車輛信息安全是指針對車輛及其生態(tài)系統(tǒng)中功能、接口等信息資產(chǎn)的安全威脅，所采取的資產(chǎn)保護(hù)措施，包括技術(shù)保護(hù)、流程管理等手段，確保信息資產(chǎn)免遭破壞、更改、泄露，或者不因信息安全攻擊而影響車輛及其生態(tài)系統(tǒng)的功能安全和業(yè)務(wù)的正常使用。

從電動汽車的保護(hù)對象劃分，可以將需要保護(hù)的對象分為車內(nèi)的電子電氣系統(tǒng)及車輛對外的通信通道。其中車內(nèi)電子電氣系統(tǒng)可以分為軟件系統(tǒng)、車內(nèi)通信系統(tǒng)、電子電氣硬件及車內(nèi)數(shù)據(jù)。

一、車輛軟件系統(tǒng)的信息安全

車內(nèi)軟件系統(tǒng)應(yīng)重點(diǎn)保護(hù)軟件的真實(shí)性、保密性、完整性以及可用性。

軟件、固件和配置文件的升級、加載和安裝時，從整車層面應(yīng)確保系統(tǒng)能驗(yàn)證提供方的身份真實(shí)性和來源的合法性。軟件系統(tǒng)應(yīng)具備對所有的登錄用戶進(jìn)行認(rèn)證和鑒權(quán)的能力，確保所有登錄用戶身份的真實(shí)性和合法性。

重要軟件系統(tǒng)應(yīng)防止被逆向分析，宜采用代碼混淆或加殼等措施。

汽車系統(tǒng)軟件、固件和配置文件的升級、加載和安裝時，建議使用相應(yīng)手段驗(yàn)證其軟件的完整性。汽車系統(tǒng)軟件啟動和運(yùn)行時，建議使用相應(yīng)手段驗(yàn)證其軟件的完整性。

對于有ASIL C, D 級（GB/T 34590-2017）功能安全要求的車內(nèi)系統(tǒng)軟件，宜具備抗拒絕服務(wù)攻擊能力，避免授權(quán)用戶在系統(tǒng)受到DoS/DDoS 攻擊時，無法使用正常的服務(wù)和功能的問題。

應(yīng)采取相應(yīng)措施確保對各軟件資源和數(shù)據(jù)資產(chǎn)的訪問、操作和使用是被正確授權(quán)的，這些信息處理行為被系統(tǒng)的鑒權(quán)機(jī)制所管控。對于自主訪問權(quán)限內(nèi)的軟件、固件的升級或者安裝，應(yīng)得到授權(quán)和確認(rèn)。軟件系統(tǒng)宜具備訪問權(quán)限控制的管理機(jī)制。

建議對軟件系統(tǒng)的審計日志進(jìn)行保護(hù)，確保其無法被非法篡改、刪除和偽造；針對具有多用戶的軟件系統(tǒng)，建議提供覆蓋到每個用戶的安全審計功能，對涉及到用戶活動和操作指令等重要安全事件進(jìn)行記錄；審計記錄的內(nèi)容宜包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。

車內(nèi)軟件系統(tǒng)宜對自身受到攻擊的安全事件具備感知能力，并可根據(jù)系統(tǒng)設(shè)定的安全策略，進(jìn)行日志記錄、安全告警或者攻擊阻止等方式的安全響應(yīng)動作。

二、車輛車內(nèi)通信系統(tǒng)的信息安全

車內(nèi)通信系統(tǒng)包括但不限于CAN、CANFD、車內(nèi)以太網(wǎng)、LIN 等多種通信方式，根據(jù)不同的通信方式的特點(diǎn)，建議采取相對應(yīng)保護(hù)措施。

車內(nèi)部件之間通信時，建議使用相應(yīng)機(jī)制驗(yàn)證通信雙方身份的真實(shí)性。

建議采用加密機(jī)制對車內(nèi)通信數(shù)據(jù)進(jìn)行保護(hù)。

建議對車內(nèi)通信數(shù)據(jù)進(jìn)行完整性保護(hù)，例如AUTOSAR SECOC 安全通信機(jī)制。

車內(nèi)通信系統(tǒng)宜具備通信流量控制能力，確保其在受到惡意軟件感染或者服務(wù)拒絕攻擊而造成車內(nèi)通信流量異常時，仍然有能力提供可接受的通信能力。

可將車內(nèi)網(wǎng)絡(luò)劃分為不同的安全區(qū)域，每個安全區(qū)域之間宜進(jìn)行網(wǎng)絡(luò)隔離。安全區(qū)域間宜采用邊界訪問控制機(jī)制對來訪的報文進(jìn)行控制，如可采用報文過濾機(jī)制、報文過載控制機(jī)制和用戶訪問權(quán)限控制機(jī)制等。

建議對車內(nèi)通信系統(tǒng)日志進(jìn)行保護(hù)，確保其無法被非法篡改、刪除和偽造。

車內(nèi)通信系統(tǒng)日志，宜具備記錄通信異常事件的能力，例如流量過載、高頻率的收到異常報文等現(xiàn)象。

車內(nèi)通信系統(tǒng)宜對異常報文具有感知能力，例如：接收到高頻率的重放報文或者被篡改過的報文等異?，F(xiàn)象，并根據(jù)既定的安全策略進(jìn)行告警、日志記錄或者其他安全響應(yīng)動作。

三、車輛電子電氣硬件的信息安全

車輛電子電氣硬件主要是通過硬件設(shè)計布局、安全芯片（模組）以及硬件接口等方面進(jìn)行安全保護(hù)車內(nèi)使用到的密鑰等關(guān)鍵數(shù)據(jù)宜存儲在特定的安全環(huán)境中，如TPM 芯片、TEE 或者帶有HSM 的主控芯片等，確保該根密鑰不被外界直接明文獲取。

單板上的關(guān)鍵信號（如可能泄露敏感數(shù)據(jù)的數(shù)據(jù)總線、串行總線等）宜在PCB 內(nèi)層走線，且去掉不必要的測試點(diǎn)。印制電路板上的調(diào)測功能標(biāo)識的絲印設(shè)計（如UART、JTAG、等），如果不是業(yè)務(wù)功能要求或生產(chǎn)必須要求，宜予以去除，以增加攻擊者識別硬件的難度。

對關(guān)鍵ECU 的封裝（外殼、封條等）宜采取完整性的保護(hù)措施，例如使用揭開時能留跡象的封條。

出廠前產(chǎn)品宜移除或者禁止隱蔽接口或未明示功能組件。對于量產(chǎn)部件中仍需保留的硬件調(diào)試接口，建議采取訪問控制措施，對接入操作進(jìn)行身份認(rèn)證和鑒權(quán)。

四、車輛內(nèi)部數(shù)據(jù)的信息安全

車輛內(nèi)部數(shù)據(jù)中，應(yīng)考慮對用戶個人數(shù)據(jù)、關(guān)鍵安全參數(shù)進(jìn)行保護(hù)。

用戶個人數(shù)據(jù)可參見GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》。

建議采用加密或其他有效措施，來確保車輛系統(tǒng)中存儲的關(guān)鍵安全參數(shù)的保密性。與車外系統(tǒng)有通信連接的ECU，應(yīng)確保車輛軟件日志中不會以明文的方式記錄關(guān)鍵安全參數(shù)。建議采用加密或其他有效措施，來確保車輛系統(tǒng)中關(guān)鍵安全參數(shù)的傳輸保密性。

在車內(nèi)部件間存儲和傳輸關(guān)鍵安全參數(shù)時，建議對其進(jìn)行完整性保護(hù)，并支持完整性校驗(yàn)。

對關(guān)鍵安全參數(shù)，系統(tǒng)宜采取防丟失、防被誤刪除等保護(hù)措施，如采用備份、專用安全空間存儲等措施。對所存儲的關(guān)鍵安全參數(shù)，應(yīng)采用訪問控制措施，防止其被非授權(quán)訪問和操作。

五、車輛對外通信系統(tǒng)的信息安全

車輛對外通信系統(tǒng)基于通信方式主要可以劃分為遠(yuǎn)距離通信和近場通信。

針對遠(yuǎn)距離通信，車與外部通信單元應(yīng)支持3G、4G、5G 等網(wǎng)絡(luò)層通信通道的加密功能。業(yè)務(wù)層的通信通道，宜支持獨(dú)立于網(wǎng)絡(luò)層通信通道的加密機(jī)制，如采用TLS1.2 版本及以上或者DTLS等安全協(xié)議進(jìn)行加密。

車與外部通信單元應(yīng)支持3G、4G、5G 等網(wǎng)絡(luò)層的通信通道的完整性保護(hù)功能。業(yè)務(wù)層的通信通道，宜支持獨(dú)立于網(wǎng)絡(luò)層通信通道的完整性機(jī)制，如采用TLS1.2 版本及以上或者DTLS 等安全協(xié)議進(jìn)行完整性保護(hù)。

車與外部通信單元應(yīng)支持3G、4G、5G 等網(wǎng)絡(luò)層的通信通道的完整性保護(hù)功能。業(yè)務(wù)層的通信通道，宜支持獨(dú)立于網(wǎng)絡(luò)層通信通道的完整性機(jī)制，如采用TLS 或者DTLS 等安全協(xié)議進(jìn)行完整性保護(hù)。

車與外部通信單元應(yīng)支持防DoS/DDoS 攻擊能力，包括且不限于報文泛洪攻擊、報文重放攻擊、畸形報文攻擊等。無線通信接收系統(tǒng)，包括衛(wèi)星通信導(dǎo)航、3G/4G/5G 等，應(yīng)具備抗無線干擾能力。

車與外部通信單元宜具備對通信報文進(jìn)行訪問控制的能力，例如白名單訪問控制、報文過濾、防通信流量過載機(jī)制等。

應(yīng)確保車輛的網(wǎng)絡(luò)層通信ID（如：國際移動用戶識別碼IMSI）的全球唯一性

對于來自車外的通信報文，宜具備安全監(jiān)控能力和攻擊行為的感知能力，并能夠進(jìn)行報文清洗、流量控制或者攻擊行為阻止等方式的安全響應(yīng)。

針對近場通信，近距離通信通道宜開啟身份認(rèn)證功能、加密功能、完整性保護(hù)功能，與外部通信的部件應(yīng)支持防DoS/DDoS 攻擊；近距離通信系統(tǒng)宜具備記錄近距離通信安全相關(guān)的事件，包括記錄來訪用戶ID 和通信時間等事件。

六、OTA 數(shù)據(jù)安全加密與防篡改

車輛的OTA 主要分為兩類，一種是FOTA（Firmware-over-the-air，固件在線升級），指給車載系統(tǒng)或內(nèi)部控制器進(jìn)行固件升級；另一種是SOTA（Software-over-the-air，軟件在線升級），指對固件以外的軟件（如地圖）升級。無論哪種升級，都面臨車輛端與服務(wù)器間的升級包傳輸風(fēng)險及升級包篡改風(fēng)險。

在進(jìn)行OTA 升級過程中，需從升級包發(fā)布、升級包傳輸、終端升級三個階段進(jìn)行防御。

OTA 服務(wù)器端可增加部署安全服務(wù)器，提供安全基礎(chǔ)設(shè)施、如密鑰生成與管理、數(shù)字加密及數(shù)字簽名等，以抵御針對升級包的逆向分析攻擊、篡改攻擊等?；诎踩?wù)器實(shí)現(xiàn)升級包加固功能，最終由OTA 服務(wù)器發(fā)布加固后的升級包。安全服務(wù)器的基礎(chǔ)功能可使用軟件方案實(shí)現(xiàn)，也可配合部署硬件加密機(jī)實(shí)現(xiàn)。

在OTA 服務(wù)端與車輛端構(gòu)建安全傳輸通道，實(shí)現(xiàn)雙向身份認(rèn)證，及傳輸加密等功能，保證升級包傳輸過程的安全。終端系統(tǒng)在升級流程前增加升級包校驗(yàn)機(jī)制，對升級包進(jìn)行解密和合法性驗(yàn)證，驗(yàn)證通過方可進(jìn)入系統(tǒng)升級流程。