上海控安:GB 44495-2024《汽车整车信息安全技术要求》标准解读和测试方案
01
引 言
随着智能网联汽车技术的飞速发展,车辆的信息系统正在逐步走向高度集成与高度互联,传统的车辆控制系统逐渐被复杂的车载操作系统和车联网应用所取代。与此同时,汽车成为网络攻击目标的风险也日益增加,信息安全问题成为智能汽车发展的关键挑战。为规范行业技术要求、提升整车信息安全保障能力,我国于2024年8月23日正式发布国家强制性标准 GB 44495-2024《汽车整车信息安全技术要求》,并将于2026年1月1日正式实施。该标准为整车厂及其供应链提供了全面的信息安全技术基线,成为汽车产业信息安全合规建设的重要里程碑。
02
标准背景与核心内容
GB 44495-2024《汽车整车信息安全技术要求》参考吸收了ISO/SAE 21434、UNECE WP.29 R155等国际主流标准和法规内容,结合我国智能网联汽车发展现状和实际应用场景,制定了一套覆盖广泛、要求明确的信息安全技术框架(如图1所示)。该标准由工业和信息化部归口,委托全国汽车标准化技术委员会智能网联汽车分会执行。上海控安在内的汽车科技领域企业、主机厂、Tier1、高校院所、机构中心等单位联合参与编制(如图2所示)。
图1 标准框架
图2 标准参编单位
1.1 适用范围和实施日期
该标准适用于M类、N类及至少装有1个电子控制单元的O类车辆。
图3 标准适用范围
实施日期如下图所示:
图4 标准实施日期
1.2 汽车信息安全管理体系要求
整车企业应建立覆盖产品全生命周期的信息安全管理体系,包括制定内部安全管理流程、识别与处置安全风险、建立测试机制、监测与响应网络攻击,以及管控与供应商、服务商之间的信息安全依赖关系,构建系统化的管理体系。
1.3 信息安全基本要求
信息安全基本要求涵盖风险管理、专用环境保护、安全测试与监测取证、密码模块应用、默认安全设置和数据保护等方面。标准要求企业识别关键风险,实施有效管控措施,确保系统具备抗攻击能力和取证能力;同时,使用符合标准的密码算法与模块,采用默认安全设置,保障数据处理过程中的个人隐私和用户知情同意权,全面满足信息安全防护的基础要求。
1.4 信息安全技术要求
标准将信息安全技术要求划分为以下四大核心领域:
1) 外部连接安全:要求对外部通信接口(如USB、蓝牙、WIFI、蜂窝网络等)进行访问控制、身份认证和数据保护。
2) 通信安全:规定整车内部和外部通信在数据传输过程中必须具备加密、防篡改、防重放等能力,确保数据完整性与保密性。
3) 软件升级安全:包括升级包完整性验证、签名认证、版本控制、回滚防护等机制,保障远程升级的安全可控。
4) 数据安全:涉及用户隐私数据保护、车辆运行数据加密存储、本地访问控制等内容,强化车辆对关键数据的生命周期管理能力。
1.5 检查与试验方法
该章节主要包括汽车信息安全管理体系检查、基本要求检查和技术要求测试。前两部分主要是针对信息安全相关的文档进行检查,确认车辆制造商和测试车辆分别满足标准第5、6章的要求。技术要求测试主要针对上述的四大核心领域进行安全测试,具体的测试项目和内容如下:
1) 外部连接安全测试
图5 外部连接安全测试
2) 通信安全测试
图6 通信安全测试
3)软件升级安全测试
图7 软件升级安全测试
4) 数据安全测试
图8 数据安全测试
1.6 同一型式判定
标准中的“同一型式判定”旨在明确信息安全测试的一致性范围。若车辆在信息安全管理体系、电子电气架构、关键控制器及通信协议等方面保持一致,且核心软硬件版本无影响信息安全的差异,即可视为同一型式。若仅部分参数变更且满足相应条件,经审批许可后可获得扩展。同时,数据处理功能中的匿名化算法、控制器和采集设备一致,也可视为同一型式。
03
汽车信息安全测试方案
为满足GB 44495-2024《汽车整车信息安全技术要求》等安全标准的要求,上海控安基于汽车行业信息安全相关法规和标准提供安全测试方案,标准覆盖范围如下图:
图9 标准和法规覆盖范围
主要围绕六个方面进行测试能力覆盖。如图,以测试能力为核心,从“硬件、车外通信、车载网络、软件、数据、升级”六大维度系统化布局,全面支撑智能网联汽车信息安全能力的合规建设和验证,符合法规落地与产业实际需求。
图10 汽车信息安全测试覆盖面
主要的测试工具包括SmartRocket TestSec自动化智能模糊渗透测试系统,可针对车载总线及车联网协议的自动化智能黑盒模糊渗透测试工具,主要负责汽车通信层面的安全测试,提供各种通信协议的模糊和渗透测试功能,通过自动化、系统化、智能化的模糊渗透测试方法,能够有效发现并修复智能网联汽车通信系统中潜在的安全缺陷,提高智能网联汽车安全性。
SmartRocket PeneX汽车网络安全测试系统,支持对整车及车辆零部件及子系统实施网络安全测试,包含硬件安全、软件安全、数据安全和软件升级四大安全测试系统;支持合规性测试,包含国内外的法规及标准;提供实验室机柜部署方案及便携式工具箱方案,可按需灵活选择。
图11 汽车信息安全测试工具
04
总 结
GB 44495-2024《汽车整车信息安全技术要求》的发布,标志着我国汽车信息安全法规体系迈入全面落地阶段。该标准不仅强调组织级的信息安全体系构建与基本安全能力建设,还在技术层面明确了外部连接、通信、升级、数据等防护能力和测试要求。面对日益复杂的汽车信息安全威胁,行业各方需从管理、设计、流程与工具等多个维度协同推进标准实施,切实提升智能网联汽车的信息安全防护能力,推动我国汽车产业迈向安全、可信、可持续的新阶段。