道路车辆 信息安全工程 征求意见稿.docx

2

GB/TXXXXX—XXXX

道路车辆信息安全工程

1范围

本文件规定了道路车辆中电子电气(E/E)系统(包括其组件和接口)在概念、产品开发、生产、运行、维护和报废阶段的信息安全风险管理的工程要求。

本文件定义了一个框架，其中包括信息安全过程要求以及沟通和管理信息安全风险的通用语言。本文件适用于在本文件发布后开发或修改的批量生产的道路车辆E/E系统，包括其组件和接口。本文件未规定与信息安全有关的具体技术或解决方案。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T34590.3-2022，道路车辆功能安全第三部分：概念阶段

3术语和定义

下列术语和定义适用于本文件。

3.1

架构设计architecturaldesign

可以识别组件、边界、接口和交互的表示方法。

3.2

资产asset

具有价值或对价值做出贡献的对象。

注：资产具有一个或多个信息安全属性，未达到要求时可能导致一个或多个危害场景。

3.3

攻击可行性attackfeasibility

攻击路径的属性，描述成功执行相应攻击活动的难易度。

3.4

攻击路径attackpath

为实现威胁场景的一组攻击活动。

3.5

攻击者attacker

执行攻击路径的个人、团体或组织。

3.6

审核audit

对过程进行检查，以确定过程目标的实现程度。

3

GB/TXXXXX—XXXX

3.7

组件component

逻辑上和技术上可分离的组成部分。

3.8

客户customer

接受服务或产品的个人或组织。

3.9

道路车辆信息安全cybersecurity

使资产受到充分保护，免受道路车辆相关项、其功能及其电气或电子组件的威胁场景的危害。注：为简洁起见，本文件使用信息安全一词代替道路车辆信息安全。

3.10

信息安全评估cybersecurityassessment

信息安全状态的评价。

3.11

信息安全档案cybersecuritycase

有证据支持的结构化论证，表明风险的合理性。

3.12

信息安全声明cybersecurityclaim

关于风险的信息安全索赔声明。

注：信息安全声明可包括保留或分担风险的理由。

3.13

信息安全概念cybersecurityconcept

相关项的信息安全需求和对操作环境的要求以及有关信息安全控制的相关信息。

3.14

信息安全控制cybersecuritycontrol

改变风险的措施。

3.15

信息安全事态cybersecurityevent

与相关项或组件有关的信息安全信息。

3.16

信息安全目标cybersecuritygoal

与一个或多个威胁情景相关的概念级信息安全需求。

3.17

信息安全事件cybersecurityincident

可能涉及漏洞利用的情况。

4

GB/TXXXXX—XXXX

3.18

信息安全信息cybersecurityinformation

与信息安全有关的信息,其相关性尚未确定。

3.19

信息安全接口协议cybersecurityinterfaceagreement

客户和供应商之间关于分布式信息安全活动的协议。

3.20

信息安全属性cybersecurityproperty

值得保护的属性。

注：属性包括保密性、完整性和/或可用性。

3.21

信息安全规范cybersecurityspecification

信息安全需求和相应的架构设计。

3.22

危害场景damagescenario

涉及车辆或车辆功能并影响道路使用者的不良后果。

3.23

分布式信息安全活动distributedcybersecurityactivities

相关项或组件的信息安全活动，其责任在客户和供应商之间分配。

3.24

影响impact

对危害场景下的损害程度或物理伤害程度的估计。

3.25

相关项item

在车辆层面实现一个功能的组件或组件集。

注：如果一个系统在车辆层面实现了一个功能，它就可以成为一个相关项，否则就是一个组件。

3.26

操作环境operationalenvironment

在操作使用中考虑到相互作用的环境。

注：相关项或组件的操作使用，包括在车辆功能，生产，和/或服务和修理中的使用。

3.27

独立于环境out-of-context

未在特定相关项定义下的开发。

示例：基于假设信息安全需求的处理单元可集成到不同的相关项中。

3.28

渗透测试penetratio