汽車整車信息安全技術(shù)要求

GBXXXXX—XXXX

目次

前??言..............................................................................II

1范圍.................................................................................1

2規(guī)范性引用文件.......................................................................1

3術(shù)語(yǔ)和定義...........................................................................1

4縮略語(yǔ)...............................................................................2

5信息安全管理體系要求.................................................................2

6車輛信息安全一般要求.................................................................3

7車輛外部連接安全要求.................................................................4

8車輛通信安全要求.....................................................................4

9車輛軟件升級(jí)安全要求.................................................................5

10車輛數(shù)據(jù)代碼安全要求................................................................6

11審核評(píng)估及測(cè)試方法..................................................................6

12車輛型式的變更和擴(kuò)展................................................................6

13實(shí)施日期............................................................................7

附錄A（規(guī)范性）車輛信息安全要求測(cè)試驗(yàn)證方法......................................8

I

GBXXXXX—XXXX

前??言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由中華人民共和國(guó)工業(yè)和信息化部提出并歸口。

II

汽車整車信息安全技術(shù)要求

1范圍

本文件規(guī)定了汽車信息安全管理體系要求、車輛信息安全一般要求、車輛信息安全技術(shù)要求、審

核評(píng)估及測(cè)試驗(yàn)證方法。

本文件適用于M類、N類及至少裝有1個(gè)電子控制單元的O類車輛，其他類型車輛可參考執(zhí)行。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

汽車信息安全管理體系cybersecuritymanagementsystem

網(wǎng)絡(luò)安全管理體系cybersecuritymanagementsystem

一種基于風(fēng)險(xiǎn)的系統(tǒng)方法，包括組織流程、責(zé)任和治理，以處理與車輛網(wǎng)絡(luò)威脅相關(guān)的風(fēng)險(xiǎn)并保

護(hù)車輛免受網(wǎng)絡(luò)攻擊。

[來(lái)源：GB/Txxxxx智能網(wǎng)聯(lián)汽車術(shù)語(yǔ)和定義]

3.2

開發(fā)階段developmentphase

車型獲得批準(zhǔn)之前的時(shí)期。

3.3

生產(chǎn)階段productionphase

車型生產(chǎn)持續(xù)的時(shí)期。

3.4

后生產(chǎn)階段post-productionphase

從車型不再生產(chǎn)，直至該車型的所有車輛使用壽命結(jié)束的時(shí)期。在這一階段，該車型的車輛仍可

使用，但不再繼續(xù)生產(chǎn)，當(dāng)該車型不再有可使用的車輛時(shí)，此階段結(jié)束。

3.5

風(fēng)險(xiǎn)risk

車輛信息安全不確定性的影響，可用攻擊可行性和影響表示。

3.6

風(fēng)險(xiǎn)評(píng)估riskassessment

發(fā)現(xiàn)、識(shí)別和描述風(fēng)險(xiǎn)，理解風(fēng)險(xiǎn)的性質(zhì)以及確定風(fēng)險(xiǎn)級(jí)別，并將風(fēng)險(xiǎn)分析的結(jié)果與風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)

行比較，以確定風(fēng)險(xiǎn)是否可接受。

1

3.7

威脅threat

可能導(dǎo)致系統(tǒng)、組織或個(gè)人受到傷害的意外事件的潛在原因。

3.8

漏洞vulnerability

在資產(chǎn)或緩解措施中，可被一個(gè)或多個(gè)威脅利用的弱點(diǎn)。

3.9

車載軟件升級(jí)系統(tǒng)on-boardsoftwareupdatesystem

安裝在車端并具備升級(jí)包接收、校驗(yàn)和分發(fā)等功能的軟件和硬件。

3.10

在線升級(jí)over-the-airupdate

通過(guò)無(wú)線方式而不是使用電纜或其他本地連接進(jìn)行數(shù)據(jù)傳輸?shù)能浖?jí)。

3.11

離線升級(jí)offlineupdate

除在線升級(jí)以外的軟件升級(jí)。

3.12

敏感個(gè)人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能導(dǎo)致車主、駕駛?cè)?、乘車人、車外人員等受到歧視或者人身、財(cái)產(chǎn)

安全受到嚴(yán)重危害的個(gè)人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識(shí)別特征等信息。

[來(lái)源：汽車數(shù)據(jù)安全管理若干規(guī)定（試行），第三條]

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。下列縮略語(yǔ)適用于本文件。

CAN：控制器局域網(wǎng)絡(luò)（ControlAreaNetwork）

ECU：電子控制單元（ElectronicControlUnit）

HSM：硬件安全模塊（HardwareSecureModule）

MD5：MD5信息摘要算法(MD5Message-DigestAlgorithm)

NFC：近距離無(wú)線通訊技術(shù)(NearFieldCommunication)

TLS：安全傳輸層協(xié)議(TransportLayerSecurity)

USB：通用串行總線(UniversalSerialBus)

VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）

VIN：車輛識(shí)別代號(hào)（VehicleIdentificationNumber）

WLAN：無(wú)線局域網(wǎng)(WirelessLocalAreaNetworks)

5汽車信息安全管理體系要求

5.1車輛生產(chǎn)企業(yè)應(yīng)建立車輛全生命周期的汽車信息安全管理體系。

注：車輛全生命周期包括車輛的開發(fā)階段、生產(chǎn)階段及后生產(chǎn)階段。

5.2汽車信息安全管理體系中應(yīng)涵蓋必要流程，以確保充分考慮安全風(fēng)險(xiǎn)。

2

5.2.1應(yīng)建立企業(yè)內(nèi)部管理信息安全的流程。

5.2.2應(yīng)建立識(shí)別、評(píng)估、分類、處置車輛信息安全風(fēng)險(xiǎn)及核實(shí)已識(shí)別風(fēng)險(xiǎn)得到適當(dāng)處置的流程，并

確保車輛風(fēng)險(xiǎn)評(píng)估保持最新狀態(tài)。

5.2.3應(yīng)建立用于車輛信息安全測(cè)試的流程。

5.2.4應(yīng)建立針對(duì)車輛的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的監(jiān)測(cè)、響應(yīng)及上報(bào)流程，要求如下：

a)應(yīng)包含漏洞管理機(jī)制，明確漏洞收集、分析、報(bào)告、處置、發(fā)布等活動(dòng)環(huán)節(jié)；

b)應(yīng)建立針對(duì)網(wǎng)絡(luò)攻擊提供相關(guān)數(shù)據(jù)并進(jìn)行分析的流程；

示例：企業(yè)具備從車輛數(shù)據(jù)和車輛日志中分析和檢測(cè)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的能力。

c)應(yīng)建立確保已識(shí)別的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞得到響應(yīng)，且在合理的時(shí)限內(nèi)得到處置及上

報(bào)的流程；

d)應(yīng)建立評(píng)估所實(shí)施的信息安全措施在發(fā)現(xiàn)新的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的情況下是否仍然

有效的流程；

e)應(yīng)建立確保對(duì)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞進(jìn)行持續(xù)監(jiān)控的流程；

注：車輛登記后即納入監(jiān)控范圍。

5.2.5應(yīng)建立管理企業(yè)與合同供應(yīng)商、服務(wù)提供商、車輛生產(chǎn)企業(yè)子組織之間信息安全依賴關(guān)系的流

程。

6車輛信息安全一般要求

6.1車輛產(chǎn)品開發(fā)流程應(yīng)遵循汽車信息安全管理體系要求。

6.2應(yīng)識(shí)別和管理車輛與供應(yīng)商相關(guān)的風(fēng)險(xiǎn)。

6.3應(yīng)識(shí)別車輛的關(guān)鍵要素，對(duì)車輛進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估，合理管理已識(shí)別的風(fēng)險(xiǎn)。

注：風(fēng)險(xiǎn)評(píng)估應(yīng)考慮車輛的各個(gè)要素及其相互作用，并進(jìn)一步考慮與任何外部系統(tǒng)的相互作用。

示例：關(guān)鍵要素包括有助于車輛安全、環(huán)境保護(hù)或防盜的要素，提供連接性的部件或車輛架構(gòu)中對(duì)信息安全至關(guān)

重要的部分等。

6.4應(yīng)采取基于第7章、第8章、第9章、第10章的信息安全技術(shù)要求處置措施保護(hù)車輛不受風(fēng)險(xiǎn)

評(píng)估中已識(shí)別的風(fēng)險(xiǎn)影響。

注1：若處置措施與所識(shí)別的風(fēng)險(xiǎn)不相關(guān)，則車輛制造商應(yīng)說(shuō)明其不相關(guān)性。

注2：若處置措施與所識(shí)別的風(fēng)險(xiǎn)不充分，則車輛制造商應(yīng)實(shí)施其它的處置措施，并說(shuō)明其使用措施的合理性。

6.5如有專用環(huán)境，則應(yīng)采取相應(yīng)適當(dāng)?shù)拇胧员Ｗo(hù)車輛用于存儲(chǔ)和執(zhí)行后裝軟件、服務(wù)、應(yīng)用程

序或數(shù)據(jù)的專用環(huán)境。

6.6應(yīng)通過(guò)適當(dāng)和充分的測(cè)試來(lái)驗(yàn)證所實(shí)施的信息安全措施的有效性。

6.7應(yīng)針對(duì)車輛實(shí)施相應(yīng)措施，以識(shí)別和防御針對(duì)該車輛的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞，并為車輛生

產(chǎn)企業(yè)在識(shí)別與車輛相關(guān)的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞方面提供監(jiān)測(cè)能力，以及為分析網(wǎng)絡(luò)攻擊、網(wǎng)

絡(luò)威脅和漏洞提供數(shù)據(jù)取證能力。

6.8應(yīng)采用符合國(guó)際通用、國(guó)家或行業(yè)標(biāo)準(zhǔn)要求的密碼模塊。若使用的密碼模塊未采用國(guó)際通用、國(guó)

家或行業(yè)標(biāo)準(zhǔn)要求，則應(yīng)說(shuō)明其使用的合理性。應(yīng)使用公開的、已發(fā)布的、有效的密碼算法，并選擇

適當(dāng)?shù)膮?shù)和選項(xiàng)；應(yīng)根據(jù)不同密碼算法和場(chǎng)景，選擇適當(dāng)長(zhǎng)度和有效的密鑰。

注：有效的密碼算法指安全有效且未被破解的算法，如MD5已被破解，此類算法相對(duì)不安全。

6.9車輛應(yīng)采用默認(rèn)安全設(shè)置。

示例：如WLAN的默認(rèn)連接口令應(yīng)滿足復(fù)雜度的要求。

3

6.10車輛數(shù)據(jù)處理活動(dòng)中的數(shù)據(jù)車內(nèi)處理、默認(rèn)不收集、精度范圍適用、脫敏處理、個(gè)人同意及顯

著告知等要求，應(yīng)符合GB/TXXXXX《智能網(wǎng)聯(lián)汽車數(shù)據(jù)通用要求》中4.2.1、4.2.2的規(guī)定。

7車輛外部連接安全要求

7.1遠(yuǎn)程控制系統(tǒng)安全要求

7.1.1應(yīng)對(duì)遠(yuǎn)程控制系統(tǒng)的指令信息進(jìn)行真實(shí)性和完整性驗(yàn)證，并應(yīng)具備驗(yàn)證失敗的處理能力。

7.1.2應(yīng)對(duì)遠(yuǎn)程控制系統(tǒng)的指令設(shè)置訪問(wèn)控制，禁用非授權(quán)的遠(yuǎn)程控制指令。

7.1.3應(yīng)具備遠(yuǎn)程控制系統(tǒng)的安全日志記錄功能，安全日志記錄的內(nèi)容至少包括遠(yuǎn)程控制指令的日期、

時(shí)間、發(fā)送主體、遠(yuǎn)程控制對(duì)象、操作結(jié)果等。

7.1.4應(yīng)對(duì)車端具備遠(yuǎn)程控制功能的系統(tǒng)的程序和配置數(shù)據(jù)進(jìn)行完整性驗(yàn)證。

7.2第三方應(yīng)用安全要求

7.2.1應(yīng)對(duì)授權(quán)的第三方應(yīng)用的真實(shí)性和完整性進(jìn)行驗(yàn)證。

注：第三方應(yīng)用是指車輛生產(chǎn)企業(yè)及其供應(yīng)商之外的其他法人實(shí)體提供的面向用戶提供服務(wù)的應(yīng)用程序，包括第

三方娛樂應(yīng)用等。

7.2.2應(yīng)對(duì)非授權(quán)的第三方應(yīng)用的安裝運(yùn)行進(jìn)行提示，并對(duì)已安裝的非授權(quán)的第三方應(yīng)用進(jìn)行訪問(wèn)控

制，避免此類應(yīng)用直接訪問(wèn)系統(tǒng)資源、個(gè)人信息等。

7.3外部接口安全要求

7.3.1應(yīng)對(duì)外部接口進(jìn)行訪問(wèn)控制保護(hù)，禁止非授權(quán)訪問(wèn)。

示例：外部接口包括USB接口、診斷接口和其他接口等。

7.3.2應(yīng)對(duì)USB接口接入設(shè)備中的文件進(jìn)行訪問(wèn)控制，只允許讀寫指定格式的文件或安裝執(zhí)行指定簽

名的應(yīng)用軟件。

7.3.3應(yīng)具備抵御USB接口接入設(shè)備中的病毒程序和攜帶病毒的媒體文件/應(yīng)用軟件的能力。

7.3.4通過(guò)診斷接口發(fā)送車輛關(guān)鍵參數(shù)的寫操作請(qǐng)求時(shí)，應(yīng)采用身份鑒別、訪問(wèn)控制等安全策略。

7.4車輛遠(yuǎn)程控制系統(tǒng)、授權(quán)的第三方應(yīng)用等外部連接系統(tǒng)不應(yīng)存在由權(quán)威漏洞平臺(tái)6個(gè)月前公布且

未經(jīng)處置的高危及以上的安全漏洞。

注：處置包括消除漏洞、制定減緩措施等方式。

7.5車輛應(yīng)關(guān)閉不必要的網(wǎng)絡(luò)端口。

8車輛通信安全要求

8.1車輛與車輛生產(chǎn)企業(yè)云平臺(tái)通信時(shí)，應(yīng)對(duì)其通信對(duì)象的身份真實(shí)性進(jìn)行驗(yàn)證。

8.2車輛與車輛、路側(cè)單元、移動(dòng)終端等進(jìn)行直連通信時(shí)，應(yīng)進(jìn)行證書有效性和合法性的驗(yàn)證。

8.3車輛應(yīng)采用完整性保護(hù)機(jī)制保護(hù)外部通信通道。

示例：車輛外部通信通道包括移動(dòng)蜂窩通信、WLAN、藍(lán)牙等，不包括射頻、NFC等短距離無(wú)線通信通道。

8.4車輛應(yīng)具備對(duì)來(lái)自車輛外部通信通道的數(shù)據(jù)操作指令的訪問(wèn)控制機(jī)制。

注：來(lái)自車輛外部通信通道的數(shù)據(jù)操作指令包括代碼注入、數(shù)據(jù)操縱、數(shù)據(jù)覆蓋、數(shù)據(jù)擦除和數(shù)據(jù)寫入等指令。

8.5車輛應(yīng)驗(yàn)證所接收的關(guān)鍵指令數(shù)據(jù)的有效性或唯一性。

4

注：關(guān)鍵指令數(shù)據(jù)是指可能影響行車和財(cái)產(chǎn)安全的指令數(shù)據(jù)，包括但不限于車控指令數(shù)據(jù)。

示例：針對(duì)遠(yuǎn)程控制服務(wù)器發(fā)送的車控指令，車端可通過(guò)網(wǎng)關(guān)校驗(yàn)該類指令的有效期或唯一性。

8.6車輛應(yīng)對(duì)發(fā)送的敏感個(gè)人信息實(shí)施保密性保護(hù)措施。

8.7車輛與外部直接通信的零部件應(yīng)具備身份識(shí)別機(jī)制。

注：與外部存在直接通信的零部件包括但不限于車載信息交互系統(tǒng)等，不包括短距離無(wú)線傳感器。

8.8車輛與外部直接通信的零部件應(yīng)具備安全機(jī)制防止非授權(quán)的系統(tǒng)特權(quán)訪問(wèn)。

注：非授權(quán)用戶可能通過(guò)調(diào)試接口獲得系統(tǒng)的根用戶權(quán)限。

8.9車輛內(nèi)部網(wǎng)絡(luò)應(yīng)劃分安全區(qū)域，并實(shí)現(xiàn)安全區(qū)域之間的隔離，對(duì)跨域請(qǐng)求應(yīng)進(jìn)行訪問(wèn)控制，并遵

循默認(rèn)拒絕原則和最小化授權(quán)原則。

注：隔離措施包括物理隔離、邏輯隔離（如采用白名單、防火墻等措施），如車載以太網(wǎng)可采用VLAN技術(shù)實(shí)現(xiàn)不

同功能域之間的邏輯隔離。

8.10車輛應(yīng)具備識(shí)別車輛通信通道遭受拒絕服務(wù)攻擊的能力，并對(duì)攻擊數(shù)據(jù)包進(jìn)行相應(yīng)的處理。

注：對(duì)攻擊數(shù)據(jù)包的處理包括攔截、丟棄等。

示例：車輛通信通道包括移動(dòng)蜂窩通信、V2X等車外通信通道，也包括CAN總線和車載以太網(wǎng)等車內(nèi)通信通道。

8.11車輛應(yīng)具備識(shí)別惡意的V2X數(shù)據(jù)、惡意的診斷數(shù)據(jù)、惡意的專有數(shù)據(jù)等的能力，并采取保護(hù)措

施。

注1：V2X數(shù)據(jù)包括道路設(shè)施發(fā)送到車輛的數(shù)據(jù)、車輛與車輛之間的數(shù)據(jù)。

注2：專有數(shù)據(jù)指正常發(fā)送自車輛生產(chǎn)企業(yè)或車輛組件、系統(tǒng)及功能供應(yīng)商的數(shù)據(jù)。

8.12車輛應(yīng)對(duì)關(guān)鍵的通信信息安全事件進(jìn)行日志記錄。

注：關(guān)鍵的通信信息安全事件由車企根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定。

9車輛軟件升級(jí)安全要求

9.1通用安全要求

9.1.1車載軟件升級(jí)系統(tǒng)應(yīng)具備安全啟動(dòng)的功能，應(yīng)保護(hù)車載軟件升級(jí)系統(tǒng)的可信根、引導(dǎo)加載程序、

系統(tǒng)固件不被篡改，或被篡改后無(wú)法正常啟動(dòng)。

9.1.2車載軟件升級(jí)系統(tǒng)應(yīng)不存在由權(quán)威漏洞平臺(tái)6個(gè)月前公布且未經(jīng)處置的高危及以上的安全漏洞。

注：處置方式包括消除漏洞、制定減緩措施等方式。

9.2在線升級(jí)安全要求

9.2.1車輛和在線升級(jí)服務(wù)器應(yīng)進(jìn)行身份認(rèn)證，驗(yàn)證其身份的真實(shí)性。

示例：常見的認(rèn)證方式包括使用證書進(jìn)行身份認(rèn)證等。

9.2.2車載軟件升級(jí)系統(tǒng)應(yīng)對(duì)下載的在線升級(jí)包進(jìn)行真實(shí)性和完整性校驗(yàn)。

9.2.3車載軟件升級(jí)系統(tǒng)應(yīng)記錄在線升級(jí)過(guò)程中發(fā)生的失敗事件日志。

注：失敗事件包括升級(jí)包校驗(yàn)失敗等，記錄內(nèi)容包括事件時(shí)間、事件類型等。

9.3離線升級(jí)安全要求

9.3.1若車輛使用車載軟件升級(jí)系統(tǒng)進(jìn)行離線升級(jí)，車輛應(yīng)對(duì)離線升級(jí)包真實(shí)性和完整性進(jìn)行校驗(yàn)。

9.3.2若車輛不使用車載軟件升級(jí)系統(tǒng)進(jìn)行離線升級(jí)，應(yīng)采取保護(hù)措施保證刷寫接入端的安全性，或

者校驗(yàn)離線升級(jí)包的真實(shí)性和完整性。

5

10車輛數(shù)據(jù)代碼安全要求

10.1車輛應(yīng)安全地存儲(chǔ)對(duì)稱密鑰和私鑰，防止其被非授權(quán)訪問(wèn)和獲取。

10.2車輛應(yīng)采取安全訪問(wèn)技術(shù)、加密技術(shù)等安全技術(shù)保護(hù)存儲(chǔ)在車內(nèi)的敏感個(gè)人信息，防止其被非

授權(quán)訪問(wèn)和獲取。

10.3車輛應(yīng)采取安全防御機(jī)制保護(hù)存儲(chǔ)在車內(nèi)的車輛識(shí)別代號(hào)（VIN）和用于身份識(shí)別的數(shù)據(jù)，防止

其被非授權(quán)刪除和修改。

示例：防止數(shù)據(jù)被非授權(quán)刪除和修改的安全防御機(jī)制包括安全訪問(wèn)技術(shù)、只讀技術(shù)等。

10.4車輛應(yīng)采取安全防御機(jī)制保護(hù)存儲(chǔ)在車內(nèi)的關(guān)鍵數(shù)據(jù)，防止其被非授權(quán)刪除和修改。

注：關(guān)鍵數(shù)據(jù)包括車輛關(guān)鍵配置參數(shù)和車輛運(yùn)行過(guò)程中產(chǎn)生的可能影響行車安全的數(shù)據(jù)。

示例：車輛關(guān)鍵配置參數(shù)包括制動(dòng)數(shù)據(jù)、安全氣囊展開閾值、電池參數(shù)、自動(dòng)駕駛參數(shù)等影響車輛行車、人員保

護(hù)功能的配置參數(shù)。

10.5車輛應(yīng)采取安全防御機(jī)制保護(hù)存儲(chǔ)在車內(nèi)的安全日志，防止其被非授權(quán)刪除和修改。

10.6車輛應(yīng)具備個(gè)人信息清除功能及防恢復(fù)機(jī)制，便于在轉(zhuǎn)售、租借或報(bào)廢時(shí)清除個(gè)人信息。

10.7車輛不得直接向境外傳輸數(shù)據(jù)。

注：用戶使用瀏覽器訪問(wèn)境外網(wǎng)站、使用通信軟件向境外傳遞消息、自主安裝可能導(dǎo)致數(shù)據(jù)出境的第三方應(yīng)用等

不受本條款限制。

11審核評(píng)估及測(cè)試方法

11.1依據(jù)本文件開展第6章車輛信息安全一般要求評(píng)估和信息安全技術(shù)要求測(cè)試驗(yàn)證前，應(yīng)通過(guò)第

5章汽車信息安全管理體系要求審核。

11.2車輛信息安全技術(shù)要求測(cè)試驗(yàn)證應(yīng)按照本文件附錄A進(jìn)行，在測(cè)試驗(yàn)證前應(yīng)開展第6章車輛信

息安全一般要求評(píng)估，確認(rèn)車輛采取了基于第7章、第8章、第9章、第10章的信息安全技術(shù)要求處

置措施保護(hù)車輛不受風(fēng)險(xiǎn)評(píng)估中已識(shí)別的風(fēng)險(xiǎn)影響。

注1：若基于第7章、第8章、第9章、第10章的信息安全技術(shù)要求處置措施與企業(yè)所識(shí)別的風(fēng)險(xiǎn)不相關(guān)，無(wú)需對(duì)不

相關(guān)的條款開展測(cè)試，僅需開展評(píng)估確認(rèn)。

注2：若基于第7章、第8章、第9章、第10章的信息安全技術(shù)要求處置措施無(wú)法覆蓋企業(yè)所識(shí)別的風(fēng)險(xiǎn)，應(yīng)在按照

附錄A開展測(cè)試驗(yàn)證的基礎(chǔ)上，對(duì)企業(yè)實(shí)際所使用的處置措施開展評(píng)估確認(rèn)。

12車輛型式的變更和擴(kuò)展

12.1總則

依據(jù)本文件通過(guò)型式檢驗(yàn)的車型，其結(jié)果可擴(kuò)展到符合12.2-12.4判定條件的其他車型。車型獲得

擴(kuò)展后，此擴(kuò)展車型不可再擴(kuò)展到其他車型。當(dāng)送檢車型具有多種選裝方案時(shí)，可只針對(duì)全覆蓋的車

型開展測(cè)試，即只要具備所有部件或系統(tǒng)的車型通過(guò)檢驗(yàn)，可不再進(jìn)行組合檢驗(yàn)。

12.2直接擴(kuò)展判定條件

12.2.1車輛生產(chǎn)企業(yè)相同；

12.2.2通過(guò)汽車信息安全管理體系審核；

6

12.2.3車型整車電子電氣架構(gòu)相同；

12.2.4中央網(wǎng)關(guān)的硬件型號(hào)相同；

12.2.5車載軟件升級(jí)系統(tǒng)硬件型號(hào)相同；

12.2.6具備蜂窩移動(dòng)通信系統(tǒng)功能的零部件硬件型號(hào)相同；

12.2.7車輛無(wú)線通信方式所使用的協(xié)議類型、版本相同；

注：無(wú)線通信方式包含WLAN、藍(lán)牙、NFC、蜂窩通訊、V2X等。

12.2.8所有暴露的外部物理接口的類型、數(shù)量相同或減少；

注：外部物理接口包括USB接口、診斷接口、充電接口等。

12.2.9與車型產(chǎn)生數(shù)據(jù)交互的車輛生產(chǎn)企業(yè)云平臺(tái)IP地址或域名相同。

12.3審核后擴(kuò)展的判定條件

若車型發(fā)生涉及12.2.3~12.2.9的變更，經(jīng)審核車輛生產(chǎn)企業(yè)提供的車型風(fēng)險(xiǎn)評(píng)估報(bào)告后，確認(rèn)整

車信息安全風(fēng)險(xiǎn)未增加，可獲得擴(kuò)展。

示例：常見的不影響整車信息安全的改動(dòng)包括替換與信息安全無(wú)關(guān)的系統(tǒng)或部件、ECU性能升級(jí)但不增加新的功

能、變更ECU零部件供應(yīng)商但不改變信息安全配置、用于修復(fù)漏洞或性能優(yōu)化的軟件升級(jí)、不影響信息安全的功能變

更或新增功能（如在原有遠(yuǎn)程控車功能的基礎(chǔ)上增加新的控車功能，且不涉及通信方式的改變）等。

12.4測(cè)試驗(yàn)證后擴(kuò)展的判定條件

若車型發(fā)生涉及12.2.3~12.2.9的變更，經(jīng)審核車輛生產(chǎn)企業(yè)提供的車型風(fēng)險(xiǎn)評(píng)估報(bào)告后，確認(rèn)整

車信息安全風(fēng)險(xiǎn)增加，但未嚴(yán)重影響整車信息安全，應(yīng)針對(duì)受影響的項(xiàng)目補(bǔ)充測(cè)試驗(yàn)證，測(cè)試驗(yàn)證通

過(guò)后可獲得擴(kuò)展。

示例：常見的未嚴(yán)重影響整車信息安全的改動(dòng)包括通信系統(tǒng)升級(jí)但不引入新的通信方式（如使用第五代移動(dòng)通信

系統(tǒng)替換第二代移動(dòng)通信系統(tǒng)），影響信息安全的ECU功能變更或增加新的功能等。

12.5無(wú)法擴(kuò)展的判定條件

12.5.1車輛生產(chǎn)企業(yè)發(fā)生變更；

12.5.2汽車信息安全管理體系失效；

12.5.3發(fā)生嚴(yán)重影響整車信息安全的變更；

示例：常見的嚴(yán)重影響整車信息安全的變更包括改變車輛網(wǎng)絡(luò)拓?fù)洌ㄈ缭黾有碌木W(wǎng)關(guān)）、增添新的外部接口、增

加新的網(wǎng)絡(luò)通信方式（如增加CAN/車載以太網(wǎng)、增加NFC通信）。

13實(shí)施日期

對(duì)于新申請(qǐng)型式批準(zhǔn)的車型，自本文件實(shí)施之日起開始執(zhí)行。

對(duì)于已獲得型式批準(zhǔn)的車型，自本文件實(shí)施之日起第25個(gè)月開始執(zhí)行。

7

附錄A

（規(guī)范性）

車輛信息安全要求測(cè)試驗(yàn)證方法

A.1概述

本附錄規(guī)定了車輛外部連接安全要求、車輛通信安全要求、車輛軟件升級(jí)安全要求和車輛數(shù)據(jù)代

碼安全要求的測(cè)試驗(yàn)證方法。開展測(cè)試驗(yàn)證前，應(yīng)評(píng)估確認(rèn)滿足第6章車輛信息安全一般要求。

A.2測(cè)試條件

A.2.1測(cè)試環(huán)境應(yīng)保證測(cè)試車輛能安全運(yùn)行，影響車輛狀態(tài)的測(cè)試應(yīng)在多運(yùn)行工況的整車轉(zhuǎn)鼓環(huán)

境下進(jìn)行。

A.2.2測(cè)試環(huán)境應(yīng)保證車輛通信穩(wěn)定且測(cè)試不會(huì)對(duì)公網(wǎng)環(huán)境產(chǎn)生影響，影響公網(wǎng)環(huán)境的測(cè)試應(yīng)在

具備通信功能的整車暗室或類似環(huán)境中進(jìn)行。

A.2.3車輛生產(chǎn)企業(yè)應(yīng)按照測(cè)試要求提供測(cè)試整車車輛，必要時(shí)需提供測(cè)試臺(tái)架。

A.2.4車輛生產(chǎn)企業(yè)應(yīng)提供技術(shù)人員、刷寫工具等必要的支持協(xié)助完成測(cè)試。

A.3測(cè)試輸入信息

測(cè)試開始前，應(yīng)根據(jù)車輛信息安全一般要求評(píng)估的結(jié)果，確認(rèn)與測(cè)試車輛相關(guān)的測(cè)試項(xiàng)，并獲取

如下測(cè)試輸入信息：

注：測(cè)試輸入信息的獲取可在車輛生產(chǎn)企業(yè)認(rèn)可的安全場(chǎng)景下進(jìn)行，如在企業(yè)現(xiàn)場(chǎng)審閱相關(guān)文檔。

a)測(cè)試車輛遠(yuǎn)程控制功能，包括遠(yuǎn)程控制指令應(yīng)用場(chǎng)景和使用權(quán)限、遠(yuǎn)程控制指令審計(jì)方式及

審計(jì)日志記錄地址、車輛記錄異常指令的地址；

b)測(cè)試車輛授權(quán)第三方應(yīng)用真實(shí)性和完整性校驗(yàn)方式；

c)測(cè)試車輛非授權(quán)第三方應(yīng)用的訪問(wèn)控制機(jī)制；

d)測(cè)試車輛的外部接口；

e)與測(cè)試車輛通信的車輛生產(chǎn)企業(yè)云平臺(tái)；

f)測(cè)試車輛通信方法，包括采用的通信協(xié)議類型；

g)測(cè)試車輛的V2X功能；

h)測(cè)試車輛向外傳輸敏感個(gè)人信息的通信通道；

i)測(cè)試車輛與外部直接通信的零部件；

j)測(cè)試車輛內(nèi)部通信方案及通信矩陣樣例，包括專用數(shù)據(jù)通信矩陣樣例；

k)測(cè)試車輛車載軟件升級(jí)系統(tǒng)可信根、引導(dǎo)加載程序、系統(tǒng)固件的訪問(wèn)方式和地址；

l)測(cè)試車輛實(shí)現(xiàn)離線軟件升級(jí)的方式及工具；

m)測(cè)試車輛對(duì)稱密鑰和私鑰的存儲(chǔ)方式及說(shuō)明文檔；

n)測(cè)試車輛內(nèi)部存儲(chǔ)敏感個(gè)人信息存儲(chǔ)地址；

o)測(cè)試車輛內(nèi)存儲(chǔ)的車輛識(shí)別代號(hào)和用于身份識(shí)別的數(shù)據(jù)清單及存儲(chǔ)地址；

p)測(cè)試車輛內(nèi)存儲(chǔ)的關(guān)鍵數(shù)據(jù)清單及存儲(chǔ)的地址；

q)測(cè)試車輛個(gè)人信息清除功能及防恢復(fù)機(jī)制。

A.4車輛外部連接安全測(cè)試方法

8

A.4.1具備遠(yuǎn)程操控功能的系統(tǒng)安全測(cè)試方法

A.4.1.1真實(shí)性和完整性校驗(yàn)的測(cè)試方法

應(yīng)依據(jù)附錄A.3a)測(cè)試車輛遠(yuǎn)程控制功能，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文

7.1.1的要求：

嘗試偽造、篡改并發(fā)送遠(yuǎn)程車輛控制指令，檢查車輛是否響應(yīng)該指令，是否按照企業(yè)設(shè)定的驗(yàn)證

失敗處理機(jī)制進(jìn)行處理，并記錄測(cè)試結(jié)果，應(yīng)不響應(yīng)該指令。

A.4.1.2遠(yuǎn)程控制指令控制測(cè)試方法

應(yīng)依據(jù)附錄A.3a)測(cè)試車輛遠(yuǎn)程控制功能，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文

7.1.2的要求：

構(gòu)建非授權(quán)的遠(yuǎn)程控制指令，發(fā)送至測(cè)試車輛，檢查車輛是否響應(yīng)該指令，并記錄測(cè)試結(jié)果，應(yīng)

不響應(yīng)該指令。

A.4.1.3安全日志記錄功能測(cè)試方法

應(yīng)依據(jù)附錄A.3a)測(cè)試車輛遠(yuǎn)程控制功能，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文

7.1.3的要求：

構(gòu)建并觸發(fā)遠(yuǎn)程控制系統(tǒng)信息安全事件，使用授權(quán)的用戶或工具，導(dǎo)出遠(yuǎn)程控制系統(tǒng)安全日志文

件，驗(yàn)證文件記錄的內(nèi)容是否包含遠(yuǎn)程控制指令的日期、時(shí)間、發(fā)送主體、操作是否成功等信息，并

記錄驗(yàn)證結(jié)果，應(yīng)包括遠(yuǎn)程控制指令的日期、時(shí)間、發(fā)送主體、操作是否成功的信息。

A.4.1.4遠(yuǎn)程控制功能系統(tǒng)程序和數(shù)據(jù)完整性校驗(yàn)測(cè)試方法

應(yīng)依據(jù)附錄A.3a)測(cè)試車輛遠(yuǎn)程控制功能，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文

7.1.4的要求：

篡改車端執(zhí)行遠(yuǎn)程控制功能的系統(tǒng)的程序和數(shù)據(jù)，并下發(fā)遠(yuǎn)程控制指令，測(cè)試車輛是否告警或不

執(zhí)行該控制指令，并記錄測(cè)試結(jié)果，應(yīng)告警或不執(zhí)行該控制指令。

A.4.2第三方應(yīng)用安全測(cè)試方法

A.4.2.1授權(quán)第三方應(yīng)用真實(shí)性完整性驗(yàn)證測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3b)測(cè)試車輛授權(quán)第三方應(yīng)用真實(shí)性和完整性校驗(yàn)方式，并按照如下測(cè)試

方法，檢驗(yàn)測(cè)試車輛是否滿足正文7.2.1的要求：

a)使用二進(jìn)制工具，依據(jù)授權(quán)第三方應(yīng)用真實(shí)性和完整性校驗(yàn)方式，篡改第三方應(yīng)用程序的代

碼；

b)嘗試安裝執(zhí)行篡改后的授權(quán)第三方應(yīng)用程序，測(cè)試是否可以正常運(yùn)行，并記錄測(cè)試結(jié)果，應(yīng)

不可正常運(yùn)行。

A.4.2.2非授權(quán)第三方應(yīng)用訪問(wèn)控制測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3c)測(cè)試車輛非授權(quán)第三方應(yīng)用的訪問(wèn)控制機(jī)制，并按照如下測(cè)試方法，

檢驗(yàn)測(cè)試車輛是否滿足正文7.2.2的要求：

9

a)嘗試安裝并執(zhí)行非授權(quán)第三方應(yīng)用，測(cè)試車輛是否進(jìn)行提示，并記錄測(cè)試結(jié)果，應(yīng)有明確提

示；

b)嘗試使用非授權(quán)第三方應(yīng)用程序訪問(wèn)超出訪問(wèn)控制權(quán)限的資源，并記錄測(cè)試結(jié)果，應(yīng)不可訪

問(wèn)控制權(quán)限外的資源。

A.4.3外部接口安全測(cè)試方法

A.4.3.1外部接口訪問(wèn)控制測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3d)測(cè)試車輛外部接口，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正

文7.3.1的要求：

使用非授權(quán)的用戶或工具訪問(wèn)車輛的外部接口，測(cè)試是否可以成功建立連接并訪問(wèn)相應(yīng)的信息，

并記錄測(cè)試結(jié)果，應(yīng)無(wú)法成功建立連接。

A.4.3.2USB接口訪問(wèn)控制測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3d)測(cè)試車輛的外部接口，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足

正文7.3.2的要求：

a)在具備USB接口的移動(dòng)存儲(chǔ)介質(zhì)中注入媒體文件、指定簽名的應(yīng)用軟件和其它文件；

b)將移動(dòng)存儲(chǔ)介質(zhì)連接到車輛USB接口，測(cè)試車輛是否可以執(zhí)行除媒體文件和指定簽名的應(yīng)用

軟件外的其他文件，并記錄測(cè)試結(jié)果，應(yīng)無(wú)法執(zhí)行除媒體文件和指定簽名的應(yīng)用軟件外的其

他文件。

A.4.3.3USB防病毒測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3d)測(cè)試車輛的外部接口，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足

正文7.3.3的要求：

a)在具備USB接口的移動(dòng)存儲(chǔ)介質(zhì)中注入病毒文件；

b)將移動(dòng)存儲(chǔ)介質(zhì)連接到車輛USB接口，嘗試執(zhí)行病毒文件，測(cè)試車輛系統(tǒng)是否可以測(cè)試出移

動(dòng)存儲(chǔ)介質(zhì)中的病毒文件或拒絕執(zhí)行病毒文件，并記錄測(cè)試結(jié)果，應(yīng)能識(shí)別出病毒文件或拒

絕執(zhí)行病毒文件。

A.4.3.4診斷接口身份鑒別測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3d)測(cè)試車輛的外部接口，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足

正文7.3.4的要求：

a)使用非授權(quán)用戶或工具在診斷接口發(fā)送車輛關(guān)鍵參數(shù)寫操作請(qǐng)求，測(cè)試車輛是否執(zhí)行該操作

請(qǐng)求，并記錄測(cè)試結(jié)果，應(yīng)無(wú)法執(zhí)行該操作請(qǐng)求；

b)使用授權(quán)用戶在診斷接口發(fā)送超出權(quán)限的車輛關(guān)鍵參數(shù)寫操作請(qǐng)求，測(cè)試車輛是否執(zhí)行該操

作請(qǐng)求，并記錄測(cè)試結(jié)果，應(yīng)無(wú)法執(zhí)行該操作請(qǐng)求。

A.4.4車輛外部連接系統(tǒng)漏洞掃描測(cè)試方法

測(cè)試人員應(yīng)按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文7.4的要求：

a)使用漏洞掃描工具對(duì)車輛外部連接系統(tǒng)進(jìn)行漏洞掃描測(cè)試，測(cè)試是否存在權(quán)威漏洞平臺(tái)6個(gè)

月前公布的高危及以上的安全漏洞，并記錄測(cè)試結(jié)果；

10

b)如存在權(quán)威漏洞平臺(tái)6個(gè)月前公布的高危及以上的安全漏洞，對(duì)照企業(yè)提交的漏洞處置方案

清單，確認(rèn)企業(yè)提交的漏洞處置方案清單中是否覆蓋該漏洞，并記錄測(cè)試結(jié)果，應(yīng)不存在由

權(quán)威漏洞平臺(tái)6個(gè)月前公布且未經(jīng)處置的高危及以上的安全漏洞。

A.4.5車輛關(guān)閉不必要接口測(cè)試方法

測(cè)試人員應(yīng)按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文7.5的要求：

a)測(cè)試人員通過(guò)WLAN、車載以太網(wǎng)等形式將測(cè)試車輛與掃描測(cè)試設(shè)備組網(wǎng)，查看配置文件獲得

被測(cè)車輛的IP地址；

b)使用掃描測(cè)試設(shè)備查看測(cè)試車輛所開放的端口，并將車輛開放的端口列表與提交的車輛業(yè)務(wù)

列表進(jìn)行對(duì)比，測(cè)試車輛是否有開放非必要的網(wǎng)絡(luò)端口，并記錄測(cè)試結(jié)果，應(yīng)僅開放必要的

網(wǎng)絡(luò)端口。

A.5車輛通信安全測(cè)試方法

A.5.1云平臺(tái)通信身份真實(shí)性驗(yàn)證測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3e)與測(cè)試車輛通信的車輛生產(chǎn)企業(yè)云平臺(tái)、附錄A.3f)測(cè)試車輛通信

方法，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文8.1的要求：

a)若車輛與車輛生產(chǎn)企業(yè)云平臺(tái)通信采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)環(huán)境進(jìn)行通信，驗(yàn)證通信網(wǎng)

絡(luò)技術(shù)報(bào)告，確定通信網(wǎng)絡(luò)類型，并記錄驗(yàn)證結(jié)果。

b)若車輛與車輛生產(chǎn)企業(yè)云平臺(tái)通信采用公共網(wǎng)絡(luò)環(huán)境進(jìn)行通信，且使用公有通信協(xié)議，采用

網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包，解析通信報(bào)文數(shù)據(jù)，檢查是否采用如TLSV1.2同等安全

級(jí)別或以上要求的安全通信層協(xié)議，并記錄測(cè)試結(jié)果，應(yīng)使用TLSV1.2同等安全級(jí)別或以

上要求的安全通信層協(xié)議；

c)若車輛與車輛生產(chǎn)企業(yè)云平臺(tái)通信采用公共網(wǎng)絡(luò)環(huán)境進(jìn)行通信，且使用私有通信協(xié)議，對(duì)私

有通信協(xié)議方案進(jìn)行驗(yàn)證，并記錄測(cè)試結(jié)果，私有通信協(xié)議方案應(yīng)能對(duì)通信對(duì)象的身份真實(shí)

性進(jìn)行驗(yàn)證。

A.5.2V2X通信身份認(rèn)證測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3f)測(cè)試車輛通信方法、附錄A.3g)測(cè)試車輛的V2X功能，并按照如下測(cè)

試方法，檢驗(yàn)測(cè)試車輛是否滿足正文8.2的要求：

a）使用合法證書，利用V2X仿真測(cè)試設(shè)備模擬車輛、路側(cè)單元和移動(dòng)終端，并嘗試與測(cè)試車輛建

立通信連接；

b）清除V2X仿真測(cè)試設(shè)備的通信記錄，并將證書替換為無(wú)效證書或非法證書，測(cè)試替換證書后測(cè)

試車輛是否依然能和V2X仿真測(cè)試設(shè)備通信，并記錄測(cè)試結(jié)果，應(yīng)斷開通信連接。

A.5.3通信通道完整性保護(hù)測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3f)測(cè)試車輛通信方法，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正

文8.3的要求：

a）在車輛端設(shè)備與外部通信對(duì)象完成正常的身份認(rèn)證之后，采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具，解析通信

報(bào)文數(shù)據(jù)，判斷傳輸數(shù)據(jù)是否應(yīng)用了完整性保護(hù)措施。

11

b）將對(duì)傳輸數(shù)據(jù)進(jìn)行篡改或偽造后的報(bào)文發(fā)送到車輛端，測(cè)試車輛端是否對(duì)數(shù)據(jù)的完整性實(shí)施

校驗(yàn)并做出適宜的響應(yīng)，并記錄測(cè)試結(jié)果，應(yīng)進(jìn)行校驗(yàn)并拒絕該消息。

A.5.4防非授權(quán)操作測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3f)測(cè)試車輛通信方法，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正

文8.4的要求：

a）使用非授權(quán)身份對(duì)嘗試對(duì)車輛通信部件的數(shù)據(jù)代碼進(jìn)行讀取，測(cè)試是否可以成功操作，并記

錄測(cè)試結(jié)果，應(yīng)不可讀取。

b）使用非授權(quán)身份對(duì)嘗試對(duì)車輛通信部件的數(shù)據(jù)代碼進(jìn)行覆蓋，測(cè)試是否可以成功操作，并記

錄測(cè)試結(jié)果，應(yīng)不可覆蓋。

c）使用非授權(quán)身份對(duì)嘗試對(duì)車輛通信部件的數(shù)據(jù)代碼進(jìn)行清除，測(cè)試是否可以成功操作，并記

錄測(cè)試結(jié)果，應(yīng)不可清除。

d）使用非授權(quán)身份對(duì)嘗試對(duì)車輛通信部件的數(shù)據(jù)代碼進(jìn)行寫入，測(cè)試是否可以成功操作，并記

錄測(cè)試結(jié)果，應(yīng)不可寫入。

A.5.5關(guān)鍵指令數(shù)據(jù)有效性和唯一性驗(yàn)證測(cè)試方法

測(cè)試人員應(yīng)按照如下方法，檢驗(yàn)測(cè)試車輛是否滿足正文8.5的要求：

a）錄制正常會(huì)話指令，修改其中的一段數(shù)據(jù)，發(fā)送修改后的會(huì)話指令，測(cè)試車輛是否做出響應(yīng)，

并記錄測(cè)試結(jié)果，應(yīng)不響應(yīng)；

b）錄制正常會(huì)話指令，間隔一段時(shí)間后，重新發(fā)送錄制的會(huì)話指令，測(cè)試車輛是否做出響應(yīng)，

并記錄測(cè)試結(jié)果，應(yīng)不響應(yīng)。

A.5.6敏感個(gè)人信息保密性保護(hù)測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3h)測(cè)試車輛向外傳輸敏感個(gè)人信息的通信通道，并按照如下測(cè)試方法，

檢驗(yàn)測(cè)試車輛是否滿足正文8.6的要求：

a）依據(jù)車輛數(shù)據(jù)傳輸?shù)姆桨福?yàn)證是否正確使用聲明的加密算法對(duì)車輛傳輸?shù)臄?shù)據(jù)進(jìn)行加密，

并記錄驗(yàn)證結(jié)果，應(yīng)進(jìn)行加密；

b）驗(yàn)證使用的加密算法強(qiáng)度是否滿足需求，并記錄驗(yàn)證結(jié)果，算法強(qiáng)度應(yīng)滿足要求。

A.5.7對(duì)外通信零部件身份識(shí)別測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3i)測(cè)試車輛與外部直接通信的零部件,并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車

輛是否滿足正文8.7的要求。

a）使用和測(cè)試車輛與外部直接通信零部件功能相同的零部件替換安裝在整車相同的位置；

b）啟動(dòng)車輛，測(cè)試零部件是否正常工作或車輛是否有異常部件連接告警，并記錄測(cè)試結(jié)果，系

統(tǒng)應(yīng)無(wú)法正常運(yùn)行或有異常告警提示。

A.5.8車輛與外部直接通信零部件防非特權(quán)訪問(wèn)測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3i)測(cè)試車輛與外部直接通信的零部件,并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車

輛是否滿足正文8.8的要求：

a）構(gòu)建一個(gè)非授權(quán)用戶，嘗試對(duì)該用戶進(jìn)行身份提權(quán)；

12

b）使用嘗試提權(quán)后的用戶對(duì)系統(tǒng)進(jìn)行特權(quán)訪問(wèn)，測(cè)試車輛是否有異常響應(yīng)或動(dòng)作，并記錄測(cè)試

結(jié)果，應(yīng)不可訪問(wèn)。

A.5.9車內(nèi)安全區(qū)域隔離測(cè)試方法

測(cè)試人員依據(jù)附錄A.3j)測(cè)試車內(nèi)通信方案及通信矩陣樣例，從如下測(cè)試方法中選擇適用的方法，

檢驗(yàn)測(cè)試車輛是否滿足正文8.9的要求：

a）對(duì)于使用物理隔離措施的車輛，驗(yàn)證車輛生產(chǎn)企業(yè)提供的物理隔離方案，并記錄測(cè)試結(jié)果，

應(yīng)實(shí)現(xiàn)物理隔離。

b）對(duì)于使用邏輯隔離措施的車輛，根據(jù)車輛廠商提供的邏輯隔離策略，發(fā)送不符合策略的數(shù)據(jù)

幀,在指定的目的端口測(cè)試是否可以接收到相應(yīng)的數(shù)據(jù)幀，并記錄測(cè)試結(jié)果，不應(yīng)接收到相

應(yīng)的數(shù)據(jù)幀。

c）對(duì)于采用VLAN技術(shù)實(shí)現(xiàn)域隔離的車輛，根據(jù)車輛廠商提供的域隔離策略，測(cè)試是否能夠跨域

轉(zhuǎn)發(fā)數(shù)據(jù)幀，并記錄測(cè)試結(jié)果，不應(yīng)跨域轉(zhuǎn)發(fā)數(shù)據(jù)幀。

A.5.10拒絕服務(wù)攻擊識(shí)別測(cè)試方法

A.5.10.1CAN總線拒絕服務(wù)攻擊識(shí)別測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3j)測(cè)試車輛車內(nèi)通信方案及通信矩陣樣例，并按照如下測(cè)試方法，檢驗(yàn)

測(cè)試車輛CAN總線通信拒絕服務(wù)攻擊識(shí)別防護(hù)能力是否滿足正文8.10的要求。

a）將拒絕服務(wù)攻擊測(cè)試設(shè)備接入車輛的CAN總線，識(shí)別該通道總線波特率，測(cè)試設(shè)備對(duì)該通道發(fā)

起大于80%總線負(fù)載率的拒絕服務(wù)攻擊，如果有多個(gè)通道，則依次分別進(jìn)行測(cè)試試驗(yàn)；

b）在拒絕服務(wù)攻擊時(shí)，測(cè)試車輛未受攻擊的CAN通道通信性能和預(yù)設(shè)的功能是否受到影響，并記

錄測(cè)試結(jié)果，應(yīng)能不受影響或記錄攻擊事件；

c）在拒絕服務(wù)攻擊結(jié)束后，測(cè)試車輛是否按照預(yù)設(shè)方案處理攻擊數(shù)據(jù)包，并記錄測(cè)試結(jié)果，應(yīng)

按照預(yù)設(shè)的方案處理攻擊數(shù)據(jù)包。

A.5.10.2以太網(wǎng)拒絕服務(wù)攻擊識(shí)別測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3j)測(cè)試車輛車內(nèi)通信方案及通信矩陣樣例，并按照如下測(cè)試方法，檢驗(yàn)

測(cè)試車輛以太網(wǎng)通信拒絕服務(wù)攻擊識(shí)別防護(hù)能力是否滿足正文8.10的要求：

a）將拒絕服務(wù)攻擊測(cè)試設(shè)備與車輛的車載以太網(wǎng)進(jìn)行組網(wǎng)，并嘗試向車載以太網(wǎng)發(fā)起拒絕服務(wù)

攻擊；

b）在拒絕服務(wù)攻擊時(shí)，測(cè)試車輛未受攻擊的部件性能和預(yù)設(shè)的功能是否受到影響，并記錄測(cè)試

結(jié)果，應(yīng)能不受影響或記錄攻擊事件。

c）在拒絕服務(wù)攻擊結(jié)束后，測(cè)試車輛是否按照預(yù)設(shè)方案處理攻擊數(shù)據(jù)包，并記錄測(cè)試結(jié)果，應(yīng)

按照預(yù)設(shè)的方案處理攻擊數(shù)據(jù)包。

A.5.10.3V2X通信拒絕服務(wù)攻擊識(shí)別測(cè)試方法

測(cè)試人員應(yīng)按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛V2X通信拒絕服務(wù)攻擊識(shí)別防護(hù)能力是否滿足正文

8.10的要求：

a）使用V2X仿真測(cè)試設(shè)備模擬構(gòu)建不少于150輛可與測(cè)試車輛正常通信的虛擬車輛，并保持通信；

b）任選一輛虛擬車輛，將其與拒絕服務(wù)攻擊設(shè)備連接，向測(cè)試車輛發(fā)起拒絕服務(wù)攻擊；

13

c）在拒絕服務(wù)攻擊結(jié)束后，測(cè)試車輛的V2X功能是否恢復(fù)并可正常運(yùn)行，并記錄測(cè)試結(jié)果，應(yīng)從

攻擊中恢復(fù)并正常運(yùn)行，并記錄攻擊事件。

A.5.11惡意數(shù)據(jù)識(shí)別測(cè)試方法

測(cè)試人員應(yīng)依據(jù)車輛接受消息類型，從如下方法中選擇適用的方法，檢驗(yàn)測(cè)試車輛是否滿足正文

8.11的要求。

a）依據(jù)V2X通信規(guī)則，構(gòu)建并向車輛發(fā)送惡意的V2X消息數(shù)據(jù)時(shí)，測(cè)試車輛能否鑒別并拒絕響應(yīng)，

并記錄測(cè)試結(jié)果，應(yīng)拒絕響應(yīng)。

b）依據(jù)診斷通信規(guī)則，構(gòu)建并向車輛發(fā)送惡意的診斷消息數(shù)據(jù)時(shí)，測(cè)試車輛能否鑒別并拒絕響

應(yīng)，并記錄測(cè)試結(jié)果，應(yīng)拒絕響應(yīng)。

c）依據(jù)專有消息通信規(guī)則，構(gòu)建并向車輛發(fā)送惡意的專有消息數(shù)據(jù)時(shí)，測(cè)試車輛能否鑒別并拒

絕響應(yīng)，并記錄測(cè)試結(jié)果，應(yīng)拒絕響應(yīng)。

A.5.12通信信息安全日志測(cè)試方法

測(cè)試人員應(yīng)依據(jù)車輛通信信息安全日志記錄機(jī)制，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足

正文8.12的要求：

構(gòu)建并觸發(fā)車輛通信信息安全事件，測(cè)試車輛是否會(huì)按照通信信息安全日志記錄機(jī)制記錄該事件，

并記錄測(cè)試結(jié)果，應(yīng)按照機(jī)制要求記錄該安全事件。

A.6車輛軟件升級(jí)安全測(cè)試方法

A.6.1通用安全要求測(cè)試方法

A.6.1.1車載軟件升級(jí)系統(tǒng)安全啟動(dòng)測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3k)測(cè)試車輛車載軟件升級(jí)系統(tǒng)可信根、引導(dǎo)加載程序、系統(tǒng)固件的訪問(wèn)

方式和地址，按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文9.1.1的要求：

a）獲取安全啟動(dòng)信任根存儲(chǔ)區(qū)域的訪問(wèn)方法和地址，使用軟件調(diào)試工具寫入數(shù)據(jù)，重復(fù)測(cè)試不

少于三次，測(cè)試是否可將數(shù)據(jù)寫入該存儲(chǔ)區(qū)域，并記錄測(cè)試結(jié)果，應(yīng)無(wú)法將數(shù)據(jù)寫入該存儲(chǔ)

區(qū)域；

b）獲取正常運(yùn)行的引導(dǎo)加載程序，使用軟件調(diào)試工具修改該引導(dǎo)加載程序的簽名信息，將修改

后的引導(dǎo)加載程序?qū)懭氲街付▍^(qū)域，檢查是否正常加載引導(dǎo)加載程序，并記錄測(cè)試結(jié)果，應(yīng)

不正常加載引導(dǎo)加載程序；

c）獲取升級(jí)程序的系統(tǒng)固件，使用軟件調(diào)試工具對(duì)其進(jìn)行篡改，將修改后的系統(tǒng)固件寫入到指

定區(qū)域，檢查升級(jí)程序是否正常工作，并記錄測(cè)試結(jié)果，升級(jí)程序應(yīng)不工作。

A.6.1.2車載軟件升級(jí)系統(tǒng)安全漏洞掃描測(cè)試方法

測(cè)試人員應(yīng)照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文9.1.2的要求：

a）使用漏洞掃描工具對(duì)車載軟件升級(jí)系統(tǒng)進(jìn)行漏洞掃描測(cè)試，測(cè)試是否存在權(quán)威漏洞平臺(tái)6個(gè)月

前公布的高危及以上的安全漏洞，并記錄測(cè)試結(jié)果；

b）如存在權(quán)威漏洞平臺(tái)6個(gè)月前公布的高危及以上的安全漏洞，對(duì)照企業(yè)提交的漏洞處置方案清

單，確認(rèn)企業(yè)提交的漏洞處置方案清單中是否覆蓋該漏洞，并記錄測(cè)試結(jié)果，應(yīng)不存在由權(quán)

威漏洞平臺(tái)6個(gè)月前公布且未經(jīng)處置的高危及以上的安全漏洞。

14

A.6.2在線升級(jí)安全測(cè)試方法

A.6.2.1軟件升級(jí)服務(wù)器身份認(rèn)證測(cè)試方法

測(cè)試人員應(yīng)按照附錄A.5.1云平臺(tái)通信身份真實(shí)性驗(yàn)證測(cè)試方法，檢測(cè)測(cè)試車輛是否滿足正文

9.2.1的要求。

A.6.2.2升級(jí)包真實(shí)性和完整性校驗(yàn)測(cè)試方法

測(cè)試人員應(yīng)確認(rèn)在線升級(jí)功能正常執(zhí)行，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文9.2.2

的要求：

a）構(gòu)造被篡改破壞的在線升級(jí)包；

b）將該升級(jí)包下載或傳輸?shù)杰囕d端，執(zhí)行軟件升級(jí)，測(cè)試并記錄升級(jí)結(jié)果，應(yīng)不執(zhí)行升級(jí)。

A.6.2.3失敗事件日志記錄測(cè)試方法

測(cè)試人員應(yīng)按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文9.2.3的要求：

a）構(gòu)造完整性或真實(shí)性被破壞的在線升級(jí)包，

b）觸發(fā)車輛軟件升級(jí)，檢查升級(jí)事件日志，并記錄測(cè)試結(jié)果，應(yīng)記錄本次升級(jí)失敗事件。

A.6.3離線升級(jí)安全要求測(cè)試方法

A.6.3.1使用車載軟件升級(jí)系統(tǒng)的離線升級(jí)安全測(cè)試方法

若車輛使用車載軟件升級(jí)系統(tǒng)進(jìn)行離線升級(jí)，測(cè)試人員應(yīng)依據(jù)附錄A.3l)實(shí)現(xiàn)離線軟件升級(jí)的方

式及工具，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文9.3.1的要求：

a）構(gòu)造被篡改破壞的離線升級(jí)包；

b）使用離線升級(jí)工具將該升級(jí)包下載或傳輸?shù)杰囕d端，執(zhí)行軟件升級(jí)，測(cè)試并記錄升級(jí)結(jié)果，

應(yīng)不執(zhí)行升級(jí)。

A.6.3.2不使用車載軟件升級(jí)系統(tǒng)的離線升級(jí)安全測(cè)試方法

若車輛不使用車載軟件升級(jí)系統(tǒng)進(jìn)行離線升級(jí)，測(cè)試人員應(yīng)依據(jù)附錄A.3l)實(shí)現(xiàn)離線軟件升級(jí)的

方式及工具，并選擇以下兩種方法中適用的一種開展測(cè)試并記錄測(cè)試結(jié)果，檢驗(yàn)測(cè)試車輛是否滿足正

文9.3.2的要求：

a）測(cè)試人員將非認(rèn)證的刷寫接入端接入車輛刷寫接口，查看車輛是否能檢出接入了非認(rèn)證的刷

寫接入端，并記錄測(cè)試結(jié)果，應(yīng)能阻止非認(rèn)證刷寫接入端與車輛進(jìn)行通信；

b）構(gòu)造被篡改破壞的離線升級(jí)包，使用離線升級(jí)工具將該升級(jí)包下載或傳輸?shù)杰囕d端，執(zhí)行軟

件升級(jí)，測(cè)試并記錄升級(jí)結(jié)果，應(yīng)不執(zhí)行升級(jí)。

A.7車輛數(shù)據(jù)代碼安全測(cè)試方法

A.7.1密鑰防非法獲取和訪問(wèn)測(cè)試方法

測(cè)試人員應(yīng)按照附錄A.3m)測(cè)試車輛對(duì)稱密鑰和私鑰的存儲(chǔ)方式及說(shuō)明文檔，選擇以下兩種方法

中適用的一種開展測(cè)試并記錄測(cè)試結(jié)果，測(cè)試車輛應(yīng)滿足正文10.1的要求：

a）若采取HSM等硬件安全模塊存儲(chǔ)密鑰，應(yīng)依據(jù)硬件安全模塊安裝位置說(shuō)明文檔，驗(yàn)證車輛是否

安裝了硬件安全模塊來(lái)保護(hù)密鑰，并記錄驗(yàn)證結(jié)果,應(yīng)在文檔標(biāo)識(shí)位置安裝硬件安全模塊。

15

b）若采取安全的軟件存儲(chǔ)形式存儲(chǔ)密鑰，應(yīng)依據(jù)密鑰存儲(chǔ)區(qū)域和地址范圍說(shuō)明文檔，驗(yàn)證是否

采取了防非授權(quán)提取技術(shù)或加密存儲(chǔ)技術(shù)，并記錄驗(yàn)證結(jié)果，應(yīng)采取防非授權(quán)提取技術(shù)或加

密存儲(chǔ)技術(shù)。

A.7.2敏感個(gè)人信息防泄露測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3n)測(cè)試車輛內(nèi)部存儲(chǔ)敏感個(gè)人信息存儲(chǔ)地址，并按照如下測(cè)試方法開展

測(cè)試并記錄測(cè)試結(jié)果，測(cè)試結(jié)果應(yīng)滿足正文10.2的要求：

a）若采用安全訪問(wèn)技術(shù)保護(hù)存儲(chǔ)的敏感個(gè)人信息，依據(jù)敏感個(gè)人信息存儲(chǔ)區(qū)域和地址范圍說(shuō)明，

按照訪問(wèn)控制規(guī)則創(chuàng)建一個(gè)未添加訪問(wèn)控制權(quán)限的用戶，嘗試訪問(wèn)存儲(chǔ)的敏感個(gè)人信息，測(cè)

試是否可以非授權(quán)訪問(wèn)敏感個(gè)人信息，并記錄測(cè)試結(jié)果,應(yīng)不可非授權(quán)訪問(wèn)敏感個(gè)人信息。

b）若采取加密技術(shù)保護(hù)存儲(chǔ)的敏感個(gè)人信息，依據(jù)敏感個(gè)人信息存儲(chǔ)區(qū)域和地址范圍說(shuō)明，嘗

試使用軟件分析工具提取存儲(chǔ)的敏感個(gè)人信息，測(cè)試是否為密文存儲(chǔ)，并記錄測(cè)試結(jié)果，應(yīng)

為密文存儲(chǔ)。

A.7.3身份識(shí)別數(shù)據(jù)防篡改測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3o)測(cè)試車輛內(nèi)存儲(chǔ)的車輛識(shí)別代號(hào)和用于身份識(shí)別的數(shù)據(jù)清單及存儲(chǔ)地

址，并按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文10.3的要求：

依據(jù)車輛內(nèi)存儲(chǔ)的車輛識(shí)別代號(hào)和用于身份識(shí)別的數(shù)據(jù)清單及存儲(chǔ)地址說(shuō)明，嘗試使用軟件分析

工具篡改存儲(chǔ)在車輛識(shí)別代號(hào)和用于身份識(shí)別的數(shù)據(jù)，測(cè)試是否可以被篡改，并記錄測(cè)試結(jié)果，應(yīng)不

可被篡改。

A.7.4關(guān)鍵數(shù)據(jù)防篡改測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3p)測(cè)試車輛內(nèi)存儲(chǔ)的關(guān)鍵數(shù)據(jù)清單及存儲(chǔ)的地址，并按照如下測(cè)試方法，

檢驗(yàn)測(cè)試車輛是否滿足正文10.4的要求：

依據(jù)關(guān)鍵數(shù)據(jù)存儲(chǔ)區(qū)域和地址范圍說(shuō)明，嘗試使用軟件分析工具篡改存儲(chǔ)在車內(nèi)的關(guān)鍵數(shù)據(jù)，測(cè)

試是否可以被篡改，并記錄測(cè)試結(jié)果，應(yīng)不可被篡改。

A.7.5日志文件防篡改測(cè)試方法

測(cè)試人員應(yīng)按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文10.5的要求：

a）按照訪問(wèn)控制規(guī)則創(chuàng)建一個(gè)未添加訪問(wèn)控制權(quán)限的用戶；

b）嘗試修改和刪除安全日志文件，測(cè)試是否可以未授權(quán)刪除和修改安全日志文件，并記錄測(cè)試

結(jié)果，應(yīng)不可未授權(quán)刪除和修改安全日志文件。

A.7.6個(gè)人信息清除功能測(cè)試方法

測(cè)試人員應(yīng)依據(jù)附錄A.3q)測(cè)試車輛個(gè)人信息清除功能及防恢復(fù)機(jī)制，并按照如下測(cè)試方法，檢

驗(yàn)測(cè)試車輛是否滿足正文10.6的要求：

a）嘗試使用測(cè)試車輛個(gè)人信息清除功能，清除車輛內(nèi)存儲(chǔ)的個(gè)人信息，并記錄測(cè)試結(jié)果，應(yīng)可

以被刪除。

b）嘗試恢復(fù)被刪除的個(gè)人信息，并記錄測(cè)試結(jié)果，應(yīng)不可被恢復(fù)。

A.7.7防數(shù)據(jù)直接出境測(cè)試方法

16

測(cè)試人員應(yīng)按照如下測(cè)試方法，檢驗(yàn)測(cè)試車輛是否滿足正文10.7的要求：

a）開啟車輛全部移動(dòng)蜂窩通信網(wǎng)絡(luò)、WLAN通信網(wǎng)絡(luò)，依次模擬測(cè)試車輛各項(xiàng)預(yù)裝的數(shù)據(jù)傳輸功

能

b）使用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行不少于3600秒的數(shù)據(jù)抓包，解析通信報(bào)文數(shù)據(jù)，分析目的IP地址

中是否包含境外IP地址，并記錄測(cè)試結(jié)果，應(yīng)不包含境外IP地址。

17

ICS43.020

CCST40

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GBXXXXX—XXXX

汽車整車信息安全技術(shù)要求

Technicalrequirementsforvehiclecybersecurity

(點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí))

（征求意見稿）

在提交反饋意見時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

汽車整車信息安全技術(shù)要求

1范圍

本文件規(guī)定了汽車信息安全管理體系要求、車輛信息安全一般要求、車輛信息安全技術(shù)要求、審

核評(píng)估及測(cè)試驗(yàn)證方法。

本文件適用于M類、N類及至少裝有1個(gè)電子控制單元的O類車輛，其他類型車輛可參考執(zhí)行。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

汽車信息安全管理體系cybersecuritymanagementsystem

網(wǎng)絡(luò)安全管理體系cybersecuritymanagementsystem

一種基于風(fēng)險(xiǎn)的系統(tǒng)方法，包括組織流程、責(zé)任和治理，以處理與車輛網(wǎng)絡(luò)威脅相關(guān)的風(fēng)險(xiǎn)并保

護(hù)車輛免受網(wǎng)絡(luò)攻擊。

[來(lái)源：GB/Txxxxx智能網(wǎng)聯(lián)汽車術(shù)語(yǔ)和定義]

3.2

開發(fā)階段developmentphase

車型獲得批準(zhǔn)之前的時(shí)期。

3.3

生產(chǎn)階段productionphase

車型生產(chǎn)持續(xù)的時(shí)期。

3.4

后生產(chǎn)階段post-productionphase

從車型不再生產(chǎn)，直至該車型的所有車輛使用壽命結(jié)束的時(shí)期。在這一階段，該車型的車輛仍可

使用，但不再繼續(xù)生產(chǎn)，當(dāng)該車型不再有可使用的車輛時(shí)，此階段結(jié)束。

3.5

風(fēng)險(xiǎn)risk

車輛信息安全不確定性的影響，可用攻擊可行性和影響表示。

3.6

風(fēng)險(xiǎn)評(píng)估riskassessment

發(fā)現(xiàn)、識(shí)別和描述風(fēng)險(xiǎn)，理解風(fēng)險(xiǎn)的性質(zhì)以及確定風(fēng)險(xiǎn)級(jí)別，并將風(fēng)險(xiǎn)分析的結(jié)果與風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)

行比較，以確定風(fēng)險(xiǎn)是否可接受。

1

3.7

威脅threat

可能導(dǎo)致系統(tǒng)、組織或個(gè)人受到傷害的意外事件的潛在原因。

3.8

漏洞vulnerability

在資產(chǎn)或緩解措施中，可被一個(gè)或多個(gè)威脅利用的弱點(diǎn)。

3.9

車載軟件升級(jí)系統(tǒng)on-boardsoftwareupdatesystem

安裝在車端并具備升級(jí)包接收、校驗(yàn)和分發(fā)等功能的軟件和硬件。

3.10

在線升級(jí)over-the-airupdate

通過(guò)無(wú)線方式而不是使用電纜或其他本地連接進(jìn)行數(shù)據(jù)傳輸?shù)能浖?jí)。

3.11

離線升級(jí)offlineupdate

除在線升級(jí)以外的軟件升級(jí)。

3.12

敏感個(gè)人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能導(dǎo)致車主、駕駛?cè)恕⒊塑嚾?、車外人員等受到歧視或者人身、財(cái)產(chǎn)

安全受到嚴(yán)重危害的個(gè)人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識(shí)別特征等信息。

[來(lái)源：汽車數(shù)據(jù)安全管理若干規(guī)定（試行），第三條]

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。下列縮略語(yǔ)適用于本文件。

CAN：控制器局域網(wǎng)絡(luò)（ControlAreaNetwork）

ECU：電子控制單元（ElectronicControlUnit）

HSM：硬件安全模塊（HardwareSecureModule）

MD5：MD5信息摘要算法(MD5Message-DigestAlgorithm)

NFC：近距離無(wú)線通訊技術(shù)(NearFieldCommunication)

TLS：安全傳輸層協(xié)議(TransportLayerSecurity)

USB：通用串行總線(UniversalSerialBus)

VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）

VIN：車輛識(shí)別代號(hào)（VehicleIdentificationNumber）

WLAN：無(wú)線局域網(wǎng)(WirelessLocalAreaNetworks)

5汽車信息安全管理體系要求

5.1車輛生產(chǎn)企業(yè)應(yīng)建立車輛全生命周期的汽車信息安全管理體系。

注：車輛全生命周期包括車輛的開發(fā)階段、生產(chǎn)階段及后生產(chǎn)階段。

5.2汽車信息安全管理體系中應(yīng)涵蓋必要流程，以確保充分考慮安全風(fēng)險(xiǎn)。

2

5.2.1應(yīng)建立企業(yè)內(nèi)部管理信息安全的流程。

5.2.2應(yīng)建立識(shí)別、評(píng)估、分類、處置車輛信息安全風(fēng)險(xiǎn)及核實(shí)已識(shí)別風(fēng)險(xiǎn)得到適當(dāng)處置的流程，并

確保車輛風(fēng)險(xiǎn)評(píng)估保持最新狀態(tài)。

5.2.3應(yīng)建立用于車輛信息安全測(cè)試的流程。

5.2.4應(yīng)建立針對(duì)車輛的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的監(jiān)測(cè)、響應(yīng)及上報(bào)流程，要求如下：

a)應(yīng)包含漏洞管理機(jī)制，明確漏洞收集、分析、報(bào)告、處置、發(fā)布等活動(dòng)環(huán)節(jié)；

b)應(yīng)建立針對(duì)網(wǎng)絡(luò)攻擊提供相關(guān)數(shù)據(jù)并進(jìn)行分析的流程；

示例：企業(yè)具備從車輛數(shù)據(jù)和車輛日志中分析和檢測(cè)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的能力。

c)應(yīng)建立確保已識(shí)別的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞得到響應(yīng)，且在合理的時(shí)限內(nèi)得到處置及上

報(bào)的流程；

d)應(yīng)建立評(píng)估所實(shí)施的信息安全措施在發(fā)現(xiàn)新的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的情況下是否仍然

有效的流程；

e)應(yīng)建立確保對(duì)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞進(jìn)行持續(xù)監(jiān)控的流程；

注：車輛登記后即納入監(jiān)控范圍。

5.2.5應(yīng)建立管理企業(yè)與合同供應(yīng)商、服務(wù)提供商、車輛生產(chǎn)企業(yè)子組織之間信息安全依賴關(guān)系的流

程。

6車輛信息安全一般要求

6.1車輛產(chǎn)品開發(fā)流程應(yīng)遵循汽車信息安全管理體系要求。

6.2應(yīng)識(shí)別和管理車輛與供應(yīng)商相關(guān)的風(fēng)險(xiǎn)。

6.3應(yīng)識(shí)別車輛的關(guān)鍵要素，對(duì)車輛進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估，合理管理已識(shí)別的風(fēng)險(xiǎn)。

注：風(fēng)險(xiǎn)評(píng)估應(yīng)考慮車輛的各個(gè)要素及其相互作用，并進(jìn)一步考慮與任何外部系統(tǒng)的相互作用。

示例：關(guān)鍵要素包括有助于車輛安全、環(huán)境保護(hù)或防盜的要素，提供連接性的部件或車輛架構(gòu)中對(duì)信息安全至關(guān)

重要的部分等。

6.4應(yīng)采取基于第7章、第8章、第9章、第10章的信息安全技術(shù)要求處置措施保護(hù)車輛不受風(fēng)險(xiǎn)

評(píng)估中已識(shí)別的風(fēng)險(xiǎn)影響。

注1：若處置措施與所識(shí)別的風(fēng)險(xiǎn)不相關(guān)，則車輛制造商應(yīng)說(shuō)明其不相關(guān)性。

注2：若處置措施與所識(shí)別的風(fēng)險(xiǎn)不充分，則車輛制造商應(yīng)實(shí)施其它的處置措施，并說(shuō)明其使用措施的合理性。

6.5如有專用環(huán)境，則應(yīng)采取相應(yīng)適當(dāng)?shù)拇胧?，以保護(hù)車輛用于存儲(chǔ)和執(zhí)行后裝軟件、服務(wù)、應(yīng)用程

序或數(shù)據(jù)的專用環(huán)境。

6.6應(yīng)通過(guò)適當(dāng)和充分的測(cè)試來(lái)驗(yàn)證所實(shí)施的信息安全措施的有效性。

6.7應(yīng)針對(duì)車輛實(shí)施相應(yīng)措施，以識(shí)別和防御針對(duì)該車輛的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞，并為車輛生

產(chǎn)企業(yè)在識(shí)別與車輛相關(guān)的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞方面提供監(jiān)測(cè)能力，以及為分析網(wǎng)絡(luò)攻擊、網(wǎng)

絡(luò)威脅和漏洞提供數(shù)據(jù)取證能力。

6.8應(yīng)采用符合國(guó)際通用、國(guó)家或行業(yè)標(biāo)準(zhǔn)要求的密碼模塊。若使用的密碼模塊未采用國(guó)際通用、國(guó)

家或行業(yè)標(biāo)準(zhǔn)要求，則應(yīng)說(shuō)明其使用的合理性。應(yīng)使用公開的、已發(fā)布的、有效的密碼算法，并選擇

適當(dāng)?shù)膮?shù)和選項(xiàng)；應(yīng)根據(jù)不同密碼算法和場(chǎng)景，選擇適當(dāng)長(zhǎng)度和有效的密鑰。

注：有效的密碼算法指安全有效且未被破解的算法，如MD5已被破解，此類算法相對(duì)不安全。

6.9車輛應(yīng)采用默認(rèn)安全設(shè)置。

示例：如WLAN的默認(rèn)連接口令應(yīng)滿足復(fù)雜度的要求。

3

6.10車輛數(shù)據(jù)處理活動(dòng)中的數(shù)據(jù)車內(nèi)處理、默認(rèn)不收集、精度范圍適用、脫敏處理、個(gè)人同意及顯

著告知等要求，應(yīng)符合GB/TXXXXX《智能網(wǎng)聯(lián)汽車數(shù)據(jù)通用要求》中4.2.1、4.2.2的規(guī)定。

7車輛外部連接安全要求

7.1遠(yuǎn)程控制系統(tǒng)安全要求

7.1.1應(yīng)對(duì)遠(yuǎn)程控制系統(tǒng)的指令信息進(jìn)行真實(shí)性和完整性驗(yàn)證，并應(yīng)具備驗(yàn)證失敗的處理能力。

7.1.2應(yīng)對(duì)遠(yuǎn)程控制系統(tǒng)的指令設(shè)置訪問(wèn)控制，禁用非授權(quán)的遠(yuǎn)程控制指令。

7.1.3應(yīng)具備遠(yuǎn)程控制系統(tǒng)的安全日志記錄功能，安全日志記錄的內(nèi)容至少包括遠(yuǎn)程控制指令的日期、

時(shí)間、發(fā)送主體、遠(yuǎn)程控制對(duì)象、操作結(jié)果等。

7.1.4應(yīng)對(duì)車端具備遠(yuǎn)程控制功能的系統(tǒng)的程序和配置數(shù)據(jù)進(jìn)行完整性驗(yàn)證。

7.2第三方應(yīng)用安全要求

7.2.1應(yīng)對(duì)授權(quán)的第三方應(yīng)用的真實(shí)性和完整性進(jìn)行驗(yàn)證。

注：第三方應(yīng)用是指車輛生產(chǎn)企業(yè)及其供應(yīng)商之外的其他法人實(shí)體提供的面向用戶提供服務(wù)的應(yīng)用程序，包括第

三方娛樂應(yīng)用等。

7.2.2應(yīng)對(duì)非授權(quán)的第三方應(yīng)用的安裝運(yùn)行進(jìn)行提示，并對(duì)已安裝的非授權(quán)的第三方應(yīng)用進(jìn)行訪問(wèn)控

制，避免此類應(yīng)用直接訪問(wèn)系統(tǒng)資源、個(gè)人信息等。

7.3外部接口安全要求

7.3.1應(yīng)對(duì)外部接口進(jìn)行訪問(wèn)控制保護(hù)，禁止非授權(quán)訪問(wèn)。

示例：外部接口包括USB接口、診斷接口和其他接口等。

7.3.2應(yīng)對(duì)USB接口接入設(shè)備中的文件進(jìn)行訪問(wèn)控制，只允許讀寫指定格式的文件或安裝執(zhí)行指定簽

名的應(yīng)用軟件。

7.3.3應(yīng)具備抵御USB接口接入設(shè)備中的病毒程序和攜帶病毒的媒體文件/應(yīng)用軟件的能力。

7.3.4通過(guò)診斷接口發(fā)送車輛關(guān)鍵參數(shù)的寫操作請(qǐng)求時(shí)，應(yīng)采用身份鑒別、訪問(wèn)控制等安全策略。

7.4車輛遠(yuǎn)程控制系統(tǒng)、授權(quán)的第三方應(yīng)用等外部連接系統(tǒng)不應(yīng)存在由權(quán)威漏洞平臺(tái)6個(gè)月前公布且

未經(jīng)處置的高危及以上的安全漏洞。

注：處置包括消除漏洞、制定減緩措施等方式。

7.5車輛應(yīng)關(guān)閉不必要的網(wǎng)絡(luò)端口。

8車輛通信安全要求

8.1車輛與車輛生產(chǎn)企業(yè)云平臺(tái)通信時(shí)，應(yīng)對(duì)其通信對(duì)象的身份真實(shí)性進(jìn)行驗(yàn)證。

8.2車輛與車輛、路側(cè)單元、移動(dòng)終端等進(jìn)行直連通信時(shí)，應(yīng)進(jìn)行證書有效性和合法性的驗(yàn)證。

8.3車輛應(yīng)采用完整性保護(hù)機(jī)制保護(hù)外部通信通道。

示例：車輛外部通信通道包括移動(dòng)蜂窩通信、WLAN、藍(lán)牙等，不包括射頻、NFC等短距離無(wú)線通信通道。

8.4車輛應(yīng)具備對(duì)來(lái)自車輛外部通信通道的數(shù)據(jù)操作指令的訪問(wèn)控制機(jī)制。

注：來(lái)自車輛外部通信通道的數(shù)據(jù)操作指令包括代碼注入、數(shù)據(jù)操縱、數(shù)據(jù)覆蓋、數(shù)據(jù)擦除和數(shù)據(jù)寫入