標準解讀 | GB 44495-2024《汽車整車信息安全技術要求》解讀
隨著智能網聯汽車產業的迅速發展,汽車智能化和網聯化程度不斷加深,汽車逐漸從傳統的交通工具演變成具備復雜功能的移動智能終端。車輛與車內人員以及外部環境的信息交互更加便捷的同時,也面臨著更多的信息安全問題。
由工業和信息化部歸口,中國汽車技術研究中心有限公司等單位起草的GB 44495-2024《汽車整車信息安全技術要求》國家強制性標準已于8月23日正式發布,并將于2026年1月1日實施。標準規定了汽車信息安全管理體系要求、信息安全一般要求、信息安全技術要求、檢查試驗方法以及同一型式判定。該標準是國內首個將體系要求納入其中的標準,明確規定企業需制定詳盡的流程和規范,以確保風險管控工作有序開展,有效減少人為錯誤和疏漏。盡管體系的建立周期較長,但它對于規范和加強智能網聯汽車的信息安全管理,以及為車企在汽車整車信息安全建設方面提供了極大的幫助。標準中對于信息安全的技術要求包含了車輛外部連接安全、車輛通信安全、車輛軟件升級安全以及車輛數據安全等多個方面。
圖1 GB 44495-2024基本框架
01
主要內容解讀
1 標準適用范圍
GB 44495-2024強標適用于M類、N類及至少裝有1個電子控制單元(ECU,Electronic Control Unit)的O類車輛。
圖2 GB 44495-2024適用車型范圍
2 汽車信息安全管理體系要求
GB 44495-2024強標指出了車輛制造商應具備車輛全生命周期的汽車信息安全管理體系,規定車輛產品開發流程應遵循汽車信息安全管理體系,同時對車輛制造商針對風險識別、管理、評估的組織流程、責任和治理措施提出了明確的要求。
在企業內部管理汽車信息安全的過程方面,企業需要建立識別、評估、分類、處置車輛信息安全風險及核實已識別風險得到處置的過程,并確保車輛風險評估保持最新狀態;企業需要建立用于車輛信息安全測試的過程,以及針對車輛的網絡攻擊、網絡威脅和漏洞的監測、響應及漏洞上報機制。并且,企業需要針對車輛不同零部件具有的信息安全風險,建立管理企業與零部件供應商、服務供應商之間信息安全依賴關系的過程,控制與供應商相關的外部風險。
圖3 GB 44495-2024中信息安全管理體系基本框架
3 信息安全技術要求
◆ 外部連接安全要求:
出于對當前復雜網絡環境的安全考量,隨著信息技術的飛速發展,外部有線和無線連接成為攻擊者常用的入侵途徑,非法外聯、數據泄露、惡意軟件感染等安全威脅日益嚴峻。因此,GB 44495-2024在技術要求的第一點提出了對于外部連接的安全要求,旨在防止通過外部連接通道進入汽車系統內部從而造成的敏感數據泄露、非法訪問和惡意攻擊,確保業務的連續性和穩定性。主要測試對象有TBOX-蜂窩以太網接口、Wifi接口、關鍵零部件固件、第三方應用、遠程控車APP、USB接口、CAN診斷接口等。
圖4 外部連接安全技術要求
◆ 通信安全要求:
通信網絡是現代社會不可或缺的基礎設施,承載著海量數據的傳輸與交換任務。車輛在行駛過程中,也需要經過通信網絡與外界設備進行數據交互。在這一過程中,通信安全顯得尤為重要,它直接關系到傳輸過程中數據的保密性、完整性和可用性。然而,通信安全正面臨著日益復雜的威脅和挑戰,黑客攻擊、病毒傳播、數據泄露等安全事件頻發,這些不僅會給企業帶來巨大的經濟損失,還可能嚴重威脅到國家安全和社會穩定。因此,將通信安全納入GB信息安全,是構建全方位、多層次的信息安全防護網的重要舉措,旨在確保信息系統的穩定運行和數據的安全傳輸。主要的測試對象有網絡通信協議、WLAN、藍牙、V2X通信、射頻鑰匙、OBD口等。
圖5 通信安全技術要求
◆ 軟件升級安全要求:
軟件升級已成為保持系統性能、修復安全漏洞和提升用戶體驗的重要手段。然而,軟件升級過程本身也伴隨著一定的安全風險。不當的升級操作可能會導致系統不穩定、數據丟失,甚至可能被惡意軟件利用,從而對信息系統的整體安全構成嚴重威脅。黑客和攻擊者常常利用軟件升級過程中的漏洞進行攻擊。他們可能偽裝成合法的升級包,植入惡意代碼,或者在升級過程中竊取敏感信息。因此,確保軟件升級過程的安全對于防范外部威脅、保護系統免受攻擊至關重要。主要的測試對象有具備車載軟件升級系統的ECU、網絡通信協議、升級包、升級日志等。
圖6 軟件升級技術要求
◆ 數據安全要求:
汽車信息化程度的不斷加深,使得數據在生產、存儲、傳輸、訪問、使用、銷毀等全生命周期中的安全問題日益凸顯。網絡攻擊、數據泄露、內部人員誤操作等安全事件頻發,給個人、企業和國家帶來了巨大的損失。
車內數據的安全不僅關乎個人隱私保護,確保駕乘人員的敏感信息不被泄露和濫用,還直接關系到行車安全,因為關鍵參數的任意修改可能導致嚴重的后果。因此,通過加強數據安全保護,不僅可以為用戶提供可靠的信息安全保障,還能確保車輛行駛的關鍵參數不被任意修改。GB 44495-2024數據安全部分主要的測試對象有IVI、TBOX、網關、ADAS域控制器等車內關鍵零部件。
圖7 數據安全技術要求
李奇
中汽研科技 平臺技術總監
中汽研科技有限公司(簡稱“中汽研科技”)李奇表示,測試用例來源于根據項目開發流程評估所選定的適用項目。其基本范圍涵蓋了外部連接、通信信道、軟件升級安全以及數據安全等方面。部分具體條款的測試對象需依據企業的TARA分析結果來確定。對于企業所采取的超出標準要求的風險處置措施,在措施不充分的情況下,我方會驗證該措施的有效性。
02
影響與意義
該標準的發布對提升汽車整車信息安全水平、推動智能網聯汽車行業技術升級和市場競爭、保障消費者權益和公共安全以及促進國際合作與交流等方面具有深遠的影響和意義。
當前,中汽研科技已具備進行GB 44495-2024《汽車整車信息安全技術要求》合規測試的能力。未來,中汽研科技將持續提升汽車信息安全測試能力與知識水平,助力企業落實國家標準要求,支撐智能網聯汽車信息安全產業高質量發展。