GB/T 46194-2025 道路车辆 信息安全工程

ICS43040

CCST.40

中华人民共和国国家标准

GB/T46194—2025/ISO/SAE214342021

:

道路车辆信息安全工程

Roadvehicles—Cybersecurityengineering

ISO/SAE214342021IDT

(:,)

2025-10-05发布2025-10-05实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T46194—2025/ISO/SAE214342021

:

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

整体考虑

4…………………5

组织的信息安全管理

5……………………6

项目相关的信息安全管理

6………………10

分布式信息安全活动

7……………………16

持续的信息安全活动

8……………………18

概念阶段

9…………………21

产品研发

10………………24

信息安全确认

11…………………………28

生产

12……………………29

运营和维护

13……………30

信息安全支持终止和报废

14……………32

威胁分析和风险评估方法

15……………33

附录资料性信息安全活动和工作成果摘要

A()………40

附录资料性信息安全文化示例

B()……………………43

附录资料性信息安全接口协议模板示例

C()…………44

附录资料性信息安全的相关性判定方法和准则示例

D()———………46

附录资料性信息安全保障等级

E()……………………47

附录资料性影响评级的准则

F()………………………52

附录资料性攻击可行性评级指南

G()…………………54

附录资料性方法的应用示例前照灯系统以及网关

H()TARA———………………59

参考文献

……………………77

Ⅰ

GB/T46194—2025/ISO/SAE214342021

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件等同采用道路车辆信息安全工程

ISO/SAE21434:2021《》。

本文件做了下列最小限度的编辑性改动

:

增加了关于汽车网关的威胁分析和风险评估示例见附录以帮助标准使用者更

———(TARA)(H),

好地理解威胁分析和风险评估方法

(TARA)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中华人民共和国工业和信息化部提出

。

本文件由全国汽车标准化技术委员会归口

(SAC/TC114)。

本文件起草单位中国汽车技术研究中心有限公司泛亚汽车技术中心有限公司广州汽车集团股

:、、

份有限公司上海华为技术有限公司北京航空航天大学上海机动车检测认证技术研究中心有限公司

、、、、

三六零数字安全科技集团有限公司国汽北京智能网联汽车研究院有限公司电子科技大学中国软

、()、、

件评测中心工业和信息化部软件与集成电路促进中心梅赛德斯奔驰中国投资有限公司北京百

()、-()、

度网讯科技有限公司东软集团股份有限公司沃尔沃汽车亚太投资控股有限公司东风汽车集团股

、、()、

份有限公司长城汽车股份有限公司一汽大众汽车有限公司法雷奥汽车内部控制深圳有限公司

、、-、()。

本文件主要起草人孙航张亚楠冯海涛罗浩李宝田潘凯杨世春许瑞琛严敏睿郑继虎

:、、、、、、、、、、

罗蕾王海均朱科屹吕明刘健皓陈静相张云霞龚诗祺李晓阳王博朱燚

、、、、、、、、、、。

Ⅲ

GB/T46194—2025/ISO/SAE214342021

:

道路车辆信息安全工程

1范围

本文件规定了道路车辆中电子电气系统包括其组件和接口在概念产品开发生产运营

(E/E)()、、、、

维护和报废阶段的信息安全风险管理的工程要求

。

本文件定义了一个包括信息安全过程要求以及沟通和管理信息安全风险的通用语言框架

。

本文件适用于开发或改进量产道路车辆系统包括其组件和接口

E/E,。

本文件未规定与信息安全有关的具体技术或解决方案

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

道路车辆功能安全第部分概念阶段

GB/T34590.3—20223:(ISO26262-3:2018,MOD)

注被引用的内容与被引用的内容没有技术上的差异

:GB/T34590.3—2022ISO26262-3:2018。

3术语和定义缩略语

、

31术语和定义

.

下列术语和定义适用于本文件

。

311

..

架构设计architecturaldesign

可识别组件及其边界接口和交互的表示方法

(3.1.7)、。

312

..

资产asset

具有价值或对价值做出贡献的对象

。

注资产具有一个或多个信息安全属性当信息安全属性被违背时可能导致一个或多个危害场景

:(3.1.20),(3.1.22)。

313

..

攻击可行性attackfeasibility

攻击路径的属性描述成功执行相应攻击活动的难易度

(3.1.4),。

314

..

攻击路径attackpath

攻击

attack

为实现威胁场景的一组蓄意活动

(3.1.33)。

315

..

攻击者attacker

执行攻击路径的个人团体或组织

(3.1.4)、。

1

GB/T46194—2025/ISO/SAE214342021

:

316

..

审核audit

对过程进行检查以确定过程目标的实现程度

,。

317

..

组件component

逻辑上和技术上能分离的组成部分

。

318

..

客户customer

接受服务或产品的个人或组织

。

319

..

信息安全cybersecurity

道路车辆信息安全

roadvehiclecybersecurity

使资产处于受到充分保护的状态免受道路车辆相关项其功能及其电气或电子组

(3.1.2),(3.1.25)、

件的威胁场景的危害

(3.1.7)(3.1.33)。

注为简洁起见本文件使用信息安全一词代替道路车辆信息安全

:,“”。

3110

..

信息安全评估cybersecurityassessment

信息安全状态的评价

(3.1.9)。

3111

..

信息安全档案cybersecuritycase

有证据支持的结构化论证表明风险的合理性

,(3.1.29)。

3112

..

信息安全声明cybersecurityclaim

关于风险的声明

(3.1.29)。

注包括保留或分担风险的理由

:。

3113

..

信息安全概念cybersecurityconcept

相关项的信息安全需求和对操作环境的要求以及有关信息安全控制的相

(3.1.25)(3.1.26)(3.1.14)

关信息

。

3114

..

信息安全控制cybersecuritycontrol

改变风险的措施

(3.1.29)。

3115

..

信息安全事态cybersecurityevent

与相关项或组件有关的信息安全信息

(3.1.25)(3.1.7)(3.1.18)。

3116

..

信息安全目标cybersecuritygoal

与一个或多个威胁场景相关的概念级信息安全需求

(3.1.33)。

3117

..

信息安全事件cybersecurityincident

可能涉及漏洞利用的情况

(3.1.38)。

2

GB/T46194—2025/ISO/SAE214342021

:

3118

..

信息安全信息cybersecurityinformation

与信息安全有关的信息其相关性尚未确定

(3.1.9),。

3119

..

信息安全接口协议cybersecurityinterfaceagreement

客户和供应商之间关于分布式信息安全活动的协议

(3.1.8)(3.1.23)。

3120

..

信息安全属性cybersecurityproperty

值得保护的属性

。

注属性包括保密性完整性和可用性

:、。

3121

..

信息安全规范cybersecurityspecification

信息安全需求和相应的架构设计

(3.1.1)。

3122

..

危害场景damagescenario

涉及车辆或车辆功能且影响道路使用者的不良后果

(3.1.31)。

3123

..

分布式信息安全活动distributedcybersecurityactivities

相关项或组件的信息安全活动其责任在客户和供应商之间分配

(3.1.25)(3.1.7),(3.1.8)。

3124

..

影响impact

因危害场景造成的损害程度或物理伤害程度的估计

(3.1.22)。

3125

..

相关项item

在车辆层面实现一个功能的组件或组件集

(3.1.7)。

注如果一个系统在车辆层面实现了一个功能它就能成为一个相关项否则就是一个组件

:,,。

3126

..

操作环境operationalenvironment

在操作使用中考虑到相互作用的环境

。

注相关项或组件的操作使用包括在车辆功能生产服务和修理中的使用

:(3.1.25)(3.1.7),、、。

3127

..

独立于环境out-of-context

未在特定相关项定义下的开发

。

示例基于假设信息安全需求的处理单元可集成到不同的相关项中

:(3.1.25)。

3128

..

渗透测试penetrationtesting

模拟真实攻击的信息安全测试用以识别破坏信息安全目标的方法

,(3.1.16)。

3129

..

风险risk

信息安全风险cybersecurityrisk

道路车辆信息安全不确定性的效果用攻击可行性和影响表示

(3.1.9),(3.1.3)(3.1.24)。

3

GB/T46194—2025/ISO/SAE214342021

:

3130

..

风险管理riskmanagement

指导和控制组织的风险的协调活动

(3.1.29)。

3131

..

道路使用者roaduser

参与道路交通活动的人员

。

示例乘客行人骑行人车辆驾驶者车辆拥有者

:、、、、。

3132

..

裁剪tailor

省略某项活动或者以与本文件中所描述的不同方式来执行某项活动

。

3133

..

威胁场景threatscenario

为实现危害场景一个或多个资产的信息安全属性遭到破坏的潜在原因

(3.1.22),(3.1.2)(3.1.20)。

3134

..

分类triage

分析以确定信息安全信息与某一相关项或组件的相关性

(3.1.18)(3.1.25)(3.1.7)。

3135

..

触发器trigger

用于分类的准则

(3.1.34)。

3136

..

确认validation

通过提供客观证据以证明相关项的信息安全目标是否充分并已实现

(3.1.25)(3.1.16)。

3137

..

验证verification

通过提供客观证据确认是否满足特定要求

。

3138

..

漏洞/脆弱性vulnerability

能被利用的弱点作为攻击路径的一部分

(3.1.40),(3.1.4)。

3139

..

漏洞分析vulnerabilityanalysis

系统地识别和评估漏洞

(3.1.38)。

3140

..

弱点weakness

可导致非预期行为的缺陷或特征

。

示例如缺少需求或规范架构或设计缺陷包括安全协议的不正确设计实现的弱点包括硬件和软件的缺陷安

:;,;,,

全协议的不正确的实现操作过程或程序有缺陷包括操作不当和用户培训不足使用过时或弃用的功能包括加密算

;,;,

法等

。

32缩略语

.

下列缩略语适用于本文件

。

信息安全保障等级

CAL:(CybersecurityAssuranceLevel)

通用漏洞评分系统

CVSS:(CommonVulnerabilityScoringSystem)

4

GB/T46194—2025/ISO/SAE214342021

:

电子控制单元

ECU:(ElectronicControlUnit)

电子电气

E/E:(ElectricalandElectronic)

车载诊断

OBD:(On-BoardDiagnostic)

原始设备制造商

OEM:(OriginalEquipmentManufacturer)

许可

PM:(Permission)

责任批准支持知情咨询

RASIC:、、、、(Responsible,Accountable,Supporting,Informed,Consul-

ted)

建议

RC:(Recommendation)

要求

RQ:(Requirement)

威胁分析和风险评估

TARA:(ThreatAnalysisandRiskAssessment)

工作成果

WP:(WorkProduct)

4整体考虑

一个相关项包括车辆中实现整车级别特定功能例如制动的所有电子设备和软件组件一个

(:)()。

相关项或一个组件与各自的操作环境相互作用

。

本文件仅适用于批量生产的道路车辆不是原型车与信息安全相关的相关项和组件包括售后和

(),

配套服务组件出于信息安全目的可能考虑车辆的外部系统例如后端服务器但不在本文件的范

。(:),

围内

。

本文件从单个相关项的角度来描述信息安全工程本文件未规定如何适当分配道路车辆架

。E/E

构中相关项功能对于车辆整体而言可能考虑构建车辆架构或其信息安全相关的相关项和组件

。,E/E

的信息安全档案集如果在相关项和组件上执行了本文件中描述的信息安全活动将会解决车辆不合

。,

理的信息安全风险如图所示本文件中描述的组织整体信息安全风险管理适用于全生命周期

。1,。

图1整体信息安全风险管