汽車基礎(chǔ)軟件信息安全作為一個汽車行業(yè)的新興技術(shù)領(lǐng)域，其技術(shù)標(biāo)準(zhǔn)目前仍尚處于規(guī)劃階段。當(dāng)前國內(nèi)在該相關(guān)領(lǐng)域的標(biāo)準(zhǔn)組織包括全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（簡稱信安標(biāo)委，TC260）、全國汽車標(biāo)準(zhǔn)化技術(shù)委員會（簡稱汽標(biāo)委，TC114）和中國汽車工程學(xué)會（CSAE），工信部印發(fā)了《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》，對于車聯(lián)網(wǎng)網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)體系建設(shè)也形成了相關(guān)指導(dǎo)意見；國際方面則主要有AUTOSAR、ISO/SAE 21434 工作組、聯(lián)合國 UN/WP29 工作組、美國高速公路交通安全管理局（NHTSA）等相關(guān)組織。信息安全標(biāo)準(zhǔn)組織如下圖 4.2-1 所示：

圖 4.2-1 信息安全標(biāo)準(zhǔn)組織

1.  國內(nèi)相關(guān)標(biāo)準(zhǔn)

國內(nèi)在這方面的相關(guān)組織和協(xié)會的側(cè)重點(diǎn)有所不同。我們重點(diǎn)介紹信安標(biāo)委和汽標(biāo)委兩個組織的相關(guān)進(jìn)展。

(1) 信安標(biāo)委（TC260）

信安標(biāo)委現(xiàn)已發(fā)布多項有關(guān)操作系統(tǒng)信息安全的標(biāo)準(zhǔn)，包括 GB/T 20008-2005《信息安全技術(shù) 操作系統(tǒng)安全評估準(zhǔn)則》、GB/T20272-2019《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》、GB/T 30284- 2020《移動通信智能終端操作系統(tǒng)安全技術(shù)要求》、GB/T   34976-2017《信息安全技術(shù)   移動智能終端操作系統(tǒng)安全技術(shù)要求和測試評價方法》、GBT 34976-2017《信息安全技術(shù) 移動智能終端操作系統(tǒng)安全技術(shù)要求和測試評價方法》、GB/T 36630.3-2018《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價指標(biāo) 第3 部分：操作系統(tǒng)》等。

其中 GB/T20272-2019 將對操作系統(tǒng)的安全技術(shù)要求分為 5 個保護(hù)級，即用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗證保護(hù)級，要求的內(nèi)容也逐漸由弱到強(qiáng)，包括自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、數(shù)據(jù)流控制、身份鑒別、用戶數(shù)據(jù)保密性、安全審計、用戶數(shù)據(jù)完整性、可信路徑等。其主要針對的是傳統(tǒng)（或通用）操作系統(tǒng)，其中的技術(shù)要求并不是都能適合汽車領(lǐng)域的情況。

GB/T34976-2017 的安全技術(shù)要求包括安全功能要求和安全保障要求兩大部分，其中安全功能要求包括身份鑒別、訪問控制、安全審計、數(shù)據(jù)安全、存儲介質(zhì)管理、應(yīng)用軟件安全管理、用戶策略管理、運(yùn)行安全保護(hù)、升級能力、超時鎖定或注銷、運(yùn)行監(jiān)控、可靠時鐘、可用性等（還提出了有關(guān)網(wǎng)絡(luò)安全保護(hù)、資源利用（系統(tǒng)配置安全）、可信操作、內(nèi)核安全、調(diào)用保護(hù)、入侵防范、惡意代碼防范、內(nèi)核代碼安全等要求）。安全保障要求包括對開發(fā)、指導(dǎo)性文檔、生命周期支持、測試、脆弱性評定等。

總體來看，TC260 尚未專門針對汽車領(lǐng)域操作系統(tǒng)開展標(biāo)準(zhǔn)化工作。另外，TC260 于 2020 年發(fā)布首個汽車電子系統(tǒng)網(wǎng)絡(luò)安全推薦性標(biāo)準(zhǔn) GB/T38628-2020《信息安全技術(shù) 汽車電子系統(tǒng)網(wǎng)絡(luò)安全指南》，該標(biāo)準(zhǔn)主要針對汽車信息安全生命周期過程提出了要求，其中涉及汽車軟件開發(fā)中的框架性安全要求， 適用于車控及車載系統(tǒng)的基礎(chǔ)軟件。

(2) 汽標(biāo)委（TC114）

汽標(biāo)委于 2020 年啟動開展了一系列有關(guān)車用操作系統(tǒng)的標(biāo)準(zhǔn)研究項目，于 2021 年 7 月發(fā)布了《車控操作系統(tǒng)架構(gòu)研究報告》、《車控操作系統(tǒng)總體技術(shù)要求研究報告》、《車載操作系統(tǒng)架構(gòu)研究報告》、《車載操作系統(tǒng)總體技術(shù)要求研究報告》等 4 份研究報告，其中對車控、車載操作系統(tǒng)的信息安全要求均提出了標(biāo)準(zhǔn)化要求。車控操作系統(tǒng)的信息安全要求主要包括可信執(zhí)行環(huán)境、密碼應(yīng)用支撐、訪問控制與身份鑒別、車內(nèi)總線安全通信、安全外部通信、安全可信啟動、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、安全監(jiān)控與防御、面向業(yè)務(wù)的安全支撐機(jī)制與功能等。鑒于車載操作系統(tǒng)內(nèi)核功能的復(fù)雜性，要求車載操作系統(tǒng)應(yīng)構(gòu)建完 整的信息安全防護(hù)機(jī)制，降低內(nèi)核漏洞對系統(tǒng)安全的危險，強(qiáng)化內(nèi)核的安全防護(hù)能力。系統(tǒng)應(yīng)具備多域 隔離、一致性檢查、安全啟動、安全存儲、安全輸入、加密文件系統(tǒng)等技術(shù)，應(yīng)具備系統(tǒng)鏡像完整性及合法性驗證機(jī)制、系統(tǒng)鏡像回退功能。汽標(biāo)委目前已啟動了《智能網(wǎng)聯(lián)汽車 車控操作系統(tǒng)技術(shù)要求》、《智能網(wǎng)聯(lián)汽車 車載操作系統(tǒng)技術(shù)要求》標(biāo)準(zhǔn)的研制工作，其中均包含信息安全方面的要求。

2.  國際相關(guān)標(biāo)準(zhǔn)

(1) AUTOSAR

AUTOSAR（是 Automotive Open System Architecture 的簡稱）組織于 2003 年 7 月聯(lián)合建立，旨在為汽車電氣 / 電子構(gòu)架開發(fā)一套開放的行業(yè)標(biāo)準(zhǔn)。在發(fā)布 4.2.2 版本后，AUTOSAR 的標(biāo)準(zhǔn)體系分為基礎(chǔ)標(biāo)準(zhǔn)（Foundation）、經(jīng)典平臺（classic platform）、自適應(yīng)平臺（adaptive platform）和符合性測試（Acceptance Tests）等四個部分。在AUTOSAR 經(jīng)典平臺中，以硬件安全模塊為基礎(chǔ)，提供了密碼服務(wù)方面的層次架構(gòu)，使得 AUTOSAR 經(jīng)典平臺的服務(wù)分為四個方面：系統(tǒng)、存儲、密碼和通信。同其他服務(wù)一樣，密碼服務(wù)分為三個層次：密碼服務(wù)管理、密碼硬件抽象和密碼驅(qū)動程序。

基于密碼服務(wù)，AUTOSAR 經(jīng)典平臺提供了安全通信組件 SecOC，在協(xié)議數(shù)據(jù)單元層面為關(guān)鍵數(shù)據(jù)提供可行、具有資源有效特性的真實性機(jī)制。SecOC 與 AUTOSAR 的通信系統(tǒng)中的 PDU Router 協(xié)同， 以處理安全相關(guān)協(xié)議數(shù)據(jù)單元的內(nèi)容。

另外，針對 V2X 的通信安全，AUTOSAR 標(biāo)準(zhǔn)也提出了一系列的信息安全要求，包括入侵檢測管理系統(tǒng)（IDSM）、消息簽名的加密驗證、端到端安全、證書管理、應(yīng)用程序安全相關(guān)機(jī)制等。

注：本章有關(guān) AUTOSAR 的內(nèi)容是 AUTOSEMO 會員單位的經(jīng)驗解讀，僅供行業(yè)參考。

(2) ISO/SAE 21434

ISO/SAE 21434《道路車輛 信息安全工程》中對汽車軟件開發(fā)的信息安全過程提出了要求，相關(guān)要求適用于汽車基礎(chǔ)軟件開發(fā)。

(3) UN/WP.29

UN/WP.29 于 2021 年發(fā)布了有關(guān)汽車網(wǎng)絡(luò)安全、軟件升級的 2 項法規(guī) R155、R156，均涉及對汽車基礎(chǔ)軟件的相關(guān)內(nèi)容，包括防止非特權(quán)用戶越級訪問權(quán)限、軟件更新、代碼安全、密碼安全、軟件錯誤或漏洞等。

(4) 其他

NHTSA（美國高速公路交通安全管理局）于 2020 年發(fā)布了更新版的《Cybersecurity Best Prac- tices for the Safety of Modern Vehicles》，對于密碼、診斷、車輛內(nèi)部通信安全、事件日志、網(wǎng)絡(luò)端口 / 協(xié)議 / 服務(wù)、外部通信、路由變更、軟件更新等方面內(nèi)容；ENISA（歐盟網(wǎng)絡(luò)安全局）于 2019 年底發(fā)布的《ENISA GOOD PRACTICES FOR SECURITY OF SMART CARS》對于安全檢測、網(wǎng)絡(luò)和協(xié)議保護(hù)、軟件信息安全、云端信息安全、密碼技術(shù)、訪問控制等提出了要求。ASPICE   標(biāo)準(zhǔn)也對汽車信息安全制定了各個相關(guān)的過程域及控制辦法。

4.2.2  信息安全軟件架構(gòu)

鑒于汽車基礎(chǔ)軟件系統(tǒng)功能的復(fù)雜性，汽車基礎(chǔ)軟件系統(tǒng)應(yīng)構(gòu)建完整的信息安全防護(hù)機(jī)制，在自身的信息安全保證完整的安全防護(hù)，例如系統(tǒng)內(nèi)核完整性保護(hù)、安全隔離、安全啟動、安全監(jiān)測，同時還需要為上層的業(yè)務(wù)應(yīng)用提供信息安全的防護(hù)支撐能力，包括加密安全服務(wù)、安全存儲、文件加密、數(shù)據(jù)隱私及加密，降低漏洞對系統(tǒng)安全的危險，強(qiáng)化汽車基礎(chǔ)軟件系統(tǒng)的安全防護(hù)能力?；A(chǔ)軟件信息安全架構(gòu)如下圖 4.2-2 所示：

圖4.2-2 基礎(chǔ)軟件信息安全架構(gòu)

1.  安全服務(wù)層

(1) 安全存儲服務(wù)

密鑰管理模塊需要與硬件能力結(jié)合來進(jìn)一步提升密鑰存儲的安全性。

(2) 安全通信防護(hù)

系統(tǒng)可使用非對稱加密技術(shù)、鑒權(quán)技術(shù)、證書管理和認(rèn)證技術(shù)、安全協(xié)議技術(shù)、防火墻技術(shù)、VPN  等技術(shù)，對系統(tǒng)通信進(jìn)行信息安全防護(hù)。

(3) 系統(tǒng)服務(wù)安全防護(hù)

系統(tǒng)服務(wù)可通過混淆、加殼防護(hù)、防反編譯、安全應(yīng)用管理器等技術(shù)進(jìn)行信息安全防護(hù)。

(4) 數(shù)據(jù)隱私服務(wù)

提供密鑰管理服務(wù)和文件級加密服務(wù)，提高車輛數(shù)據(jù)隱私的安全性，提升本機(jī)對數(shù)據(jù)分區(qū)不同文件的加密保護(hù)。

2.  安全防護(hù)層

(1) 安全監(jiān)控

系統(tǒng)應(yīng)提供安全日志、入侵檢測和入侵防御等方面的安全監(jiān)控功能，用于發(fā)現(xiàn)外部的惡意入侵，并提供阻斷能力。

(2) 內(nèi)核完整性保護(hù)

內(nèi)核完整性保護(hù)包括靜態(tài)完整性保護(hù)和運(yùn)行時完整性保護(hù)，需要確保內(nèi)核不被篡改或在被惡意篡改后能夠被迅速發(fā)現(xiàn)。

(3) 系統(tǒng)安全控制

系統(tǒng)可使用訪問控制機(jī)制，依據(jù)安全策略控制用戶、進(jìn)程等主體對文件、數(shù)據(jù)庫等客體進(jìn)行訪問，禁止不必要的服務(wù)、非授權(quán)的遠(yuǎn)程接入服務(wù)、限制用戶提權(quán)操作，刪除或禁用無用賬號。

(4) 密碼安全模塊

密碼安全模塊通過固化在只讀存儲中的根證書和 CA（Certification Authentication）平臺進(jìn)行交互， 確認(rèn)報文真實可靠，對外部進(jìn)入的軟件升級包、控制命令、推送消息等進(jìn)入的內(nèi)容進(jìn)行驗證，防止其被篡改，能夠為總線通訊、網(wǎng)絡(luò)連接、數(shù)據(jù)存儲等其他模塊提供加密、驗簽、簽名和密鑰存儲、證書管理等功能。

(5) 安全隔離

系統(tǒng)需提供安全隔離功能，將系統(tǒng)內(nèi)核與外部的各種相關(guān)驅(qū)動進(jìn)行物理和邏輯隔離，以防止從存儲空間中讀取或者篡改應(yīng)用空間內(nèi)的數(shù)據(jù)。

(6) 安全啟動

系統(tǒng)應(yīng)利用可信代碼的信任鏈，從引導(dǎo)代碼開始，逐級校驗各階段鏡像的完整性，防止系統(tǒng)運(yùn)行的各級代碼被惡意篡改。