GB/T 38628-2020 信息安全技术 汽车电子系统网络安全指南
- 文档部分内容预览:
网络安全测试与评估工作宜由有经验的、有公正性的测评团队完成。具体条件可包括: a) 测评团队与被测评对象的开发、生产、运行和服务以及网络安全控制措施的设计没有任何利益 冲突; 测评团队与被测评组织没有建立利益关系或产生利益冲突; 测评团队不宜测评自已的工作; d) 测评团队不宜是被测评组织的员工; e 测评团队不宜诱导组织使用自已的服务; f 测评团队宜将测评结果详细记录在案,包括找到的新漏洞。 注:这里主要是针对组织聘请第三方测评团队的建议要求,组织自建测评团队的情况可以参考
.4.2网络安全测试内容
漏洞测试、渗透测试和模糊测试是评价一个对象网络安全能力的重要方法。其中,漏洞测试是较为 常用的方法,可包含但不限于如下具体方式: a)漏洞扫描,检测对象是否存在可能被攻击的漏洞; b)探测性测试,检测和探查可能在软件或硬件实现中产生的漏洞; c)攻击性测试,通过破坏、绕过、篡改网络安全控制措施等手段人侵对象,以达到测试对象抗攻击
6.4.3网络安全评估
网络安全评估用于检验当前所实施的网络安全策略是否满足网络安全需求,以及是否能有效降低 威胁和风险,可包括但不限于以下内容: a)评估各阶段的网络安全策略是否满足网络安全需求; b) 评估各阶段的网络安全设计是否符合网络安全策略; 对于网络安全策略未能解决的威胁,将其定义为相应的未决问题,并评估该未决问题是否可以 被接受; d 如果未决问题可被接受,则提供相应的说明,解释该网络安全问题可以被接受的原因;如果未 决问题不可被接受粉煤灰标准,并且可以通过后续阶段的活动解决,则记录该未决问题,以便将其作为下 阶段开发的依据
完成了当前阶段的活动。 阶段检查可由组织的技术专家小组来进行,该小组宜独立于产品开发团队。此外,为了保持产品在 整个生命周期中所有功能的一致性和完整性,该小组宜参与产品整个开发过程中的所有检查工作。检 查结果以“通过”“有条件通过”(即需要采取一些整改措施)或“不通过”表示,只有当检查结果是“通过” 或“有条件通过”并且相关整改措施已实施和确认的情况下,才能进人到下一阶段的工作。各阶段检查 的主要内容如图3所示,具体内容见各阶段对应章节, 阶段检查活动,进一步确保安全措施执行到位
3各生命周期阶段的检
7汽车电子系统网络安全活动
7.1.2系统功能定义
图4概念设计阶段活动流程
组织宜明确汽车电子系统中被开发的、可以实施网络安全的子系统及其功能的适用范围,并对其进 行如下内容的分析: a)子系统的物理边界; b)子系统的网络边界; c)子系统的信任边界; d)子系统的网络安全边界
7.1.3网络安全过程启动
在启动汽车电子系统的网络安全生命周期过程时,组织宜制定相应的网络安全计划,包括但不限于 以下内容: a)需要执行的网络安全活动; b)确定各项活动的负责人; c)明确各项活动的开始时间和截止时间; d)明确各项活动状态的报告和监督规则
GB/T 386282020
7.1.4威胁分析及风险评估
组织宜对汽车电子系统开展威胁分析及风险评估,以便系统性地识别汽车电子系统可能面临的网 各安全威胁,并对网络安全风险进行合理的估算,为确定汽车电子系统的网络安全目标、采取相应的风 验处置措施提供依据。掌握威胁分析及风险评估的技术,在产品的早期开发阶段实施,能够尽量降低在 产品生命周期较晚阶段发现问题而导致的昂贵修复代价;另外,随着产品开发过程的不断深入,威胁分 沂及风险评估活动还可以适时地针对产品的逐步细化而不断地迭代,为产品各开发阶段的网络安全评 古提供依据。 汽车电子系统的威胁分析及风险评估活动宜按照GB/T18336一2015、GB/T20984一2007、 GB/T31509一2015和GB/T31722一2015等标准内容,并结合汽车行业的实践经验开展,主要可包括 以下步骤: a)准备:确定威胁分析及风险评估的目标与范围。 b)功能定义:识别汽车电子系统主要功能和需要被保护的资产。 示例1: 汽车电子系统需要保护的资产可主要从以下方面考虑: 车载设备:包括ECU、传感器、执行器、网络通信设备等: 一一运行于在设备上的功能安全关键和非功能安全关键的应用: ECU内部、ECU之间、ECU和传感器/执行器之间、ECU和网络通信设备及应用程序之间的数据链路。 ) 威胁分析:识别来自组织外部或内部各种渠道的、针对汽车电子系统资产的潜在威胁并进行分 析,可包括如下内容:威胁模型、系统功能用例分析、数据流/控制流分析、安全边界分析、攻击 树分析等。组织可综合应用各种分析技术,形成规范化的分析流程。在威胁分析过程中,需要 综合考虑威胁来源、威胁动机(或攻击动机)等因素,对威胁进行合理的分类。 示例2: 针对汽车电子系统的攻击动机可能是:获取车辆信息;获取驾驶员信息;对驾驶员、乘客等个人身体和精神造 或伤害;扰乱行业经济或造成大规模基础设施损坏;恐怖袭击;使攻击者获得声誉;获取经济利益;获取其他利益。 注1:一种常用的分类方法是将威胁分为仿冒、基改、抵赖、信息泄露、拒绝服务、特权提升等几种类型 脆弱性分析:分析针对汽车电子系统资产可能的攻击途径和漏洞,其目标是基于汽车电子系统 的具体实现,识别其中的薄弱环节或缺陷,以便对风险评估提供依据。可参考通用的信息系统 脆弱性数据库,针对已发现的脆弱性,对汽车电子系统的实现进行分析或开展渗透测试,检验 相关脆弱性是否真的存在。另外,组织还需要建立或参考本行业相关机构所建立的专业性脆 弱性(或漏洞)数据库,以便针对汽车电子系统进行特定的脆弱性分析。 e)风险评估:基于威胁和脆弱性分析的结果,主要从两个方面对风险等级进行估算:一是威胁可 能造成影响的严重程度,二是威胁成功实施攻击的概率。综合这两方面的评估数据,对每个具 体的资产威胁,明确其风险等级。 注2:有关汽车电子系统典型网络安全风险参见附录A, 注3:对于威胁可能造成结果的严重程度,可从对汽车的功能安全、隐私、经济、操控性等方面的影响进行综合 分析;对于威胁成功实施攻击的概率,可综合考虑多方面因素,包括攻击所需要花费的时间(包括识别漏 洞、开发攻击程序、成功安装程序等的时间)、专业知识、对被攻击对象的了解程度、机会的时间窗口和对 特殊设备的要求等。 f)风险处置:根据风险等级对资产威胁进行优先级排序,尤其需要识别出高风险等级的威胁,并 评估各个资产威胁的风险等级是否处于可接受的水平;如果风险等级属于不可接受的,宜考虑 应用适当的方法或风险控制措施(具体措施参见附录B),使系统的残余风险降低到可接受的 范围。
GB/T38628—2020
示例3: 针对附录A中所描述的ECU"CAN总线访问”可能面临的网络安全风险,可采取的风险控制措施是提供 CAN总线的安全通信功能(软件),实现通信数据的防篡改、抗重放机制。 示例4: 针对附录A中所描述的车载网关"FOTA/SOTA”可能面临的网络安全风险,可采取的风险控制措施是实现 安全的FOTA/SOTA过程,防止车载网关固件/软件或数据在其更新过程中被仿冒、篡改或信息泄露。 示例5: 针对附录A中所描述的车载接人设备USB接口可能被非授权访问的网络安全风险,可采取的风险控制措施 是对USB接口实施安全访问控制,并通过安全日志对访问事件进行记录,以便及时发现可能出现的非授权访问
7.1.5网络安全目标确定
组织宜基于风险评估结果中识别的高风险威胁无其是最高风险威胁来确定网络安全目标 示例1: 针对车辆与外部环境的4G通信,攻击者可能会嗅探4G信号中的数据流,这将影响车辆外部通信数据的机密性,可 能导致敏感信息的泄露。因此,相应的网络安全目标是保证车辆外部4G通信数据的机密性,需要采取加密通信数据的 借施。 示例2: 导致更为严重的安全事故。相比前一种情况,该威胁的 高,相应的网络安全目标则是防止车辆的远程控制指 冷被算改.保证数据的完整
7.1.6网络安全策略设计
组织宜确定满足网络安全目标所需的策略,包括但不限于: a)每个网络安全目标所对应的风险; b)满足网络安全目标的、可行的策略 c)针对不同类别的威胁,制定网络安全策略设计说明
7.1.7网络安全需求识别
组织宜从确定的网络安全目标中提取和识别网络安全需求,或者通过对网络安全策略白 具体的网络安全需求。
7.1.8初始网络安全评估
组织宜开展初始网络安全评估,主要用于描述当前阶段系统功能对于网络安全的各项要求,形成的 初始评估报告内容可包括但不限于: a)通过风险评估所确定的所有网络安全目标; b)每个网络安全目标所对应的风险; c)在当前阶段的所有网络安全未决问题
7.1.9概念设计阶段检查
组织宜在概念设计阶段活动完成时进行阶段检查,以确保概念阶段所有活动均已完成并产生适宜 的输出,主要检查以下内容: a)网络安全计划; b)系统功能定义; c)风险评估结果:
GB/T 386282020
d)网络安全目标; e) 网络安全策略设计; f) 网络安全需求; g)初始网络安全评估结论
7.2系统层面产品开发阶段
7.2.1 过程步骤概迷
图5展示了系统层面产品开发过程的V型图
图5系统层面产品开发过程
在系统层面产品开发启动之后,进人网络安全技术需求定义环节,包括如下活动:执行系统层面的 威胁分析或漏洞分析,将网络安全策略具体化为网络安全技术策略(例如,将高层的网络安全策略采用 具体的工程术语进行描述),再进一步导出并细化网络安全技术需求。 在系统设计环节,可以创建系统上下文来定义系统硬件和软件之间的接口、关键的数据流和它们在 系统中的存储和处理过程。使用系统上下文,系统层面产品的网络安全技术需求被分配到硬件和/或软 件中。一旦完成这个步骤,就能够开始硬件层面产品开发和软件层面产品开发的活动了。 在完成硬件和软件层面的产品开发之后,进行硬件和软件的集成与测试,重点是针对系统的网络安 全测试,可以采用漏洞测试、渗透测试等具体的测试方法。基于集成测试的结果验证网络安全技术需求 是否得到满足,之后针对系统进行网络安全评估.最后是产品的正式发布
.2.2系统层面产品开发
组织宜针对系统层面产品开发启动网络安全活动
组织宜针对系统层面产品开发启动网络安全活动,具体可
GB/T386282020
)制定系统层面产品开发 中的网络安全相关内容与要求; b)成立网络安全小组,具体负责产品开发过程中网络安全相关的技术及管理方面的工作,确定小 组的关键成员与职责
7.2.3系统层面漏洞分析
宜由网络安全小组对系统的潜在威胁展开漏洞分析,找到系统被攻击可能性较高的区域,可包括以 下步骤: a) 将系统内的资产进行分类,并按重要性和价值对各类资产进行综合评级,宜按照 GB/T30279一2013的内容进行安全漏洞等级划分; b)找到评级较高的资产中的漏洞和威胁; c)设计修补漏洞、对抗威胁的具体措施, 注1:相比概念设计阶段,在系统层面阶段会有更多的细节信息出现,因此有必要开展系统层面的漏洞分析, 注2:分析过程中宜进行充分沟通,以确保系统的网络安全需求能够被充分定义和管理
7.2.4网络安全策略具体化
7.2.5确定网络安全技术需求
组织宜结合实际情况进一步确定网络安全技术需求,可包括以下步骤: a)建立系统的功能列表,确定每一项功能的类别; b)建立系统上下文; c)定义系统接口:包括软件硬件的接口、数据流、数据存储和数据处理的要求; d)通过功能列表和系统按 服技不而水
组织开展系统设计时宜遵循已制定的过程、工具使用及具体流程要求,设计能满足其功能需求和网 络安全需求的系统
7.2.7系统集成和测试
7.2.8网络安全验证
队对其有效性程度进行验证,可采用的验证方法包括: a) 漏洞测试,确定用于降低漏洞风险的系统需求已被实现; 渗透测试,通过模拟对系统的实战攻击,验证系统能够有效地实施相应的安全措施; 模糊测试,通过大量的数据或信号,对系统功能进行压力测试,判断系统是否会在设定的情况 下产生漏洞,或出现异常的行为; 11 使用其他测试方法或工具进行的检验与验证
7.2.9系统层面网络安全评估
在完成网络安全验证之后,组织宜通过独立的网络安全测评团队进行网络安全评估,生成网络安全 伏况说明,对系统的网络安全状态进行评判。主要内容包括 a)产品各阶段的网络安全需求是否都得到了满足; b)产品开发过程中的未决问题是否被妥善处理; c)对于未被处理的网络安全问题,提供解释性文件,说明可以接受此网络安全问题的原因
7.2.10系统层面产品开发阶段检查
组织在产品发布前宜通过独立的技术专家小组进行系统层面产品开发阶段检查,其目的主要在于 寸本阶段各项活动及其输出内容的完整性、一致性和正确性进行再次检查确认。具体的检查内容可包 舌但不限于: a)确认系统层面漏洞分析及其结果的正确性和完整性; b) 确认网络安全技术策略、对概念阶段网络安全策略设计的具体化过程的完整性、一致性和正 确性; C) 确认网络安全技术需求、网络安全技术策略和对概念阶段网络安全需求的细化过程的完整性 致性和正确性; d) 确认系统的功能集成过程、集成测试过程和测试结果的完整性、一致性和正确性; e) 确认漏洞和渗透测试过程以及测试结果的完整性、一致性和正确性; f) 确认网络安全需求的有效性检验和验证过程的完整性、一致性和正确性; 确认网络安全状况说明及系统层面网络安全评估过程的完整性、一致性和正确性
通过网络安全评估及检查后,产品可进入到发布阶段,这一阶段的安全活动可包括: a 制定产品正式投人生产阶段的网络安全相关计划: b)制定车辆所有权变更和寿命终止时的网络安全相关计划
7.3硬件层面产品开发阶段
示了硬件层面产品开发过程及其与系统层面产品
图6硬件层面产品开发过程
硬件层面网络安全需求宜从系统层面产品开发阶段分配给硬件的网络安全需求中导出,并在硬件 层面产品开发过程中进一步细化。组织需要进行硬件的漏洞分析以帮助识别潜在的漏洞和所需要的网 络安全控制措施,这些控制措施能够覆盖所识别出来的潜在漏洞。在硬件集成及其功能测试之后,可将 洞测试和渗透测试应用于硬件设计,并进行硬件层面网络安全需求的验证和评估,在此初始的网络安 全评估会被进一步细化
.3.2硬件层面产品开发
组织宜针对硬件层面产品开发启动网络安全活动,具体可包括: a)确定所有与硬件相关的网络安全需求,包括功能安全、隐私、财务、业务、法律和法规等方面; b)定义网络安全与硬件/软件和功能安全之间的关系; c)确定硬件网络安全测试和评估的范围
7.3.3硬件层面漏洞分析
组织宜开展硬件层面漏洞分析,以便识别、量化其网络安全风险,并进行优先级排序。 示例: 针对汽车电子系统硬件漏洞的具体分析方面可包括但不限于: a)ECU硬件本身是否存在设计上的缺陷或者漏洞,比如缺乏防信号干扰、防逆向分析等机制,导致其易受到相应 的攻击而信息泄露, b 用于调试的JTAG接口:是否在最终硬件产品中移除,如果未移除,是否采取了相应的访问控制措施(比如在非 调试状态下关闭该接口)。如果该接口被非法访问,可能导致恶意程序被植入系统 用于车辆诊断的OBD接口:是否对该接口采取了相应的访问控制措施。OBD接口如果被非法利用,非授权设 备可能通过未受保护的OBD总线与汽车网关通信,读取网关内的敏感数据,甚至直接读写车内总线,发送伪造 控制信息,严重干扰汽车正常功能 d)串口、USB以及各种无线通信接口:是否采取了相应的访问控制措施。未受保护的接口访问,可能导致访问者 身份被仿冒、数据泄露、访问数据被复改等风险
组织宜开展硬件层面漏洞分析,以便识别、量化其网络安全风险,并进行优先级排序。 示例: 针对汽车电子系统硬件漏洞的具体分析方面可包括但不限于: a)ECU硬件本身是否存在设计上的缺陷或者漏洞,比如缺乏防信号干扰、防逆向分析等机制,导致其易受到相应 的攻击而信息泄露 b)用于调试的JTAG接口:是否在最终硬件产品中移除,如果未移除,是否采取了相应的访问控制措施(比如在非 调试状态下关闭该接口)。如果该接口被非法访问,可能导致恶意程序被植入系统 C 用于车辆诊断的OBD接口:是否对该接口采取了相应的访问控制措施。OBD接口如果被非法利用,非授权设 备可能通过未受保护的OBD总线与汽车网关通信,读取网关内的敏感数据,甚至直接读写车内总线,发送伪造 控制信息,严重干扰汽车正常功能 d)串口、USB以及各种无线通信接口:是否采取了相应的访问控制措施。未受保护的接口访问,可能导致访问者 身份被仿冒、数据泄露、访问数据被算改等风险
GB/T 386282020
7.3.4确定网络安全需求
组织宜结合实际情况进一步确定硬件层面的网络安全需求,可包括如下内容: a)检查并根据需要更新系统上下文; b)明确硬件是如何支持整个系统所需要实现的网络安全目标和任务的; c)定义其他方面的约束,包括组织内部或外部的威胁、法律法规要求和成本约束等
组织宜对硬件层面的网络安全进行设计,满足设计层级安全要求,具体包括系统设计方案、硬件组 牛选型、安全组件、实施(如PCB布局)和配置安全漏洞(如调试端口安全配置)等,这些漏洞并非抓立存 在,而是相互影响的,因此硬件设计漏洞宜从系统层级综合考虑分析。 示例1: 为ECU硬件设计防信号干扰、防逆向分析等机制。 示例2: 用于调试的JTAG接口,在最终硬件产品中移除该接口,或者设计相应的访问控制措施(比如在非调试状态下关闭 该接口)。 5 示例3: 针对OBD接口,采取相应的访问控制措施,防止OBD接口被非法利用。 示例4: 针对串口、USB以及各种无线通信接口,根据各种接口的不同特点,设计相应的访问控制措施,保护对这些接口的 访。
7.3.6硬件集成和测试
组织宜对集成后的硬件进行网络安全测试,可包括: a)进行漏洞测试,以验证已知或潜在的漏洞是否已被修复; b)进行渗透测试,模拟攻击者绕过网络安全控制措施并取得系统控制权的行为,以验证硬件设计 是否可以抵御此类威胁; c)测试宜由具备相应资质的、独立的测评团队来进行
7.3.7网络安全验证
组织宜对硬件层面网络安全需求的有效性进行检验和验证,以确定硬件设计是否能产生符合需求 所预期的效果。该验证活动宜由独立的网络安全测评团队进行,
7.3.8细化网络安全评估
组织宜通过独立的网络安全测评团队开展本阶段细化的网络安全评估活动,主要评估先前的未决 问题,可包括以下步骤: a)评估未决问题是否已得到解决,如果尚未解决则进人下一步。 b 根据硬件层面产品开发的情况,决定是否接受该问题。如果接受,则需要提供解释性文件,说 明可以接受此网络安全问题的原因;如果不接受,则继续标识为未决问题,以便在后续的产品 开发过程中进行处理
.9硬件层面产品开发E
组织在硬件层面产品开发阶段最后宜通过独立的技术专家小组,参照6.5进行阶段检查。
7.4软件层面产品开发阶段
了软件层面产品开发过程及其与系统层面产品开
图7软件层面产品开发过程
软件层面网络安全需求宜从系统层面产品开发阶段分配给软件的网络安全需求中导出,并在软件 层面产品开发过程中进一步细化。软件架构设计之后,进行漏洞分析以帮助识别潜在的设计漏洞和所 需要的网络安全控制措施,这些控制措施能够覆盖所识别出来的潜在漏洞。在软件单元设计和实现之 后,还可以进行软件单元设计及实现层面的漏洞分析,之后进行软件单元测试、软件集成和网络安全测 试。为了验证软件的网络安全需求,可应用漏洞测试和渗透测试等方法。最后进行网络安全评估,之前 的网络安全评估会被进一步细化
7.4.2软件层面产品开发启动
7.4.3确定网络安全需求
组织宜结合实际情况进一步确定网络安全需求,具体可包括如下内容: a)检查并根据需要更新系统上下文; b)明确软件是如何支持整个系统所需要实现的网络安全目标和任务的
C)定义与网路安全箱关的生 d)定义软件开发其他方面的约束,包括 织内部或外部的威胁、法律法规要求和成本约束等
7.4.4软件架构设计
组织宜注重从安全方面考虑软件架构设计,可包括不限于如下内容: a 保持数据的机密性、完整性和可用性的设计; b 采用分区的软件架构和隔离技术保障软件层面的安全; c) 提供错误检测和错误恢复功能; d)提供日志和审计功能
7.4.5软件层面漏洞分析
7.4.6软件单元设计和实现
组织开展软件单元设计和实现过程可参考行业内的相关规范(如MISRAC、CERTC等建立软件 编程规范),网络安全方面可包括但不限于如下内容: a 对输入信息和数据进行有效性验证; b 使用安全的字符串,禁止对已过时或废弃的API的调用,禁止使用非安全的函数; C 禁止使用没有长度限制的字符串或数组,可能导致缓冲区溢出; d 使用静态和动态的代码分析方法识别可能存在的软件漏洞
7.4.7软件实现的分析与评估
组织在软件实现的分析与评估过程中,可开展的网络安全活动包括但不限于: a 对代码和数据结构进行分析,以便查找可能对系统造成或引入的漏洞和风险; b)评估可能由开发工具引人的风险; c)评估函数、类、模块等软件单元之间数据传输的一致性; d)分析第三方软件库的脆弱性
7.4.8软件单元测试
组织开展软件单元测试过程中宜遵循以下要求: a 从软件的最下层开始,对所有软件单元开展测试,包括测试软件的输入、输出、数据流/关键路 径、边界条件、错误处理、异常处理、故障和恢复处理等; b)考虑与安全有关的测试内容; C 一旦有软件单元未通过测试,则立即采取纠正措施,并在软件单元修改后进行回归测试,以确 保修改的软件单元不会对其他单元产生不利影响(包括安全方面的影响)
7.4.9软件集成和测试
GB/T38628—2020
软件集成完成后,组织宜检验相应的网络安全需求是否得到满足,包括如下内容: a 对所有的数据接入点(例如,无线接口、以太网接口、USB接口和CAN接口等)进行模糊测试; b 进行渗透测试和漏洞测试,可由独立的内部团队或外部第三方团队实施; C 记录测试结果和剩余风险; d)制定处理剩余风险的行动计划; e)编写软件的操作指南
7.4.10网络安全验证
7.4.11细化网络安全评估
问题,可包括以下步骤: a)评估未决问题是否已得到解决,如果尚未解决则进入下一步。 b)根据软件层面产品开发的情况,决定是否接受该问题。如果接受,则需要提供解释性文件,说 明可以接受此网络安全问题的原因;如果不接受,则继续标识为未决问题,以便在后续的产品 开发过程中进行处理
7.4.12软件层面产品开发阶段检查
组织在软件层面产品开发阶段最后宜通过独立的技术专家小组,参照6.5进行阶段检查
产品生产、运行和服务阶
7.5.1.1监测能力
具有联网功能的汽车电子产品宜具备网络安全监测能力。当汽车或相关基础设施被公众使用时, 可实施现场监测,以便通过监测日常事件获得有关网络安全的威胁预警,根据预定程序向相关组织提供 事件报告,并及时发布公告和安全须知。
7.5.1.2 分析评估
全的事件源,数据来源可包括 a)从执法部门、保险机构、媒体、其他整车企业等方面收集数据; b)来自其他相关方的网络安全事件信息汇总和共享的数据
针对整车、相关基础设施、应用服务可能或已出现的网络安全事件,组织宜制定事件响应的相关 目的是限制事件的影响范围,降低事件的网络安全威胁程度,最小化损失和损害,并避免类似安 的再次发生。 事件响应具体可包括以下活动
GB/T 386282020
a 设置专门的机构负责检查和分析事件数据、管理事件(确定各种事件的优先级、向相关人员发 送事件预警、及时报告问题)和处理事件; b 通过书面文档定义事件的优先级; C 创建事件响应策略和计划,内容可包括事件处理、报告的流程,确认威胁的真实性的方法,分析 导致事件的原因并记录证据,确定事件对于组织运营的影响,正确处理敏感信息的方法,记录 事件响应所采取的行动,与相关方进行沟通、交流的渠道和内容,总结经验教训,以及将其应用 到后续产品开发和设计中的考虑; d)一旦组织制定的事件响应计划获得管理层批准,组织应确保其得以实施,至少每年评审一次 以保障它的成熟度和实现事件处理目标的能力; 注:可通过事件响应计划演练的方式验证其可行性, e)事件响应团队宜综合运用标准化操作流程、专业技术流程、检查清单(参见附录C)和表格以尽 量避免响应中可能出现的错误。 示例: 针对汽车电子系统的网络安全漏洞事件,可采用远程软件升级的方式进行漏洞修复,保证升级过程本身的安全性 升级前对软件进行严格的安全测试验证和评估
7.5.3事件跟踪管理
针对已出现的网络安全威胁与安全事件,组织宜对事件的发现、分析及处理的全过程进行记录与距 综,其目的主要是促进管理流程的持续优化,以便尽可能地降低网络安全事件的威胁程度,最小化其可 能造成的损失或损害,进一步形成典型事件案例,避免类似安全事件的再次发生。 事件跟踪管理可包括以下内容 a)对已知事件进行定期排查、处理与记录; b 对未知事件开展研究,并分类制定相应的标准化处理流程; C 对事件记录进行归档,并规定其有效的保存时间
8汽车电子系统网络安全支撑保障
配置管理工作可包括: a)确保产品开发过程中的工作环境受控,保证在产品的后续开发过程中,可重现产品开发的工作 环境; b) 使用配置管理系统或工具,保证产品的各个版本之间的差异和关系是可追溯的; c)审计并汇报系统的配置基线; d)在系统配置管理计划确定后,确保其生命周期各阶段的初始条件都得到满足
需求管理的目标是:确保需求符合系统特征和属性并被正确定义,并保证需求在生命周期各阶段的 致性。需求管理的具体内容可包括: a 维护各阶段的需求,包括更新系统用例,确保每项需求自身没有矛盾,每项需求与其他需求之 间没有冲突,确保没有重复的需求; b 创建测试过程,以确认需求得到满足; C 维护网络安全目标到其实现的可追溯性,以便对需求进行有效性检验和验证; d)确保需求属性和内容的清晰性(没有歧义、容易理解)、一致性、完整性、可实现性和可测试性。 18
需求管理的目标是:确保需求符合系统特征和属性并被正确定义,并保证需求在生命周期各阶段的 致性。需求管理的具体内容可包括: a 维护各阶段的需求,包括更新系统用例,确保每项需求自身没有矛盾,每项需求与其他需求之 间没有冲突矿山标准规范范本,确保没有重复的需求; b) 创建测试过程,以确认需求得到满足; C 维护网络安全目标到其实现的可追溯性,以便对需求进行有效性检验和验证; d)确保需求属性和内容的清晰性(没有歧义、容易理解)、一致性、完整性、可实现性和可测试性。
变更管理的目标是:分析和控制系统或产品在生命周期过程中的变更情况,系统性地开展变更的计 划、变更的控制与监测、以及变更的实施等活动,并形成文档,执行变更的决策和责任分配。变更管理的 具体内容可包括: a)保存并维护系统或产品的变更日志,对于每一个修订版本,记录修订日期、修订原因(如果有的 话,还需附加变更请求的编号)、修改的细节描述等; b) 设置变更评审委员会,负责决定是否批准变更请求,并确保变更文档(包含变更请求者姓名、日 期、变更原因和变更细节)内容的准确性; C 在系统或产品的修订版发布之前,宜通过变更评审委员会的评审,包括对变更的影响进行分 析,制定变更实施计划(包括发布变更内容的方式),确定所有的参与者,分配各参与者的职责: 口 变更完成后,宜对受到变更影响的产品进行测试,以便确认变更所针对的问题已得到解决,以 及确认变更没有引入新的问题
文档管理的目标是:为系统的整个: 过程。组织需要制定文档的编制计划,确保文档在相应阶段的活动开展之前是可用的。下列类型的文 档可被纳人到文档管理策略中: a) 网络安全计划; b) 系统功能定义; c) 系统上下文; d) 威胁分析与风险评估文件; e 网络安全策略; f) 网络安全需求; 网络安全评估和网络安全状况说明
8.5.1供应商评估和选择的依据
组织在评估和选择供应商时,宜综合考虑供应商的产品开发能力及其在网络安全领域的专业水平 包括但不限于如下方面: a)供应商是否能提供证据,表明其具备开发网络安全相关产品的能力: b)供应商是否能提供证据,表明其具备良好定义的网络安全产品开发过程; c)供应商是否能提供证据,表明其具备相应的质量管理系统; d)供应商是否能提供证据,表 有能力为产品提供整个生命周期的网络安全支持
8.5.2开发交付协议
组织宜与供应商签订《开发交付协议》,以明确供应商对特定系统或产品项目的责任范围,并保证供 应商实现其所承诺的责任。《开发交付协议》可包括但不限于如下内容: a)确定供应商的网络安全负责人,该负责人宜监督所提供产品的开发过程,并成为组织的主要联 系人; b)明确供应商需要遵守的网络安全法律法规条款; SAG c)明确供应商可以接触的工作产品范围
电动汽车标准规范范本GB/T 386282020
....- 汽车标准 电子标准
- 相关专题: