標(biāo)準(zhǔn)化的總體思路、 目標(biāo)

信息安全是汽車基礎(chǔ)軟件產(chǎn)品安全及可靠運(yùn)行的重要保障。一方面基礎(chǔ)軟件所具備的基礎(chǔ)性機(jī)制和功能能夠?yàn)槠嚨纳蠈討?yīng)用軟件提供信息安全方面的支撐，另一方面基礎(chǔ)軟件自身的安全性也對上層應(yīng)用軟件乃至系統(tǒng)整體的安全性產(chǎn)生影響。相比汽車的應(yīng)用，從有利于產(chǎn)業(yè)生態(tài)發(fā)展的角度，汽車基礎(chǔ)軟件未來將更加開放和標(biāo)準(zhǔn)化，由于不可避免的設(shè)計(jì)或?qū)崿F(xiàn)上的缺陷，對其脆弱性的認(rèn)知會(huì)更加廣泛，遭受安全威脅和攻擊的可能性也越大。針對汽車基礎(chǔ)軟件的攻擊，可以直接影響到汽車的功能安全和人身安全，也會(huì)涉及到重要數(shù)據(jù)及個(gè)人隱私數(shù)據(jù)等的安全。制定關(guān)于汽車基礎(chǔ)軟件的信息安全標(biāo)準(zhǔn)，對于定義汽車基礎(chǔ)軟件的安全基線，指導(dǎo)行業(yè)在汽車基礎(chǔ)軟件的需求、設(shè)計(jì)、開發(fā)、實(shí)現(xiàn)、驗(yàn)證等階段同步開展信息安全相關(guān)的實(shí)踐，具有重要的、積極的意義。如第二章所述，根據(jù)國家相關(guān)部委、標(biāo)準(zhǔn)化組織發(fā)布的關(guān)于智能（網(wǎng)聯(lián)）汽車的標(biāo)準(zhǔn)化指導(dǎo)思想以及標(biāo)準(zhǔn)體系規(guī)劃，有關(guān)汽車網(wǎng)絡(luò)安全 / 信息安全的標(biāo)準(zhǔn)體系也正在加速建設(shè)中，其中也涉及了汽車基礎(chǔ)軟件信息安全的內(nèi)容。因此有關(guān)汽車基礎(chǔ)軟件信息安全的標(biāo)準(zhǔn)建設(shè)，需要與目前已立項(xiàng)在研的關(guān)于汽車基礎(chǔ)軟件，如車載操作系統(tǒng)、車控操作系統(tǒng)等的國標(biāo)、行標(biāo)內(nèi)容相協(xié)調(diào)，基于相關(guān)國標(biāo)、行標(biāo)所定義的有關(guān)汽車基礎(chǔ)軟件的框架及總體要求，從細(xì)化信息安全相關(guān)要求、提供參考規(guī)范的角度，開展團(tuán)體標(biāo)準(zhǔn)的研制，作為國標(biāo)、行標(biāo)的補(bǔ)充，更利于指導(dǎo)開發(fā)實(shí)踐。

標(biāo)準(zhǔn)化建議

表6.2-1 標(biāo)準(zhǔn)化建議標(biāo)準(zhǔn)化項(xiàng)目內(nèi)容概述編制時(shí)間汽車基礎(chǔ)軟件信息安全生命周期指南從軟件生命周期安全保障的角度，提出對汽車基礎(chǔ)軟件開發(fā)過程中與 信息安全有關(guān)的過程要求，包括軟件安全需求、安全設(shè)計(jì)、安全實(shí)現(xiàn)、安全測試、安全驗(yàn)證、安全評估、安全更新、安全消亡等環(huán)節(jié)，以及有關(guān)的支持過程要求。
2023.01-2023.12車控操作系統(tǒng)信息安全技術(shù)規(guī)范針對車控操作系統(tǒng)的特點(diǎn)，從硬件安全架構(gòu)的支持與利用、安全通信、應(yīng)用軟件安全防護(hù)、系統(tǒng)安全防護(hù)、安全可信啟動(dòng)、訪問控制與身份鑒別、安全監(jiān)測、日志與審計(jì)等方面對其信息安全技術(shù)給出規(guī)范性要求。2023.01-2023.12車載操作系統(tǒng)信息安全技術(shù)規(guī)范針對車載操作系統(tǒng)的特點(diǎn)，從硬件安全架構(gòu)的支持與利用、安全通信、應(yīng)用軟件安全防護(hù)、系統(tǒng)安全防護(hù)、安全可信啟動(dòng)、訪問控制與身份鑒別、安全監(jiān)測、日志與審計(jì)等方面對其信息安全技術(shù)給出規(guī)范性要求。2023.01-2023.12標(biāo)準(zhǔn)化項(xiàng)目內(nèi)容概述編制時(shí)間車控操作系統(tǒng)信息安全測試規(guī)程根據(jù)《車控操作系統(tǒng)信息安全技術(shù)規(guī)范》的內(nèi)容，給出對相應(yīng)技術(shù)規(guī)范的測試方法、測試用例、測試步驟等的說明。2023.07-2024.06車載操作系統(tǒng)信息安全測試規(guī)程根據(jù)《車載操作系統(tǒng)信息安全技術(shù)規(guī)范》的內(nèi)容，給出對相應(yīng)技術(shù)規(guī)范的測試方法、測試用例、測試步驟等的說明。2023.07-2024.06汽車基礎(chǔ)軟件數(shù)據(jù)安全技 術(shù)規(guī)范與測試方法基于相關(guān)法規(guī)、標(biāo)準(zhǔn)對汽車數(shù)據(jù)安全的要求，對汽車基礎(chǔ)軟件中涉及的數(shù)據(jù)分類分級(jí)、數(shù)據(jù)的采集、存儲(chǔ)、傳輸、共享、訪問、使用、銷毀等生命周期活動(dòng)的安全提出有關(guān)的技術(shù)要求與測試方法。
2023.10-2024.09汽車基礎(chǔ)軟件代碼安全技 術(shù)規(guī)范與測試方法
從汽車基礎(chǔ)軟件代碼自身安全的角度，包括編碼規(guī)范與規(guī)則、漏洞 / 脆弱性、以及相關(guān)安全加固技術(shù)的使用等，提出技術(shù)要求與測試方法。
2023.10-2024.09汽車嵌入式設(shè)備密碼應(yīng)用規(guī)范基于硬件安全模塊、安全芯片等提供的密碼運(yùn)算、密鑰 / 證書存儲(chǔ)、密鑰 / 證書管理等方面的能力，規(guī)范有關(guān)硬件安全模塊、安全芯片的驅(qū)動(dòng)程序、抽象的訪問接口，以及密碼服務(wù)管理等方面的內(nèi)容2024.01-2024.12