《智能網聯(lián)汽車整車信息安全技術要求》

ICS43.020

CCST40

DB4403

深圳市地方標準

DB4403/TXXXX—XXXX

智能網聯(lián)汽車整車信息安全技術要求

Technicalrequirementsforintelligentandconnectedvehicle

cybersecurity

（送審稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

深圳市市場監(jiān)督管理局發(fā)布

DB4403/TXXXX—XXXX

智能網聯(lián)汽車整車信息安全技術要求

1范圍

本文件規(guī)定了具備智能網聯(lián)汽車信息安全管理體系要求、車輛信息安全一般要求、車輛信息安全技

術要求、審核評估及測試驗證方法。

本文件適用于M類、N類及至少裝有1個電子控制單元的O類車輛，其他類型車輛可參考執(zhí)行。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術語和定義

下列術語和定義適用于本文件。

3.1

汽車信息安全管理體系cybersecuritymanagementsystem

一種基于風險的系統(tǒng)方法，包括組織流程、責任和治理，以處理與車輛網絡威脅相關的風險并保護

車輛免受網絡攻擊。

3.2

開發(fā)階段developmentphase

車型獲得批準之前的時期。

3.3

生產階段productionphase

車型生產持續(xù)的時期。

3.4

后生產階段post-productionphase

從車型不再生產，直至該車型的所有車輛使用壽命結束的時期。在這一階段，該車型的車輛仍可使

用，但不再繼續(xù)生產，當該車型不再有可使用的車輛時，此階段結束。

3.5

風險risk

車輛信息安全不確定性的影響，可用攻擊可行性和影響表示。

3.6

風險評估riskassessment

發(fā)現(xiàn)、識別和描述風險，理解風險的性質以及確定風險級別，并將風險分析的結果與風險標準進行

比較，以確定風險是否可接受。

3.7

威脅threat

可能導致系統(tǒng)、組織或個人受到傷害的意外事件的潛在原因。

1

DB4403/TXXXX—XXXX

3.8

漏洞vulnerability

在資產或緩解措施中，可被一個或多個威脅利用的弱點。

3.9

車載軟件升級系統(tǒng)on-boardsoftwareupdatesystem

安裝在車端并具備升級包接收、校驗和分發(fā)等功能的軟件和硬件。

3.10

在線升級over-the-airupdate

通過無線方式而不是使用電纜或其他本地連接進行數據傳輸的軟件升級。

3.11

離線升級offlineupdate

除在線升級以外的軟件升級。

3.12

敏感個人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產安

全受到嚴重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。

4縮略語

下列縮略語適用于本文件。

CAN：控制器局域網絡（ControlAreaNetwork）

ECU：電子控制單元（ElectronicControlUnit）

HSM：硬件安全模塊（HardwareSecureModule）

MD5：MD5信息摘要算法(MD5Message-DigestAlgorithm)

NFC：近距離無線通訊技術(NearFieldCommunication)

TLS：安全傳輸層協(xié)議(TransportLayerSecurity)

USB：通用串行總線(UniversalSerialBus)

VLAN：虛擬局域網（VirtualLocalAreaNetwork）

VIN：車輛識別代號（VehicleIdentificationNumber）

WLAN：無線局域網(WirelessLocalAreaNetworks)

5汽車信息安全管理體系要求

5.1車輛生產企業(yè)應建立車輛全生命周期的汽車信息安全管理體系。

注：車輛全生命周期包括車輛的開發(fā)階段、生產階段及后生產階段。

5.2汽車信息安全管理體系中應涵蓋必要流程，以確保充分考慮安全風險。

5.2.1應建立企業(yè)內部管理信息安全的流程。

5.2.2應建立識別、評估、分類、處置車輛信息安全風險及核實已識別風險得到適當處置的流程，并

確保車輛風險評估保持最新狀態(tài)。

5.2.3應建立用于車輛信息安全測試的流程。

5.2.4應建立針對車輛的網絡攻擊、網絡威脅和漏洞的監(jiān)測和響應流程，要求如下：

a)應包含漏洞管理機制，明確漏洞收集、分析、報告、處置、發(fā)布等活動環(huán)節(jié)；

b)應建立針對網絡攻擊提供相關數據并進行分析的流程；

2

DB4403/TXXXX—XXXX

示例：企業(yè)具備從車輛數據和車輛日志中分析和檢測網絡攻擊、網絡威脅和漏洞的能力。

c)應建立確保已識別的網絡攻擊、網絡威脅和漏洞得到響應，且在合理的時限內得到處置的流

程；

d)應建立評估所實施的信息安全措施在發(fā)現(xiàn)新的網絡攻擊、網絡威脅和漏洞的情況下是否仍然

有效的流程；

e)應建立確保對網絡攻擊、網絡威脅和漏洞進行持續(xù)監(jiān)控的流程。

注：車輛登記后即納入監(jiān)控范圍。

5.2.5應建立管理企業(yè)與合同供應商、服務提供商、車輛生產企業(yè)子組織之間信息安全依賴關系的流

程。

6車輛信息安全一般要求

6.1車輛產品開發(fā)流程應遵循汽車信息安全管理體系要求。

6.2應識別和管理車輛與供應商相關的風險。

6.3應識別車輛的關鍵要素，對車輛進行詳細的風險評估，合理管理已識別的風險。

注：風險評估應考慮車輛的各個要素及其相互作用，并進一步考慮與任何外部系統(tǒng)的相互作用。

示例：關鍵要素包括有助于車輛安全、環(huán)境保護或防盜的要素，提供連接性的部件或車輛架構中對信息安全至關重

要的部分等。

6.4應采取基于第7章、第8章、第9章、第10章的信息安全技術要求處置措施保護車輛不受風險評

估中已識別的風險影響。

注1：若處置措施與所識別的風險不相關，則車輛制造商應說明其不相關性。

注2：若處置措施與所識別的風險不充分，則車輛制造商應實施其它的處置措施，并說明其使用措施的合理性。

6.5如有專用環(huán)境，則應采取相應適當的措施，以保護車輛用于存儲和執(zhí)行后裝軟件、服務、應用程

序或數據的專用環(huán)境。

6.6應通過適當和充分的測試來驗證所實施的信息安全措施的有效性。

6.7應針對車輛實施相應措施，以識別和防御針對該車輛的網絡攻擊、網絡威脅和漏洞，并為車輛生

產企業(yè)在識別與車輛相關的網絡攻擊、網絡威脅和漏洞方面提供監(jiān)測能力，以及為分析網絡攻擊、網絡

威脅和漏洞提供數據取證能力。

6.8應采用符合國際通用、國家或行業(yè)標準要求的密碼模塊。若使用的密碼模塊未采用國際通用、國

家或行業(yè)標準要求，則應說明其使用的合理性。應使用公開的、已發(fā)布的、有效的密碼算法，并選擇適

當的參數和選項；應根據不同密碼算法和場景，選擇適當長度和有效的密鑰。

注：有效的密碼算法指安全有效且未被破解的算法，如MD5已被破解，此類算法相對不安全。

6.9車輛應采用默認安全設置。

示例：如WLAN的默認連接口令應滿足復雜度的要求。

7車輛外部連接安全要求

7.1遠程控制系統(tǒng)安全要求

7.1.1應對遠程控制系統(tǒng)的指令信息進行真實性和完整性驗證，并應具備驗證失敗的處理能力。

7.1.2應對遠程控制系統(tǒng)的指令設置訪問控制，禁用非授權的遠程控制指令。

7.1.3應具備遠程控制系統(tǒng)的安全日志記錄功能，安全日志記錄的內容至少包括遠程控制指令的日期、

時間、發(fā)送主體、遠程控制對象、操作結果等。

3

DB4403/TXXXX—XXXX

7.1.4應對車端具備遠程控制功能的系統(tǒng)的程序和配置數據進行完整性驗證。

7.2第三方應用安全要求

7.2.1應對授權的第三方應用的真實性和完整性進行驗證。

注：第三方應用是指車輛生產企業(yè)及其供應商之外的其他法人實體提供的面向用戶提供服務的應用程序，包括第三

方娛樂應用等。

7.2.2應對非授權的第三方應用的安裝運行進行提示，并對已安裝的非授權的第三方應用進行訪問控

制，避免此類應用直接訪問系統(tǒng)資源、個人信息等。

7.3外部接口安全要求

7.3.1應對外部接口進行訪問控制保護，禁止非授權訪問。

示例：外部接口包括USB接口、診斷接口和其他接口等。

7.3.2應對USB接口接入設備中的文件進行訪問控制，只允許讀寫指定格式的文件或安裝執(zhí)行指定簽

名的應用軟件。

7.3.3應具備抵御USB接口接入設備中的病毒程序和攜帶病毒的媒體文件/應用軟件的能力。

7.3.4通過診斷接口發(fā)送車輛關鍵參數的寫操作請求時，應采用身份鑒別、訪問控制等安全策略。

7.4車輛遠程控制系統(tǒng)、授權的第三方應用等外部連接系統(tǒng)不應存在由權威漏洞平臺6個月前公布且

未經處置的高危及以上的安全漏洞。

注：處置包括消除漏洞、制定減緩措施等方式。

7.5車輛應關閉不必要的網絡端口。

8車輛通信通道安全要求

8.1車輛與車輛生產企業(yè)云平臺通信時，應對其通信對象的身份真實性進行驗證。

8.2車輛與車輛、路側單元、移動終端等進行直連通信時，應進行證書有效性和合法性的驗證。

8.3車輛應采用完整性保護機制保護外部通信通道。

示例：車輛外部通信通道包括移動蜂窩通信、WLAN、藍牙等，不包括射頻、NFC等短距離無線通信通道。

8.4車輛應具備對來自車輛外部通信通道的數據操作指令的訪問控制機制。

注：來自車輛外部通信通道的數據操作指令包括代碼注入、數據操縱、數據覆蓋、數據擦除和數據寫入等指令。

8.5車輛應驗證所接收的關鍵指令數據的有效性或唯一性。

注：關鍵指令數據是指可能影響行車和財產安全的指令數據，包括但不限于車控指令數據。

示例：針對遠程控制服務器發(fā)送的車控指令，車端可通過網關校驗該類指令的有效期或唯一性。

8.6車輛應對發(fā)送的敏感個人信息實施保密性保護措施。

8.7車輛與外部直接通信的零部件應具備身份識別機制。

注：與外部存在直接通信的零部件包括但不限于車載信息交互系統(tǒng)等，不包括短距離無線傳感器。

8.8車輛與外部直接通信的零部件應具備安全機制防止非授權的系統(tǒng)特權訪問。

注：非授權用戶可能通過調試接口獲得系統(tǒng)的根用戶權限。

8.9車輛內部網絡應劃分安全區(qū)域，并實現(xiàn)安全區(qū)域之間的隔離，對跨域請求應進行訪問控制，并遵

循默認拒絕原則和最小化授權原則。

注：隔離措施包括物理隔離、邏輯隔離（如采用白名單、防火墻等措施），如車載以太網可采用VLAN技術實現(xiàn)不同

功能域之間的邏輯隔離。

8.10車輛應具備識別車輛通信通道遭受拒絕服務攻擊的能力，并對攻擊數據包進行相應的處理。

注：對攻擊數據包的處理包括攔截、丟棄等。

4

DB4403/TXXXX—XXXX

示例：車輛通信通道包括移動蜂窩通信、V2X等車外通信通道，也包括CAN總線和車載以太網等車內通信通道。

8.11車輛應具備識別惡意的V2X數據、惡意的診斷數據、惡意的專有數據等的能力，并采取保護措施。

注1：V2X數據包括道路設施發(fā)送到車輛的數據、車輛與車輛之間的數據。

注2：專有數據指正常發(fā)送自車輛生產企業(yè)或車輛組件、系統(tǒng)及功能供應商的數據。

8.12車輛應對關鍵的通信信息安全事件進行日志記錄。

注：關鍵的通信信息安全事件由車企根據風險評估的結果確定。

9車輛軟件升級安全要求

9.1通用安全要求

9.1.1車載軟件升級系統(tǒng)應具備安全啟動的功能，應保護車載軟件升級系統(tǒng)的可信根、引導加載程序、

系統(tǒng)固件不被篡改，或被篡改后無法正常啟動。

9.1.2車載軟件升級系統(tǒng)應不存在由權威漏洞平臺6個月前公布且未經處置的高危及以上的安全漏洞。

注：處置方式包括消除漏洞、制定減緩措施等方式。

9.2在線升級安全要求

9.2.1車輛和在線升級服務器應進行身份認證，驗證其身份的真實性。

示例：常見的認證方式包括使用證書進行身份認證等。

9.2.2車載軟件升級系統(tǒng)應對下載的在線升級包進行真實性和完整性校驗。

9.2.3車載軟件升級系統(tǒng)應記錄在線升級過程中發(fā)生的失敗事件日志。

注：失敗事件包括升級包校驗失敗等，記錄內容包括事件時間、事件類型等。

9.3離線升級安全要求

9.3.1若車輛使用車載軟件升級系統(tǒng)進行離線升級，車輛應對離線升級包真實性和完整性進行校驗。

9.3.2若車輛不使用車載軟件升級系統(tǒng)進行離線升級，應采取保護措施保證刷寫接入端的安全性，或

者校驗離線升級包的真實性和完整性。

10車輛數據代碼安全要求

10.1車輛應安全地存儲對稱密鑰和私鑰，防止其被非授權訪問和獲取。

10.2車輛應采取安全訪問技術、加密技術等安全技術保護存儲在車內的敏感個人信息，防止其被非授

權訪問和獲取。

10.3車輛應采取安全防御機制保護存儲在車內的車輛識別代號（VIN）和用于身份識別的數據，防止

其被非授權刪除和修改。

示例：防止數據被非授權刪除和修改的安全防御機制包括安全訪問技術、只讀技術等。

10.4車輛應采取安全防御機制保護存儲在車內的關鍵數據，防止其被非授權刪除和修改。

注：關鍵數據包括車輛關鍵配置參數和車輛運行過程中產生的可能影響行車安全的數據。

示例：車輛關鍵配置參數包括制動數據、安全氣囊展開閾值、電池參數、自動駕駛參數等影響車輛行車、人員保護

功能的配置參數。

10.5車輛應采取安全防御機制保護存儲在車內的安全日志，防止其被非授權刪除和修改。

10.6車輛應具備個人信息清除功能及防恢復機制，便于在轉售、租借或報廢時清除個人信息。

10.7車輛不得直接向境外傳輸數據。

注：用戶使用瀏覽器訪問境外網站、使用通信軟件向境外傳遞消息、自主安裝可能導致數據出境的第三方應用等不

5

DB4403/TXXXX—XXXX

受本條款限制。

11審核評估及測試方法

11.1依據本文件開展車輛信息安全一般要求評估和信息安全技術要求測試驗證前，應通過汽車信息安

全管理體系要求審核。

11.2車輛信息安全技術要求測試驗證應按照本文件附錄A進行，在測試驗證前應開展車輛信息安全一

般要求評估，確認車輛采取了基于第7章、第8章、第9章、第10章的信息安全技術要求處置措施保

護車輛不受風險評估中已識別的風險影響。

注1：若基于第7章、第8章、第9章、第10章的信息安全技術要求處置措施與企業(yè)所識別的風險不相關，無需對不相

關的條款開展測試，僅需開展評估確認。

注2：若基于第7章、第8章、第9章、第10章的信息安全技術要求處置措施無法覆蓋企業(yè)所識別的風險，應在按照附

錄A開展測試驗證的基礎上，對企業(yè)實際所使用的處置措施開展評估確認。

6

DB4403/TXXXX—XXXX

A

A

附錄A

（規(guī)范性）

車輛信息安全技術要求測試驗證方法

A.1概述

本附錄規(guī)定了車輛外部連接安全要求、車輛通信安全要求、車輛軟件升級安全要求和車輛數據代碼

安全要求的測試驗證方法。開展測試驗證前，應評估確認滿足第6章車輛信息安全一般要求。

A.2測試條件

A.2.1測試環(huán)境應保證測試車輛能安全運行，影響車輛狀態(tài)的測試應在多運行工況的整車轉鼓環(huán)境下

進行。

A.2.2測試環(huán)境應保證車輛通信穩(wěn)定且測試不會對公網環(huán)境產生影響，影響公網環(huán)境的測試應在具備

通信功能的整車暗室或類似環(huán)境中進行。

A.2.3車輛生產企業(yè)應按照測試要求提供測試整車車輛，必要時需提供測試臺架。

A.2.4車輛生產企業(yè)應提供技術人員、刷寫工具等必要的支持協(xié)助完成測試。

A.3測試輸入信息

測試開始前，應根據車輛信息安全一般要求評估的結果，確認與測試車輛相關的測試項，并獲取如

下測試輸入信息：

注：測試輸入信息的獲取可在車輛生產企業(yè)認可的安全場景下進行，如在企業(yè)現(xiàn)場審閱相關文檔。

a)測試車輛遠程控制功能，包括遠程控制指令應用場景和使用權限、遠程控制指令審計方式及

審計日志記錄地址、車輛記錄異常指令的地址；

b)測試車輛授權第三方應用真實性和完整性校驗方式；

c)測試車輛非授權第三方應用的訪問控制機制；

d)測試車輛的外部接口；

e)與測試車輛通信的車輛生產企業(yè)云平臺；

f)測試車輛通信方法，包括采用的通信協(xié)議類型；

g)測試車輛的V2X功能；

h)測試車輛向外傳輸敏感個人信息的通信通道；

i)測試車輛與外部直接通信的零部件；

j)測試車輛內部通信方案及通信矩陣樣例，包括專用數據通信矩陣樣例；

k)測試車輛車載軟件升級系統(tǒng)可信根、引導加載程序、系統(tǒng)固件的訪問方式和地址；

l)測試車輛實現(xiàn)離線軟件升級的方式及工具；

m)測試車輛對稱密鑰和私鑰的存儲方式及說明文檔；

n)測試車輛內部存儲敏感個人信息存儲地址；

o)測試車輛內存儲的車輛識別代號和用于身份識別的數據清單及存儲地址；

p)測試車輛內存儲的關鍵數據清單及存儲的地址；

q)測試車輛個人信息清除功能及防恢復機制。

A.4車輛外部連接安全測試方法

A.4.1具備遠程操控功能的系統(tǒng)安全測試方法

7

DB4403/TXXXX—XXXX

A.4.1.1真實性和完整性校驗的測試方法

應依據附錄A.3a)測試車輛遠程控制功能，并按照如下測試方法，檢驗測試車輛是否滿足正文7.1.1

的要求：

a)嘗試偽造、篡改并發(fā)送遠程車輛控制指令；

b)檢查車輛是否響應該指令，是否按照企業(yè)設定的驗證失敗處理機制進行處理，并記錄測試結

果，應不響應該指令。

A.4.1.2遠程控制指令控制測試方法

應依據附錄A.3a)測試車輛遠程控制功能，并按照如下測試方法，檢驗測試車輛是否滿足正文7.1.2

的要求：

a)構建非授權的遠程控制指令，發(fā)送至測試車輛；

b)檢查車輛是否響應該指令，并記錄測試結果，應不響應該指令。

A.4.1.3安全日志記錄功能測試方法

應依據附錄A.3a)測試車輛遠程控制功能，并按照如下測試方法，檢驗測試車輛是否滿足正文7.1.3

的要求：

a)構建并觸發(fā)遠程控制系統(tǒng)信息安全事件；

b)使用授權的用戶或工具，導出遠程控制系統(tǒng)安全日志文件，驗證文件記錄的內容是否包含遠

程控制指令的日期、時間、發(fā)送主體、操作是否成功等信息，并記錄驗證結果，應包括遠程

控制指令的日期、時間、發(fā)送主體、操作是否成功的信息。

A.4.1.4遠程控制功能系統(tǒng)程序和數據完整性校驗測試方法

應依據附錄A.3a)測試車輛遠程控制功能，并按照如下測試方法，檢驗測試車輛是否滿足正文7.1.4

的要求：

a)篡改車端執(zhí)行遠程控制功能的系統(tǒng)的程序和數據，并下發(fā)遠程控制指令；

b)測試車輛是否告警或不執(zhí)行該控制指令，并記錄測試結果，應告警或不執(zhí)行該控制指令。

A.4.2第三方應用安全測試方法

A.4.2.1授權第三方應用真實性完整性驗證測試方法

測試人員應依據附錄A.3b)測試車輛授權第三方應用真實性和完整性校驗方式，并按照如下測試

方法，檢驗測試車輛是否滿足正文7.2.1的要求：

a)使用二進制工具，依據授權第三方應用真實性和完整性校驗方式，篡改第三方應用程序的代

碼；

b)嘗試安裝執(zhí)行篡改后的授權第三方應用程序，測試是否可以正常運行，并記錄測試結果，應

不可正常運行。

A.4.2.2非授權第三方應用訪問控制測試方法

測試人員應依據附錄A.3c)測試車輛非授權第三方應用的訪問控制機制，并按照如下測試方法，

檢驗測試車輛是否滿足正文7.2.2的要求：

a)嘗試安裝并執(zhí)行非授權第三方應用，測試車輛是否進行提示，并記錄測試結果，應有明確提

示；

8

DB4403/TXXXX—XXXX

b)嘗試使用非授權第三方應用程序訪問超出訪問控制權限的資源，并記錄測試結果，應不可訪

問控制權限外的資源。

A.4.3外部接口安全測試方法

A.4.3.1外部接口訪問控制測試方法

測試人員應依據附錄A.3d)測試車輛外部接口，并按照如下測試方法，檢驗測試車輛是否滿足正文

7.3.1的要求：

a)使用非授權的用戶或工具訪問車輛的外部接口；

b)測試是否可以成功建立連接并訪問相應的信息，并記錄測試結果，應無法成功建立連接。

A.4.3.2USB接口訪問控制測試方法

測試人員應依據附錄A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗測試車輛是否滿足正

文7.3.2的要求：

a)在具備USB接口的移動存儲介質中注入媒體文件、指定簽名的應用軟件和其它文件；

b)將移動存儲介質連接到車輛USB接口，測試車輛是否可以執(zhí)行除媒體文件和指定簽名的應用

軟件外的其他文件，并記錄測試結果，應無法執(zhí)行除媒體文件和指定簽名的應用軟件外的其

他文件。

A.4.3.3USB防病毒測試方法

測試人員應依據附錄A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗測試車輛是否滿足正

文7.3.3的要求：

a)在具備USB接口的移動存儲介質中注入病毒文件；

b)將移動存儲介質連接到車輛USB接口，嘗試執(zhí)行病毒文件，測試車輛系統(tǒng)是否可以測試出移

動存儲介質中的病毒文件或拒絕執(zhí)行病毒文件，并記錄測試結果，應能識別出病毒文件或拒

絕執(zhí)行病毒文件。

A.4.3.4診斷接口身份鑒別測試方法

測試人員應依據附錄A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗測試車輛是否滿足正

文7.3.4的要求：

a)使用非授權用戶或工具在診斷接口發(fā)送車輛關鍵參數寫操作請求，測試車輛是否執(zhí)行該操作

請求，并記錄測試結果，應無法執(zhí)行該操作請求；

b)使用授權用戶在診斷接口發(fā)送超出權限的車輛關鍵參數寫操作請求，測試車輛是否執(zhí)行該操

作請求，并記錄測試結果，應無法執(zhí)行該操作請求。

A.4.4車輛外部連接系統(tǒng)漏洞掃描測試方法

測試人員應按照如下測試方法，檢驗測試車輛是否滿足正文7.4的要求：

a)使用漏洞掃描工具對車輛外部連接系統(tǒng)進行漏洞掃描測試，測試是否存在權威漏洞平臺6個

月前公布的高危及以上的安全漏洞，并記錄測試結果；

b)如存在權威漏洞平臺6個月前公布的高危及以上的安全漏洞，對照企業(yè)提交的漏洞處置方案

清單，確認企業(yè)提交的漏洞處置方案清單中是否覆蓋該漏洞，并記錄測試結果，應不存在由

權威漏洞平臺6個月前公布且未經處置的高危及以上的安全漏洞。

A.4.5車輛關閉不必要接口測試方法

9

DB4403/TXXXX—XXXX

測試人員應按照如下測試方法，檢驗測試車輛是否滿足正文7.5的要求：

a)測試人員通過WLAN、車載以太網等形式將測試車輛與掃描測試設備組網，查看配置文件獲得

被測車輛的IP地址；

b)使用掃描測試設備查看測試車輛所開放的端口，并將車輛開放的端口列表與提交的車輛業(yè)務

列表進行對比，測試車輛是否有開放非必要的網絡端口，并記錄測試結果，應僅開放必要的

網絡端口。

A.5車輛通信安全測試方法

A.5.1云平臺通信身份真實性驗證測試方法

測試人員應依據附錄A.3e)與測試車輛通信的車輛生產企業(yè)云平臺、附錄A.3f)測試車輛通信方

法，并按照如下測試方法，檢驗測試車輛是否滿足正文8.1的要求：

a)若車輛與車輛生產企業(yè)云平臺通信采用專用網絡或虛擬專用網絡環(huán)境進行通信，驗證通信網

絡技術報告，確定通信網絡類型，并記錄驗證結果；

b)若車輛與車輛生產企業(yè)云平臺通信采用公共網絡環(huán)境進行通信，且使用公有通信協(xié)議，采用

網絡數據抓包工具進行數據抓包，解析通信報文數據，檢查是否采用如TLSV1.2同等安全級

別或以上要求的安全通信層協(xié)議，并記錄測試結果，應使用TLSV1.2同等安全級別或以上要

求的安全通信層協(xié)議；

c)若車輛與車輛生產企業(yè)云平臺通信采用公共網絡環(huán)境進行通信，且使用私有通信協(xié)議，對私

有通信協(xié)議方案進行驗證，并記錄測試結果，私有通信協(xié)議方案應能對通信對象的身份真實

性進行驗證。

A.5.2V2X通信身份認證測試方法

測試人員應依據附錄A.3f)測試車輛通信方法、附錄A.3g)測試車輛的V2X功能，并按照如下測

試方法，檢驗測試車輛是否滿足正文8.2的要求：

a）使用合法證書，利用V2X仿真測試設備模擬車輛、路側單元和移動終端，并嘗試與測試車輛建

立通信連接；

b）清除V2X仿真測試設備的通信記錄，并將證書替換為無效證書或非法證書，測試替換證書后測

試車輛是否依然能和V2X仿真測試設備通信，并記錄測試結果，應斷開通信連接。

A.5.3通信通道完整性保護測試方法

測試人員應依據附錄A.3f)測試車輛通信方法，并按照如下測試方法，檢驗測試車輛是否滿足正

文8.3的要求：

a）在車輛端設備與外部通信對象完成正常的身份認證之后，采用網絡數據抓包工具，解析通信報

文數據，判斷傳輸數據是否應用了完整性保護措施；

b）將對傳輸數據進行篡改或偽造后的報文發(fā)送到車輛端，測試車輛端是否對數據的完整性實施校

驗并做出適宜的響應，并記錄測試結果，應進行校驗并拒絕該消息。

A.5.4防非授權操作測試方法

測試人員應依據附錄A.3f)測試車輛通信方法，并按照如下測試方法，檢驗測試車輛是否滿足正

文8.4的要求：

a）使用非授權身份對嘗試對車輛通信部件的數據代碼進行讀取，測試是否可以成功操作，并記錄

測試結果，應不可讀?。?/p>

10

DB4403/TXXXX—XXXX

b）使用非授權身份對嘗試對車輛通信部件的數據代碼進行覆蓋，測試是否可以成功操作，并記錄

測試結果，應不可覆蓋；

c）使用非授權身份對嘗試對車輛通信部件的數據代碼進行清除，測試是否可以成功操作，并記錄

測試結果，應不可清除；

d）使用非授權身份對嘗試對車輛通信部件的數據代碼進行寫入，測試是否可以成功操作，并記錄

測試結果，應不可寫入。

A.5.5關鍵指令數據有效性和唯一性驗證測試方法

測試人員應按照如下方法，檢驗測試車輛是否滿足正文8.5的要求：

a）錄制正常會話指令，修改其中的一段數據，發(fā)送修改后的會話指令，測試車輛是否做出響應，

并記錄測試結果，應不響應；

b）錄制正常會話指令，間隔一段時間后，重新發(fā)送錄制的會話指令，測試車輛是否做出響應，并

記錄測試結果，應不響應。

A.5.6敏感個人信息保密性保護測試方法

測試人員應依據附錄A.3h)測試車輛向外傳輸敏感個人信息的通信通道，并按照如下測試方法，檢

驗測試車輛是否滿足正文8.6的要求：

a）依據車輛數據傳輸的方案，驗證是否正確使用聲明的加密算法對車輛傳輸的數據進行加密，并

記錄驗證結果，應進行加密；

b）驗證使用的加密算法強度是否滿足需求，并記錄驗證結果，算法強度應滿足要求。

A.5.7對外通信零部件身份識別測試方法

測試人員應依據附錄A.3i)測試車輛與外部直接通信的零部件,并按照如下測試方法，檢驗測試車

輛是否滿足正文8.7的要求。

a）使用和測試車輛與外部直接通信零部件功能相同的零部件替換安裝在整車相同的位置；

b）啟動車輛，測試零部件是否正常工作或車輛是否有異常部件連接告警，并記錄測試結果，應有

異常告警提示。

A.5.8車輛與外部直接通信零部件防非特權訪問測試方法

測試人員應依據附錄A.3i)測試車輛與外部直接通信的零部件，并按照如下測試方法，檢驗測試車

輛是否滿足正文8.8的要求：

a）構建一個非授權用戶，嘗試對該用戶進行身份提權；

b）使用嘗試提權后的用戶對系統(tǒng)進行特權訪問，測試車輛是否有異常響應或動作，并記錄測試結

果，應不可訪問。

A.5.9車內安全區(qū)域隔離測試方法

測試人員依據附錄A.3j)測試車內通信方案及通信矩陣樣例，并按照如下測試方法，檢驗測試車

輛是否滿足正文8.9的要求：

a）對于使用物理隔離措施的車輛，驗證車輛生產企業(yè)提供的物理隔離方案，并記錄測試結果，應

實現(xiàn)物理隔離；

b）對于使用邏輯隔離措施的車輛，根據車輛廠商提供的邏輯隔離策略，發(fā)送不符合策略的數據幀，

在指定的目的端口測試是否可以接收到相應的數據幀，并記錄測試結果，不應接收到相應的數

據幀；

11

DB4403/TXXXX—XXXX

c）對于采用VLAN技術實現(xiàn)域隔離的車輛，根據車輛廠商提供的域隔離策略，測試是否能夠跨域轉

發(fā)數據幀，并記錄測試結果，不應跨域轉發(fā)數據幀。

A.5.10拒絕服務攻擊識別測試方法

A.5.10.1CAN總線拒絕服務攻擊識別測試方法

測試人員應依據附錄A.3j)測試車輛車內通信方案及通信矩陣樣例，并按照如下測試方法，檢驗

測試車輛CAN總線通信拒絕服務攻擊識別防護能力是否滿足正文8.10的要求。

a）將拒絕服務攻擊測試設備接入車輛的CAN總線，識別該通道總線波特率，測試設備對該通道發(fā)

起大于80%總線負載率的拒絕服務攻擊，如果有多個通道，則依次分別進行測試試驗；

b）在拒絕服務攻擊時，測試車輛未受攻擊的CAN通道通信性能和預設的功能是否受到影響，并記

錄測試結果，應能不受影響；

c）在拒絕服務攻擊結束后，測試車輛是否按照預設方案處理攻擊數據包，并記錄測試結果，應按

照預設的方案處理攻擊數據包。

A.5.10.2以太網拒絕服務攻擊識別測試方法

測試人員應依據附錄A.3j)測試車輛車內通信方案及通信矩陣樣例，并按照如下測試方法，檢驗

測試車輛以太網通信拒絕服務攻擊識別防護能力是否滿足正文8.10的要求：

a）將拒絕服務攻擊測試設備與車輛的車載以太網進行組網，并嘗試向車載以太網發(fā)起拒絕服務攻

擊；

b）在拒絕服務攻擊時，測試車輛未受攻擊的部件性能和預設的功能是否受到影響，并記錄測試結

果，應能不受影響；

c）在拒絕服務攻擊結束后，測試車輛是否按照預設方案處理攻擊數據包，并記錄測試結果，應按

照預設的方案處理攻擊數據包。

A.5.10.3V2X通信拒絕服務攻擊識別測試方法

測試人員應按照如下測試方法，檢驗測試車輛V2X通信拒絕服務攻擊識別防護能力是否滿足正文

8.10的要求：

a）使用V2X仿真測試設備模擬構建不少于150輛可與測試車輛正常通信的虛擬車輛，并保持通信；

b）任選一輛虛擬車輛，將其與拒絕服務攻擊設備連接，向測試車輛發(fā)起拒絕服務攻擊；

c）在拒絕服務攻擊結束后，測試車輛的V2X功能是否恢復并可正常運行，并記錄測試結果，應從

攻擊中恢復并正常運行。

A.5.11惡意數據識別測試方法

測試人員應依據車輛接受消息類型，從如下方法中選擇適用的方法，檢驗測試車輛是否滿足正文

8.11的要求：

a）依據V2X通信規(guī)則，構建并向車輛發(fā)送惡意的V2X消息數據時，測試車輛能否鑒別并拒絕響應，

并記錄測試結果，應拒絕響應；

b）依據診斷通信規(guī)則，構建并向車輛發(fā)送惡意的診斷消息數據時，測試車輛能否鑒別并拒絕響應，

并記錄測試結果，應拒絕響應；

c）依據專有消息通信規(guī)則，構建并向車輛發(fā)送惡意的專有消息數據時，測試車輛能否鑒別并拒絕

響應，并記錄測試結果，應拒絕響應。

A.5.12通信信息安全日志測試方法

12

DB4403/TXXXX—XXXX

測試人員應依據車輛通信信息安全日志記錄機制，并按照如下測試方法，檢驗測試車輛是否滿足正

文8.12的要求：

a）構建并觸發(fā)車輛通信信息安全事件；

b）測試車輛是否會按照通信信息安全日志記錄機制記錄該事件，并記錄測試結果，應按照機制要

求記錄該安全事件。

A.6車輛軟件升級安全測試方法

A.6.1通用安全要求測試方法

A.6.1.1車載軟件升級系統(tǒng)安全啟動測試方法

測試人員應依據附錄A.3k)測試車輛車載軟件升級系統(tǒng)可信根、引導加載程序、系統(tǒng)固件的訪問

方式和地址，按照如下測試方法，檢驗測試車輛是否滿足正文9.1.1的要求：

a）獲取安全啟動信任根存儲區(qū)域的訪問方法和地址，使用軟件調試工具寫入數據，重復測試不少

于三次，測試是否可將數據寫入該存儲區(qū)域，并記錄測試結果，應無法將數據寫入該存儲區(qū)域；

b）獲取正常運行的引導加載程序，使用軟件調試工具修改該引導加載程序的簽名信息，將修改后

的引導加載程序寫入到指定區(qū)域，檢查是否正常加載引導加載程序，并記錄測試結果，應不正

常加載引導加載程序；

c）獲取升級程序的系統(tǒng)固件，使用軟件調試工具對其進行篡改，將修改后的系統(tǒng)固件寫入到指定

區(qū)域，檢查升級程序是否正常工作，并記錄測試結果，升級程序應不工作。

A.6.1.2車載軟件升級系統(tǒng)安全漏洞掃描測試方法

測試人員應照如下測試方法，檢驗測試車輛是否滿足正文9.1.2的要求：

a）使用漏洞掃描工具對車載軟件升級系統(tǒng)進行漏洞掃描測試，測試是否存在權威漏洞平臺6個月

前公布的高危及以上的安全漏洞，并記錄測試結果；

b）如存在權威漏洞平臺6個月前公布的高危及以上的安全漏洞，對照企業(yè)提交的漏洞處置方案清

單，確認企業(yè)提交的漏洞處置方案清單中是否覆蓋該漏洞，并記錄測試結果，應不存在由權威

漏洞平臺6個月前公布且未經處置的高危及以上的安全漏洞。

A.6.2在線升級安全測試方法

A.6.2.1軟件升級服務器身份認證測試方法

測試人員應按照附錄A.5.1云平臺通信身份真實性驗證測試方法，檢測測試車輛是否滿足正文

9.2.1的要求。

A.6.2.2升級包真實性和完整性校驗測試方法

測試人員應確認在線升級功能正常執(zhí)行，并按照如下測試方法，檢驗測試車輛是否滿足正文9.2.2

的要求：

a）構造被篡改破壞的在線升級包；

b）將該升級包下載或傳輸到車載端，執(zhí)行軟件升級，測試并記錄升級結果，應不執(zhí)行升級。

A.6.2.3失敗事件日志記錄測試方法

測試人員應按照如下測試方法，檢驗測試車輛是否滿足正文9.2.3的要求：

a）構造完整性或真實性被破壞的在線升級包；

13

DB4403/TXXXX—XXXX

b）觸發(fā)車輛軟件升級，檢查升級事件日志，并記錄測試結果，應記錄本次升級失敗事件。

A.6.3離線升級安全要求測試方法

A.6.3.1使用車載軟件升級系統(tǒng)的離線升級安全測試方法

若車輛使用車載軟件升級系統(tǒng)進行離線升級，測試人員應依據附錄A.3l)實現(xiàn)離線軟件升級的方式

及工具，并按照如下測試方法，檢驗測試車輛是否滿足正文9.3.1的要求：

a）構造被篡改破壞的離線升級包；

b）使用離線升級工具將該升級包下載或傳輸到車載端，執(zhí)行軟件升級，測試并記錄升級結果，應

不執(zhí)行升級。

A.6.3.2不使用車載軟件升級系統(tǒng)的離線升級安全測試方法

若車輛不使用車載軟件升級系統(tǒng)進行離線升級，測試人員應依據附錄A.3l)實現(xiàn)離線軟件升級的方

式及工具，并選擇以下兩種方法中適用的一種開展測試并記錄測試結果，檢驗測試車輛是否滿足正文

9.3.2的要求：

a）測試人員將非認證的刷寫接入端接入車輛刷寫接口，查看車輛是否能檢出接入了