，建立異?；謴湍Ｐ?，進行安全恢復和數據恢復。為保護平臺應用程序的安全，可通過 PKI 等機制對用戶身份進行認證；部署嚴格的訪問控制策略，如自主訪問控制模型、強制訪問控制模型、基于角色的訪問控制模型，以及基于屬性的訪問控制模型等；對前端輸入的攻擊字符進行過濾和阻斷；具備會話超時管理功能，對 Cookie、Session 信息進行加密，平臺接入通過 TLS/TLCP 等傳輸層安全協議進行身份認證、密鑰協商、加密傳輸等。3.2.

61、23.2.2 網絡安全測試技術 3.2.2.1網絡安全測試技術 3.2.2.1 汽車網絡安全驗證測試方法 汽車網絡安全驗證測試方法 對于汽車制造商和供應商而言，全面的網絡安全測試是對汽車信息物理系統預防性保護的標準程序之一，因此汽車網絡安全測試不僅必不可少，要求也非常嚴格。在理想情況下，安全測試遵循整體方法，也就是說測試應涵蓋車輛內部和 汽車供應鏈網絡安全管理白皮書（2022）20 周圍的所有相關組件和系統，例如 ECU、網絡組件、接口、應用程序、服務等，測試應該發生在汽車開發的整個生命周期，并覆蓋整個供應鏈。使用有效的網絡安全測試方法可以對系統安全性起到決定性作用，可使用的安全測試方法包括：

62、功能性網絡安全測試、滲透測試、模糊測試和漏洞掃描等。（1）（1）功能性網絡安全測試 功能性網絡安全測試 功能性網絡安全測試確保汽車系統符合安全功能的規范和標準，比如加密算法和認證協議，對此類安全功能的測試不僅包括算法行為測試，也包括魯棒性測試。在許多情況下，OpenSSL 之類的標準由于各種限制不適合在汽車領域使用，因此需要其他加密算法和安全協議的引入。性能和資源限制同樣需要被考慮，也必須滿足代碼安全標準，如 MISRA-C(MISRA C 是由汽車產業軟件可靠性協會提出的 C 語言開發標準,其目的是在增進嵌入式系統的安全性及可移植性)。此外，還有一些其他的汽車特定安全協議，例如安全刷寫算法、

63、車內安全通信、安全 OBD、V2X 安全通信等。（2）（2）滲透測試 滲透測試 汽車網絡安全滲透測試是一種評估方法，安全測試人員通常采用這種方法，從攻擊者的角度進行安全測試，以發現汽車系統中的安全弱點，本質上滲透測試人員試圖識別并克服系統的防御機制。滲透測試通常有以下關鍵階段：規劃、發現、攻擊、報告。目前的滲透測試框架將威脅分析和滲透測試結合起來，從而系統性地推導出測試用例。如可以利用攻擊樹建模技術來推導測試用例，也可以基于滲透測試執行標準 PTES（Penetration Testing Execution Standard），該標準是滲透測試的技術指南。通常，物理設備的滲透測試從一般偵察開

64、始，包括枚舉接口、確定 PCB 上的組件及其連接、收集假想攻擊者可用的規范，以及可能有助于進一步攻擊的任何信息，利用第一步獲得的信息，可以策劃下一步的攻擊。第二步可以包括對諸如 USB、串行端口之類的本地外部接口的攻擊，或者對硬件本身的攻擊。為了攻擊硬件，測試人員通常會試圖找到被忽略或未記錄的調試訪問接口，或者獲得對 ECU 內部接口的訪問權限。更先進的方法需要蝕刻芯片封裝和訪問實際的硅芯片。在第三步中，分析設備的所有通信信道，如 CAN 總線、以太網或 Wi-Fi，汽車供應鏈網絡安全管理白皮書（2022）21 并將其用于攻擊目標設備。根據目標系統和滲透測試的范圍，可以對后端進行進一步攻擊。關

65、于滲透測試，有以下三種具體形式：l 黑盒測試 黑盒測試 對于黑盒測試，除了被攻擊者獲取的信息之外，測試人員得不到任何文檔或規范。這種方法的優點在于，它可以非常逼真地模擬真實的攻擊。作為缺點，滲透測試人員必須在基本的逆向工程上花費大量時間，并且很有可能因為測試者沒有繞過更容易的一線防御機制而沒有發現更深的攻擊路徑，而真正的攻擊者稍后可能會幸運地打破這種防御機制。l 白盒測試 白盒測試 對于白盒測試，測試可以擁有完整的被測系統信息，包括源代碼。這意味著測試人員能夠專門針對弱點進行測試，并擁有更多可用的資源而不必花費在獲取信息上。這兩個原因都提高了測試的效率。白盒測試的缺點是條件不像黑盒測試那樣真實

66、，對攻擊難度和可能性的估計不太可靠。l 灰盒測試 灰盒測試 灰盒測試代表了黑盒測試和白盒測試之間的中間地帶。對于灰盒測試，測試者會收到關于特定子系統的部分信息，或特定攻擊者（如內部人員）可能已經獲取的信息。一般分步式的方法也是可能的，在這種方法中，測試人員在找到了漏洞的基本存在之后會獲取到更多信息或訪問權限，而不必完全依賴于攻擊本身。這優化了測試效率和真實感的比例。最后，滲透攻擊不一定局限于對設備硬件、軟件和網絡的攻擊，還可以包括對組織實施的攻擊等。（3）（3）模糊測試 模糊測試 模糊測試是一種強大的測試技術，可以用于測試軟件和 IP 網絡的魯棒性，方法是將系統暴露在意外、無效或隨機的輸入下，

67、希望目標以意外的方式做出反應，從而發現新的漏洞。目標的反應范圍可以從未知的輸出到程序完全崩潰。模糊測試作為汽車目標系統的一種測試技術是相對較新的，盡管現代車輛與常見的計算機網絡有許多相似之處。事實上，ECU 可以被視為運行不同軟件的小型計算機，它們通過不同的網絡類型（如 CAN、FlexRay 或 MOST）連接。因此，汽車供應鏈網絡安全管理白皮書（2022）22 考慮將模糊測試也應用于汽車目標系統作為安全測試過程的一部分的想法是很自然的。一般而言，模糊化包括三個不同的步驟：首先為目標創建輸入，然后將輸入傳遞給目標，最后監視目標系統以檢測程序流中的錯誤。由于模糊測試在計算機世界中被廣泛使用，所

68、以像 PEACH 這樣的開源模糊測試框架已經存在。PEACH 有一個強大的模糊生成器，可以針對不同的協議（如 UDS）進行單獨調整，然后，使用所需的傳輸協議將模糊生成器生成的輸入傳送到目標，監視目標系統以檢測可能的漏洞。監控過程的范圍可以從檢查返回值到使用調試器來觀察目標設備的內部狀態。最后，所有已識別的異常行為都必須由專家進行分析，以檢測可利用的漏洞。在汽車環境中，模糊測試可以應用于診斷協議，例如 UDS、DoIP，或者應用于汽車網絡協議，例如 CAN、FlexRay、Ethernet、MOST 或 LIN。然而，傳統的模糊測試目標，即基于 IP 的網絡，在現代車輛中扮演著越來越重要的角色。

69、因此，汽車安全測試還得益于經典協議和現代軟件應用程序的模糊測試經驗。（4）（4）漏洞掃描 漏洞掃描 漏洞掃描用于從不斷更新的已知汽車安全漏洞數據庫中檢查汽車系統的所有相關應用程序、源代碼、網絡和后端基礎設施中的已知安全漏洞。漏洞掃描有許多不同的變體。首先，可以掃描在系統上運行的軟件和固件的代碼，例如通過使用靜態和動態分析來識別緩沖區溢出和堆溢出，這部分必須在源代碼或者二進制文件上完成。編譯過程也可能引入更多的安全漏洞，如通過在優化步驟中刪除安全檢查或者通過錯誤的編譯器就可能引入。因此，必須仔細檢查編譯器設置。其次，可掃描系統是否有開放的端口和接口，以及是否有在這些接口上運行的可用服務。汽車系統

70、一般包括傳統的 IT 接口，如以太網、Wi-Fi 或基于蜂窩互聯網的 IP 通信等。因操作系統、網絡協議棧、應用程序和代碼庫通常都會被重復使用，其中大量漏洞是已知的，可以實施端口掃描以及對特定漏洞的深度掃描。此外，汽車環境中存在特殊的汽車總線系統如 CAN 總線，這是經典 IT 中沒有的，但高度標準化，因此自動掃描工具可以提供一個漏洞的初步估計。在這種情況下，診斷功能的掃描是也是值得注意的，因為有些安全關鍵功能的記錄并不充分，如開發或調試功能等。汽車供應鏈網絡安全管理白皮書（2022）23 作為漏洞掃描的第三種形式，可以分析整個系統的配置以識別安全漏洞，例無需身份驗證即可訪問關鍵功能。自動掃描

71、還可以測試是否存在保護相同關鍵功能的不同身份驗證機制?？傊?，漏洞掃描可確保系統不受已知攻擊的威脅，而已知攻擊很容易被攻擊者嘗試。3.2.2.23.2.2.2 常見汽車網絡安全測試 常見汽車網絡安全測試 汽車網絡安全測試方法可參考“ISO/IEC JTC1/SC 27-ISO/TC 22/SC 32 網聯汽車設備網絡安全要求及評估活動聯合工作組（JWG6）”中主要由我國主導的 ISO/IEC 5888網聯汽車設備的安全要求及評估活動國際標準。同樣，可結合 ISO/SAE 21434 的攻擊場景進行威脅分析，基于現有的測試技術和汽車信息安全測試工具，尋找攻擊路徑。汽車的信息安全問題主要來源于汽車可

72、以連接網絡、與外界通信并成為網絡中的節點，所以目前重點關注的攻擊路徑均圍繞與汽車網聯化、智能化相關的功能展開。（1）（1）車載終端安全測試 車載終端安全測試 根據車載終端的安全架構，T-BOX、IVI、車載網關、車載防火墻等車載終端的安全架構和安全威脅存在較強關聯性，因此可利用終端漏洞掃描工具、固件二進制分析工具、應用逆向分析工具、破解測試工具、通信數據分析工具、側信道工具、故障注入工具等測試工具構建車載終端安全測試系統。結合滲透測試、靜態分析、動態分析、模糊測試、代碼逆向分析、中間人欺騙等評估方法，形成車載終端信息安全測試體系。具體的評估項目和內容如表 3.3 所示。表 3.3 車載終端安全

73、測試 表 3.3 車載終端安全測試 評估方面評估方面 評估項目評估項目 評估內容評估內容 硬件安全 防拆保護 評估是否具備防拆保護措施，包括但不限于開蓋檢測、拆機告警等方式 調試接口 評估車載終端所使用芯片和主板是否存在非法對芯片內存進行訪問或者更改芯片功能的隱藏接口，評估在設計驗證階段使用的調試接口是否進行禁用 算法安全 評估是否具備足夠的安全機制保證密鑰的產生、分發、存儲和銷毀過程的安全性 抗物理攻擊 評估關鍵加密算法實現是否具備抵抗側信道分析和故障注入分析等物理攻擊的能力，防止根密鑰被破解 汽車供應鏈網絡安全管理白皮書（2022）24 硬件訪問控制 評估車載終端是否具備硬件實現的安全區域

74、或者安全模塊，是否能夠實現車載終端重要數據安全存儲與隔離 操作系統（固件)安全 安全啟動 評估是否支持安全啟動機制，對引導程序或固件等進行有效性驗證，只有通過驗證的才能執行 安全隔離 若車載終端具備多個操作系統，評估是否采用隔離機制，保證不同操作系統之間的安全防護 安全防護 評估操作系統是否含有 CAVD、CNVD 和CNNVD 等漏洞庫 6 個月前公布的高危以上等級漏洞 資源訪問控制 評估是否采取適用于汽車各應用場景的告知和控制方式，實現應用程序對系統敏感資源調用時用戶可知；是否對使用敏感數據的關鍵應用提供安全執行空間，控制對關鍵資源的訪問，保護資源和數據的保密性和完整性，對抗非授權訪問和篡

75、改等多種攻擊 安全審計 評估是否支持對重要事件的日志記錄功能，記錄的內容至少包含事件主體、事件發生的時間、事件類型、事件是否成功等要素 系統（固件）更新 升級過程應對升級文件進行簽名校驗和完整性校驗，并制定完整有效的機制，確保升級失敗后，操作系統能有效恢復至升級前的正常工作狀態 應用安全 源代碼安全 評估應用源代碼安全：a)客戶端的源代碼（包括 Java、C、Python、Lua 等語言的源代碼）應進行混淆處理 b)客戶端應具備源代碼完整性校驗能力 c)客戶端應對簽名信息進行安全校驗 源代碼數據安全 評估是否刪除應用中的冗余或注釋代碼。比如開發人員信息、調試信息等 運行狀態安全 評估應用是否能

76、保障客戶端正常穩定運行，應具有異常處理安全機制 運行環境安全 評估應用運行環境安全：a)客戶端應對運行環境進行安全檢測。例如可限制移動應用在 ROOT 等環境下使用 b)客戶端應具有版本檢測機制，提供版本更新功能 汽車供應鏈網絡安全管理白皮書（2022）25 組件安全 評估應用組件安全：a)客戶端應對組件權限進行限制，避免第三方移動應用隨意調用組件內容 b)客戶端應對組件進行安全配置，避免發生劫持組件的安全問題 通信安全 有線外圍接口安全 a)應定義并限制外圍存儲介質（如 U 盤、SD 卡等）上可讀取和可執行的文件類型，避免來自外圍儲存介質的惡意攻擊 b)具備 CAN 總線控制器安全控制功能，

77、將內網 CAN 總線和對外接口（如 USB、SD等）隔離 數據傳輸完整性 評估數據傳輸完整性包括如下內容：a)傳輸時應支持信息完整性校驗機制，實現管理數據、鑒別信息、隱私數據、重要業務數據等重要數據的傳輸完整性保護。（如：校驗碼、消息摘要、數字簽名等）b)應具有通信延時和中斷處理功能，配合終端進行完整性保證 數據傳輸可用性 評估數據傳輸時數據的新鮮性、準確性。具體包括：a)新鮮性：數據來源與系統采用統一時間分配/矯正機制，數據中宜包含時間標識 b)準確性：在數據存在可接受的誤差時，可建立容錯機制保障系統正常運行 數據傳輸保密性 評估數據傳輸隱私保護能力，具體包括：a)進行數據傳輸時，宜告知用戶

78、可能的隱私暴露環節，告知可能的隱私收集與存儲部分 b)需要時，對數據傳輸雙方身份進行隱私保護?？刹捎脭祿撁羲惴ǖ冗M行數據保護 （2）（2）車聯網絡安全測試 車聯網絡安全測試 車內電子電氣部件通過 CAN、CAN/FD、LIN 等汽車總線協議或車載以太網協議進行信息采集、數據傳遞與指令下發。同時，包括網關、T-Box、IVI 系統、ECU電子控制單元等在內的車載關鍵通信零部件與車載網絡間會進行信息交互。此域中的威脅以篡改通信數據包、篡改軟件系統等為主。V2X 通信由車載設備與路側設備間通信、車載設備與人間通信、車載設備與車載設備間通信等構成。通信方 汽車供應鏈網絡安全管理白皮書（2022）26

79、 式包括蜂窩通信接口（Uu）與直連通信接口（PC5）兩種方式。此域中面臨的威脅以竊聽、干擾、泛洪、偽造身份等為主。車聯網通信有著與傳統因特網不同的顯著特點，這些特點一方面使得一些傳統的網絡安全防護策略不再適用，另一方面需要引入新的安全機制。例如，在車聯網中，每個車輛節點通?？焖俚匾苿?，其網絡拓撲高速動態變化；車與車（V2V）之間采用 P2P 的方式進行通信，通信內容一般具有高度的時效性，同時也容易泄露用戶隱私；車聯網中同時存在著錯綜復雜的 V2V、V2I、V2N 等各種傳輸介質（無線或有線）、協議（TCP/IP 和廣播）、結構（分布式和集中式）等。車聯網獨有的攻擊方式一般針對信息的完整性和時效

80、性，隱私保護也是車聯網網絡安全的重要內容。車內網絡安全測試方面，由于 CAN 總線設計之初并沒有考慮任何安全機制，從而導致現階段車內總線網絡完全暴露在互聯網環境下。針對 CAN 總線的安全風險，可通過使用車載 IDPS 技術實時對車內網絡流量進行深度檢測，精準判斷出攻擊行為和異常行為，確保車端網絡安全。對于 V2X 通信，在接入過程中，應測試終端與服務網絡之間是否支持雙向認證，以確認對方身份的合法性。蜂窩通信過程中，測試終端與服務網絡是否對 LTE 網絡信令支持加密、完整性以及抗重放，測試是否對用戶數據進行加密，確保傳輸過程信息中不被竊聽、偽造、篡改、重放。直連通信過程中，測試系統是否支持對消

81、息來源的認證，保證消息的合法性，測試是否支持對消息的完整性及抗重放性，測試是否支持對消息的機密性保護，確保消息在傳輸時不被竊聽。測試系統是否具備真實身份標識及位置信息的隱藏性，防止用戶隱私泄露。（3）（3）車載無線電系統安全測試 車載無線電系統安全測試 車載無線電系統包括 WIFI、藍牙、蜂窩網、GNSS 等不同協議的無線通信方式。無線安全評估方法主要包括加密破解、欺騙攻擊、模糊測試、拒絕服務等攻擊方式，評估內容包含 4 個方面：功能評估、漏洞評估、系統評估和結果處理。功能評估由用戶對評估對象的安全功能進行評價。漏洞評估包括模糊測試和漏洞掃描，根據評估結果對功能評估得到的安全等級進行修正。系統

82、評估對功能評估和漏洞評估的結果進行評價，給出評估對象最終的安全等級。評估結果用戶準去、完整地掌握功能評估情況。汽車供應鏈網絡安全管理白皮書（2022）27 一般可建立基于模糊測試的無線安全評估框架（如圖 3.1 所示），包括測試子模塊和漏洞分析子模塊。測試子模塊負責對評估對象的測試和狀態監視。通過手動配置控制測試用例的范圍、注入速度等，發送測試用例給評估對象；基于監視器的反饋控制測試流程，監視器采用多種方式監視評估對象狀態，包括主動發送監視命令和被動接收目標響應及廣播數據，一旦發現評估對象狀態異常則進行記錄和分析。漏洞分析子模塊記錄評估對象狀態的異常及對應的測試用例，以進一步驗證和分析漏洞。漏

83、洞驗證的過程是半自動化的，重發測試用例觸發異常以驗證異常與用例的對應關系。漏洞分析需要人工完成，包括漏洞類型、危害程度、觸發條件等。圖 3.1 基于模糊測試的無線安全評估框架 圖 3.1 基于模糊測試的無線安全評估框架 無線傳感網安全傳輸評估的具體評估項目及內容見表 3.4 所示，主要對無線傳感器網絡傳輸中面臨的主要安全威脅和攻擊進行測評,包括機密性測評、數據完整性測評、防仿冒攻擊測評、不可否認性測評、訪問控制測評、身份認證測評、防重放攻擊測評、防耗盡攻擊測評、防洪拒絕服務攻擊測評等。在研究無線傳感器網絡傳輸安全要求基礎上,通過搭建無線傳感網仿真環境,采集所監控的傳感網節點狀態和鏈路狀態數據,

84、分析無線傳感網在不同安全威脅和攻擊下的安全狀態變化,通過分析和歸納影響無線傳感網傳輸安全因素,確定針對無線傳感器網安全傳輸測評內容的傳輸安全指標。測評方法及判定要求主要包括:特定信道數據捕獲方法、傳感網傳輸協議解析方法、滲透性測試方法等，其中滲透性測試方法主要是運用攻擊檢測器,模擬非法入侵、仿冒攻擊、重放攻擊等。汽車供應鏈網絡安全管理白皮書（2022）28 表 3.4 無線傳感網安全傳輸評估 表 3.4 無線傳感網安全傳輸評估 評估方面 評估方面 評估項目 評估項目 評估內容 評估內容 無線安全 通用要求 通信應支持加密算法和完整性保護算法 在訪問控制模式下，通過訪問控制列表限制非法節點獲取數

85、據 在訪問控制模式下的 ACL 采用預置方式，并使用安全存儲機制 在安全模式下，采用 AES 128 位加密算法，同時進行完整性校驗 在安全模式下，密鑰采用預置或預置 SALT+衍生方式，密鑰使用安全存儲機制 通信應支持加密算法和完整性保護算法 移動通信要求 蜂窩通信模塊應具備 IMEI 號 蜂窩通信要求 蜂窩通信模塊應具備雙向鑒權能力 eSIM 要求 當安全芯片具備 eSIM 功能時，蜂窩通信模塊應支持轉發安全應用層數據能力，以便向 MCU提供安全應用層的身份識別、數據加密、完整性校驗功能（條件性支持）藍牙安全要求 藍牙模塊應支持加密傳輸 BLE 4.2 版本及以上的模塊應使用 LE Sec

86、ure Connections 功能 短距離無線安全要求 短距離無線電模塊應使用訪問控制模式或安全模式通信（4）（4）數據安全測試 數據安全測試 數據安全風險主要體現在兩方面，一是個人及地理位置信息保護面臨風險。如企業收集使用的車主身份信息、行車軌跡信息、業務使用日志等屬于敏感數據，一旦泄露或非法處理，將威脅公民個人信息安全；如果某企業在用戶未開啟相關服務的情況下收集使用個人信息，將侵害用戶個人信息合法權益。二是數據非法出入境帶來的安全風險。攝像頭、雷達、衛星定位等裝置采集的道路環境數據，可經處理后生成路網結構信息、建筑物信息、地圖信息。一旦泄露或非法出境，將威脅國家安全。為系統性分析汽車數據

87、安全風險，從源頭出發，重點針對數據采集、數據傳輸、數據存儲 3 個環節。通過建立風險模型，針對各環節潛在威脅風險分階段開展評估檢測。在數據采集環節，研究汽車數據采集能力，對其選用的攝像頭、麥克風等零部件的品牌和技術參數進行研究，檢測車機和手機 APP、攝像頭、麥克風、定位裝置的數據采集處理行為；在數據傳輸環節，檢測車載通信終端、車企云通信數據流量，監 汽車供應鏈網絡安全管理白皮書（2022）29 測數據流量和數據流向，嘗試檢測分析數據內容，檢測是否存在數據跨境傳輸行為；在數據存儲環節，嘗試檢測分析車輛本地數據存儲、車企云數據存儲內容等。（5）（5）云服務平臺安全測試 云服務平臺安全測試 大多數

88、車聯網服務平臺使用了公有云技術，那么車聯網服務平臺就有一部分面臨云端的安全威脅。另一方面，服務平臺也是汽車和手機之間重要的通訊橋梁，廣泛地應用在車聯網場景中，面臨著形式各異的攻擊威脅。云服務平臺可通過蜂窩網絡與移動應用進行通信交互，接收到用戶移動應用發送的指令后，通過內部專有網絡與車載 T-Box 進行通信，T-Box 再將指令解析為 CAN 總線指令發送至汽車上的相應 ECU，從而實現遠程啟動引擎、開啟空調、車輛預熱等功能。由于攻擊者可訪問公開的服務接口，導致車聯網服務平臺比傳統云計算服務平臺面臨更多的攻擊面，攻擊造成的危害性也更嚴重。同樣，平臺應用和移動應用是整個汽車系統的接入端，用戶可通

89、過手機移動應用，實現遠程打開車門，開啟車燈和車輛啟動等控車操作。在給消費者帶來出行便利的同時，汽車移動應用也面臨著各種各樣的網絡安全隱患。因此，可針對性地對云服務平臺開展服務器漏洞掃描、平臺應用漏洞掃描、平臺數據安全檢測、平臺配置核查等信息安全測試，通過分析網絡流量識別資產匯聚的服務器和客戶端，通過漏洞掃描，IP、Web 及操作系統、敏感數據梳理及實施流量監控，異常警告和數據審計等技術手段開展安全測試。同時對車聯網云服務平臺基于網絡安全等級保護要求進行相關測試。汽車供應鏈網絡安全管理白皮書（2022）30 四、四、汽車供應鏈網絡安全評估及認證 汽車供應鏈網絡安全評估及認證 汽車供應商需要在產品

90、全生命周期過程中，結合業務需求，圍繞供應鏈關系、流程執行情況、產品實現落地情況進行網絡安全評估的考慮。評估是“審查產品設計、產品、過程或安裝并確定其與特定要求的符合性，或根據專業判斷確定其與通用要求的符合性的活動”。評估基于評估機構在行業認可度，相對具有更多的靈活性，可以針對標準、法規的部分內容進行評估，應用場景也更加多樣。如主機廠或上游需求方可以要求認證機構按網絡安全管理體系要求對其供應商進行二方審核評估，其審核結果也可以用于供應商準入。同時，對于汽車供應商而言，其網絡安全實施情況不僅體現在研發的產品或對于公司的管理上，還需要通過一些安全認證來進一步證明其符合度和權威性。認證是“與產品、過程

91、、體系或人員有關的第三方證明”，是需要由具備第三方性質的認證機構證明產品、服務、管理體系、人員符合相關標準和技術規范的合格評定活動。供應商獲得權威性和認可度較高的網絡安全相關認證，將可以向上游客戶提供最直接的自身網絡安全能力的證明，從而便于汽車制造商進行審核評估并進行供應商準入管理。4.14.1 企業信息安全管理體系認證 4.1.1企業信息安全管理體系認證 4.1.1 ISO/SAE 21434 認證 ISO/SAE 21434 認證 ISO/SAE 21434 是基于 SAE J3061信息物理融合系統網絡安全指南和 ISO 26262道路車輛 功能安全發展而來，并于 2021 年 8 月正

92、式發布，該標準核心為“風險管理”，定義了涵蓋網絡安全治理和項目級管理、車輛整個生命周期的安全工程以及后期生產安全流程，該標準也提及了關于持續的網絡安全活動及供應商管理要求，同時針對網絡安全的風險評估方法論進行了介紹。針對于 ISO/SAE 21434 的認證可分為流程及產品認證。因認證與評估不同，需考慮認證機構資質問題，同時也涉及認證機構獨立性問題。目前行業內就認可資質而言，主流資質為 CNAS（中國合格評定國家認可委員會）和 DAkkS（DAkkS標志是德國認可委員會的德文縮寫，是德國認可制度的協調管理機構）認證。但對于 ISO/SAE 21434 標準，目前全球還未針對該標準對認證機構進行

93、資質認定，但可預期的是在 2022 年 DAkkS 資質將會完成部分認證機構的認可工作。汽車供應鏈網絡安全管理白皮書（2022）31 ISO/SAE 21434 流程認證主要針對企業的網絡安全相關流程，以 ISO/SAE 21434 為標準進行符合性評估及認證。ISO/SAE 21434 流程認證適用于汽車生態鏈中與汽車電子相關的各層級供應商，評估內容如表 4.1 所示。表 4.1 ISO/SAE 21434 流程認證 表 4.1 ISO/SAE 21434 流程認證 組成部分 組成部分 子部分 子部分 文檔 文檔 5.網絡安全組織級管理 總體管理 網絡安全方針,規則以及流程 網絡安全文化管理

94、 能力管理，意識管理及持續改進 需求管理 需求追溯報告 配置管理 配置管理計劃 變更管理 變更管理計劃 變更請求 變更影響分析 變更報告 文檔管理 文檔管理計劃 文檔管理指導文件 工具管理 工具評估報告 工具管理指導文件 信息安全管理 組織級信息安全管理程序 網絡安全管理體系審計 網絡安全管理體系審計報告 網絡安全計劃（包括職能職責、匯報關系、復用分析等）網絡安全計劃確認評審報告 網絡安全檔案 網絡安全檔案確認評審報告 網絡安全評估報告 后開發階段發布報告 6項目級網絡安全管理 網絡安全開發活動管理 網絡安全計劃文檔 網絡安全案例 網絡安全評估報告 后開發階段的網絡安全要求文檔 7.網絡安全分

95、布式活動 分布式開發 供應商評估報告 網絡安全接口協議 供應商網絡安全計劃 供應商網絡安全評估報告 8.網絡安全持續性活動 網絡安全監控 網絡安全信息收集源 網絡安全監控觸發條件 網絡安全事態信息收集 網絡安全事態評估 弱點分析報告 漏洞/脆弱性分析 漏洞/脆弱性分析報告 汽車供應鏈網絡安全管理白皮書（2022）32 漏洞管理 漏洞管理證據（包括流程、規則等）9.概念階段 相關項定義 相關項定義 網絡安全目標 威脅分析和風險評估報告 威脅分析和風險評估驗證報告 網絡安全目標 網絡安全目標驗證報告 網絡安全聲明 網絡安全概念 網絡安全概念 網絡安全概念驗證報告 10.開發階段 網絡安全設計 網絡

96、安全規范 網絡安全規范驗證報告 系統架構設計規范 系統架構設計規范驗證報告 建模、設計及編碼指導文件 后開發階段網絡安全需求 弱點發現報告 系統驗證 集成驗證規范 集成驗證報告 硬件網絡安全設計規范 硬件網絡安全需求規范 硬件網絡安全需求驗證報告 硬件設計規范 硬件設計驗證報告 硬件集成驗證 硬件集成驗證規范 硬件集成驗證報告 軟件網絡安全規范 軟件開發環境文檔 軟件網絡安全需求規范 軟件網絡安全需求驗證報告 軟件架構設計規范 軟件架構驗證報告 軟件單元設計 軟件單元設計規范 軟件單元設計實施 軟件單元驗證 軟件單元驗證規范 軟件單元設計規范驗證報告 軟件單元設計實施驗證報告 軟件集成和驗證

97、軟件集成驗證規范 軟件集成驗證報告 11.測試驗證 安全測試 安全測試報告 12.生產階段-包含網絡安全的生產控制計劃 13.運營與維護-網絡安全應急響應預案 14.退役階段-網絡安全結束支持程序 15.威脅分析與風險評估 -損害場景識別 汽車供應鏈網絡安全管理白皮書（2022）33 資產安全屬性 威脅場景 損害場景影響評級 攻擊路徑 攻擊可行性評級 風險值 風險處置 ISO/SAE 21434 雖未針對產品技術要求進行明確定義，但已有部分認證機構可以針對產品進行基于 ISO/SAE 21434 的產品級網絡安全認證。該認證首先基于ISO/SAE 21434，需要針對與產品有關的分析、設計、開

98、發及生產進行符合 ISO/SAE 21434 流程步驟及相關技術細節進行評估，其重點是威脅分析和風險評估、網絡安全緩解措施、網絡安全測試。經過認證機構中被授權的技術專家評估后，完成產品基于 ISO/SAE 21434 的產品認證。為支撐基于 ISO/SAE 21434 的汽車網絡安全評估及認證工作，ISO 于 2022年 3 月正式發布 ISO/PAS 5112 道路車輛 信息安全工程審核指南標準。該標準可供汽車制造商用于對網絡安全管理體系（CSMS）組織過程進行審計，也可供供應鏈管理部門根據 ISO/SAE 21434 準備組織過程審計。此類審核結果可供車輛制造商用于 UN R155 要求的

99、網絡安全管理體系的認證前準備，同時對于企業內部（包括 OEM 及各級別供應商）網絡安全管理體系年審及向需求方證明網絡管理體系完整性證明也同樣適用。4.1.24.1.2 可信信息安全評估交換（TISAX）可信信息安全評估交換（TISAX）可信信息安全評估交換（Trusted Information Security Assessment Exchange，TISAX），是由德國汽車工業協會（VDA）和歐洲網絡交換協會（ENX）于 2017 年推出的評估和交換機制，旨在減少可能發生的重復評估。通過指定的網絡在線平臺，為汽車行業跨企業信息安全評估交換提供支持。ENX 協會負責管理 TISAX，包括平

100、臺的運營。申請者可以通過該平臺分享其評估信息，向直接的業務合作伙伴或參與 TISAX 項目的任何其他公司確認其信息安全級別符合 TISAX的要求。企業注冊 TISAX 會員后，就可以訪問該平臺并交換信息。TISAX 評估僅可由ENX 明確批準并認可的審核服務提供商實施。該平臺包含已獲認可的服務供應商 汽車供應鏈網絡安全管理白皮書（2022）34 列表，評估結果的最長有效期為三年。在任何時候，評估的數據和結果均由受評估公司控制，僅在得到其事先同意和批準后方能在平臺共享?；诠蚕頂祿托畔⒌拿舾行?，供應商可以進行三種級別的評估。這些級別在方法和強度上有所不同，等級由 AL 1 級（無 TISAX

101、標簽的自我評估）到 AL 3級（信息安全和管理過程的現場強化評估），具體評估等級內容如表 4.2 所示。TISAX 評估的申請與標簽獲取僅需要以下六個步驟，即：確定標準、注冊、評估、報告、消除缺陷和將結果上傳至交換平臺。汽車供應商通過 TISAX 評估，可減少生產商逐個對其重復實施評估，基于跨公司的信息安全評估結果認可，不僅時間和成本得到了節省，同時提升了客戶的信任。表 4.2 TISAX 供應商評估對象及等級 表 4.2 TISAX 供應商評估對象及等級 編號編號 TISAX 評估對象 TISAX 評估對象 評估等級（AL）評估等級（AL）1 保護需求較高的信息 AL 2 2 保護需求極高的

102、信息 AL 3 3 連接到保護需求較高的第三方 AL 2 4 連接到保護需求極高的第三方 AL 3 5 數據保護 根據歐洲通用數據保護條例（GDPR）第 28 條（“處理者”）AL 2 6 數據保護：針對特殊類別個人信息 根據歐洲通用數據保護條例（GDPR）第 9 條規定的特殊類別個人信息以及第 28 條（“處理者”）AL 3 7 原型零部件保護 AL 3 8 原型車保護 AL 3 9 試驗車處理 AL 3 10 原型保護活動及錄制、拍攝期間 AL 3 4.1.34.1.3 ISO/IEC 27001 認證 ISO/IEC 27001 認證 ISO/IEC 27001信息技術 安全技術 信息安

103、全管理系統要求是一個主要的信息安全管理國際標準。它覆蓋了商業、政府和非盈利機構，并說明信息安全管理體系（ISMS）從建立、實施、監視和改進的需求。部分組織可能不認為自己的信息是易受攻擊的，或者在廣闊無邊的互聯網世界中被作為目標而攻擊，而業務 IT 流程的破壞會削弱組織從而導致競爭對手獲得市場占有率。ISO/IEC 27001 汽車供應鏈網絡安全管理白皮書（2022）35 提供一個系統性且結構良好的方法，來確保自身信息的保密性，保證業務數據的完整性，并提高 IT 業務系統的可用性。與其它管理體系相同，ISO/IEC 27001 也是基于 PDCA 方法論（即 Plan計劃；Do執行；Check檢

104、查；Action處理）以改善質量的管理體系。組織獲得 ISO/IEC 27001 認證需要通過以下六個步驟：l 準備差距分析來確定網絡安全管理體系和認證的范圍（可選）l 執行實施計劃 l 進行預審核以確認您是否已做好認證準備（可選）l 由第三方認證機構審核員實施第一階段審核 l 由第三方認證機構審核員實施第二階段審核，并關閉所有不符合項 l 在認可委員會批準后，接收審核報告和證書，并開始后續的年度監督審核 預審核是一種非強制性要求的審核，它是在正式審核（第一階段審核）之前執行的非正式審核，目的是評估組織的信息安全管理體系（ISMS）與標準要求的差距，包括但不僅限于：評估 ISMS 方針和必要規

105、程；評估組織 ISMS 運行的完整性；基于組織的實際業務，評估組織的 ISMS 范圍的合理性；評估 ISMS 是否具備正式審核（第一階段審核）的基本條件。4.24.2 產品信息安全認證 4.2.1產品信息安全認證 4.2.1 CC 認證 CC 認證 CC（Common Criteria）認證是全球認可度和權威性最高的產品信息安全認證，目前共有 31 個國家加入了 CCRA 互認協議。CC 認證從產品具備的安全功能及安全保證兩個方面對產品安全性進行評估，分析產品安全功能設計合理性，是否可抵御具體環境下的安全威脅，并滿足特定規范要求；分析產品研發是否滿足標準要求，以保障安全功能正確實現。因此，通過

106、 CC 認證有助于提高產品安全可信度。CC 認證標準分為兩大部分，其一，基礎標準 ISO/IEC 15408信息技術 安全評估共同準則 與 ISO/IEC 18045 信息技術 安全技術 IT 安全評估方法論，包括安全功能及安全保證要求全集、評估方法；其二，PP/cPP 標準，也就是特定 汽車供應鏈網絡安全管理白皮書（2022）36 類型產品的 CC 認證標準，目前 CC 官網已發布 400 多個有效 PP/cPP，覆蓋網絡設備、OS、數據庫、移動終端、安全芯片等設備。PP、cPP 區別在于，PP 是由發證國各自開發并被 CCRA 認可的、某類型產品認證標準，規定了此類產品最基本安全要求集，目

107、前主要是美、德、法主導制定各自 PP 標準；cPP 是由 CC 互認組織 CCRA 統一組織開發的某類型產品認證標準，確保同類產品認證的全面性、統一性。中國并不是 CCRA 互認成員單位，但是也引入了 ISO/IEC 15408 標準作為 GB/T 18336信息安全 信息技術安全評估準則、GB/T 30270-2013信息技術 安全技術 信息技術安全性評估方法等國家標準的基礎，并建立了中國 CC 認證體系，其認證流程和實施方法與 CCRA 體系的模式基本類似。4.2.24.2.2 CB 體系認證 CB 體系認證 IECEE-CB 體系（Scheme of the IECEE for Mutu

108、al Recognition of Test Certificates for Electrical Equipment）是 IECEE 關于電工產品測試證書的互認體系，又簡稱 CB 體系（Certification BodiesScheme），即“認證機構體系”。其中，IECEE 是國際電工委員會電工產品合格測試與認證組織，其成員單位可有一個或多個由 IECEE 批準的國家認證機構(NCB)。由 NCB 向 IECEE 推薦并得到批準的檢測實驗室叫做 CB 實驗室，由 NCB 頒發并附有 CB 實驗室出具的測試報告的電工產品證書，稱做 CB 測試證書，該證書可用來通知其他 NCB，證明企業提

109、供的一個或多個樣品的測試結果符合 IEC 標準的要求。在 IECEE-CB 體系內，當企業持 CB 測試證書申請該國的國家認證時，其測試結果將被認可。這就為企業的產品出口節約時間和經費，實現了 IECEE 促進國際貿易的宗旨。另外，CB 測試證書必須附上測試報告方為有效。IECEE-CB 體系采用 IEC 標準作為認證共同的依據，但各國 NCB 聲明采用 IEC 標準時，可能存在著由 IECEE 批準的國家差異和集團差異，因此任一 NCB 對差異可做補充實驗。4.2.34.2.3 商用密碼產品認證 商用密碼產品認證 2019 年 10 月 26 日，十三屆全國人大常委會第十四次會議審議通過中華

110、人民共和國密碼法，第二十五條對商用密碼檢測認證體系進行了明確：“國家推進商用密碼檢測認證體系建設，制定商用密碼檢測認證技術規范、原則，鼓勵 汽車供應鏈網絡安全管理白皮書（2022）37 商用密碼從業單位自愿接受商用密碼檢測認證，提升市場競爭力。2019 年 12 月30 日，國家密碼管理局會同國家市場監督管理總局發布了第 39 號文，決定取消“商用密碼產品品種和型號審批”，隨后發布了 商用密碼產品認證目錄 及 商用密碼產品認證規則。其中，認證目錄中的產品包括智能密碼鑰匙、智能 IC卡、密碼卡、安全網關、服務器密碼機、安全芯片、密碼模塊等共 22 種產品類別，認證規則明確了認證目錄中實施商用密碼

111、產品認證的基本原則和要求。認證機構對符合認證要求的密碼產品，頒發認證證書并允許使用認證標志，認證證書有效期為 5 年。國家密碼管理局商用密碼檢測中心可為企業提供商用密碼產品認證服務，認證主要參考的商用密碼行業標準有 GM/T 0028密碼模塊安全技術要求、GM/T 0018密碼設備應用接口規范、GM/T 0008安全芯片密碼檢測準則等。其中，GM/T0028 密碼模塊安全技術要求 編制參考了國際標準 ISO/IEC 19790 信息技術 密碼技術 密碼模塊的安全要求,為規范商用密碼產品管理、提升商用密碼產品安全防護能力發揮了重要作用。ISO/IEC 19790 提出了在計算機和電信系統中保護敏

112、感信息的安全系統中使用密碼模塊的安全要求。該標準定義了 4 個安全級別的密碼模塊以覆蓋范圍更廣的數據敏感性和應用程序環境的多樣性。標準為 11 個需求區域中的每個區域指定了 4 個安全級別，每個安全級別在上一個級別上增加了安全性。該標準采取的務實方法是確保經過批準而使用加密算法的安全控制措施能夠有效運轉。目前，此標準是許多國家驗證密碼模塊適用性的基本參考，但各國對哪些批準的算法可以使用，以及哪些工具應該用來測試它們有不同的要求。汽車供應鏈網絡安全管理白皮書（2022）38 五、五、展望及倡議 展望及倡議 汽車產業具備點多面廣、體系繁雜、高度集成等典型特征，任何環節發生網絡安全問題，都可能將風險

113、傳遞至整個供應鏈，進而產生更加深遠的影響。未來，隨著汽車智能化、網聯化水平進一步提升，產業鏈角色將更加豐富，各主體間信息流、數據流交互更加頻繁。加強汽車全供應鏈網絡安全管理，做好統籌規劃、協同分工、有序推進，也將在保障汽車產業網絡安全中發揮越來越重要的作用，也必將成為產業各界愈加關注的重點。當前，監管部門已將網絡安全作為汽車行業發展的關鍵問題予以重點關切。隨著法規體系的健全完善，監管要求的逐步落地，監管部門將著手針對汽車網絡安全各細分領域開展更加具體深入的監管工作，推進落實包括發布管理細則、實施專項審查、組織試點示范、下達標準研制要求等一系列監管手段。汽車供應鏈網絡安全管理作為重要組成部分，相

114、關規范要求將持續細化，監管舉措將不斷加強。在行業發展與監管要求的雙重驅動下，包括汽車制造商、系統及零部件供應商、服務運營商、解決方案集成商等產業鏈各企業將對支持供應鏈網絡安全管理的產品、技術和解決方案產生更加迫切和實際的需求，重點關注跨領域跨組織的風險評估、動態防御、監測預警、應急處置、信息共享等的流程機制、技術手段、產品方案等。由此，針對汽車供應鏈網絡安全管理提出以下幾點建議：（1）（1）汽車制造商應建設完善網絡安全管理體系，落實供應商網絡安全管汽車制造商應建設完善網絡安全管理體系，落實供應商網絡安全管理舉措 理舉措 汽車制造商作為汽車網絡安全的明確責任主體，應建設合規、完備、可持續有效運行

115、的網絡安全管理體系，將針對供應商網絡安全管理的相關舉措落到實處。建議充分結合企業現有供應商管理體系和制度，建立供應商網絡安全能力審核規范，明確責任部門、審核流程、審核內容及標準，形成審核記錄、報告等；考慮供應商分類管理，針對每類供應商制定基線要求，考慮將第三方評估認證作為審核依據；建立供應商定廠流程規范，提出網絡安全方面的供應商報價要求、安全協議要求等；開展供應商定廠后持續的網絡安全監督管理、績效考核等。汽車供應鏈網絡安全管理白皮書（2022）39（2）（2）汽車供應商應及時關注監管動向及客戶需求，做好網絡安全能力建汽車供應商應及時關注監管動向及客戶需求，做好網絡安全能力建設的前瞻部署 設的前

116、瞻部署 汽車供應商作為汽車產業鏈的參與主體，不可避免地要承接和分解來自汽車制造商和上游供應商的網絡安全需求。一方面，應跟蹤監管方面對供應鏈各環節的網絡安全要求，同時與客戶充分溝通，分析預判、及時獲取潛在合規需求；另一方面，基于自身在供應鏈中的角色位置，從管理體系和關鍵技術方面著手，建立適當的網絡安全能力?？煽紤]通過第三方評估認證的方式，進行體系化的能力建設，并獲取相應背書，以增強客戶認可度和信任度。（3）（3）第三方機構應加強能力建設，為產業鏈提供多維度評估認證服務 第三方機構應加強能力建設，為產業鏈提供多維度評估認證服務 推廣實施專業性強、行業認可度高的中立性評估及認證，是有效開展供應鏈網絡安全管理的重要手段。第三方機構作為實施汽車網絡安全評估認證的主體，應加強對現有國內外權威評估認證體系研究，規范評估認證流程和方法，強化評估認證技術、工具及人員供給，綜合提升評估認證服務能力，確保評估認證結果的中立性、真實性和準確性，滿足產業鏈企業多元化需求，促進汽車供應鏈網絡安全水平持續提升。