TTAF 061-2020 车载T-BOX信息安全技术要求和测试方法

ICS 33.050 M 30 电信终端产业协会发布车载TBOX信息安全技术要求和测试方法 Information Security Technical Requirement and Test Method on Telematics BOX 2020- 08-03发布 2020- 08-03实施团体标准 T/TAF 061-2020 T/TAF 061 -2020 I 目次前言 ................................ ................................ ............ II 引言 ................................ ................................ ........... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语、定义和缩略语 ................................ ................................ . 1 3.1 术语和定义 ................................ ................................ ..... 1 3.2 缩略语 ................................ ................................ ......... 1 4 总体说明 ................................ ................................ ........... 2 5 车载TBOX信息安全技术要求 ................................ .......................... 2 5.1 硬件安全 ................................ ................................ ....... 2 5.2 操作系统安全 ................................ ................................ ... 2 5.3 软件安全 ................................ ................................ ....... 3 5.4 数据安全 ................................ ................................ ....... 3 5.5 通信安全 ................................ ................................ ....... 3 6 车载TBOX信息安全测试方法 ................................ .......................... 3 6.1 硬件安全 ................................ ................................ ....... 4 6.2 操作系统安全 ................................ ................................ ... 5 6.3 软件安全 ................................ ................................ ....... 7 6.4 数据安全 ................................ ................................ ....... 8 6.5 通信安全 ................................ ................................ ...... 11 附录A （资料性附录）安全威胁和目标 ................................ ................. 12 参考文献 ................................ ................................ ............ 14 T/TAF 061 -2020 II 前言本标准按照 GB/T 1.1 -2009给出的规则起草。本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。本标准由电信终端产业协会提出并归口。本标准起草单位：中国信息通信研究院，北京豆荚科技有限公司，北京百度网讯科技有限公司，高通无线通信技术 (中国)有限公司，北京三星通信技术研究有限公司，北京奇虎科技有限公司。本标准主要起草人：傅山，国炜，刘富洋，李显杰，王海棠，王江胜，杜志敏，吴月升，窦丽娟，吴春雨，宋戈，詹鹏翼。 T/TAF 061 -2020 III 引言 TBOX作为车辆与云端平台实现互通的关键设备，不仅能把采集到的车辆数据（如新能源汽车的驱动电机数据、整车数据、电池数据、状态数据等等）发送给云平台，也能把云平台发送过来的控制指令转发给车辆。 TBOX作为汽车联网的关键部分，安全自然就成了最受关注的部分，同时TBOX对于车联网的普及，势必占据关键性的位置，因此 TBOX能否真正发挥其价值，制定其信息安全标准尤显重要。 T/TAF 061 -2020 1 车载 TBOX信息安全技术要求 1 范围本标准规定了车载 TBOX的信息安全技术要求，包括硬件安全、操作系统安全、软件安全、数据安全和通信安全。本标准适用于TBOX的研制、生产、测试、评估与认证。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 -2010 信息安全技术术语 GB/T 35273 -2017 信息安全技术个人信息安全规范 GB/T 18336 -2015 信息技术安全技术信息技术安全性评估准则 3 术语、定义和缩略语 3.1 术语和定义 GB/T 25069 -2010、GB/T 35273 -2017和GB/T 18336 -2015界定的术语和定义适用于本文件。 3.1.1 车载终端 TBOX Telematics BOX 具备数据输入输出、数据存储、计算处理以及通信等功能，可采集车内相关 ECU数据，可发送 ECU 控制指令，还可集成定位、热点等多种功能的车联网控制单元。 3.1.2 移动互联 mobile communication 采用无线通信技术将移动终端接入有线网络的过程。 3.1.3 CAN总线 CAN bus CAN总线是ISO国际标准化的串行通信协议。 3.2 缩略语 CAN 控制器局域网络 Controller Area Network CNNVD 中国国家信息安全漏洞库 China National Vulnerability Database of Information Security API 应用程序编程接口 Application Programming Interface CNNVD 中国国家信息安全漏洞库 CNVD 国家信息安全漏洞共享平台 China Nati onal Vulnerability Database ECU 电子控制单元 Electronic Control Unit T/TAF 061 -2020 2 4 总体说明车载TBOX，指安装在汽车上用于采集车身信息并进行控制跟踪的控制单元。 TBOX具备硬件、操作系统和软件等，可能的软件有定位、导航、娱乐等。车载TBOX与主机通过 CAN总线通信，实现对车辆状态信息、控制指令、远程诊断和按键状态信息等的传递；以数据链路的方式通过后台 TSP系统与PC端网页或移动端 App实现双向通信。当用户通过 PC端或移动端发送控制指令后，后台会发出指令到车载 TBOX，车辆在获取到控制命令后，通过 CAN总线发送控制报文并实现对车辆的控制。汽车车载网关TBOX MCU通信模块TSP平台 CAN CANTBOX移动端 PC端TCP/IP 图1 TBOX结构与逻辑示意图 5 车载TBOX信息安全技术要求 5.1 硬件安全硬件安全应满足如下要求： a) 具备防拆保护措施，