車輛信息安全是指針對車輛及其生態(tài)系統(tǒng)中功能、接口等信息資產(chǎn)的安全威脅，所采取的資產(chǎn)保護措施，包括技術保護、流程管理等手段，確保信息資產(chǎn)免遭破壞、更改、泄露，或者不因信息安全攻擊而影響車輛及其生態(tài)系統(tǒng)的功能安全和業(yè)務的正常使用。

從電動汽車的保護對象劃分，可以將需要保護的對象分為車內的電子電氣系統(tǒng)及車輛對外的通信通道。其中車內電子電氣系統(tǒng)可以分為軟件系統(tǒng)、車內通信系統(tǒng)、電子電氣硬件及車內數(shù)據(jù)。

一、車輛軟件系統(tǒng)的信息安全

車內軟件系統(tǒng)應重點保護軟件的真實性、保密性、完整性以及可用性。

軟件、固件和配置文件的升級、加載和安裝時，從整車層面應確保系統(tǒng)能驗證提供方的身份真實性和來源的合法性。軟件系統(tǒng)應具備對所有的登錄用戶進行認證和鑒權的能力，確保所有登錄用戶身份的真實性和合法性。

重要軟件系統(tǒng)應防止被逆向分析，宜采用代碼混淆或加殼等措施。

汽車系統(tǒng)軟件、固件和配置文件的升級、加載和安裝時，建議使用相應手段驗證其軟件的完整性。汽車系統(tǒng)軟件啟動和運行時，建議使用相應手段驗證其軟件的完整性。

對于有ASIL C, D 級（GB/T 34590-2017）功能安全要求的車內系統(tǒng)軟件，宜具備抗拒絕服務攻擊能力，避免授權用戶在系統(tǒng)受到DoS/DDoS 攻擊時，無法使用正常的服務和功能的問題。

應采取相應措施確保對各軟件資源和數(shù)據(jù)資產(chǎn)的訪問、操作和使用是被正確授權的，這些信息處理行為被系統(tǒng)的鑒權機制所管控。對于自主訪問權限內的軟件、固件的升級或者安裝，應得到授權和確認。軟件系統(tǒng)宜具備訪問權限控制的管理機制。

建議對軟件系統(tǒng)的審計日志進行保護，確保其無法被非法篡改、刪除和偽造；針對具有多用戶的軟件系統(tǒng)，建議提供覆蓋到每個用戶的安全審計功能，對涉及到用戶活動和操作指令等重要安全事件進行記錄；審計記錄的內容宜包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等。

車內軟件系統(tǒng)宜對自身受到攻擊的安全事件具備感知能力，并可根據(jù)系統(tǒng)設定的安全策略，進行日志記錄、安全告警或者攻擊阻止等方式的安全響應動作。

二、車輛車內通信系統(tǒng)的信息安全

車內通信系統(tǒng)包括但不限于CAN、CANFD、車內以太網(wǎng)、LIN 等多種通信方式，根據(jù)不同的通信方式的特點，建議采取相對應保護措施。

車內部件之間通信時，建議使用相應機制驗證通信雙方身份的真實性。

建議采用加密機制對車內通信數(shù)據(jù)進行保護。

建議對車內通信數(shù)據(jù)進行完整性保護，例如AUTOSAR SECOC 安全通信機制。

車內通信系統(tǒng)宜具備通信流量控制能力，確保其在受到惡意軟件感染或者服務拒絕攻擊而造成車內通信流量異常時，仍然有能力提供可接受的通信能力。

可將車內網(wǎng)絡劃分為不同的安全區(qū)域，每個安全區(qū)域之間宜進行網(wǎng)絡隔離。安全區(qū)域間宜采用邊界訪問控制機制對來訪的報文進行控制，如可采用報文過濾機制、報文過載控制機制和用戶訪問權限控制機制等。

建議對車內通信系統(tǒng)日志進行保護，確保其無法被非法篡改、刪除和偽造。

車內通信系統(tǒng)日志，宜具備記錄通信異常事件的能力，例如流量過載、高頻率的收到異常報文等現(xiàn)象。

車內通信系統(tǒng)宜對異常報文具有感知能力，例如：接收到高頻率的重放報文或者被篡改過的報文等異?，F(xiàn)象，并根據(jù)既定的安全策略進行告警、日志記錄或者其他安全響應動作。

三、車輛電子電氣硬件的信息安全

車輛電子電氣硬件主要是通過硬件設計布局、安全芯片（模組）以及硬件接口等方面進行安全保護車內使用到的密鑰等關鍵數(shù)據(jù)宜存儲在特定的安全環(huán)境中，如TPM 芯片、TEE 或者帶有HSM 的主控芯片等，確保該根密鑰不被外界直接明文獲取。

單板上的關鍵信號（如可能泄露敏感數(shù)據(jù)的數(shù)據(jù)總線、串行總線等）宜在PCB 內層走線，且去掉不必要的測試點。印制電路板上的調測功能標識的絲印設計（如UART、JTAG、等），如果不是業(yè)務功能要求或生產(chǎn)必須要求，宜予以去除，以增加攻擊者識別硬件的難度。

對關鍵ECU 的封裝（外殼、封條等）宜采取完整性的保護措施，例如使用揭開時能留跡象的封條。

出廠前產(chǎn)品宜移除或者禁止隱蔽接口或未明示功能組件。對于量產(chǎn)部件中仍需保留的硬件調試接口，建議采取訪問控制措施，對接入操作進行身份認證和鑒權。

四、車輛內部數(shù)據(jù)的信息安全

車輛內部數(shù)據(jù)中，應考慮對用戶個人數(shù)據(jù)、關鍵安全參數(shù)進行保護。

用戶個人數(shù)據(jù)可參見GB/T 35273《信息安全技術個人信息安全規(guī)范》。

建議采用加密或其他有效措施，來確保車輛系統(tǒng)中存儲的關鍵安全參數(shù)的保密性。與車外系統(tǒng)有通信連接的ECU，應確保車輛軟件日志中不會以明文的方式記錄關鍵安全參數(shù)。建議采用加密或其他有效措施，來確保車輛系統(tǒng)中關鍵安全參數(shù)的傳輸保密性。

在車內部件間存儲和傳輸關鍵安全參數(shù)時，建議對其進行完整性保護，并支持完整性校驗。

對關鍵安全參數(shù)，系統(tǒng)宜采取防丟失、防被誤刪除等保護措施，如采用備份、專用安全空間存儲等措施。對所存儲的關鍵安全參數(shù)，應采用訪問控制措施，防止其被非授權訪問和操作。

五、車輛對外通信系統(tǒng)的信息安全

車輛對外通信系統(tǒng)基于通信方式主要可以劃分為遠距離通信和近場通信。

針對遠距離通信，車與外部通信單元應支持3G、4G、5G 等網(wǎng)絡層通信通道的加密功能。業(yè)務層的通信通道，宜支持獨立于網(wǎng)絡層通信通道的加密機制，如采用TLS1.2 版本及以上或者DTLS等安全協(xié)議進行加密。

車與外部通信單元應支持3G、4G、5G 等網(wǎng)絡層的通信通道的完整性保護功能。業(yè)務層的通信通道，宜支持獨立于網(wǎng)絡層通信通道的完整性機制，如采用TLS1.2 版本及以上或者DTLS 等安全協(xié)議進行完整性保護。

車與外部通信單元應支持3G、4G、5G 等網(wǎng)絡層的通信通道的完整性保護功能。業(yè)務層的通信通道，宜支持獨立于網(wǎng)絡層通信通道的完整性機制，如采用TLS 或者DTLS 等安全協(xié)議進行完整性保護。

車與外部通信單元應支持防DoS/DDoS 攻擊能力，包括且不限于報文泛洪攻擊、報文重放攻擊、畸形報文攻擊等。無線通信接收系統(tǒng)，包括衛(wèi)星通信導航、3G/4G/5G 等，應具備抗無線干擾能力。

車與外部通信單元宜具備對通信報文進行訪問控制的能力，例如白名單訪問控制、報文過濾、防通信流量過載機制等。

應確保車輛的網(wǎng)絡層通信ID（如：國際移動用戶識別碼IMSI）的全球唯一性

對于來自車外的通信報文，宜具備安全監(jiān)控能力和攻擊行為的感知能力，并能夠進行報文清洗、流量控制或者攻擊行為阻止等方式的安全響應。

針對近場通信，近距離通信通道宜開啟身份認證功能、加密功能、完整性保護功能，與外部通信的部件應支持防DoS/DDoS 攻擊；近距離通信系統(tǒng)宜具備記錄近距離通信安全相關的事件，包括記錄來訪用戶ID 和通信時間等事件。

六、OTA 數(shù)據(jù)安全加密與防篡改

車輛的OTA 主要分為兩類，一種是FOTA（Firmware-over-the-air，固件在線升級），指給車載系統(tǒng)或內部控制器進行固件升級；另一種是SOTA（Software-over-the-air，軟件在線升級），指對固件以外的軟件（如地圖）升級。無論哪種升級，都面臨車輛端與服務器間的升級包傳輸風險及升級包篡改風險。

在進行OTA 升級過程中，需從升級包發(fā)布、升級包傳輸、終端升級三個階段進行防御。

OTA 服務器端可增加部署安全服務器，提供安全基礎設施、如密鑰生成與管理、數(shù)字加密及數(shù)字簽名等，以抵御針對升級包的逆向分析攻擊、篡改攻擊等?；诎踩掌鲗崿F(xiàn)升級包加固功能，最終由OTA 服務器發(fā)布加固后的升級包。安全服務器的基礎功能可使用軟件方案實現(xiàn)，也可配合部署硬件加密機實現(xiàn)。

在OTA 服務端與車輛端構建安全傳輸通道，實現(xiàn)雙向身份認證，及傳輸加密等功能，保證升級包傳輸過程的安全。終端系統(tǒng)在升級流程前增加升級包校驗機制，對升級包進行解密和合法性驗證，驗證通過方可進入系統(tǒng)升級流程。