一、前言、引言(非正文章节)
- 前言:标准制定背景、适用范围、与 ISO 26262(功能安全)的协同关系
- 引言:网络安全对道路车辆 E/E 系统的必要性、全生命周期覆盖、风险导向原则
二、正文核心章节(1--15 章)
第 1 章 范围(Scope)
- 适用:道路车辆E/E 系统、组件、软件、整车的网络安全工程,覆盖全生命周期(概念→退役)
- 不适用:非道路车辆、纯机械系统、已明确排除的专用系统
- 核心定位:为车辆网络安全提供过程框架、风险评估方法、管理要求,支撑 UN R155 等法规合规
第 2 章 规范性引用文件(Normative references)
- 引用 ISO/IEC 27001、ISO 26262、SAE J3061 等相关标准,明确术语与方法一致性
第 3 章 术语、定义与缩写(Terms, definitions and abbreviated terms)
- 核心术语:Item(车辆项)、Asset(资产)、Threat(威胁)、Vulnerability(漏洞)、Risk(风险)、TARA(威胁分析与风险评估)、Cybersecurity Goal(网络安全目标)、Cybersecurity Case(网络安全案例)
- 统一全标准术语口径,避免歧义
第 4 章 一般考虑(General considerations)
- 网络安全工程基本原则:风险导向、全生命周期、持续改进、供应链协同、与功能安全(ISO 26262)融合
- 裁剪原则:可基于车辆类型、复杂度裁剪活动,但必须记录理由、独立评审、保留可追溯性
- 输出:网络安全工程总体框架、裁剪说明文档
第 5 章 组织级网络安全管理(Organizational cybersecurity management)
- 核心:建立组织层面 CSMS(网络安全管理体系),顶层治理、文化、资源保障
- 关键内容:
- 管理层承诺、网络安全方针、目标与绩效指标
- 角色职责(网络安全负责人、专家、审核员)、能力与培训
- 文档控制、变更管理、信息共享、审计与持续改进
- 资源保障、合规义务管理
- 输出:网络安全方针、组织级 CSMS 文档、角色矩阵、培训计划、审计报告
第 6 章 项目级网络安全管理(Project dependent cybersecurity management)
- 核心:将组织级要求落地到单个车辆 / 系统项目,规划全流程网络安全活动
- 关键内容:
- 项目网络安全职责分配、计划制定(含里程碑、评审点)
- 项目裁剪、供应商接口管理、现成组件(COTS)管控
- 网络安全档案(记录全生命周期活动)、网络安全案例(论证风险可接受)
- 项目放行前的网络安全评估与批准
- 输出:项目网络安全计划、网络安全档案、网络安全案例、项目放行报告
第 7 章 分布式网络安全活动(Distributed cybersecurity activities)
- 核心:规范OEM - 供应商(Tier1/Tier2) 间的网络安全责任划分、协作与接口管控
- 关键内容:
- 责任分配(RASIC 矩阵)、供应商网络安全能力评估
- 合同 / 协议中的网络安全要求、接口安全规范、变更协同
- 信息共享、漏洞通报、证据传递机制
- 输出:供应商网络安全要求、责任矩阵、接口控制文档、供应商评估报告
第 8 章 持续网络安全活动(Continual cybersecurity activities)
- 核心:贯穿全生命周期、持续监控、事件响应、漏洞管理、风险再评估
- 关键内容:
- 网络安全监控(内部日志、外部威胁情报、漏洞库)
- 安全事件识别、分类、评估、响应、溯源
- 漏洞分析(识别、验证、分级)、漏洞管理(修复、缓解、告知、追溯)
- 定期风险再评估、持续改进
- 输出:监控报告、事件响应记录、漏洞台账、风险再评估报告
第 9 章 概念阶段(Concept)
- 核心:定义项目边界、识别资产、开展初始 TARA、确定网络安全目标与要求
- 关键内容:
- 确定 Item 范围、边界、环境、相关方
- 识别网络安全资产(ECU、通信、数据、功能、接口)
- 初始威胁分析、风险评估(TARA),确定不可接受风险
- 制定网络安全目标、网络安全要求(功能 / 技术 / 流程)
- 输出:Item 定义、资产清单、初始 TARA 报告、网络安全目标、网络安全规范
第 10 章 产品开发(Product development)
- 核心:将网络安全要求嵌入硬件 / 软件 / 系统设计、实现、单元 / 集成验证
- 关键内容:
- 网络安全需求分解、架构设计(安全分区、隔离、通信安全)
- 安全机制实现:安全启动、访问控制、加密、防火墙、入侵检测、安全更新(OTA)
- 软件 / 硬件开发安全规范、代码审计、组件安全验证
- 集成测试、接口安全测试、漏洞扫描
- 输出:网络安全架构、安全设计文档、测试报告、安全代码 / 固件、集成验证报告
第 11 章 网络安全验证(Cybersecurity validation)
- 核心:整车 / 系统级验证,确认网络安全措施满足目标、风险可接受
- 关键内容:
- 验证计划制定、覆盖威胁场景与 TARA 结果
- 测试类型:渗透测试、模糊测试、攻防演练、故障注入、合规性测试
- 验证结果评估、偏差处理、回归测试
- 网络安全案例更新、最终放行验证
- 输出:验证计划、测试报告、验证结论、更新后的网络安全案例
第 12 章 生产(Production)
- 核心:确保制造 / 装配过程不引入新漏洞、保护生产环节安全
- 关键内容:
- 生产环境网络安全、访问控制、设备安全
- 固件 / 软件烧录安全、密钥 / 凭证安全注入、防篡改
- 生产数据安全、供应链生产环节管控、出厂安全检查
- 输出:生产安全规范、烧录 / 密钥管理流程、出厂安全检查记录
第 13 章 运行与维护(Operations and maintenance)
- 核心:车辆在役期间的安全监控、事件响应、OTA 更新、漏洞修复、维保安全
- 关键内容:
- 远程监控、诊断安全、OBD 接口管控
- 安全更新管理(OTA 验证、签名、回滚、版本管控)
- 事件响应流程、应急处置、用户告知、合规通报
- 维保过程安全、数据隐私保护
- 输出:运维安全手册、OTA 更新流程、事件响应计划、漏洞修复记录
第 14 章 网络安全支持结束与退役(End of cybersecurity support and decommissioning)
- 核心:车辆停止安全支持、报废 / 回收时的安全处置、数据销毁、责任终止
- 关键内容:
- 安全支持终止计划、用户告知、最后安全更新
- 车辆 / 组件退役:数据擦除、密钥销毁、防恢复、合规处置
- 档案归档、责任追溯终止
- 输出:退役计划、数据销毁记录、支持终止公告、归档文档
第 15 章 威胁分析与风险评估方法(TARA methodology)
- 核心:提供标准化 TARA 流程,支撑全生命周期风险评估(UN R155 Annex 5 直接引用)
- 关键步骤(完整闭环):
- 资产识别与估值(识别关键资产、定义安全属性:机密性 / 完整性 / 可用性)
- 威胁识别(参考 UN R155 Annex 5 等威胁库)
- 漏洞识别(资产脆弱点、攻击路径)
- 影响分析(对车辆、乘员、道路使用者、数据的影响分级)
- 攻击可行性评估(攻击复杂度、资源、成功率)
- 风险等级计算(影响 × 可行性)、风险接受 / 缓解 / 转移 / 规避决策
- 风险处置措施制定、验证、追溯
- 输出:完整 TARA 报告、风险清单、处置措施、风险接受证明
标准结构总览(逻辑分层)
- 基础层(1--4):范围、术语、原则、裁剪
- 管理层(5--7):组织→项目→供应链,自上而下的治理
- 全生命周期层(8--14):持续活动→概念→开发→验证→生产→运维→退役
- 方法层(15):TARA 核心方法论,贯穿全流程