一、工作简况
1.任务来源
国家标准《信息安全技术 车载网络安全设备信息安全技术要求》制定工作由全国信息安全标准化技术委员会秘书处下达立项通知(信安秘字[2019]050号),主要承担单位为东软集团股份有限公司、公安部第三研究所、 中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件评测中心、 一汽轿车股份有限公司、长城汽车股份有限公司等。
2.协作单位
任务下达后,东软集团股份有限公司立即与测评机构、业内厂商和科研院校进行沟通并得到了积极参与的反馈,并于10月30日结束的参编单位征集活动后,国家工业信息安全发展研究中心、公安部第一研究所、国汽(北京)智能网联汽车研究院有限公司、北京航空航天大学、中国软件评测中心、阿里云计算有限公司、北京奇虎科技有限公司、北京天融信网络安
全技术有限公司、公安部交通管理科学研究所、工业和信息化部电子第五研究所、中国科学院信息工程研究所、中国汽车工程研究院有限公司、北京百度网讯科技有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、启明星辰信息技术集团股份有限公司、北京安天网络安全技术有限公司、中国信息通信研究院、网神信息技术(北京)股份有限公司、国家计算机网络应急技术处理协调中心、北京中电华大电子设计有限责任公司、北京理工华创电动车技术有限公司、联合汽车电子有限公司、北京梆梆安全科技有限公司、天津国芯科技有限公司、长城汽车股份有限公司、北京神州绿盟科技有限公司、重庆邮电大学、上海市信息安全测评认证中心、一汽轿车股份有限公司 、任子行网络技术股份有限公司、恒安嘉新(北京)科技股份公司、电子科技大学、重庆长安汽车股份有限公司等60家单位报名加入编制组。
3.主要工作过程
3.1 成立编制组
本标准的制定任务由东软集团股份有限公司、公安部第三研究所、 中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件评测中心、 一汽轿车股
份有限公司、长城汽车股份有限公司和其他参编单位共同承担。
2019年10月10日召开标准启动会。共60家单位通过参编征集,加入该标准编写组。
2019年10月28日第二次工作组会议周在重庆召开。会上,由刘晓春代表编制组上会就草案推进做汇报及答辩,与会专家对本标准进行了认真审议,提出了相关意见。会议期间,评审专家通过会上及线上评审投票,该标准最终通过评审,顺利进入征求意见稿推进阶段。
重庆会议后,编制组成员针对专家意见对标准文本进行了修改和更新。12月6日向工作组提交征求意见稿。
3.2 制定工作计划
编制组首先制定工作计划,并确定了编制组人员及时沟通交流工作情况。
3.3 国内外相关标准调研
国际上在车载信息安全标准方面已经着手研制,部分已经发布。技术发展趋势上,目前安全传输和数据安全防护技术都是应用在传统IT领域。由于车联网信息系统自身业务和物理
资源的限制,这些传统的安全技术不完全适用于车联网领域。车联网的信息安全属于传统信息安全和汽车电子的交叉领域,目前没有成熟的安全解决方案,相应的国家标准也亟待建立。
国际现状:
国际上车载信息安全日益收到关注,一些组织已经开始着手布局。
1.国际标准推进情况:
(1)IOS与汽车信息安全相关的标准:ISO/TC204 、ISO/TC22 、ISO/TC241 、ISO/IEC JTC1
(2)ISO /TC204智能交通系统国际标准化委员会,目前已经发布226项国际标准,现有12个活跃工作组。我国是TC204成员国,负责国际ITS相关标准投票等工作。
(3)ISO/TC22:SC32新设立WG11负责汽车安全工程标准化项目。
(4)WP29下属ITS/AD非正式工作组,制定了《网联汽车和自动驾驶汽车技术汽车网络安
全及数据保护措施指南》是全球统一法规出台前的过渡性指导文件。(WP29的全称为联合国世界车辆法规协调论坛,WP29的工作是目前我国汽车行业参加的主要国际汽车技术法规工作)
2. 国际组织关注情况
(1)欧盟Evita组织2011年推出了“E-Safety Vehicle Intrusion Protected Application Protection”项目。主要发布信息安全需求分析、车载安全架构设计、信息安全架构原理样机 、原理样机展示。
(2)日本 IPA组织2013年发布了“Vehicle information security guide”指南,主要针对车辆信息安全保护对象、汽车信息安全威胁分析、生命周期信息安全管理。
(3)美国SAE组织2016年发布了“Cybersecurity Guidebook for Cyber-Physical Vehicle Systems”标准指南,主要针对全生命周期流程框架以及提供高级网络安全技术指导原则和工具方法。
国内情况:
智能汽车网络安全系统的开发必须从车辆设计阶段就开始进行,并贯彻整个车辆研发过程始终,国外也出现了相关的汽车信息安全技术配套企业,协助汽车企业的信息安全保障工作。而我国信息安全的相关研究处于起步阶段,汽车的信息安全标准、技术等方面相对薄弱,在智能网联汽车、自动驾驶汽车等技术全球化发展的重要阶段,与国际标准同时,甚至赶超于国际标准发布之前制定出适宜我国国情的汽车信息安全标准,是保障我国汽车产业健康发展、促进我国汽车品牌跻身于国际重大品牌的关键要素。另一方面,汽车智能网联化已成为世界各国为解决日益严峻的道路交通安全、效率、环境问题的重要途径,美欧日等政府已制定相关战略及计划,主要汽车制造商也积极开展公路实证试验,全球汽车产业已进入智能网联汽车实用化的竞争发展阶段。我国应抓住机遇,加强顶层设计和统筹协调,协同突破感知、通信、控制等关键核心技术,形成自主可控的汽车信息化安全防护能力,促进我国汽车企业在智能网联技术领域的追赶。当前首要目标就是建立兼容性的车载信息安全标准法规、法律体系。开展融合汽车电动化和智能化、道路交通工程设施标准的综合标准化体系研究,争取国际标准制定的话语权。
3.4 参考资料
本标准制定过程中,主要参考了:
[1] GB/T 25056-2010 信息安全技术 证书认证系统 密码及其相关安全技术规范
[2]GB/T 32960.1-2016 电动汽车远程服务与管理系统技术规范
[3]CSAE 101-2018《智能网联汽车车载端信息安全技术要求》
[4]IPA Approaches for Connected Vehicle Security长城汽车安全性
[5]IPA Approaches for Vehicle Information Security
[6]EVITA Hardware Security Modules
[7] SAE J3061 Cybersecurity Guidebook for Cyber-Physical Vehicle Systems
[8] FIPS 140-2 Security requirements for cryptographic modules
[9]RFC 4086 Randomness Requirements for Security
3.5 确定制定内容
经标准编制组研究决定,以调研结果为研究基础,以当前信息安全产品的发展动向为研究目标,完成国家标准《信息安全技术 车载网络安全设备信息安全技术要求》的制定工作。
3.6 主要起草人及其工作
标准编制组以路娜为组长,组员包括陈静相、刘晓春、邸丽清、唐迪、郭盈、李彦奇、李宽、张小东、申永波、张雷、刘东、刘建行、冀浩杰、郭盈、张涛、詹鹏翼、雷晓锋、封正、贾世准、闫兆腾、唐春蓬、周立勇、王辉、安潇羽、王乃青、刘兴伟、陈艳明、赵元勋、牟宁波、李煜光、刘丹、巩金亮、王睿、董爱道、程济源、邸丽清、杨军涛、訾小超、周艺璇、李煜、李晓阳、吴凌、徐雨晴、李菁、李彦奇、唐缓、孙科、韩煜、陈丽蓉、罗薇、张裁会、苗澎锋、张变玲、唐迪、申永波、王奕、许中奇、曹凯、 范春朝、于孝勇、左洪强、尹子栋 、杨贤伟、蒋鑫龙、董云鹏、罗洋军、王彦祥、佟国毓、盛莉、王春铭、王海罗、霍盛锟、吴光伟等人。
二、标准编制原则和确定主要内容的论据及解决的主要问题
1.标准制定原则
本标准以自主编写的方式完成,编写格式和方法依照GB/T 1.1-2009 标准化工作导则 第一部分:标准的结构和编写规则。
发布评论