1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
module.exports = [
// get tasklist
{
url: '/standard-list',
type: 'get',
response: config => {
const query = config.query
let temp = []
if (query.type === '1') {
temp = [
{
category: '体系审查',
section: '5.1',
request:
'车辆制造商应具备车辆全生命周期的汽车信息安全管理体系。注:车辆全生命周期包括车辆的开发阶段、生产阶段及后生产阶段。',
resultYes: '车辆制造商具备车辆全生命周期的汽车信息安全管理体系',
resultNO: '车辆制造商不具备车辆全生命周期的汽车信息安全管理体系',
createTime: '@datetime'
},
{
category: '体系审查',
section: '5.3',
request:
'汽车信息安全管理体系应包括以下内容。建立企业内部管理汽车信息安全的过程',
resultYes: '汽车信息安全管理体系包括以下内容',
resultNO: '汽车信息安全管理体系不包括以下所有内容。',
createTime: '@datetime'
}
]
} else {
temp = [
{
category: '车型检验',
section: '7.1.1.1',
request:
'车端具备远程控制功能的系统、授权的第三方应用等外部连接系统不应存在由汽车行业权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞。注1:汽车行业权威漏洞平台如车联网产品专用漏洞库NVDB-CAVD等政府主管部门认可的其他漏洞平台。注2:处置包括消除漏洞、制定减缓措施等方式。',
resultYes:
'车端具备远程控制功能的系统、授权的第三方应用等外部连接系统不存在由汽车行业权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞。',
resultNO:
'端具备远程控制功能的系统、授权的第三方应用等外部连接系统存在由汽车行业权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞。',
way: {
text: '测试人员应使用漏洞扫描工具对车辆外部连接系统进行漏洞扫描,并将测试结果与汽车行业权威漏洞平台6个月前公布的高危及以上的安全漏洞清单和车辆生产企业提供的车辆外部连接系统漏洞处置方案进行比对,测试车辆是否满足7.1.1.1的要求',
object: [
{
text: '①远控系统对应的通信零件 (TBOX、IVI外部连接系统)',
scene: [
{
text: 'TBOX-蜂窝以太网接口'
},
{
text: 'TBOX 固件'
},
{
text: 'WiFi AP接口'
},
{
text: 'WiFi Client接口'
},
{
text: '车载信息交互系统固件'
}
]
},
{
text: '②车载信息交互系统中第三方应用软件包',
scene: [
{
text: 'TBOX-蜂窝以太网接口'
}
]
}
]
}
},
{
category: '车型检验',
section: '7.1.2.4',
request: '应对车端具备远程控制功能的系统进行完整性验证。',
resultYes: 'xxxxxxxxxxxxxxx',
resultNO: 'xxxxxxxxxxxxxxx',
way: {
text: '测试人员根据车辆生产企业提供的车辆远程控制功能系统完整性校验功能的证明文件,检查车辆是否满足7.1.2.4的要求。',
object: []
}
}
]
}
return {
rows: temp,
code: 200,
total: 10
}
}
},
{
url: '/rules-list',
type: 'get',
response: config => {
let temp = []
temp = [
{
label:
'5.1 车辆制造商应具备车辆全生命周期的汽车信息安全管理体系。注:车辆全生命周期包括车辆的开发阶段、生产阶段及后生产阶段。',
children: [
{
label: '车辆制造商是否建立汽车信息安全管理制度。',
children: [
{
label:
'车辆制造商是否能够提供/展示汽车信息安全管理制度文件,制度文件应定义信息安全政策以及信息安全规则和流程,信息安全政策应致力于管理与车辆制造商活动相关的信息安全风险。'
// children: [{
// label: '--'
// }]
},
{
label:
'车辆制造商是否能够提供/展示汽车信息安全管理制度正式发布的证明材料。',
children: [
{
label: '1.管理制度发布会红头文件'
},
{
label: '2.管理制度正式发布会议纪要'
},
{
label: '3.专用系统正式发布流程或记录'
}
]
}
]
},
{
label:
'车辆制造商汽车信息安全管理制度是否明确汽车信息安全管理制度适用于车辆全生命周期,包括开发阶段、生产阶段及后生产阶段。',
children: [
{
label:
'车辆制造商汽车信息安全管理制度中明确覆盖了车辆全生命周期,包括开发阶段、生产阶段及后生产阶段,且能够提供每个阶段的流程文件。'
// children: [{
// label: '--'
// }]
}
]
},
{
label:
'车辆全生命周期每个阶段的流程文件能够包含相应阶段的信息安全活动及要求。',
children: [
{
label:
'开发阶段流程文件应包含概念设计、设计开发和测试验证阶段的信息安全活动及要求。'
// children: [{
// label: '--'
// }]
},
{
label:
'生产阶段流程文件应包含生产控制计划制定,生产控制计划应包含生产阶段的信息安全需求,确保生产环节的信息安全需求能够顺利落地实施,且不引入新的信息安全漏洞。'
// children: [{
// label: '--'
// }]
},
{
label:
'后生产阶段流程文件应考虑运维阶段、终止支持、退役阶段的信息安全需求,运维阶段包含网络安全事件响应和软件升级。'
// children: [{
// label: '--'
// }]
}
]
}
]
},
{
label:
'5.2 汽车信息安全管理体系应包括以下内容。建立企业内部管理汽车信息安全的过程。',
children: [
{
label:
'车辆制造商汽车信息安全管理制度是否建立并明确汽车信息安全管理制度的组织架构及权责。',
children: [
{
label:
'车辆制造商汽车信息安全管理制度的角色应覆盖车辆/车辆产品在生命周期中的信息安全活动。',
children: [
{
label:
'1.汽车信息安全管理制度或其配套的流程文件中包含流程图,定义了信息安全活动及对应的角色,并有角色的权责定义。'
}
]
},
{
label:
'车辆制造商汽车信息安全管理制度的角色应与车辆制造商的组织架构匹配。',
children: [
{
label:
'1.汽车信息安全管理制度中定义的角色与车辆制造商的组织架构岗位名称一致。'
},
{
label:
'2.汽车信息安全管理制度中定义的角色与车辆制造商的组织架构岗位有映射关系。'
}
]
}
]
},
{
label:
'车辆制造商汽车信息安全管理制度是否明确为保障汽车信息安全需求实现和维持所投入的资源。',
children: [
{
label:
'车辆制造商应提供在信息安全方面提供资源支持的证明材料,包括投入的场地、基础软硬件设备、技术人员和资金等。',
children: [
{
label:
'1.典型的资源要求为人力投入,例如负责网络安全风险管理的人员、研发人员和事件管理响应人员。'
}
]
}
]
},
{
label:
'车辆制造商汽车信息安全管理制度是否明确与其它管理流程(如QMS、ISMS)的适配性。',
children: [
{
label:
'车辆制造商应提供信息安全管理制度在建设实施中与企业其他管理流程相适配的证明材料。',
children: [
{
label:
'1.明确信息安全管理要求融合到现有管理制度流程中,如在现有ISMS制度中增加汽车信息安全管理要求。'
},
{
label: '2.在信息安全管理制度中明确与其它管理流程的接口。'
}
]
}
]
}
]
}
]
return {
rows: temp,
code: 200,
total: 10
}
}
},
{
url: '/scene-list',
type: 'get',
response: config => {
let temp = []
temp = [
{
code: '101',
type: '车型检验',
content: 'TBOX-蜂窝以太网接口',
testType: '系统服务漏扫、固件代码漏扫',
user: 'admin',
createTime: '@datetime'
},
{
code: '102',
type: '车型检验',
content: 'TBOX 固件',
testType: '端口扫描、篡改伪造',
user: 'admin',
createTime: '@datetime'
},
{
code: '103',
type: '车型检验',
content: 'WiFi AP接口',
testType: '系统服务漏扫、固件代码漏扫',
user: 'admin',
createTime: '@datetime'
},
{
code: '104',
type: '车型检验',
content: 'WiFi Client接口',
testType: '固件代码漏扫、端口扫描、篡改伪造',
user: 'admin',
createTime: '@datetime'
},
{
code: '105',
type: '车型检验',
content: '车载信息交互系统固件',
testType: '系统服务漏扫、固件代码漏扫、模糊测试、拒绝服务',
user: 'admin',
createTime: '@datetime'
},
{
code: '101',
type: '车型检验',
content: 'TBOX-蜂窝以太网接口',
testType: '系统服务漏扫、固件代码漏扫',
user: 'admin',
createTime: '@datetime'
},
{
code: '106',
type: '车型检验',
content: '第三方应用软件',
testType: '非授权安装',
user: 'admin',
createTime: '@datetime'
},
]
return {
rows: temp,
code: 200,
total: 10
}
}
}
]