av最新网免费入口_中文字幕免费一级毛片_亚洲色怡人综合网站_亚洲欧洲国产精品香蕉网

《汽車整車信息安全技術(shù)要求》GB?44495-2024??國家市場監(jiān)督管理總局?國家標(biāo)準(zhǔn)花管理委員會
                                                  目  次
前言
1   范圈
2   規(guī)范性引用文件
3   術(shù)語和定義
4   縮略語
5   汽車信息安全管理體系要求
6   信息安全基本要求
7   信息安全技術(shù)要求
8   檢查與試驗方法
9   同一型式判定
10 標(biāo)準(zhǔn)的實施
參考文獻

                                               前  言
 本文件按照GB/T1.1-20200標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。
 本文件技術(shù)內(nèi)容參考了聯(lián)合國技術(shù)法規(guī)UNR155《美于批準(zhǔn)車輛信息安全和信息安全管理體系的統(tǒng)一規(guī)定
 請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任,

 本文件由中華人民共和國工業(yè)和信息化部提出并歸口。

                                    汽車整車信息安全技術(shù)要求
1 范圈
   本文件規(guī)定了汽車信息安全管理體系要求、信息安全基本要求、信息安全技術(shù)要求及同一型式判定,描述了相應(yīng)的檢查與試驗方法。
   本文件適用于M類.N類及至少裝有1個電子控制單元的0類車輛,
2 規(guī)范性引用文件
   下列文件中的內(nèi)容通過文中的規(guī)范性引用面構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件:不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
    GB/T 40861    汽車信息安全通用技術(shù)要求
    GB/T 44373    智能網(wǎng)聯(lián)汽車 術(shù)語和定義
    GB/T44464-2024   汽車數(shù)據(jù)通用要求
    GB 44496  汽車軟件升級通用技術(shù)要求
3 術(shù)語和定義 
  GB/T40861 . GB/T44373. GB44496 界定的以及下列術(shù)語和定義適用于本文件,
3.1
   汽車信息安全   vchicle  cybersecurity
   汽車的電子電氣系統(tǒng)、組件和功能被保護,使其資產(chǎn)不受威脅的狀態(tài),
   [來源;GB/T40861-2021.3.1]
3.2
   汽車信息安全管理體系   cybersecurity  mangement  system  CSMS
   基于風(fēng)險的系統(tǒng)方法。
   注:包括組織流程、責(zé)任和治理·以處理與車輛網(wǎng)絡(luò)咸相關(guān)的風(fēng)險并保護車輛免受網(wǎng)絡(luò)攻擊。
 [來源;GB/T 44373-2024,3.11,有修改]
3.3
   風(fēng)險   risk
   車輛信息安全不確定性的影響。
   注:風(fēng)險用攻擊可行性和影響表示,
3.4
   風(fēng)險評估   risk  assessment
   發(fā)現(xiàn)、識別和描述風(fēng)險,理解風(fēng)險的性質(zhì)以及確定風(fēng)險級別,并將風(fēng)險分析的結(jié)果與風(fēng)險標(biāo)準(zhǔn)進行
   比較,以確定風(fēng)險是否可接受的過程,
3.5
   威脅  threat
   可能導(dǎo)致系統(tǒng)、組織或個人受到損害的意外事件的潛在原因

3.6
   漏洞   vulnerabiity
   在資產(chǎn)或緩解獵施中,可被一個或多個威脅利用的鴉點,
3.7
   車載軟件升級系統(tǒng)   on-bourd  sofiware  update  system
   安裝在車端并具備直接接收、分發(fā)和校驗來自車外的升級包等用于實現(xiàn)軟件升級功能的軟件和硬件。
   [來源;GB44496-2024.3.12]
3.8
   在線升級 over-the-air update
   通過無線方式而不是使用電纜或其他本地連接方式將升級包傳輸?shù)杰囕v的軟件升級,
   注1:在線升級一也稱一遠程升級”。
   注2:本地連接方式"一般指通過車載診斷(OBD)接口、通用中行總線(USB)接口等進行的物理連接方式,
   [來源;GB 44496-2024.3.3]
3.9
   離線升級   offine   update
   除在線升級外的軟件升級,
   [來源;GB 44496-2024.3.13]
3.10
   敏感個人信息  sensitive  personal  information
   一旦泄露或者非法使用,可能導(dǎo)致車主、駕駛?cè)恕⒊塑嚾恕④囃馊藛T等受到歧視或者人身、財產(chǎn)安全受到嚴(yán)重危害的個人信息。
   注:包括車輛行蹤軌跡、音頻,視頻、圖像和生物識別特征等信息,
4  縮略語
    下列縮略語適用于本文件。
     CAN: 控制器局域網(wǎng)絡(luò)( Controller  Area  Network )
     ECU: 電子控制單元( Eleetronic  Control Unit )
     HSM: 硬件安全模塊( Hardware  Security Module )
     NFC: 近場信  ( Near  Field  Communication )
     OBD:車載診斷( On-Board Diagnostics )
     RFID: 射頻識別  ( Radio  Frequency  Identification )
     USB: 通用串行總線  (Universal  Serial Bus )
     VLAN:虛擬局域網(wǎng)  (Virtual  Local  Area  Network )
     VIN: 車輛識別代號(Vehicle  Identification  Number )
     V2X: 車輛與車外其他設(shè)備之間的無線通信(Vehicle  to Everything )
     WLAN: 無線局網(wǎng) (WirelesLocalAre
5   汽車信息安全管理體系要求
  5.1  車輛制造商應(yīng)具各車輛全生命周期的汽車信息安全管理體系,
    注:車輛全生命周期包括車輛的開發(fā)階段、生產(chǎn)階段及后生產(chǎn)階段。
5.2   汽車信息安全管理體系應(yīng)包括以下內(nèi)容。
     ----建立企業(yè)內(nèi)部管理汽車信息安全的過程,
     ----建立識別、評估、分類、處置車輛信息安全風(fēng)險及核實已識別風(fēng)險得到處置的過程,并確保車輛風(fēng)險評估保持最新狀態(tài)。
     ----建立用于車輛信息安全測試的過程。
     ----建立針對車輛的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的監(jiān)測、響應(yīng)及濕洞上報過程,要求如下:
      包含漏洞管理機制,明確漏洞收集、分析、報告、處置、發(fā)布、上報等活動環(huán)節(jié):
      建立針對網(wǎng)絡(luò)攻擊提供相關(guān)數(shù)據(jù)并進行分析的過程,如通過車輛數(shù)據(jù)和車輛日志分析和檢測網(wǎng)絡(luò)攻擊、威脅和漏洞;
      建立確保對網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威和漏洞進行持續(xù)監(jiān)控的過程,且車輛納人監(jiān)控范圍的時間應(yīng)不晚于車輛注冊登記的時間:
      建立確保已識別的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏渦得到響應(yīng),且在時限內(nèi)得到處置的過程;
      建立評估所實的信息安全措施在發(fā)現(xiàn)新的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和福洞的情況下是否仍然有效的過程,
     ----建立管理企業(yè)與合同供應(yīng)商、服務(wù)提供商、車輛制造商子組織之間汽車信息安全依賴關(guān)系的過程,
6    信息安全基本要求
  6.1   車輛產(chǎn)品開發(fā)流程應(yīng)遵循汽車信息安全管理體系要求。
  6.2   車輛制造商應(yīng)識別和管理車輛與供應(yīng)商相關(guān)的風(fēng)險。
  6.3   車輛制造商應(yīng)識別車輛的關(guān)健要素·對車輛進行風(fēng)險評估,并管已識別的風(fēng)險。
  注1:風(fēng)險評估的范圈包含車輛的各個要素及其相互作用,并進一步考與外部系統(tǒng)的相互作用
  注2:關(guān)鍵要素包括但不限于有助于車輛安全、環(huán)境保護或防盜的要素,以及提供連接性的系統(tǒng)部件或車輛構(gòu)中時信息安全至美童要的部分等
6.4   車輛制造商應(yīng)采取基于第7童要求的處置獵施保護車輛不受風(fēng)險評估中已識別的風(fēng)險影響,若處置措施與所識別的風(fēng)險不相關(guān),車輛制造商應(yīng)說明其不相關(guān)性。若處置獵施不足以應(yīng)對所識別的風(fēng)險,車輛制造商應(yīng)實施其他的措施,并說明其使用措施的合理性。
6.5   如有專用環(huán)境,車輛制造商應(yīng)采取措施,以保護車輛用于存儲和執(zhí)行后裝軟件、服務(wù)、應(yīng)用程序或數(shù)據(jù)的專用環(huán)境。
  注:如沙箱專用環(huán)境等。
6.6    車輛制造商應(yīng)通過測試來驗證所實施的信息安全措施的有效性。
6.7    車輛制造商應(yīng)針對車輛實施相應(yīng)措施,以確保具備以下能力:
     一 針對車輛網(wǎng)絡(luò)攻擊的識別能力;
     一 針對與車輛相關(guān)的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的監(jiān)測能力及數(shù)據(jù)取證能力
6.8  車輛制造商應(yīng)使用公開的、已發(fā)布的、有效的密碼算法,應(yīng)根據(jù)不同密碼算法和業(yè)務(wù)場景,選擇適當(dāng)?shù)膮?shù)和選項,
6.9  車輛制造商應(yīng)滿足以下密碼模塊要求之一:
     一 用符合國際、國家或行業(yè)標(biāo)準(zhǔn)要求的密碼模塊;
     一 未采用國際、國家或行業(yè)標(biāo)準(zhǔn)要求的密碼模塊,說明使用的合理性,
6.10   車輛應(yīng)采用默認(rèn)安全設(shè)置,如WLAN的默認(rèn)連接口令應(yīng)滿足復(fù)雜度的要求,
6.11   汽車數(shù)據(jù)處理活動中的數(shù)據(jù)車內(nèi)處理、默認(rèn)不收集、精度范圍適用、脫敏處理、個人同意及顯著知等要求·應(yīng)合GB/T44464-2024中4.2.2的規(guī)定
7    信息安全技術(shù)要求
 7.1    外部連接安全要求
 7.1.1   通用安全要求
 7.1.1.1   車端具備遠程控制功能的系統(tǒng)、授權(quán)的第三方應(yīng)用等外部連接系統(tǒng)不應(yīng)存在由汽車行業(yè)權(quán)威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞。
    注1:汽車行業(yè)權(quán)威漏洞平臺如車聯(lián)網(wǎng)產(chǎn)品專用漏洞庫NVDBCAVD等政府主管部門認(rèn)可的共他漏洞平臺
    注2:處置包括消除漏洞、制定減緩情施等方式。
  7.1.1.2   車輛應(yīng)美閉非業(yè)務(wù)必要的網(wǎng)絡(luò)口。
  7.1.2   遠程控制安全要求
  7.1.2.1  應(yīng)對遠程控制指令信息進行真實性和完整性驗證。
  7.1.2.2  應(yīng)對遠程控制指令設(shè)置訪問控制,禁用非授權(quán)的遠程控制指令。
  7.1.2.3  應(yīng)具備記錄遠程控制指令的安全日志功能,安全日志記錄的內(nèi)容至少包括遠程控制指令的時間、發(fā)送主體,遠程控制對象,操作結(jié)果等,留存相關(guān)的安全日志應(yīng)不少于6個月,
  7.1.2.4  應(yīng)對車端具備遠程控制功能的系統(tǒng)進行完整性驗證。
 7.1.3  第三方應(yīng)用安全要求
  7.1.3.1  應(yīng)對授權(quán)的第三方應(yīng)用的真實性和完整性進行驗證。
    注:第三方應(yīng)用是指車柄制造商及共供應(yīng)離之外的其他實體提供的面向用戶提供服務(wù)的應(yīng)用程序,包括第三方娛樂應(yīng)用等。
  7.1.3.2  應(yīng)對非授權(quán)的第三方應(yīng)用的安裝進行提示,并對已安裝的非授權(quán)的第三方應(yīng)用進行訪問控制,限制此類應(yīng)用直接訪問系統(tǒng)資源、個人信息等。
 7.1.4  外部接口安全要求
 7.1.4.1  應(yīng)對車輛外部接口進行訪間控制保護,禁止非授權(quán)訪問。
    注:外部接口包括USB接口、診接口和其他可直接接觸的物理接口,
 7.1.4.2   應(yīng)對車輛USB接口、SD卡接口接人設(shè)備中的文件進行訪問控制,僅允許讀寫指定格式的文件或安裝執(zhí)行指定簽名的應(yīng)用軟件。
 7.1.4.3   車輛應(yīng)對USB接口接人設(shè)備中的病毒風(fēng)險進行處置。
 7.1.4.4   通過診斷接口向車輛發(fā)送關(guān)鍵配置及標(biāo)定參數(shù)的寫操作指令時,車輛應(yīng)采用身份鑒別或訪間控制等安全策略。
  7.2    通信安全要求
  7.2.1  車輛與車輛制造商云平臺通信時。應(yīng)對其通信對象的身份真實性進行驗證。
  7.2.2  車輛與車輛、路側(cè)單元、移動終端等進行V2X直連通信時,應(yīng)進行證書有效性和合法性的驗證。
  7.2.3  車輛應(yīng)采用完整性保護機制保護除RFID.NFC之外的外部無線通信通道。
  7.2.4  車輛應(yīng)具備對來自車輛外部通信通道的數(shù)據(jù)操作指令的訪問控制機制,
     注:來自車輛外部通信通道的數(shù)據(jù)操作指令包括代碼注人,數(shù)據(jù)攝織,數(shù)據(jù)覆蓋,數(shù)據(jù)擦除和數(shù)據(jù)寫人等指令,
   7.2.5 車輛應(yīng)驗證所接收的外部關(guān)鍵指令數(shù)據(jù)的有效性或唯一性。
    示例:針對遠程控制服務(wù)器發(fā)送的車指令,車端可通過網(wǎng)關(guān)驗證該類指令的有效性或唯一性,
    注:關(guān)鍵指令數(shù)據(jù)是指可能影響行車和財產(chǎn)安全的指令數(shù)據(jù),包括但不限于車指令數(shù)據(jù)。
   7.2.6  車輛應(yīng)對向車外發(fā)送的敏感個人信息實保密性保護措施。
   7.2.7   車輛應(yīng)具備安全機制防御物理操縱攻擊,至少具備與外部直接無線通信的零部件的身份識別機制.
    注:與外部存在直接無線通信的零部件包基恒不限手車載信息突互系統(tǒng)等,不包括短距離無線傳感器
   7.2.8   車輛與外部直接無線通信的零部件應(yīng)具備安全機制防止非授權(quán)的特權(quán)訪間,
    注:非授權(quán)用戶可能通過調(diào)試接口獲得系統(tǒng)的根用戶或特權(quán)用戶權(quán)限,
   7.2.9  車輛應(yīng)對內(nèi)部網(wǎng)絡(luò)進行區(qū)域劃分并對區(qū)域邊界進行防護,車輛內(nèi)部網(wǎng)絡(luò)跨域請求應(yīng)進行訪間控制·并遵循默認(rèn)拒絕原則和最小化授權(quán)原則。
    注:區(qū)城邊界防護錯施包括物理隔商、邏輯隔離(如采用白名單、防火墻、VLAN)等。
   7.2.10    車輛應(yīng)具各識別車輛通信通道遭受拒絕服務(wù)攻擊的能力,并對攻擊進行相應(yīng)的處理
     注1:對攻擊的處理包括對攻擊數(shù)據(jù)包的攔截或丟棄,受影響系統(tǒng)的自動恢復(fù),日志記錄等
     注2:車輛通信通道包括移動蜂窩通信.V2X.CAN總線,車載以去網(wǎng)等。
   7.2.11   車輛應(yīng)具各識別惡意的V2X數(shù)據(jù)、惡意的診斷數(shù)據(jù)的能力,并采取保護措施。
     注:V2X數(shù)據(jù)包括路側(cè)單元發(fā)送到車柄的數(shù)據(jù),車輛與車柄之間的數(shù)據(jù)。
   7.2.12  應(yīng)具備記錄關(guān)鍵的通信信息安全事件日志的功能,日志存儲時長應(yīng)不少于6個月。
     注:關(guān)鍵的通信信息安全事件由車柄制造商根據(jù)風(fēng)評估的結(jié)果確定,日志記錄內(nèi)容包括事件時間、事件原因等。
 7.3   軟件升級安全要求
  7.3.1  通用安全要求
  7.3.1.1   車載軟件升級系統(tǒng)應(yīng)通過安全保護機制,保護車載軟件升級系統(tǒng)的可信根、引導(dǎo)加載程序、系統(tǒng)固件不被改,或在被喜改后,通過安全保護機制使其無法正常啟動。
  7.3.1.2   車載軟件升級系統(tǒng)不應(yīng)存在由汽車行業(yè)權(quán)威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞,
     注1:汽車行業(yè)權(quán)威漏洞平臺婦車聯(lián)網(wǎng)產(chǎn)品專用漏洞庫NVDBCAVD等政府主管部門認(rèn)可的其他漏洞平臺,
     注2:處置包括消除漏洞、制定減緩情施等方式,
   7.3.2   在線升級安全要求
   7.3.2.1 車輛和在線升級服務(wù)器應(yīng)進行身份認(rèn)證,驗證其身份的真實性,并在下載中斷嵌復(fù)時重新驗證。
    注:常見的認(rèn)證方式包括使用證書進行身份認(rèn)證,
   7.3.2.2 車輛應(yīng)對下載的升級包進行真實性和完整性驗證,
   7.3.2.3   應(yīng)對在線升級過程中發(fā)生的信息安全事件日志進行記錄,日志存儲時長應(yīng)不少于6個月。
   7.3.3   離線升級安全要求
   7.3.3.1   若車輛使用車載軟件升級系統(tǒng)進行離線升級,車輛應(yīng)對離線升級包真實性和完整性進行驗證。
   7.3.3.2  若車輛不使用車載軟件升級系統(tǒng)進行離線升級,應(yīng)采取保護措施保證刷寫接人端的安全性,或驗證升級包的真實性和完整性
  7.4   數(shù)據(jù)安全要求
  7.4.1   車輛應(yīng)采取安全訪問技術(shù)或安全存儲技術(shù)保護存儲的對稱密鑰和非對稱密鑰中的私鑰,防止其被非授權(quán)訪問和獲取,
  7.4.2   車輛應(yīng)采取安全訪問技術(shù)、加密技術(shù)或其他安全技術(shù)保護存儲在車內(nèi)的敏感個人信息,防止其被非授權(quán)訪問和獲取
  7.4.3   車輛應(yīng)采取安全防御機制保護存儲在車內(nèi)的VIN等用于車輛身份識別的數(shù)據(jù),防止其被非授權(quán)刪除和修改,
     注:防止數(shù)據(jù)被非授權(quán)副除和修改的安全防機制包括安全訪問技術(shù)、只讀技術(shù)等。
  7.4.4 車輛應(yīng)采取安全防御機制保護存儲在車內(nèi)的關(guān)鍵數(shù)據(jù)·防止其被非授權(quán)刪除和修改,
     注:關(guān)鍵數(shù)據(jù)包括制動參數(shù)、安全氣囊展開間值,動力電池參數(shù)等關(guān)鍵配置參數(shù),以及其他車輛運行過程中產(chǎn)生的可能影響行車安全的數(shù)據(jù),
  7.4.5  車輛應(yīng)采取安全防御機制保護存儲在車內(nèi)的安全日志·防止其被修改和非授權(quán)刪除。
  7.4.6  車輛應(yīng)具備個人信息刪除功能,該功能可刪除的信息不應(yīng)包括法律、行政法規(guī)、強制性國家標(biāo)準(zhǔn)中規(guī)定必須保留的個人信息,
   7.4.7 車輛不虛直接向境外傳輸數(shù)據(jù),
      注:用戶使用潤覽器訪問境外同站、使用適信軟件向境外傳遞消息、自主安裝可能導(dǎo)致數(shù)據(jù)出境的第三方應(yīng)用等用戶自主行為不受本條教限制
8   檢查與試驗方法
   8.1   總則
    檢查及試驗方法包括汽車信息安全管理體系檢查、基本要求檢查和技術(shù)要求測試:
    ----針對車輛制造商信息安全保障能力相關(guān)的文檔進行檢查,確認(rèn)車輛制造商滿足第5章的要求;
    ----針對車輛在開發(fā),生產(chǎn)等過程中信息安全相關(guān)的文進行檢查,確認(rèn)測試車輛滿足第6章的要求:
    ----基于車輛所識別的風(fēng)險以及第7章車輛技術(shù)要求處置措施的相關(guān)性,依據(jù)8.3確認(rèn)車輛信息安全技術(shù)要求的測試范國·并依據(jù)測試范圍開展測試.確認(rèn)車輛滿足第7章的要求,
    注:測試范圖包括第7童與待測試車輛的適用條款、各適用條款對應(yīng)的測試對象等,
8.2    信息安全基本要求檢查
   8.2.1 檢查要求
   8.2.1.1   車輛制造商應(yīng)具備文檔來說明車輛在開發(fā)、生產(chǎn)等過程的信息安全情況,文檔包括提交的文檔和留存?zhèn)洳榈奈臋n。
   8.2.1.2   提交的文檔應(yīng)為中文版本,并至少包含如下內(nèi)容:
    ----證明車輛滿足第6童要求的總結(jié)文;
    ----寫明文檔版本信息的留存?zhèn)洳槲臋n清單,
   8.2.1.3   車輛制造商應(yīng)以安全的方式在本地留存車輛信息安全相關(guān)過程文備查,完成檢查后應(yīng)對留存?zhèn)洳榈奈臋n進行防喜改處理。
   8.2.1.4   車輛制造商應(yīng)對提交和留存?zhèn)洳榈奈臋n與車輛的一致性、可追測性做出自我聲明,
   8.2.2   檢查方法
   8.2.2.1   檢查車輛制造商提交的文檔。確認(rèn)檢查方案,包括檢查范圍,檢查方式,檢查日程、現(xiàn)場檢查必要的證明文件清單。
   8.2.2.2   應(yīng)依據(jù)8.2.2.1確認(rèn)的檢查方案,在車輛制造商現(xiàn)場檢查留存?zhèn)洳榈男畔踩嚓P(guān)過程文檔.確認(rèn)車輛是否滿足第6章的要求
8.3   信息安全技術(shù)要求測試
   8.3.1   測試條件
   8.3.1.1  測試環(huán)境要求
      涉及無線短距高通信的測試,應(yīng)保證車輛在無信號干擾的測試環(huán)境中進行。
   8.3.1.2  測試狀態(tài)要求
      測試樣件包括整車及8.1確定的測試范圍中涉及的零部件,應(yīng)滿足以下要求:
      ----測測試樣件可正常運行:
      ----整車信息安全相關(guān)功能處于開啟狀態(tài);
      ----測試過程中,若測試車輛度大于0km/h或測試車輛可能發(fā)生非預(yù)期啟動,則將測試車輛置于整車轉(zhuǎn)轂試驗臺或保證車輛安全運行的道路環(huán)境中開展測試。
    8.3.1.3   測試輸入要求
     車輛制造商應(yīng)依據(jù)8.1確定的測試范圍·提供必要的測試輸入支持完測試,
    8.3.2   外部連接安全測試
   8.3.2.1  通用安全測試
   8.3.2.1.1  系統(tǒng)漏洞安全測試
       測試人員應(yīng)使用漏洞掃描工具對車輛外部連接系統(tǒng)進行漏洞掃描,并將測試結(jié)果與汽車行業(yè)權(quán)威漏洞平臺6個月前公布的高危及以上的安全福洞清單和車輛制造商提供的車輛外部連接系統(tǒng)漏洞處置方案進行比對,判定車輛是否滿足7.1.1.1的要求,
   8.3.2.1.2    非業(yè)務(wù)必要網(wǎng)絡(luò)端口安全測試
       測試人員應(yīng)依據(jù)車輛制造商提供的車輛業(yè)務(wù)端口列表,通過WLAN.車載以太網(wǎng)、蜂窩網(wǎng)絡(luò)等通信通道將測試車輛與掃描測試設(shè)備組網(wǎng)·使用掃描測試設(shè)各測試車輛所開放的端口,并將測試得到的車輛開放端口列表與車輛業(yè)務(wù)端口列表進行比對,判定車輛是否滿足7.1.1.2的要求。
    8.3.2.2   遠程控制安全測試
    8.3.2.2.1  真實性和完整性驗證安全測試
     測試人員應(yīng)按照以下測試方法依次開展測試,判定車輛是否滿足7.1.2.1的要求:
      a)登錄車輛遠程控制程序賬戶,測試是否可觸發(fā)正常的遠程車輛控制指令:
      b)偽造、算改并發(fā)送遠程車輛控制指令,檢查是否可偽造、算改該指令,車輛是否執(zhí)行該指令。
     8.3.2.2.2    遠程控制指令權(quán)限控制安全測試
       測試人員應(yīng)依據(jù)車輛制造商提供的車輛遠程控制指令應(yīng)用場景和使用權(quán)限文件,構(gòu)造并發(fā)送超出權(quán)限的遠程控制指令,判定車輛是否滿足7.1.2.2的要求,
     8.3.2.2.3   安全日惠記錄安全測試
        測試人員應(yīng)按照以下式方法依次開展測試·判定是否滿足7.1.2.3的要求:
        a) 觸發(fā)車輛遠程控制功能,檢查是否存在安全日志,安全日志記錄的內(nèi)容是否包含遠程控制指令的時間、發(fā)送主體、遠程控制對象、操作結(jié)果等信息;
        b) 檢查安全日志記錄的時間跨度是否不少于6個月或是否具備留存安全日志不少于6個月的能力.
      8.3.2.2.4  完整性安全測試
        測試人員應(yīng)根據(jù)車輛制造商提供的車輛遠程控制功能系統(tǒng)完整性驗證功能的證明文件,判定車輛是否滿足7.1.2.4的要求,
      8.3.2.3     第三方應(yīng)用安全測試
      8.3.2.3.1  真實性完整性驗證安全測試
       測試人員應(yīng)獲取授權(quán)的第三方應(yīng)用,使用工具靠改其代碼,并安裝,執(zhí)行算改后的授權(quán)第三方應(yīng)用,判定車輛是否滿足7.1.3.1的要求。若喜改后的授權(quán)第三方應(yīng)用被限制訪問超出訪問控制權(quán)限的資源·視為應(yīng)用非正常運行·滿足要求。
      8.3.2.3.2訪問控制安全測試
       測試人員應(yīng)按照以下測試方法依次開展測試,判定車輛是否滿足7.1.3.2的要求:
       a)安裝非授權(quán)的第三方應(yīng)用,測試車輛是否進行提示
       b)使用已安裝的非授權(quán)第三方應(yīng)用訪問超出訪問控制權(quán)限的資源,測試是否可訪問控制權(quán)限外的資源,
      8.3.2.4   外部接口安全測試
     8.3.2.4.1 外部接口訪問控制安全測試
       測試人員應(yīng)依據(jù)車輛制造商提供的車輛外部接口的總結(jié)文檔或車輛外部接口清單,使用非授權(quán)的用戶或工具訪向車輛的外部接口·判定車輛是否滿足7.1.4.1的要求,
     8.3.2.4.2USB接口、SD卡接口訪問控制安全測試測試人員應(yīng)依據(jù)車輛制造商提供的USB接口.SD卡接口的總結(jié)文或USB接口、SD卡接口支持的文件類型清單,分別在具備USB接口、SD卡接口的移動存儲介質(zhì)中注人指定格式文件、指定簽名的應(yīng)用軟件和其他非指定格式文件和非指定簽名的應(yīng)用軟件,將移動存儲介質(zhì)分別連接到車輛USB接口、SD卡接口,嘗試執(zhí)行非指定格式文件和非指定簽名的應(yīng)用軟件,判定車輛是否滿足7.1.4.2 的要求,
     8.3.2.4.3   USB   防病毒安全測試
       測試人員應(yīng)在具備USB接口的移動存儲介質(zhì)中注入病毒文件,將移動存儲介質(zhì)連接到車輛USB接口,嘗試執(zhí)行病毒文件,判定車輛是香滿足7.1.4.3的要求
     8.3.2.4.4   診斷接口身份鑒別安全測試
       測試人員應(yīng)按照以下兩種測試方法中適用的測試方法開展測試,判定車輛是否滿足7.1.4.4的要求:
       a)使用非授權(quán)用戶或工具在診斷接口發(fā)送車輛關(guān)鍵配置及標(biāo)定參數(shù)的寫操作指令,測試車輛是否執(zhí)行該操作指令:
       b)使用工具在診斷接口發(fā)關(guān)鍵配置及標(biāo)定參數(shù)的寫操作指令,測試車輛是否存在訪問控制機制。

    8.3.3   通信安全測試
   8.3.3.1  云平臺通信身份真實性驗證安全測試
      測試人員應(yīng)依據(jù)車輛制造商提供的云平臺清單及采用的通信協(xié)議類型,并按照如下三種測試方法中適用的測試方法開展測試,判定車輛是香滿足7.2.1的要求。
      a)若車輛與車輛制造商云平臺采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)環(huán)境進行通信。測試人員應(yīng)根據(jù)企業(yè)提供的車輛云平臺通信身份真實性的證明文件,確認(rèn)車輛是否滿足7.2.1的要求。
      b)  若車輛與車輛制造商云平臺采用公共網(wǎng)絡(luò)環(huán)境進行通信,且使用公有通信協(xié)議,測試人員應(yīng)使用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包,解析通信報文數(shù)據(jù),檢查車輛是否對車輛制造商云平臺進行身份真實性驗證。若用網(wǎng)絡(luò)數(shù)據(jù)抓包工具無法進行數(shù)據(jù)抓包·測試人員應(yīng)根據(jù)企業(yè)提供的車輛云平臺通信身份真實性的證明文件,確認(rèn)車輛是否滿足7.2.1的要求。
      c)若車輛與車輛制造商云平臺采用公共網(wǎng)絡(luò)環(huán)境進行通信,且使用私有通信協(xié)議,測試人員應(yīng)根據(jù)企業(yè)提供的車輛云平臺通信身份真實性的證明文件.確認(rèn)車輛是香滿足7.2.1的要求,
    8.3.3.2   V2X 通信身份認(rèn)證安全測試
     測試人員應(yīng)按照以下測試方法依次開展測試,判定車輛是否滿足7.2.2的要求:
      a)依照8.3.1.2的要求處置車輛,由測試設(shè)備向測試車輛下發(fā)合法證書并與測試車輛進行正常通信,測試車輛是否能夠接收測試設(shè)備的直連通信消息;

      b)  分別構(gòu)造失效證書和身份偽造證書,并向車輛發(fā)送通信消息,測試車輛是否能夠識別失效證書和身份偽造證書.

     8.3.3.3  通信通道完整性安全測試

       測試人員應(yīng)依據(jù)車輛制造商提供的車輛移動蜂窩通信.WLAN.藍牙等外部通信通道清單,依次觸發(fā)車輛外部無線通信數(shù)據(jù)傳輸·并使用測試設(shè)備對車輛外部無線通信通道數(shù)據(jù)進行抓包,檢查通道是否采用完整性保護機制,定車輛是否滿足7.2.3的要求,若使用測試設(shè)備無法對車輛移動蜂窩通信的數(shù)據(jù)進行抓包,測試人員應(yīng)根據(jù)企業(yè)提供的車輛移動蜂窩通信通道完整性保護證明文件,判定車輛是否滿足7.2.3的要求。
     8.3.3.4  防非授權(quán)操作安全測試
       測試人員應(yīng)使用非授權(quán)身份通過車輛外部通信通道對車輛的數(shù)據(jù)依次進行超出訪問控制機制的探作、清除和寫人,檢查是否可操作、清除和寫人數(shù)據(jù),判定車輛是否滿足7.2.4的要求,
     8.3.3.5  關(guān)鍵指令數(shù)據(jù)有效性或唯一性驗證安全測試
       測試人員應(yīng)依據(jù)車輛制造商提供的關(guān)鍵指令數(shù)據(jù)列表,使用測試設(shè)備錄制關(guān)鍵指令數(shù)據(jù),重新發(fā)送錄制的指令數(shù)據(jù),檢查車輛是香做出響應(yīng),判定車輛是否滿足7.2.5的要求,
     8.3.3.6  敏感個人信息保密性安全測試
       測試人員應(yīng)依據(jù)車輛制造商提供的車輛向外傳輸感個人信息的功能清單,觸發(fā)車輛向外傳輸敏感個人信息的功能,使用車輛制造商提供的端口和訪問權(quán)限抓取傳輸?shù)臄?shù)據(jù)包,檢查是否對車輛傳輸?shù)拿舾袀€人信息進行加密,判定車輛是否滿足7.2.6的要求
     8.3.3.7  防御物理操縱攻擊安全測試
       測試人員應(yīng)依據(jù)車輛制造商提供的測試車輛與外部直接無線通信的零部件清單,使用和測試車輛與外部直接無線通信零部件型號相同但未授權(quán)的零部件替換安裝在測試車輛相同的位置,啟動車輛,檢查零部件是否功能異?;蜍囕v是否有異常部件連接告警,判定車輛是否滿足7.2.7的要求。
     8.3.3.8  車輛與外部直接通信零部件防非授權(quán)特權(quán)問安全測試
       測試人員應(yīng)依據(jù)車輛制造商提供的對外直接無線通信零部件系統(tǒng)權(quán)限設(shè)計方案·并按照以下兩種測試方法中適用的測試方法開展測試,判定車輛是否滿足7.2.8的要求:
         a)若系統(tǒng)只存在特權(quán)訪問的用戶,測試是否能非授權(quán)登錄進入系統(tǒng):
         b)若系統(tǒng)存在或可配置多種權(quán)限用戶,依據(jù)非特權(quán)用戶登錄系統(tǒng)方式進入系統(tǒng),使用系統(tǒng)提權(quán)方法對非特權(quán)用戶進行提權(quán),測試進行提權(quán)操作后的用戶是否能進行待權(quán)訪間
     8.3.3.9  車內(nèi)安全區(qū)域隔離安全測試
       測試人員應(yīng)依據(jù)車輛制造商提供的通信矩陣和訪問控制列表樣例,并按照以下兩種測試方法中適用的測試方法開展測試,判定車輛是否滿足7.2.9的要求:
        a)若使用物理隔離措施,驗證車輛制造商提供的物理隔離方案是否有效:
        b)若使用邏輯隔高獵,依據(jù)車輛制造商提供的邏輯隔高策略,發(fā)送不符合策略的數(shù)據(jù)頓,在指定的目的端口·測試是否可接收到不符合策略的數(shù)據(jù),
     8.3.3.10  拒絕服務(wù)攻擊識別防護安全測試
       測試人員應(yīng)依照8.3.1.2的要求處置車輛·使車輛分別處于靜止和運動狀態(tài),使用拒絕服務(wù)攻擊測試設(shè)備依次攻擊車輛移動蜂窩通信、V2X.CAN總線、車載以太網(wǎng)等通信通道,判定車輛是否滿足7.2.10的要求。
     8.3.3.11  惡意數(shù)據(jù)識別安全測試
       測試人員應(yīng)依照8.3.1.2的要求處置車輛·向車輛發(fā)送當(dāng)前車況非預(yù)期的惡意數(shù)據(jù),判定車輛是否滿足7.2.11的要求,
     8.3.3.12  通信信息安全日惠安全測試
       測試人員應(yīng)依據(jù)車輛制造商提供的車輛關(guān)鍵通信信息安全事件日志記錄機制及其存儲路徑,并按照以下測試方法依次開展測試,判定是否滿足7.2.12的要求:
        a)構(gòu)建并觸發(fā)車輛關(guān)鍵通信信息安全事件,檢查是否按照關(guān)鍵通信信息安全事件日志記錄機制記錄該事件:
        b)檢查日志記錄的時間跨度是否不少于6個月或是否具備留存日志不少于6個月的能力,
  8.3.4   軟件升級安全測試
  8.3.4.1  通用安全要求測試
  8.3.4.1.1  安全保護機制測試
       測試人員應(yīng)依據(jù)車輛制造商提供的車載軟件升級系統(tǒng)的可信根、引導(dǎo)加載程序、系統(tǒng)固件的安全保護機制的安全證明文件,判定車輛是否滿足7.3.1.1的要求,
  8.3.4.1.2  漏洞安全測試
       測試人員應(yīng)使用福洞掃描工具對車載軟件升級系統(tǒng)進行漏洞掃描,并將測試結(jié)果與汽車行業(yè)權(quán)威漏洞平臺6個月前公布的高危及以上的安全福洞清單和車輛制造商提供的車載軟件升級系統(tǒng)漏洞處置方案進行比對,判定車輛是否滿足7.3.1.2的要求,
  8.3.4.2   在線升級安全測試
  8.3.4.2.1  服務(wù)器身份認(rèn)證安全測試
       測試人員應(yīng)依據(jù)車輛制造商提供的在線升級服務(wù)器清單及采用的通信協(xié)議類型,并按照以下三種測試方法中適用的測試方法開展測試,判定車輛是香滿足7.3.2.1的要求,
         a)若車輛與在線升級服務(wù)器采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)環(huán)境進行通信,測試人員應(yīng)根據(jù)企業(yè)提供的在線升級服務(wù)器身份認(rèn)證安全功能的證明文件,確認(rèn)車輛是否滿足7.3.2.1的要求。
         b)若車輛與在線升級服務(wù)器采用公共網(wǎng)絡(luò)環(huán)境進行通信,且使用公有通信協(xié)議,測試人員應(yīng)使用測試設(shè)備進行數(shù)據(jù)抓包,解析通信報文數(shù)據(jù),檢查車輛是否對在線升級服務(wù)器進行身份真實性驗證:中斷下載并恢復(fù),使用測試設(shè)備進行數(shù)據(jù)抓包,解析通信報文數(shù)據(jù),檢查是否重新進行身份真實性驗證,若使用測試設(shè)備無法進行數(shù)據(jù)抓包,測試人員應(yīng)根據(jù)企業(yè)提供的在線升級服務(wù)器身份認(rèn)證安全功能的證明文件,確認(rèn)車輛是否滿足7.3.2.1的要求,
         c)若車輛與在線升級服務(wù)器采用公共網(wǎng)絡(luò)環(huán)境進行通信,且使用私有通信協(xié)議,測試人員應(yīng)根據(jù)企業(yè)提供的在線升級服務(wù)器身份認(rèn)證安全功能的證明文件,確認(rèn)車輛是否滿足7.3.2.1的要求。
   8.3.4.2.2   在線升級包真實性和完整性驗證安全測試
      測試人員應(yīng)按照以下測試方法依次開展測試,判定車輛是否滿足7.3.2.2的要求,
       a)使用車輛制造商提供的正常升級包觸發(fā)在線升級,測試升級功能是否正常。
       b)確認(rèn)在線升級功能正常后,構(gòu)造真實性和完整性被破壞的升級包·并依據(jù)車輛制造商提供的方法和權(quán)限,將真實性和完整性被破壞的升級包下載或傳輸?shù)杰嚕瑘?zhí)行軟件升級,測試是否升級成功。若車輛的信息安全防護機制不支持將真實性和完整性被破壞的升級包下載或傳輸?shù)杰嚩?,則依據(jù)車輛制造商提供的在線升級信息安全防護機制證明文件,檢查車輛是否滿足7.3.2.2的要求。
     8.3.4.2.3  在線升級信息安全事件日惠安全測試
      測試人員應(yīng)按照以下測試方法依次開展測試,判定是否滿足7.3.2.3的要求:
       a)構(gòu)造升級安全事件,檢查是否存在在線升級信息安全事件日志:
       b)檢查日志記錄的時間跨度是否不少于6個月或是否備留存日志不少于6個月的能力。
     8.3.4.3  離線升級安全測試
     8.3.4.3.1  使用車載軟件升級系統(tǒng)的離線升級安全測試
      測試人員應(yīng)分別構(gòu)造被偽造、被墓改的升級包,使用高線升級工具將該升級包下載或傳輸?shù)杰囕d執(zhí)行高線升級,判定車輛是否滿足7.3.3.1的要求,
     8.3.4.3.2  不使用車載軟件升級系統(tǒng)的離線升級安全測試
       測試人員應(yīng)按照如下測試方法中適用的測試方法開展測試,判定車輛是否滿足7.3.3.2的要求:
        a)將非認(rèn)證的刷寫接人端接人車輛刷寫接口并執(zhí)行離線升級,測試車輛是否能識別非認(rèn)證的刷寫接人端:
        b)分別構(gòu)造被偽造、被算改的升級包,使用刷寫接人端接人車輛刷寫接口,執(zhí)行離線升級,測試是否執(zhí)行升級或升級是否成功。
    8.3.5   數(shù)據(jù)安全測試
    8.3.5.1  密鑰防非法獲取和訪問安全測試
      測試人員應(yīng)依據(jù)車輛密碼使用方案,確認(rèn)測試零部件,并按照以下三種測試方法中適用的測試方法開展測試,判定車輛是香滿足7.4.1的要求:
        a)若采取安全訪問技術(shù)存儲密鑰,通過零部件訪問接口進行破解、提取等攻擊操作,測試是否可對密鑰非授權(quán)訪問和獲取:
        b)  若采取HSM等硬件安全模塊存儲密鑰,應(yīng)依據(jù)硬件安全模塊安裝位置說明文檔,檢查車輛是否在文標(biāo)識位置安裝了硬件安全模塊來保護密鑰:
        c)若采取安全的軟件存儲形式存儲密鑰,應(yīng)依據(jù)車輛制造商提供的保證車輛密鑰安全存儲證明文件,檢查是否安全存儲密鑰。
    8.3.5.2  敏感個人信息防泄露安全測試
     測試人員應(yīng)依據(jù)敏感個人信息功能清單和存儲地址清單,確認(rèn)測試零部件,依次觸發(fā)車輛記錄敏感個人信息的功能,并按照以下測試方法依次開展測試,判定車輛是否滿足7.4.2的要求:
      a)若采用安全訪問技術(shù)保護存儲的敏感個人信息,依據(jù)敏感個人信息存儲區(qū)域和地址范圍說明,通過零部件調(diào)試接口,使用未加訪問控制權(quán)限的用戶訪間存儲的敏感個人信息,測試是否能非授權(quán)訪間敏感個人信息:
      b)  若采取加密技術(shù)保護存儲的敏感個人信息,依據(jù)敏感個人信息存鰭區(qū)域和地址范圍說明,通過零部件調(diào)試接口,使用軟件分析工具提取存儲的敏感個人信息·測試是否為密文存儲:
      c)依次觸發(fā)車輛記錄敏感個人信息的功能,然后依據(jù)系統(tǒng)登錄方式進入系統(tǒng),對測試零部件進行敏感個人信息檢索·測試是否可檢索出不在敏感個人信息功能清單和存儲地址清單中存儲的敏感個人信息,
    8.3.5.3  車輛身份識別數(shù)據(jù)防非授權(quán)制除和修改安全測試
     測試人員應(yīng)依據(jù)車輛內(nèi)存儲的VIN等用于車輛身份識別的數(shù)據(jù)清單及存儲地址·確定測試零部件,使用軟件分析工具非授權(quán)除和修改存儲在車輛內(nèi)的VIN等用于車輛身份識別的數(shù)據(jù),判定車輛是否滿足7.4.3的要求,
    8.3.5.4  關(guān)鍵數(shù)據(jù)防非授權(quán)刪除和修改安全測試
     測試人員應(yīng)依據(jù)車輛內(nèi)存儲的關(guān)鍵數(shù)據(jù)清單及存儲的地址,確定測試零部件,通過零部件調(diào)試接口,使用軟件分析工具修改存儲在車內(nèi)的關(guān)鍵數(shù)據(jù),判定車輛是否滿足7.4.4的要求,
    8.3.5.5  日志文件防修改和非授權(quán)制除安全測試
      測試人員應(yīng)依據(jù)車輛內(nèi)存儲的安全日志清單及存儲的地址,確定測試零部件,并按照以下測試方法依次開展測試,判定車輛是香滿足7.4.5的要求:
       a)依據(jù)車輛內(nèi)存儲的安全日志清單及存儲的地址,通過零部件調(diào)試接口,修改安全日志文件,測試是否可修改安全日志文件:
       b)依據(jù)車輛內(nèi)存儲的安全日志清單及存儲的地址,通過零部件調(diào)試接口,使用軟件分析工具測試是否可非授權(quán)制除安全日志文件,
    8.3.5.6  個人信息清除功能測試方法
     測試人員應(yīng)使用測試車輛個人信息清除功能,確認(rèn)測試零部件,依次觸發(fā)車輛記錄個人信息的功能,清除車輛內(nèi)存儲的個人信息,依據(jù)車輛制造商費供的車輛內(nèi)存儲的個人信息清單及存儲的地址,通過零部件調(diào)試接口檢紫,檢查個人信息是否被完全刪除,判定車輛是否滿足7.4.6的要求,
    8.3.5.7  防數(shù)據(jù)直接出境測試方法
     測試人員應(yīng)開啟車輛全部移動蜂窩通信通道和WLAN通信通道,依次模擬測試車輛處于未上電、僅上電、各項預(yù)裝的數(shù)據(jù)傳輸功能正常啟用的狀態(tài)并使用網(wǎng)絡(luò)數(shù)據(jù)抓包工具對對外酒信網(wǎng)絡(luò)通道同時抓包,且總抓包時長不少于3600s.解析酒信報文數(shù)據(jù),檢查目的IP地址中是否包含境外IP地址,判定車輛是否滿足7.4.7的要求,
 9  同一型式判定
    9.1  信息安全直接視同判定條件
      如符合下述規(guī)定,則視為同一型式:
      ----汽車信息安全管理體系有效;
      ----車輛整車電子電氣架構(gòu)相同且信息安全處置措施相同;
      ----車輛中央網(wǎng)關(guān)的硬件型號和軟件版本號(不影響信息安全的除外)相同:
      ----車輛車載軟件升級系統(tǒng)硬件型號和軟件版本號(不影響信息安全的除外)相同:
      ----車輛具備蜂窩移動通信系統(tǒng)功能的零部件硬件型號和軟件版本號(不影響信息安全的除外)相同:
      ----車輛無線通信方式所使用的協(xié)議類型、協(xié)議版本、接口類型、接口數(shù)量相同或減少
        注:無線通信方式包含WL.AN.藍牙.NFC、蜂窩通信、V2X等。
      ----車輛外部接口的類型、數(shù)量相同或減少;
      ----與車輛直接連接并產(chǎn)生數(shù)據(jù)交互的車輛生產(chǎn)企業(yè)云平臺IP地址或域名相同,
    9.2  信息安全測試驗證后視同判定條件
      如車型發(fā)生涉及9.1的變更,在符合下述規(guī)定時,僅需對變更參數(shù)相關(guān)的技術(shù)要求進行補充測試,經(jīng)審批許可后獲得擴展:
       ----汽車信息安全管理體系有效;
      ----車輛整車電子電氣架構(gòu)相同且信息安全處置措施相同:
      ----車輛無線通信方式所使用的協(xié)議類型和接口類型相同或減少
      ----車輛外部接口的類型相同或減少。
    9.3  數(shù)據(jù)處理功能直接視同條件
      如符合下述規(guī)定,則視為同一型式:
       ----車輛名化算法生產(chǎn)企業(yè)和版本相同;
       ----車輛實現(xiàn)名化算法的控制器硬件型號、軟件版本號(不影響醫(yī)名化處理策略除外)和生產(chǎn)企業(yè)相同:
       ----車輛用于實現(xiàn)名化功能能相關(guān)的攝像頭等采集設(shè)備硬件型號、主要參數(shù)配置(采樣分辨率、采樣視場角、采樣頓率)和生產(chǎn)企業(yè)相同:
       ----車輛名化功能觸發(fā)規(guī)則相同,
 10   標(biāo)準(zhǔn)的實施
      對于新申請型式批準(zhǔn)的車型,自本文件實施之日起開始執(zhí)行。
      對于已獲得型式批準(zhǔn)的車型,自本文件實施之日起第25個月開始執(zhí)行。