软件系统不应留有后门

6.1.3功能最小化原则

基坑标准规范范本6.1.4最小化授权原则

产品的访问和信息处理活动应只授予必要的权限

6.1.5权限分离原则

6.1.6默认设置原则

产品应完成默认的信息安全设置；该设置对用户的信息安全设置诉求应做到最小化和最简单化

6.2系统性防御策略要求

产品可采用下列系统性防御策略的一种： a）纵深防御； b）主动防御； c）韧性防御。 注：系统性防御策略，是基于构建系统的整体信息 施相互孤立而造成整体防护能力不足的问题

产品可采用下列系统性防御策略的一种： a 纵深防御； b）主动防御； C）韧性防御。 注：系统性防御策略，是基于构建系统的整体信息安全防护而采取的整体防御策略，以避免因各个信息安全防护措 施相互孤立而造成整体防护能力不足的问题，

6.2.2纵深防御要求

纵深防御符合以下要求： a）根据保护对象所处的环境条件和信息安全管理的要求，应由外到里对保护对象实施层层设 的防护措施； b）各层次的安全措施应相互依托，形成系统化的防护机制，从而提高系统的整体抗攻击能力

6.2.3主动防御要求

GB/T40861202

主动防御应采用包括但不限于情报分 、信息安全策略动态调整和各信息安全 间协同等措施，以降低信息系统在遭受网络攻击时所面临的风险

6.2.4韧性防御要求

信息安全设计应综合考虑可靠性、功能安全等多个方面的工程设计，以提高系统的生存能力和！ 力

6.3.1车内系统的保护要求

6.3.1.1软件系统的保护要求

[6.3.1.1.1直实性

软件系统应符合以下真实性要求： a）当升级、加载和安装时，验证提供方的身份真实性和来源的合法性 b）验证登录用户身份的真实性和合法性。

6.3.1.1.2 保密性

应支持防被逆向分析，宜采用代码混淆或加壳等

6.3.1.1.3完整性

牛系统在启动、升级、加载和安装时，应验证其完整

6.3.1.1.4 可用性

[6.3.1.1.5 访间可控性

软件系统应符合以下访问可控性要求： a）具备访问权限控制的管理机制； b）验证对各软件系统资源和数据资产的访问、操作和使用的权限； ）验证软件系统的升级、加载和安装的权限

6.3.1.1.6抗抵赖

软件系统应具备在请求的情况下为数据原发者或接收者提供数据原发证据和数据接收证 能。 示例：采用数字签名技术等

6.3.1.1.7可核查性

软件系统应符合以下可核查性要求： a）记录重要信息安全事件，包括但不限于用户活动和操作指令；记录内容宜包含事件的时间 户、事件类型、事件处置结果等信息：

GB/T40861—2021

b）保护审计日志不被非法算改、删除和伪造。

6.3.1.1.8可预防性

软件系统应具备对自身受到信息安全攻击的感知能力，当检测到信息安全攻击时，宜进行日志记 录、信息安全告警或攻击阻止的响应。

6.3.1.2电子电气硬件保护要求

6.3.1.2.1完整性

对ECU的封装（外壳、封条等）应采用完整性保护。 示例：使用揭开时能留迹象的封条，

6.3.1.2.2访问可控性

电子电气硬件应移除或者禁止不必要的调试接口。 主：为了更好理解保护对象在不同维度的技术要求，在A.1.2中列举了车内硬件所面临的典型安全威胁

6.3.1.3车内数据保护要求

6.3.1.3.1保密性

安全重要参数应符合如下保密性要求： a）不以明文方式传输； b）存储在安全的环境中。 示例：存储在TPM、TCM、HSM或TEE等安全环境中

6.3.1.3.2完整性

安全重要参数应支持完整性校验

6.3.1.3.3 可用性

6.3.1.4车内通信的保护要求

6.3.1.4.1真实性

验证通信双方身份的真

6.3.1.4.2 保密性

车内通信应进行加密保护机制。

6.3.1.4.3完整性

车内通信应采用完整性保护机制

车内通信应采用完整性保护机制

6.3.1.4.4可用性

车内通信应具备通信流量控制能力。 示例：当受到恶意软件感染或拒绝服务攻击而造成车内通信流量异常时，仍有能力提供可接受的

车内通信应具备通信流量控制能力。 示例：当受到恶意软件感染或拒绝服务攻击而造成车内通信流量异常时，仍有能力提供可接受的通信

6.3.1.4.5访问可控性

GB/T40861202

车内通信应符合如下访问可控性要求： a）将车内网络划分为不同的信息安全区域，每个信息安全区域之间宜进行网络隔离； b）信息安全区域间采用边界访问控制机制对来访的报文进行控制。 示例：采用报文过滤机制、报文过载控制机制和用户访问权限控制机制等，

6.3.1.4.6可核查性

车内通信应具备日志记录的能力。 示例：记录流量过载、高频率的收到异常报文等现象

6.3.1.4.7可预防性

车内通信应对异常报文具有感知能力；当感知到异常报文时，宜具有告警或其他安全响应的能力 示例：接收到高频率的重放报文或被复改过的报文等异常现象

6.3.2车外通信的保护要求

6.3.2.1车外远距离通信的保护要求

6.3.2.1.1真实性

车外远距离通信应符合如下真实性要求： a）开启3G、4G、5G通信网络层的双向认证功能； b）蜂窝移动通信网络层之上支持独立的双向认证机制

6.3,2. 1.2 保密性

车外远距离通信应符合如下保密性要求： a）具备3G、4G、5G通信网络层的加密功能； b）蜂窝移动通信网络层之上支持独立的加密机制，宜采用TLS1.2版本及以上的安全协议

6.3.2.1.3完整性

车外远距离通信应符合如下完整性要求： a）具备3G、4G、5G通信网络层的完整性保护功能； b）蜂窝移动通信网络层之上支持独立的完整性机制，宜采用TLS1.2版本及以上安全协议。

6.3.2.1.4可用性

与外部通信的部件应支持防DoS/DDoS攻

6.3.2.1.5 访问可控性

车外远距离通信应具备对通信报文进行访同控制的能力 示例：白名单访问控制、报文过滤、防通信流量过载机制等

6.3.2.1.6抗抵赖

车外远距离通信应符合如下抗抵赖要求： 确保蜂窝移动通信网络层通信ID（如：国际移动用户识别码IMSI、集成电路卡识别码IC

GB/T40861—2021

等）的唯一性； b）蜂窝移动通信网络层之上支持独立的抗抵赖机制（如：使用证书机制等）

6.3.2.1.7可预防性

车外远距离通信应具备对通信报文的安全监控能力和攻击行为的感知能力；当受到信息安全攻击 时，宜进行报文清洗、流量控制或阻止攻击行为的响应

6.3.2.2车外近距离通信保护要求

6.3.2.2.1直真实性

车外近距离通信应开启身份认证功能

6.3.2.2.2保密性

车外近距离通信应开启加密功能

6.3.2.2.3完整性

6.3.2.2.4可用性

与外部通信的部件应支持防DoS/DDoS攻击。

6.3.2.2.5可核查性

车外近距离通信以具其备求近距离通信信息安全相天事件的能力：汇求的内容值 和通信时间

A.1车内系统信息安全威肠

A.1.1软件系统的信息安全威胁示例

A.1列举了软件系统可能面临的信息安全威胁

表A.1软件系统的信息安全威胁

A.1.2硬件的信息安全威胁示例

2列举了电子电气硬件可能面临的信息安全威胁！

GB/T40861—2021

表A.2电子电气硬件的信息安全威助

A.1.3车内数据的信息安全威胁示例

表A.3车内数据的信息安全威胁

A.1.4车内通信的信息安全威胁示例

表A.4列举了车内通信可能面临的信息安全威胁。

表A.4车内通信的信息安全威助

水库标准规范范本车外通信的信息安全威服

A.2.1车外远距离通信的信息安全威胁示例

表A.5列举了车外远距离通信可能面临的信息安全威胁

表A.5车外远距离通信的信息安全威肋

6列举了车外近距离通信可能面临的信息安全威

住宅标准规范范本GB/T40861—2021

表A.6车外近距离通信的信息安全威助

GB/T40861202