标准解读 | GB 44495-2024《汽车整车信息安全技术要求》解读
随着智能网联汽车产业的迅速发展,汽车智能化和网联化程度不断加深,汽车逐渐从传统的交通工具演变成具备复杂功能的移动智能终端。车辆与车内人员以及外部环境的信息交互更加便捷的同时,也面临着更多的信息安全问题。
由工业和信息化部归口,中国汽车技术研究中心有限公司等单位起草的GB 44495-2024《汽车整车信息安全技术要求》国家强制性标准已于8月23日正式发布,并将于2026年1月1日实施。标准规定了汽车信息安全管理体系要求、信息安全一般要求、信息安全技术要求、检查试验方法以及同一型式判定。该标准是国内首个将体系要求纳入其中的标准,明确规定企业需制定详尽的流程和规范,以确保风险管控工作有序开展,有效减少人为错误和疏漏。尽管体系的建立周期较长,但它对于规范和加强智能网联汽车的信息安全管理,以及为车企在汽车整车信息安全建设方面提供了极大的帮助。标准中对于信息安全的技术要求包含了车辆外部连接安全、车辆通信安全、车辆软件升级安全以及车辆数据安全等多个方面。
图1 GB 44495-2024基本框架
01
主要内容解读
1 标准适用范围
GB 44495-2024强标适用于M类、N类及至少装有1个电子控制单元(ECU,Electronic Control Unit)的O类车辆。
图2 GB 44495-2024适用车型范围
2 汽车信息安全管理体系要求
GB 44495-2024强标指出了车辆制造商应具备车辆全生命周期的汽车信息安全管理体系,规定车辆产品开发流程应遵循汽车信息安全管理体系,同时对车辆制造商针对风险识别、管理、评估的组织流程、责任和治理措施提出了明确的要求。
在企业内部管理汽车信息安全的过程方面,企业需要建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到处置的过程,并确保车辆风险评估保持最新状态;企业需要建立用于车辆信息安全测试的过程,以及针对车辆的网络攻击、网络威胁和漏洞的监测、响应及漏洞上报机制。并且,企业需要针对车辆不同零部件具有的信息安全风险,建立管理企业与零部件供应商、服务供应商之间信息安全依赖关系的过程,控制与供应商相关的外部风险。
图3 GB 44495-2024中信息安全管理体系基本框架
3 信息安全技术要求
◆ 外部连接安全要求:
出于对当前复杂网络环境的安全考量,随着信息技术的飞速发展,外部有线和无线连接成为攻击者常用的入侵途径,非法外联、数据泄露、恶意软件感染等安全威胁日益严峻。因此,GB 44495-2024在技术要求的第一点提出了对于外部连接的安全要求,旨在防止通过外部连接通道进入汽车系统内部从而造成的敏感数据泄露、非法访问和恶意攻击,确保业务的连续性和稳定性。主要测试对象有TBOX-蜂窝以太网接口、Wifi接口、关键零部件固件、第三方应用、远程控车APP、USB接口、CAN诊断接口等。
图4 外部连接安全技术要求
◆ 通信安全要求:
通信网络是现代社会不可或缺的基础设施,承载着海量数据的传输与交换任务。车辆在行驶过程中,也需要经过通信网络与外界设备进行数据交互。在这一过程中,通信安全显得尤为重要,它直接关系到传输过程中数据的保密性、完整性和可用性。然而,通信安全正面临着日益复杂的威胁和挑战,黑客攻击、病毒传播、数据泄露等安全事件频发,这些不仅会给企业带来巨大的经济损失,还可能严重威胁到国家安全和社会稳定。因此,将通信安全纳入GB信息安全,是构建全方位、多层次的信息安全防护网的重要举措,旨在确保信息系统的稳定运行和数据的安全传输。主要的测试对象有网络通信协议、WLAN、蓝牙、V2X通信、射频钥匙、OBD口等。
图5 通信安全技术要求
◆ 软件升级安全要求:
软件升级已成为保持系统性能、修复安全漏洞和提升用户体验的重要手段。然而,软件升级过程本身也伴随着一定的安全风险。不当的升级操作可能会导致系统不稳定、数据丢失,甚至可能被恶意软件利用,从而对信息系统的整体安全构成严重威胁。黑客和攻击者常常利用软件升级过程中的漏洞进行攻击。他们可能伪装成合法的升级包,植入恶意代码,或者在升级过程中窃取敏感信息。因此,确保软件升级过程的安全对于防范外部威胁、保护系统免受攻击至关重要。主要的测试对象有具备车载软件升级系统的ECU、网络通信协议、升级包、升级日志等。
图6 软件升级技术要求
◆ 数据安全要求:
汽车信息化程度的不断加深,使得数据在生产、存储、传输、访问、使用、销毁等全生命周期中的安全问题日益凸显。网络攻击、数据泄露、内部人员误操作等安全事件频发,给个人、企业和国家带来了巨大的损失。
车内数据的安全不仅关乎个人隐私保护,确保驾乘人员的敏感信息不被泄露和滥用,还直接关系到行车安全,因为关键参数的任意修改可能导致严重的后果。因此,通过加强数据安全保护,不仅可以为用户提供可靠的信息安全保障,还能确保车辆行驶的关键参数不被任意修改。GB 44495-2024数据安全部分主要的测试对象有IVI、TBOX、网关、ADAS域控制器等车内关键零部件。
图7 数据安全技术要求
李奇
中汽研科技 平台技术总监
中汽研科技有限公司(简称“中汽研科技”)李奇表示,测试用例来源于根据项目开发流程评估所选定的适用项目。其基本范围涵盖了外部连接、通信信道、软件升级安全以及数据安全等方面。部分具体条款的测试对象需依据企业的TARA分析结果来确定。对于企业所采取的超出标准要求的风险处置措施,在措施不充分的情况下,我方会验证该措施的有效性。
02
影响与意义
该标准的发布对提升汽车整车信息安全水平、推动智能网联汽车行业技术升级和市场竞争、保障消费者权益和公共安全以及促进国际合作与交流等方面具有深远的影响和意义。
当前,中汽研科技已具备进行GB 44495-2024《汽车整车信息安全技术要求》合规测试的能力。未来,中汽研科技将持续提升汽车信息安全测试能力与知识水平,助力企业落实国家标准要求,支撑智能网联汽车信息安全产业高质量发展。