标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

GB／T 40856-2021 车载信息交互系统信息安全技术要求及试验方法.pdf

5.2.2内部通信安全

当车载信息交互系统通过CAN、车载以太 车内其地控制器节点进行数据交互 6.2.2进行测试，应使用安全机制确保车辆控制指令等所传输重要数据的完整性和可用性

5.2.3通信接口安全

SY/T 6946-2013 石油天然气工业 不锈钢内衬玻璃钢复合管5.2.3.1总体要求

GB/T 408562021

车载信息交互系统的通信接口应满定以下要求 a）按照6.2.3.1a)进行测试，不应存在任何后门或隐蔽接口； b）按照6.2.3.1b)进行测试，访问权限等需授权内容不应超出正常业务范围

5.2.3.2车外通信接口安全

5.2.3.2.1按照6.2.3.2a)进行测试，车载信息交互系统应支持路由隔离，隔离执行控制车辆指令、收集 个人敏感信息等功能的核心业务平台的通信，隔离对内通信中非核心业务平台的内部通信以及对外通 信中非核心业务平台的外网通信等， 注：非核心业务平台指除核心业务平台之外的业务平台 5.2.3.2.2按照6.2.3.2b)进行测试，车载信息交互系统与能执行控制车辆指令、收集个人敏感信息等 功能的核心业务平台间通信宜采用专用网络或者虚拟专用网络通信，与公网隔离

23.3车内通信接口安全

车载信息交互系统应满足以下要求： a）按照6.2.3.3a)进行测试，对合法指令设置白名单； b）按照6.2.3.3b)进行测试.对总线控制指令来源进行校验

5.3操作系统安全要求

5.3.1操作系统安全配置

车载信息交互系统在其操作系统安全配置方面，应满足以下要求： a）按照6.3.1a)进行测试，禁止最高权限用户直接登录，且限制普通用户提权操作； b 按照6.3.1b)进行测试，删除或禁用无用账号，并使用至少包括阿拉伯数字、大小写拉丁字母 长度不少于8位的强复杂度口令； C 按照6.3.1c)进行测试，具备访问控制机制控制用户、进程等主体对文件、数据库等客体进行 访问； d）按照6.3.1d)进行测试，禁止不必要的服务，例如：FTP服务等，按照6.3.1e)进行测试，禁止非 授权的远程接入服务

5.3.2安全调用控制能力

5.3.2.1通信类功能受控机制

5.3.2.1.2三方通话

GB/T 408562021

5.3.2.1.4发送彩信

具有发送彩信功能的车载信息交互系统，按照6.3.2.1.4进行测试，应在用户明示同意后，调用发送 彩信操作才能执行。

5.3.2.1.5发送邮件

具有发送邮件功能的车载信息交互系统，按照6.3.2.1.5进行测试，应在用户明示同意后，调用发送 邮件操作才能执行

5.3.2.1.6移动通信网络连接

5.3.2.1.7WLAN网络连接

具有交互界面的车载信息交互系统，在WLAN网络连接时，应满足以下要求： a）按照6.3.2.1.7a)进行测试，应具备允许开启或关闭WLAN网络连接功能； D 按照6.3.2.1.7b)进行测试，向用户进行提示，且在用户明示同意后，调用WLAN网络连接功 能的操作才能执行； 当WLAN网络处于已连接状态时，按照6.3.2.1.7c)进行测试，应在交互界面上给用户相应的 状态提示； d 当正在传送数据时，按照6.3.2.1.7d)进行测试，应在交互界面上给用户相应的状态提示： e）上述 c)和d)中,按照 6.3.2.1.7 e)进行测试,状态提示的方式应不同

a 按照6.3.2.1.7a)进行测试，应具备允许开启或关闭WLAN网络连接功能： D 按照6.3.2.1.7b)进行测试，向用户进行提示，且在用户明示同意后，调用WLAN网络连接功 能的操作才能执行； C 当WLAN网络处于已连接状态时，按照6.3.2.1.7c)进行测试，应在交互界面上给用户相应的 状态提示； d 当正在传送数据时，按照6.3.2.1.7d)进行测试，应在交互界面上给用户相应的状态提示； 上述c)和d)中，按照6.3.2.1.7e)进行测试，状态提示的方式应不同

2.2本地敏感功能受控

5.3.2.2.1定位功能

具有交互界面的车载信息交互系统，在调用定位功能时，应满足如下要求： a）按照6.3.2.2.1a)进行测试，在用户明示同意后，才能执行定位功能； b） 按照6.3.2.2.1b)进行测试，向用户提供后台定位控制功能以配置应用软件是否可调用定 功能；

GB/T40856202

c）上述a)和b）中，按照6.3.2.2. d）当调用定位功能时，按照6.3.2.2.1d)进行测试，宜在交互界面上给用户相应的状态提示

5.3.2.2.2通话录音功能

具有交互界面的车载信息交互系统，在调用通话录音功能时，按照6.3.2.2.2进行测试，应在用户明 示同意后，才能执行通话录音功能

5.3.2.2.3人机交互功能

具有交互界面的车载信息交互系统，在调用人机交互功能时，按照6.3.2.2.3进行测试，应在用户明 下同意后，才能执行人机交互功能 注：此处人机交互功能是指涉及指纹、语音、图像、视频等个人生物特征信息的交互功能

5.3.2.2.4对用户数据的操作

5.3.3操作系统安全启动

车载信息交互系统应满足以下要求： a）按照6.3.3a)进行测试，操作系统的启动应始于一个无法被修改的信任根； b 按照6.3.3b)进行测试，应在可信存储区域验证操作系统签名后，才能加载车载端操作系统， 防止加载被篡改的操作系统； c）在执行其他的安全启动代码前按照6.3.3c)进行测试，应验证代码完整性

5.3.4操作系统更新

车载信息交互系统应满足以下要求： a）按照6.3.4a)进行测试，应具备系统镜像的防回退校验功能； b）当更新镜像安装失败时，按照6.3.4b)进行测试，应恢复到更新前的版本或者进人安全状态： 注：安全状态指不通过车载信息交互系统对整车引人安全威胁的状态。 c）按照6.3.4c）、d)进行测试，应具有验证更新镜像完整性和来源可靠的安全机制

5.3.5操作系统隔离

5.3.6操作系统安全管理

GB/T 408562021

务器； 按照6.3.6e)进行测试，应对日志文件进行安全存储； e 按照6.3.6f)进行测试，应采取访问控制机制，对日志读取写人的权限进行管理； 按照6.3.6g)进行测试，应对开发者调试接口进行管控，禁止非授权访问； g） 按照6.3.6h)进行测试，不应存在由权威漏洞平台6个月前公布且未经处置的高危及以上的 安全漏洞； 注：处置包括消除漏洞、制定减缓措施等方式。 h）按照6.3.6i)进行测试，宜具备识别、阻断应用软件以高敏感权限，例如：最高权限用户权限、涉 及非业务内控车行为的权限等运行的能力。

5.4应用软件安全要求

5.4.1应用软件基础安全

车载信息交互系统上的应用软件基础安全应满足以下要求： 按照6.4.1a)进行测试，从安全合规的来源下载和安装软件； b）按照6.4.1b)进行测试，不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安 全漏洞； 注：处置包括消除漏洞、制定减缓措施等方式。 c）按照6.4.1c)进行测试，不存在非授权收集或泄露个人敏感信息、非授权数据外传等恶意行为； d 按照6.4.1d)进行测试，不以明文形式存储个人敏感信息； e 按照6.4.1e)进行测试，具备会话安全保护机制，例如：使用随机生成会话ID等机制； f 按照6.4.1f)进行测试，使用至少包括阿拉伯数字、大小写拉丁字母，长度不少于8位的强复杂 度口令或向用户提示风险； g） 按照6.4.1g)进行测试，符合密码学要求，不直接在代码中写人私钥；按照6.4.1h)进行测试 使用已验证、安全的加密算法和参数；按照6.4.1i)进行测试，同一个密钥不复用于不同用途； h 按照6.4.1j)进行测试，使用到的随机数符合GM/T0005一2012等随机数相关标准，保证由巨 验证、安全的随机数生成器产生

5.4.2应用软件代码安全

车载信息交互系统上的应用软件代码安全应满足以下要求： a 按照6.4.2a)进行测试，应用软件的开发者在使用第三方组件时应识别其涉及公开漏洞库中已 知的漏洞并安装补丁； b） 对于非托管代码，按照6.4.2b)进行测试，应确保内存空间的安全分配、使用和释放； 按照6.4.2c)进行测试，应用软件安装包应采用代码签名认证机制； d） 按照6.4.2d)进行测试，发布后应禁用调试功能，并删除调试信息； e） 在非调试场景或非调试模式下，按照6.4.2e)进行测试，应用软件日志不应包含调试输出； 按照6.4.2f)进行测试，宜使用构建工具链提供的代码安全机制，例如：堆栈保护、自动引用计 数等； 按照6.4.2g）进行测试，宜使用安全机制，例如：混淆、加壳等，防止被逆向分析

.4.3应用软件访问控制

车载信息交互系统上的应用软件访问控制应满足以下要求： a）按照6.4.3a)进行测试，应支持权限管理，按照6.4.3b)进行测试，不同的应用软件基于实现 定功能分配不同的接口权限；

GB/T 408562021

D）按照6.4.3c）进行测试， 户界面、URL等来源进行校验：

5.4.4应用软件运行安全

车载信息交互系统上的应用软件运行安全应满足以下要求： a）按照6.4.4a)进行测试，与控制车辆、支付相关等关键应用软件在启动时应执行自检机制； b 当输入个人敏感信息时，按照6.4.4b)进行测试，应采取安全措施确保个人敏感信息不被其他 应用窃取，并通过使用安全软键盘等防止录屏； C 应用软件正常退出时，按照6.4.4c)进行测试，应擦除缓存文件中的个人敏感信息； d）按照6.4.4d)进行测试，应用软件进程间通信不宜明文传输个人敏感信息； 按照6.4.4e)进行测试，不宜利用进程间通信提供涉及个人敏感信息功能的接口

5.4.5应用软件通信安全

车载信息交互系统上的应用软件通信安全应满足以下要求： a）对外传输个人敏感信息时，按照6.4.5a)进行测试，应采用数据加密传输方式； b）按照6.4.5b)进行测试，实现通信端之间的双向认证后，才能发送个人敏感信息； 按照6.4.5c)进行测试，使用已验证、安全的参数设置，按照6.4.5d)进行测试，只允许验证通 过OEM授信CA签发的证书

5.4.6应用软件日志安全

车载信息交互系统数据采集应满足以下要求： 采集用户数据时，按照6.5.1a)进行测试，应告知用户采集目的和范围，取得授权同意，并提供 关闭数据采集的功能； D 采集个人敏感信息时，按照6.5.1b)进行测试，应取得用户的明示同意，并确保个人信息主体 的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的意愿表示； 采集远程控制、远程诊断等功能场景下所发送的指令数据时，按照6.5.1c)进行测试，应取得用 户授权同意；

车载信息交互系统数据存储应满足以下要求： a）按照6.5.2a）进行测试，应采用SM2、SM3、SM4、长度不低于2048位的RSA、长度不低 128位的AES、哈希（Hash)摘要等加密算法存储个人敏感信息，宜采用硬件安全存储方式 b）按照6.5.2b)进行测试，应实现安全重要参数的安全存储和运算，可采用硬件防护方式；

信息交互系统数据存储应满足以下要求： 按照6.5.2a）进行测试，应采用SM2、SM3、SM4、长度不低于2048位的RSA、长度不低于 128位的AES、哈希（Hash)摘要等加密算法存储个人敏感信息，宜采用硬件安全存储方式； 按照6.5.2b)进行测试，应实现安全重要参数的安全存储和运算，可采用硬件防护方式；

GB/T 408562021

d）按照6.5.2d)进行测试，应采用技术措施处理后再进行存储个人生物识别信息，例如：仅存储 个人生物识别信息的摘要等方式； 按照6.5.2e)进行测试，未经用户授权不应修改、删除用户数据； 传输、存储、销毁等操作进行日志存储

按照6.5.3进行测试，车载信息交互系统应采取管理措施和技术手段，保护所传输用户数 性、完整性和可用性。

车载信息交互系统数据销毁应满足以下要求： a）按照6.5.4a)进行测试，应具备用户数据销毁的功能，且销毁后数据不能恢复； b）对共享类应用，例如：共享汽车等应用场景，在当前用户退出后，按照6.5.4b)进行测试，应清 空个人敏感信息

车载信息交互系统数据销毁应满足以下要求 a）按照6.5.4a)进行测试，应具备用户数据销毁的功能，且销毁后数据不能恢复； 对共享类应用，例如：共享汽车等应用场景，在当前用户退出后，按照6.5.4b)进行测试，应 空个人敏感信息

按照下列流程进行： a 检查是否存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等调试接口， 如存在则使用测试工具尝试获取调试权限； b） 拆解被测样件设备外壳，取出PCB板，检查PCB板硬件是否存在后门或隐蔽接口； C 通过采用开盒观察方法，检查关键芯片管脚暴露情况，或审查相应文档，是否有减少暴露管脚 的考量； d 查看PCB布线及设计，检查芯片之间通信线路是否做隐蔽处理，检查敏感数据的通信线路数 量或审查相应文档，检查通信线路是否有做隐蔽处理与减少通信线路数量的考量； 通过采用开盒观察方法，检查车载信息交互系统的电路板及电路板上的芯片是否存在用以标 注端口和管脚功能的可读丝印

6.2通信协议与接口安全试验

6.2.1对外通信协议安全试验

6.2.1.1通信连接安全试验

按照下列流程进行： a） 采用网络数据抓包工具进行数据抓包，解析通信报文数据，检查车载信息交互系统与平台服务 端或外部终端的通信有无身份认证； b 采用网络数据抓包工具进行数据抓包，解析通信报文数据，模拟中间人攻击方式，检查车载信 息交互系统与平台服务端或外部终端是否无法建立通信连接

6.2.1.2通信传输安全试验

采用网络数据抓包工具进行数据抓包，解析通信报文数据，检查车载信息交互系统与平台服务端 终端间传输的数据内容是否经过加密

6.2.1.3通信终止响应安全试验

GB/T 408562021

按照下列流程进行： a 采用网络数据抓包工具进行数据抓包，解析通信报文数据，将其套改，发送套改数据，触发数据 内容校验失败，检查车载信息交互系统是否终止该响应操作； 采用网络数据抓包工具进行数据抓包，解析通信报文数据，模拟伪造签名的报文数据，触发身 份鉴权失败，检查车载信息交互系统是否终止该响应操作

6.2.1.4远程通信协议安全试验

6.2.1.4.1车载公有远程通信协议安全试验

6.2.1.4.2车载私有远程通信协议安全试验

按照下列流程进行： a）对车载私有远程通信协议方案进行审核，采用网络数据抓包的方法进行数据抓包，解析通信报 文数据中加密密钥衍生和更新策略，检查是否支持以安全方式进行定期更新 D 对车载私有远程通信协议方案进行审核，采用网络数据折包的方法进行数据抓包，解析通信报 文数据中加密密钥传输策略.检查安 的方式传输数据加密密销

6.2.1.5短距离通信协议安全试验

6.2.1.5.1短距离通信口令应用安全试验

6.2.1.5.2车载蓝牙通信协议安全试验

按照下列流程进行： a）模拟遍历连接车载信息交互系统上的蓝牙设备，检查是否不存在后门提供其他车辆服务； b 采用蓝牙抓包工具进行数据抓包，解析蓝牙通信数据，检查针对Classic场合，是否采用SSP 模式或针对LE场合，是否采用LESecureConnection模式； 向车载蓝牙设备发出配对请求，检查车载蓝牙设备是否对配对请求进行验证； d) 利用未具有访问权限的外部设备，尝试进行控制车辆，检查是否不能成功接入； e) 在利用蓝牙进行非接触控制车辆业务时，采用蓝牙抓包工具进行数据抓包，解析蓝牙通信数 据，检查是否对相关数据进行安全加密处理

6.2.1.5.3车载WLAN通信协议安全试验

6.2.2车内通信协议的安全试验

采用车内网络报文抓包、解析及发送数据的方法，检查车载信息交互系统通过CAN或车载以太网 等总线与车内其他控制器节点进行数据交互、传输重要数据时，是否使用安全机制保证传输数据的完整 性及可用性。

6.2.3通信接口的安全试验

6.2.3.1总体要求试验

按照下列流程进行： a）对软硬件接口进行探测、对端口进行扫描，检查是否不存在未公开接口，是否不存在可绕过系 统安全机制对系统或数据进行访问的功能； b）对通信接口进行遍历，检查其访问权限是否满足最小权限原则。

6.2.3.2车外通信接口安全试验

按照下列流程进行： a 访问车载信息交互系统中不同区域的数据，检查车载信息交互系统是否支持路由隔离，是否可 以隔离核心业务平台的通信、内部通信、外网通信等； b 使用公网访问车载信息交互系统和核心业务平台，检查车载信息交互系统与核心业务平台的 通信是否采用专用网络或者虚拟专用网络通信，与公网隔离。

2.3.3车内通信接口安全

按照下列流程进行 a）调用非白名单指令，检查车载信息交互系统是否针对发送和接收到的指令进行白名单过滤 b）模拟恶意应用，发送控制指令，检查车载信息交互系统是否实现总线控制指令来源的校验。

6.3操作系统安全试验

6.3.1操作系统安全配置试验

按照下列流程进行： 使用最高权限用户账号登录，并使用普通账号登录后尝试进行提权，检查系统是否禁止最高权 限用户直接登录，限制普通用户提权操作； b 查看系统中的账号列表，检查是否存在无用账号，或者尝试登录其中的无用账号，验证是否无 法登陆，通过设置弱口令，检查系统是否提示口令安全弱，账号口令至少包括阿拉伯数字、大小 写拉丁字母，并且长度不小于8位； C 使用授权身份或授权进程对文件、数据库等进行访问，检查访问是否被允许，使用非授权身份 或非授权进程对文件、数据库等进行访问，检查访问是否无法成功； 查看正在运行的应用服务，检查是否关闭了不必要的应用服务； e） 使用授权身份进行远程接入，检查是否可以成功远程接入，使用非授权身份进行远程接入，检 查是否不能远程接人服务

6.3.2 安全调用控制能力试验

6.3.2.1通信类功能受控机制安全试验

GB/T 408562021

6.3.2.1.2三方通话安全试验

在应用软件内调用三方通话操作，检查应用软件调用执行三方通话操作时，是否在用户明示同 况下才能执行三方通话操作

6.3.2.1.4发送彩信安全试验

在应用软件内调用发送彩信操作，检查应用软件调用执行发送彩信操作时，是否在用户 情况下才能执行发送彩信操作

6.3.2.1.5发送邮件安全试验

仕以用软件内调用发送由 那件裸 年调用执行发送邮件操作时，是否在用户明示同 况下才能执行发送邮件操作

6.3.2.1.6移动通信网络连接安全试验

按照下列流程进行： a） 检查车载信息交互系统是否提供了开启或关闭移动通信网络数据连接的功能，开启时检查是 否可使用移动通信网络数据连接，关闭时检查是否无法使用移动通信网络数据连接； b） 检查应用软件调用开启通信网络数据连接功能时，是否对用户进行了相应的提示，且是否在用 户明示同意后才开启通信网络数据连接功能，当用户未确认时是否没有开启； 检查车载信息交互系统是否向用户提供通过配置应用软件调用移动通信网络连接的功能； d 检查当移动通信网络的数据连接处于已连接状态时，车载信息交互系统是否在用户界面上有 相应的状态提示； e 当移动通信网络正在传送数据时，检查车载信息交互系统是否在用户界面上有相应的状态 提示； 检香d）和e）的两种状态提示是否不同

6.3.2.1.7WLAN网络连接安全试验

按照下列流程进行： a 检查车载信息交互系统是否有开启或关闭的WLAN网络连接功能，开启时检查是否可使用 WLAN网络连接，关闭时检查是否不能使用WLAN网络连接； b 检查应用软件调用开启WLAN网络连接功能时，是否对用户进行相应的提示，且是否在用户 明示同意后才开启WLAN网络连接，当用户未确认时是否没有开启； C） 检查当WLAN网络连接处于已连接状态时，车载信息交互系统是否在用户界面上有相应的 状态提示； d）检查当WLAN网络正在传送数据时，车载信息交互系统是否在用户界面上有相应的状态

GB/T 408562021

提示； 检查c)和d)的两种状态提示是否不同。

6.3.2.2本地敏感功能受控机制试验

6.3.2.2.1定位功能试验

按照下列流程进行： a）检查当应用软件在使用期间调用定位功能时，车载信息交互系统是否要求用户明示同意允许 使用定位功能，用户未确认时是否会停止调用定位功能； b） 检查车载信息交互系统是否提供了后台定位控制能力，且用户是否可为每个应用软件选择开 启和关闭后台定位功能； c）检查a)和b)是否让用户分别操作； d）检查当应用软件调用定位功能时，车载信息交互系统是否在用户界面上有相应的状态提示，

6.3.2.2.2通话录音功能试验

.3.2.2.3人机交互功能

6.3.2.2.4对用户数据的操作试验

使用授权的应用软件对用户数据进行处理，检查是否可以成功执行，使用非授权的应用软件对用 居进行处理，检查是否无法成功

6.3.3操作系统安全启动试验

按照下列流程进行： a 获取操作系统安全启动信任根存储区域的访问方法和地址，使用软件调试工具写人数据，重复 多次检查是否可将数据写入该存储区域； b 提取操作系统签名，使用软件调试工具对签名进行篡改，将修改后签名写人到车载终端内的指 定可信区域内，检查是否正常工作； 获取操作系统的系统固件等其他安全启动代码，使用软件调试工具对其进行改，将修改后的 启动代码写人到车载终端内的指定区域，检查是否正常工作

DB33T 2320-2021 工业集聚区社区化管理和服务规范.pdf6.3.4操作系统更新安全试验

按照下列流程进行： a 将镜像替换为过期的镜像，检查是否无法成功加载； b）如通过在更新镜像时人为断电等方法，确认更新镜像安装失败时，系统安装之前的版本是否可 用或是否进入安全状态； C） 修改更新镜像，检查更新流程是否无法执行； d）使用非官方授信的更新镜像，检查更新流程是否无法执行

6.3.5操作系统隔离试验

GB/T 408562021

TB/T 2073-2020 电气化铁路接触网零部件技术条件6.3.6操作系统安全管理试验

6.4应用软件安全试验

6.4.1应用软件基础安全试验