2022-10-24实施 2022-10-23发布CCST40ICS43.020 T/GHDQ93-2022团 体 标 准 吉林省汽车电子协会 发布 发布移动终端控车应用软件信息安全技术要求 Information Security Technical Requirements forMobileTerminal Vehicle Control Application Software GHDQ 全国团体标准信息平台 GHDQ全国团体标准信息平台 T/GHDQ93-2022 I目次 前言................................................................................. III 引言................................................................................... V 1范围................................................................................. 1 2规范性引用文件 ....................................................................... 1 3术语和定义 ........................................................................... 1 4APP基础安全 .......................................................................... 1 4.1来源安全 ......................................................................... 1 4.2代码安全 ......................................................................... 1 5APP应用安全 .......................................................................... 2 5.1访问控制 ......................................................................... 2 5.2身份鉴别 ......................................................................... 2 5.3操作安全 ......................................................................... 2 5.4日志安全 ......................................................................... 2 6APP数据安全 .......................................................................... 2 6.1合规性要求 ....................................................................... 3 6.2数据保护要求 ..................................................................... 3 6.3数据备份和恢复 ................................................................... 3 7APP通信安全 .......................................................................... 3 7.1安全通道 ......................................................................... 3 7.2通信保持 ......................................................................... 3 GHDQ 全国团体标准信息平台 GHDQ全国团体标准信息平台 T/GHDQ93-2022 III前  言 本文件按照 GB/T1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国第一汽车集团有限公司智能网联开发院提出。 本文件由吉林省汽车电子协会归口。 本文件由吉林省汽车电子协会组织实施。 本文件主要起草单位：中国第一汽车集团有限公司智能网联开发院。 本文件主要起草人 ：陈明、高长胜、李木犀、吴淼、刘毅、高铭霞、边泽宇、邵馨蕊、胡闯、于欢、 陈后立、杨雪珠。 本文件参与起草单位 ：中汽创智科技有限公司 、吉林大学汽车仿真与控制国家重点实验室 、吉林大 学通信工程学院、华晨宝马汽车有限公司、东风汽车集团有限公司技术中心、一汽解放汽车有限公司 、 一汽奔腾轿车有限公司 、中国汽车技术研究中心有限公司 、武汉路特斯科技有限公司 、富赛汽车电子有 限公司、重庆长安汽车股份有限公司。 本文件参与起草人：徐敏杰、李杰、高金武、王思涵、孙伟、梁亚丽、王晓光、李宝田、刘建鑫 、 赵岩、汪向阳、罗薇。 本文件审 查人：周时莹（中国第一汽车 集团有限公司 智能网联开发院 ）、卢放（岚图汽车科技有限 公司）、何文（重庆长安汽车股份有限公司 ）、夏国强（中国汽车工程研究院股份有限公司 ）、孔晓霜 (中国第一汽车集团有限公司创新技术研究院) 。 本文件为首次 发布。 GHDQ全国团体标准信息平台 GHDQ全国团体标准信息平台 T/GHDQ93-2022 V引  言 近年来，我国智能网联汽车产业高速发展 ，便捷化、实用化功能越来越受客户欢迎 。智能网联汽车 越来越多的业务场景采用移动终端应用软件来进行控制和实现， 比如数字钥匙 、远程控车等 。越来越多 的应用场景的涌现 ，给部署在移动终端上的应用软件带来了新的挑战和安全问题 。针对移动终端控车应 用软件进行专门的信息安全技术要求变越来越迫切。 因此，有必要编制一个基础性标准对移动终端控车应用软件的信息安全技术进行规范化要求 ，统一 设计要点，形成平台化技术要求 ，以保证移动终端控车应用软件的安全性和一致性。 为了确保标准的规范化和普适性 ，本规范在基础安全 、应用安全 、数据安全 、通信安全等安全技术 要点进行要求和规范。以形成通用性的技术要求。 GHDQ 全国团体标准信息平台 GHDQ全国团体标准信息平台 T/GHDQ93-2022 1移动终端控车应用软件信息安全技术要求 1.范围 本文件规定了智能网联汽车移动终端控车应用软件信息 安全的技术要求。 本文件适用于智能网联汽车移动终端控车应用软件信息 安全，指导此类业务的信息安全技术的设计 开发、验证、生产等工作。 2.规范性引用文件 下列文件中的内容 通过文中的规范性引用而构成本文件 必不可少 的条款。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于本 文件。 GB/T37729-2019信息技术 智能移动终端应用软件 (APP)技术要求 YD/T3082-2016 移动智能终端上的个人信息保护技术要求 3.术语和定义 下列术语和定义适用于本文件。 3.1 应用软件 Application Software ；App 针对智能移动终端设备开发的专门解决应用问题的软件。 4.APP基础安全 4.1.来源安全 来源安全要求如下： a）APP只能通过车企官方渠道或车企授权的合法渠道下载安装； b）APP应进行相应渠道的签名，应进行完整性校验，防止被非法篡改； c）APP安装、升级时，应对 APP安装包或升级包进行签名的验证 。 4.2.代码安全 代码安全要求如下： a）应对APP代码进行混淆保护， 同时进行安全加固 以对抗源代码 反编译攻击行为； b）应确保APP使用的开源代码及第三方组件代码的安全性及合规性； c）确保发布的 APP不存在权威渠道已发布的高中危漏洞 ，并对权威渠道漏洞持续监测并迭代修补 ； d）APP应具有防动态调试功能，确保攻击者无法通过动态调试方法获得程序内部运行逻辑； e）APP应对自身的资源文件进行保护，防止被恶意攻击和调试分析； GHDQ 全国团体标准信息平台 T/GHDQ93-2022 2f）APP应具有防进程注入功能，防止攻击者通过 hook挂钩的方式将恶意进程注入到 APP中。 5.APP应用安全 5.1.访问控制 访问控制要求如下： a）应设置APP访问权限，对参与跨 APP调用的组件设置访问权限； b）应对授权访问的内容执行访问控制策略，不具备访问权限的应用或用户无法访问该 APP； c）APP访问移动终端的资源应得到用户明确的授权，未授权不允许访问； d）用户授权或修改 AP