GB／T 38628-2020 标准规范下载简介

GB／T 38628-2020 信息安全技术 汽车电子系统网络安全指南简介：

GB/T 38628-2020《信息安全技术 汽车电子系统网络安全指南》是中国国家标准，由国家标准化管理委员会发布，是一部针对汽车电子系统网络安全的专业标准。该标准主要目的是为了规范和指导汽车电子系统的设计、开发、生产和使用过程中的网络安全要求，以确保汽车电子系统的安全性，防止因网络安全问题导致的车辆性能下降，用户数据泄露，甚至对行车安全构成威胁。

该标准涵盖了汽车电子系统的网络安全架构、威胁分析、风险评估、安全设计、安全测试、安全管理和维护等多个方面，包括了安全策略的制定，安全控制措施的实施，以及网络安全事件的应对等内容。它适用于汽车电子系统的设计者、制造商、供应商、用户和监管机构等，对于保障汽车行业的信息安全具有重要的指导作用。

总的来说，GB/T 38628-2020标准旨在提升汽车电子系统的网络安全防护能力，促进汽车产业的健康发展，保障消费者和公众的利益。

GB／T 38628-2020 信息安全技术 汽车电子系统网络安全指南部分内容预览：

7.5.1.1监测能力

7.5.1.2 分析评估

GB/T 386282020

8汽车电子系统网络安全支撑保障

配置管理工作可包括： a）确保产品开发过程中的工作环境受控GB∕T 25043-2010 连续树脂基预浸料用多轴向经编增强材料，保证在产品的后续开发过程中，可重现产品开发的工作 环境； b） 使用配置管理系统或工具，保证产品的各个版本之间的差异和关系是可追溯的； c）审计并汇报系统的配置基线； d）在系统配置管理计划确定后，确保其生命周期各阶段的初始条件都得到满足

需求管理的目标是：确保需求符合系统特征和属性并被正确定义，并保证需求在生命周期各阶段的 致性。需求管理的具体内容可包括： a 维护各阶段的需求，包括更新系统用例，确保每项需求自身没有矛盾，每项需求与其他需求之 间没有冲突，确保没有重复的需求； b 创建测试过程，以确认需求得到满足； C 维护网络安全目标到其实现的可追溯性，以便对需求进行有效性检验和验证； d）确保需求属性和内容的清晰性（没有歧义、容易理解）、一致性、完整性、可实现性和可测试性。 18

需求管理的目标是：确保需求符合系统特征和属性并被正确定义，并保证需求在生命周期各阶段的 致性。需求管理的具体内容可包括： a 维护各阶段的需求，包括更新系统用例，确保每项需求自身没有矛盾，每项需求与其他需求之 间没有冲突，确保没有重复的需求； b） 创建测试过程，以确认需求得到满足； C 维护网络安全目标到其实现的可追溯性，以便对需求进行有效性检验和验证； d）确保需求属性和内容的清晰性（没有歧义、容易理解）、一致性、完整性、可实现性和可测试性。

变更管理的目标是：分析和控制系统或产品在生命周期过程中的变更情况，系统性地开展变更的计 划、变更的控制与监测、以及变更的实施等活动，并形成文档，执行变更的决策和责任分配。变更管理的 具体内容可包括： a）保存并维护系统或产品的变更日志，对于每一个修订版本，记录修订日期、修订原因（如果有的 话，还需附加变更请求的编号）、修改的细节描述等； b） 设置变更评审委员会，负责决定是否批准变更请求，并确保变更文档（包含变更请求者姓名、日 期、变更原因和变更细节）内容的准确性； C 在系统或产品的修订版发布之前，宜通过变更评审委员会的评审，包括对变更的影响进行分 析，制定变更实施计划（包括发布变更内容的方式），确定所有的参与者，分配各参与者的职责： 口 变更完成后，宜对受到变更影响的产品进行测试，以便确认变更所针对的问题已得到解决，以 及确认变更没有引入新的问题

文档管理的目标是：为系统的整个： 过程。组织需要制定文档的编制计划，确保文档在相应阶段的活动开展之前是可用的。下列类型的文 档可被纳人到文档管理策略中： a） 网络安全计划； b） 系统功能定义； c） 系统上下文； d) 威胁分析与风险评估文件； e 网络安全策略； f） 网络安全需求； 网络安全评估和网络安全状况说明

8.5.1供应商评估和选择的依据

组织在评估和选择供应商时，宜综合考虑供应商的产品开发能力及其在网络安全领域的专业水平 包括但不限于如下方面： a）供应商是否能提供证据，表明其具备开发网络安全相关产品的能力： b）供应商是否能提供证据，表明其具备良好定义的网络安全产品开发过程； c）供应商是否能提供证据，表明其具备相应的质量管理系统； d）供应商是否能提供证据，表 有能力为产品提供整个生命周期的网络安全支持

8.5.2开发交付协议

组织宜与供应商签订《开发交付协议》，以明确供应商对特定系统或产品项目的责任范围，并保证供 应商实现其所承诺的责任。《开发交付协议》可包括但不限于如下内容： a）确定供应商的网络安全负责人，该负责人宜监督所提供产品的开发过程，并成为组织的主要联 系人； b）明确供应商需要遵守的网络安全法律法规条款； SAG c）明确供应商可以接触的工作产品范围

GB/T 386282020

为具备联网功能的汽车电子系统提供后台服务的云服务商，宜按照GB/T31167一2014和 B/T31168一2014，结合具体服务项，部署完善相应安全措施，建立健全云服务的安全保障能力。相关 全措施包括但不限于： a）在云服务系统访问过程中使用身份认证机制； b）对于云服务系统中存储和处理的关键、敏感信息，如车辆ID、车辆状态信息、车辆配置信息、用 户信息、密钥等，宜根据这些信息的重要性及风险评估的结果，采取相适宜的安全防护措施（包 括但不限于安全存储、访问控制等），确保这些信息的数据安全（至少包括机密性、完整性和可 用性； C 对于接入云平台的移动终端、车辆端设备或其他关联终端设备，云服务系统宜提供安全防护支 持功能，包括密钥管理、身份认证管理、远程升级管理、终端应用软件管理、安全监测、入侵防 御、恶意代码防护等安全功能

与汽车电子系统进行通信与交互的终端设备或设施主要包括移动端、车辆端设备以及路边单元 等。对于这些终端设备或设施，也需要进行网络安全风险评估，并采取相适宜的安全防护措施，可包括 但不限于： a）移动终端及车辆端设备中的应用宜采用身份认证、敏感信息输人安全保护、代码防篡改、防逆 向、防重打包等防护技术进行安全加固 b） 对车体控制相关的重要数据进行安全存储和管理； 移动终端与云服务系统、车辆端设备以及路边单元之间，采取安全的接入方式，防止由外接终 端引人新的网络安全风险

■汽车电子系统资产概述

GB/T38628—2020

附录A （资料性附录） 汽车电子系统典型网络安全风险

A.2ECU典型网络安全风险

ECU主要面临的网络安全风险包括： a）ECU硬件（比如处理芯片）本身可能存在设计上的缺陷或者漏洞，比如缺乏防信号干扰、防逆 向分析等的机制，导致其易受到相应的攻击而信息泄露。 b ECU固件刷新：未受保护的固件刷写过程，可能导致ECU固件或其配置数据被篡改，给系统 带来较大的安全风险。 C CAN总线访问：ECU之间、ECU与传感器/执行器之间可通过CAN总线通信。由于CAN总 线的消息通信缺乏必要的加密、校验、认证和访问控制机制，面临通信消息泄露或篡改、拒绝服 务、重放攻击等一系列威胁，可能影响行车安全。 JTAG、串口等物理访问接口：如果被非法访同，可能导致恶意程序被植人系统，获取系统的IF 信息，最终可能导致非法数据进人CAN总线的情况。 e 受ECU硬件资源的限制及其工作时的实时性需求，一些传统的安全机制不适用或无法直接 部署到ECU上，导致ECU在遭受攻击时影响汽车正常的行驶功能，甚至造成严重的安全 威胁。 关键、敏感数据（如系统数据、配置数据等）在这些数据的存储、访问过程中，如果未采取加密

GB/T38628—2020

存储和访问控制等防护措施，则可能导致数据被套改或泄露。被套改的数据可能导致系统功 能偏离预期，甚至带来其他网络安全方面的隐患；系统数据、配置数据等的泄露则可能导致系 统的IP泄露。

A.3车载网关典型网络安全风险

车载网关主要面临的网络安全风险包括： a）关键、敏感数据（比如系统数据/配置数据等）：在这些数据的存储、访问过程中，如果未采取加 密存储和访同控制等防护措施，则可能导致数据被改或泄露。被复改的数据可能导致系统 功能偏离预期，甚至带来其他网络安全方面的隐患；配置数据/系统数据的泄露则可能导致系 统的IP泄露。 b）FOTA/SOTA：在网关固件（包括启动加载程序在内）或其他软件（比如网关操作系统）的更新 过程中，如果未对更新的过程进行安全防护，软件或数据的更新包有可能被改，导致设备无 法正常启动或正常执行其功能；如果引起信息泄露或是非法数据进入CAN总线，可能导致严 重的安全隐惠。 c） 软件资产如操作系统等，如果存在设计或实现上的漏洞或缺陷，则可能被利用。尤其如果操作 系统是源自传统计算机信息系统的操作系统，则面临各种已知漏洞的威胁，更易于被攻击者利 用：攻击者通过安装未知应用程序或植入恶意软件，窃取各类数据，甚至可能将风险传导至车 体控制系统，对驾驶安全造成隐患。 d）与CAN总线、以太网等的通信：由于CAN总线、以太网等的消息通信缺乏必要的加密、校验 认证和访向控制机制，面临通信消息泄露或纂改、拒绝服务、重放攻击等一系列威胁，可能影响 行车安全。 e）JTAG、串口等物理访问接口：如果被非法访问，可能导致恶意程序被植人系统，获取系统的IP 信息，最终可能导致非法数据进人CAN总线的情况。 ） OBD接口：OBD接口如果被非法利用，非授权设备通过未保护的OBD总线与网关通信，读取 网关内的敏感数据，甚至直接读写车内总线，发送伪造控制信息，严重干扰汽车正常功能。 g 网关域隔离、防火墙/过滤器、入侵行为集中式检测（IDS）：如果没有进行域隔离防火墙/过滤 器、人侵行为集中式检测（IDS），非法的信息将进人车内网络，给相应的ECU发送危害报文， 可能影响行车安全

A.4车载接入设备典型网络安全风险

JG∕T 315-2011 水泥砂浆和混凝土用天然火山灰质材料GB/T38628—2020

GB/T 386282020

附 录B （资料性附录） 汽车电子系统网络安全防护措施示例

本附录王要从技术的角度，对现 统网路安全的防护增施提供部分示例，主要从 边界安全防护、访问控制、安全软件选择与管理、身份认证、远程访问安全、数据安全等不同的方面进行 说明，可供组织在进行汽车电子系统网络安全相关设计开发时参考

B.4安全软件选择与管理

本项要求包括： a）基于风险评估结果以及车辆端设备在资源、性能方面的约束，选择相适宜的安全措施，比如安 全启动、安全升级、安全通信、安全存储、安全监测、人侵防御、恶意代码防护等。 b 对车辆端设备上的应用软件，可采取非授权软件安装防护、授权软件卸载防护、授权软件改 防护等安全措施；车辆端设备应用软件宜采用身份认证、敏感数据安全存储、安全传输等防护 措施。 C） 可采用远程软件升级的方法，对车辆端设备进行功能更新或漏洞修复，包括车辆端设备固件升 级、操作系统升级、应用软件升级或配置参数更新等。如需进行远程软件升级，升级过程需在 具有系统安全的条件下进行，具备通信安全（如真实性、完整性、保密性等），以及异常检测、响 应的能力，并且升级过程需记录完整的日志信息

6447.74平米，五层框架高中教学楼（计算书、建筑、结构图）GB/T38628—2020