ICS 33.040.40 CCS M19 体 标 准 T/SHV2X2-2025 车联网服务平台符合性评测实施指南 Implementation guidelines for conformance testing and evaluation of service platform of Internet ofvehicle 2025-01-15发布 2025-01-15实施 上海市车联网协会发布
T/SHV2X 2-2025 目次 前言 II 1范围 2规范性引用文件 3术语和定义 4缩略语 5总则 2 5.1概述 2 5.2评测方式 2 5.3评测手段 5.4评测过程 6评测实施步骤 3 6.1评测准备 3 6.2方案编制 4 6.3现场评测 5 6.4报告编制 6 7评测实施.
6 7.1第1级 .6 7.2第2级 18 7.3第3级及以上 30 参考文献 44
T/SHV2X 2-2025 前言 的规定起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由上海市车联网协会提出并归口.
本文件起草单位:上研智联智能出行科技(上海)有限公司、上海计算机软件技术开发 中心、上海银基科技股份有限公司、润成安全技术有限公司、工业互联网创新中心(上海) 有限公司、上海蔚来汽车有限公司、零束科技有限公司、上汽大众汽车有限公司、福特汽车 (中国)有限公司、沃尔沃汽车技术(上海)有限公司、艾普拉斯(上海)质量检测有限公司、 上海优咔网络科技有限公司.
本文件主要起草人:潘政伟、杨伟利、宋晓航、吴建华、何旺君、毛争艳、刘振宇、李 爽、严超、刘海、曹远晶、杨晓光、王菲、王艳艳,杜同祯、杨清羽、李泽惠、杨靖、薛超、 毛康瑞.
IⅡ
T/SHV2X 2-2025 车联网服务平台符合性评测实施指南 1范围 本文件提供了车联网服务平台符合性评测的实施指南,给出了对车联网服务平台不同级 别的安全防护要求实施符合性评测的总则、实施步骤和内容,包括安全管理、安全技术和物 理环境安全的评测实施.
企业以及评测机构开展对车联网服务平台的网络安全符合性评测工作,也可供相关主管部门 参考.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款,其中,注日期 的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括 的修改单)适用于本文件.
GB/T22239-2019信息安全技术网络安全等级保护基本要求 GB/T28448-2019信息安全技术网络安全等级保护测评要求 YD/T2700-2014电信网和互联网安全防护基线配置要求及检测要求数据库 YD/T2702-2014电信网和互联网安全防护基线配置要求及检测要求中间件 T/CCSA339-2021车联网网络安全防护定级备案实施指南 T/CCSA441-2023车联网服务平台网络安全防护要求 3术语和定义 下列术语和定义适用于本文件.
3. 1 车联网Internetof vehicles 通过新一代网络通信技术实现与汽车、电子、道路交通运输等领域深度融合,实现车、 路、人、平台等之间的全方位互联和信息交互,促进车辆行驶安全、交通效率服务以及支撑 自动驾驶演进的复杂网络及相关系统.
[来源:T/CCSA 339-2021,3.1] 3. 2 车联网服务平台serviceplatformof Internetofvehicle 面向车联网业务应用,负责车辆及相关设备信息的接入、汇聚、计算、监控或管理等功 能(可负责一种或多种功能),提供信息管理或服务等的信息系统/平台,例如车辆运营管 理、信息娱乐、在线升级、远程诊断、远程控制、车联网卡管理等应用服务或管理功能.
[来源:T/CCSA 441-2023,3.1] 4缩略语 下列缩略语适用于本文件.
APT:高级持续性威胁(Advanced Persistent Threat)
T/SHV2X 22025 CPU:中央处理器(CentralProcessing Unit) DDoS:分布式拒绝服务攻击(Distributed Denialof Service) FTP:文件传输协议(File Transfer Protocol) HTTP:超文本传输协议(HyperText Transfer Protocol) IP:网际互连协议(InternetProtocol) NTP:网络时间协议(Network Time Protocol) POP3:邮局协议版本3(PostOfficeProtocolversion3) SMTP:简单邮件传输协议(Simple Mai1Transfer Protocol) SSL:安全套接层(Secure Sockets Layer) TLS:传输层安全性协议(Transport Layer Security) UTM:统一威胁管理(Unified Threat Management) VLAN:虚拟局域网(Virtual Local Area Network) WAF:网络应用防火墙(Web Application Firewal1) 5总则 5.1概述 车联网服务平台符合性评测是指,对提供车联网信息管理或服务的信息系统/平台进行 符合性评测,以验证其满足相应级别的网络安全防护要求,车联网服务平台的各级网络安全 防护要求可参考T/CCSA441-2023.
车联网服务平台相关企业按照T/CCSA339-2021中第6章的相关要求,确立车联网服 务平台的网络安全防护等级.
第5级车联网服务平台符合性评测不在本文件描述.
第1-4级的车联网服务平台符合性评测内容包含基础级和扩展级两部分,其中基础级为 符合性评测必须实施的内容,扩展级评测内容是否实施由企业自行决定或遵循相关监管单位 的要求.
各级评测内容分为业务应用、网络安全、设备及软件系统安全、数据安全、物理安 全、虚拟化安全和管理安全七个部分.
5.2评测方式 符合性评测方式包括由车联网服务平台相关企业发起的自评测,以及由监管部门发起的 检查评测.
自评测可由车联网服务平台相关企业自行组织开展,也可委托第三方评测机构开 展评测.
5.3评测手段 现场评测活动中评测人员采取人员访谈、文档查阅、实地查看、配置核查、工具测试等 评测手段.
5.4评测过程 符合性评测工作过程包括评测准备活动、方案编制活动、现场评测活动、报告编制活动.
评测准备活动的目标是启动评测项目,收集评测对象相关资料,准备评测所需资料,为 编制评测方案打下基础.
方案编制活动的目标是整理评测准备活动中获取的评测对象相关资料,确定评测的对象、 内容和指标、评测方法等,并制定具体的评测实施计划,为现场评测活动提供指导方案.
现场评测活动通过与被测方进行沟通和协调,依据评测方案实施现场评测工作,以取得 报告编制活动所需的、足够的证据和资料.
报告编制活动是根据评测工作的实际开展情况,对各测评项给出判定结果,形成评测结 论,并编制评测报告.
评测实施流程图如图1所示.
2
