- 1、本文档共129页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
2
GB/TXXXXX—XXXX
道路车辆信息安全工程
1范围
本文件规定了道路车辆中电子电气(E/E)系统(包括其组件和接口)在概念、产品开发、生产、运行、维护和报废阶段的信息安全风险管理的工程要求。
本文件定义了一个框架,其中包括信息安全过程要求以及沟通和管理信息安全风险的通用语言。本文件适用于在本文件发布后开发或修改的批量生产的道路车辆E/E系统,包括其组件和接口。本文件未规定与信息安全有关的具体技术或解决方案。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T34590.3-2022,道路车辆功能安全第三部分:概念阶段
3术语和定义
下列术语和定义适用于本文件。
3.1
架构设计architecturaldesign
可以识别组件、边界、接口和交互的表示方法。
3.2
资产asset
具有价值或对价值做出贡献的对象。
注:资产具有一个或多个信息安全属性,未达到要求时可能导致一个或多个危害场景。
3.3
攻击可行性attackfeasibility
攻击路径的属性,描述成功执行相应攻击活动的难易度。
3.4
攻击路径attackpath
为实现威胁场景的一组攻击活动。
3.5
攻击者attacker
执行攻击路径的个人、团体或组织。
3.6
审核audit
对过程进行检查,以确定过程目标的实现程度。
3
GB/TXXXXX—XXXX
3.7
组件component
逻辑上和技术上可分离的组成部分。
3.8
客户customer
接受服务或产品的个人或组织。
3.9
道路车辆信息安全cybersecurity
使资产受到充分保护,免受道路车辆相关项、其功能及其电气或电子组件的威胁场景的危害。注:为简洁起见,本文件使用信息安全一词代替道路车辆信息安全。
3.10
信息安全评估cybersecurityassessment
信息安全状态的评价。
3.11
信息安全档案cybersecuritycase
有证据支持的结构化论证,表明风险的合理性。
3.12
信息安全声明cybersecurityclaim
关于风险的信息安全索赔声明。
注:信息安全声明可包括保留或分担风险的理由。
3.13
信息安全概念cybersecurityconcept
相关项的信息安全需求和对操作环境的要求以及有关信息安全控制的相关信息。
3.14
信息安全控制cybersecuritycontrol
改变风险的措施。
3.15
信息安全事态cybersecurityevent
与相关项或组件有关的信息安全信息。
3.16
信息安全目标cybersecuritygoal
与一个或多个威胁情景相关的概念级信息安全需求。
3.17
信息安全事件cybersecurityincident
可能涉及漏洞利用的情况。
4
GB/TXXXXX—XXXX
3.18
信息安全信息cybersecurityinformation
与信息安全有关的信息,其相关性尚未确定。
3.19
信息安全接口协议cybersecurityinterfaceagreement
客户和供应商之间关于分布式信息安全活动的协议。
3.20
信息安全属性cybersecurityproperty
值得保护的属性。
注:属性包括保密性、完整性和/或可用性。
3.21
信息安全规范cybersecurityspecification
信息安全需求和相应的架构设计。
3.22
危害场景damagescenario
涉及车辆或车辆功能并影响道路使用者的不良后果。
3.23
分布式信息安全活动distributedcybersecurityactivities
相关项或组件的信息安全活动,其责任在客户和供应商之间分配。
3.24
影响impact
对危害场景下的损害程度或物理伤害程度的估计。
3.25
相关项item
在车辆层面实现一个功能的组件或组件集。
注:如果一个系统在车辆层面实现了一个功能,它就可以成为一个相关项,否则就是一个组件。
3.26
操作环境operationalenvironment
在操作使用中考虑到相互作用的环境。
注:相关项或组件的操作使用,包括在车辆功能,生产,和/或服务和修理中的使用。
3.27
独立于环境out-of-context
未在特定相关项定义下的开发。
示例:基于假设信息安全需求的处理单元可集成到不同的相关项中。
3.28
渗透测试penetratio
文档评论(0)