| 标准编号 | GB 44495-2024 (GB44495-2024) | | 中文名称 | 汽车整车信息安全技术要求 | | 英文名称 | Technical requirements for vehicle cybersecurity | | 行业 | 国家标准 | | 中标分类 | T40 | | 国际标准分类 | 43.020 | | 字数估计 | 22,267 | | 发布日期 | 2024-08-23 | | 实施日期 | 2026-01-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB 44495-2024: 汽车整车信息安全技术要求
中华人民共和国国家标准
汽车整车信息安全技术要求
2024-08-23发布
2026-01-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
1 范围
本文件规定了汽车信息安全管理体系要求、信息安全基本要求、信息安全技术要求及同一型式判
定,描述了相应的检查与试验方法。
本文件适用于 M类、N类及至少装有1个电子控制单元的O类车辆。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 40861 汽车信息安全通用技术要求
GB/T 44373 智能网联汽车 术语和定义
GB/T 44464-2024 汽车数据通用要求
GB 44496 汽车软件升级通用技术要求
3 术语和定义
GB/T 40861、GB/T 44373、GB 44496界定的以及下列术语和定义适用于本文件。
4 缩略语
下列缩略语适用于本文件。
OBD:车载诊断(On-BoardDiagnostics)
USB:通用串行总线(UniversalSerialBus)
5.1 车辆制造商应具备车辆全生命周期的汽车信息安全管理体系。
注:车辆全生命周期包括车辆的开发阶段、生产阶段及后生产阶段。
5.2 汽车信息安全管理体系应包括以下内容。
---建立企业内部管理汽车信息安全的过程。
---建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到处置的过程,并确保车辆
风险评估保持最新状态。
---建立用于车辆信息安全测试的过程。
---建立针对车辆的网络攻击、网络威胁和漏洞的监测、响应及漏洞上报过程,要求如下:
● 包含漏洞管理机制,明确漏洞收集、分析、报告、处置、发布、上报等活动环节;
● 建立针对网络攻击提供相关数据并进行分析的过程,如通过车辆数据和车辆日志分析和
检测网络攻击、威胁和漏洞;
● 建立确保对网络攻击、网络威胁和漏洞进行持续监控的过程,且车辆纳入监控范围的时间
应不晚于车辆注册登记的时间;
● 建立确保已识别的网络攻击、网络威胁和漏洞得到响应,且在时限内得到处置的过程;
● 建立评估所实施的信息安全措施在发现新的网络攻击、网络威胁和漏洞的情况下是否仍
然有效的过程。
---建立管理企业与合同供应商、服务提供商、车辆制造商子组织之间汽车信息安全依赖关系的
过程。
6 信息安全基本要求
6.1 车辆产品开发流程应遵循汽车信息安全管理体系要求。
6.2 车辆制造商应识别和管理车辆与供应商相关的风险。
6.3 车辆制造商应识别车辆的关键要素,对车辆进行风险评估,并管理已识别的风险。
注1:风险评估的范围包含车辆的各个要素及其相互作用,并进一步考虑与外部系统的相互作用。
注2:关键要素包括但不限于有助于车辆安全、环境保护或防盗的要素,以及提供连接性的系统部件或车辆架构中
对信息安全至关重要的部分等。
6.4 车辆制造商应采取基于第7章要求的处置措施保护车辆不受风险评估中已识别的风险影响。若
处置措施与所识别的风险不相关,车辆制造商应说明其不相关性。若处置措施不足以应对所识别的风
险,车辆制造商应实施其他的措施,并说明其使用措施的合理性。
6.5 如有专用环境,车辆制造商应采取措施,以保护车辆用于存储和执行后装软件、服务、应用程序或
数据的专用环境。
注:如沙箱专用环境等。
6.6 车辆制造商应通过测试来验证所实施的信息安全措施的有效性。
6.7 车辆制造商应针对车辆实施相应措施,以确保具备以下能力:
---针对车辆网络攻击的识别能力;
---针对与车辆相关的网络攻击、网络威胁和漏洞的监测能力及数据取证能力。
6.8 车辆制造商应使用公开的、已发布的、有效的密码算法,应根据不同密码算法和业务场景,选择适
当的参数和选项。
6.9 车辆制造商应满足以下密码模块要求之一:
---采用符合国际、国家或行业标准要求的密码模块;
---未采用国际、国家或行业标准要求的密码模块,说明使用的合理性。
6.10 车辆应采用默认安全设置,如 WLAN的默认连接口令应满足复杂度的要求。
6.11 汽车数据处理活动中的数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告
知等要求,应符合GB/T 44464-2024中4.2.2的规定。
7 信息安全技术要求
7.1 外部连接安全要求
7.1.1 通用安全要求
7.1.1.1 车端具备远程控制功能的系统、授权的第三方应用等外部连接系统不应存在由汽车行业权威
漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞。
注1:汽车行业权威漏洞平台如车联网产品专用漏洞库NVDB-CAVD等政府主管部门认可的其他漏洞平台。
注2:处置包括消除漏洞、制定减缓措施等方式。
7.1.1.2 车辆应关闭非业务必要的网络端口。
7.1.2 远程控制安全要求
7.1.2.1 应对远程控制指令信息进行真实性和完整性验证。
7.1.2.2 应对远程控制指令设置访问控制,禁用非授权的远程控制指令。
7.1.2.3 应具备记录远程控制指令的安全日志功能,安全日志记录的内容至少包括远程控制指令的时
间、发送主体、远程控制对象、操作结果等,留存相关的安全日志应不少于6个月。
7.1.2.4 应对车端具备远程控制功能的系统进行完整性验证。
7.1.3 第三方应用安全要求
7.1.3.1 应对授权的第三方应用的真实性和完整性进行验证。
注:第三方应用是指车辆制造商及其供应商之外的其他实体提供的面向用户提供服务的应用程序,包括第三方娱
乐应用等。
7.1.3.2 应对非授权的第三方应用的安装进行提示,并对已安装的非授权的第三方应用进行访问控
制,限制此类应用直接访问系统资源、个人信息等。
7.1.4 外部接口安全要求
7.1.4.1 应对车辆外部接口进行访问控制保护,禁止非授权访问。
注:外部接口包括USB接口、诊断接口和其他可直接接触的物理接口。
7.1.4.2 应对车辆USB接口、SD卡接口接入设备中的文件进行访问控制,仅允许读写指定格式的文件
或安装执行指定签名的应用软件。
7.1.4.3 车辆应对USB接口接入设备中的病毒风险进行处置。
7.1.4.4 通过诊断接口向车辆发送关键配置及标定参数的写操作指令时,车辆应采用身份鉴别或访问
控制等安全策略。
7.2 通信安全要求
7.2.1 车辆与车辆制造商云平台通信时,应对其通信对象的身份真实性进行验证。
7.2.2 车辆与车辆、路侧单元、移动终端等进行V2X直连通信时,应进行证书有效性和合法性的验证。
7.2.3 车辆应采用完整性保护机制保护除RFID、NFC之外的外部无线通信通道。
7.2.4 车辆应具备对来自车辆外部通信通道的数据操作指令的访问控制机制。
注:来自车辆外部通信通道的数据操作指令包括代码注入、数据操纵、数据覆盖、数据擦除和数据写入等指令。
7.2.5 车辆应验证所接收的外部关键指令数据的有效性或唯一性。
示例:针对远程控制服务器发送的车控指令,车端可通过网关验证该类指令的有效性或唯一性。
注:关键指令数据是指可能影响行车和财产安全的指令数据,包括但不限于车控指令数据。
7.2.6 车辆应对向车外发送的敏感个人信息实施保密性保护措施。
7.2.7 车辆应具备安全机制防御物理操纵攻击,至少具备与外部直接无线通信的零部件的身份识别
机制。
注:与外部存在直接无线通信的零部件包括但不限于车载信息交互系统等,不包括短距离无线传感器。
7.2.8 车辆与外部直接无线通信的零部件应具备安全机制防止非授权的特权访问。
注:非授权用户可能通过调试接口获得系统的根用户或特权用户权限。
7.2.9 车辆应对内部网络进行区域划分并对区域边界进行防护。车辆内部网络跨域请求应进行访问
控制,并遵循默认拒绝原则和最小化授权原则。
注:区域边界防护措施包括物理隔离、逻辑隔离(如采用白名单、防火墙、VLAN)等。
7.2.10 车辆应具备识别车辆通信通道遭受拒绝服务攻击的能力,并对攻击进行相应的处理。
注1:对攻击的处理包括对攻击数据包的拦截或丢弃、受影响系统的自动恢复、日志记录等。
注2:车辆通信通道包括移动蜂窝通信、V2X、CAN总线、车载以太网等。
7.2.11 车辆应具备识别恶意的V2X数据、恶意的诊断数据的能力,并采取保护措施。
注:V2X数据包括路侧单元发送到车辆的数据、车辆与车辆之间的数据。
7.2.12 应具备记录关键的通信信息安全事件日志的功能,日志存储时长应不少于6个月。
注:关键的通信信息安全事件由车辆制造商根据风险评估的结果确定,日志记录内容包括事件时间、事件原因等。
7.3 软件升级安全要求
7.3.1 通用安全要求
7.3.1.1 车载软件升级系统应通过安全保护机制,保护车载软件升级系统的可信根、引导加载程序、系
统固件不被篡改,或在被篡改后,通过安全保护机制使其无法正常启动。
7.3.1.2 车载软件升级系统不应存在由汽车行业权威漏洞平台6个月前公布且未经处置的高危及以上
的安全漏洞。
注1:汽车行业权威漏洞平台如车联网产品专用漏洞库NVDB-CAVD等政府主管部门认可的其他漏洞平台。
注2:处置包括消除漏洞、制定减缓措施等方式。
7.3.2 在线升级安全要求
7.3.2.1 车辆和在线升级服务器应进行身份认证,验证其身份的真实性,并在下载中断恢复时重新
验证。
注:常见的认证方式包括使用证书进行身份认证。
7.3.2.2 车辆应对下载的升级包进行真实性和完整性验证。
7.3.2.3 应对在线升级过程中发生的信息安全事件日志进行记录,日志存储时长应不少于6个月。
7.3.3 离线升级安全要求
7.3.3.1 若车辆使用车载软件升级系统进行离线升级,车辆应对离线升级包真实性和完整性进行验证。
7.3.3.2 若车辆不使用车载软件升级系统进行离线升级,应采取保护措施保证刷写接入端的安全性,或
验证升级包的真实性和完整性。
7.4 数据安全要求
7.4.1 车辆应采取安全访问技术或安全存储技术保护存储的对称密钥和非对称密钥中的私钥,防止其
被非授权访问和获取。
7.4.2 车辆应采取安全访问技术、加密技术或其他安全技术保护存储在车内的敏感个人信息,防止其
被非授权访问和获取。
7.4.3 车辆应采取安全防御机制保护存储在车内的VIN等用于车辆身份识别的数据,防止其被非授权
删除和修改。
注:防止数据被非授权删除和修改的安全防御机制包括安全访问技术、只读技术等。
7.4.4 车辆应采取安全防御机制保护存储在车内的关键数据,防止其被非授权删除和修改。
注:关键数据包括制动参数、安全气囊展开阈值、动力电池参数等关键配置参数,以及其他车辆运行过程中产生的
可能影响行车安全的数据。
7.4.5 车辆应采取安全防御机制保护存储在车内的安全日志,防止其被修改和非授权删除。
7.4.6 车辆应具备个人信息删除功能,该功能可删除的信息不应包括法律、行政法规、强制性国家标准
中规定必须保留的个人信息。
7.4.7 车辆不应直接向境外传输数据。
注:用户使用浏览器访问境外网站、使用通信软件向境外传递消息、自主安装可能导致数据出境的第三方应用等用
户自主行为不受本条款限制。
8 检查与试验方法
8.1 总则
检查及试验方法包括汽车信息安全管理体系检查、基本要求检查和技术要求测试:
---针对车辆制造商信息安全保障能力相关的文档进行检查,确认车辆制造商满足第5章的要求;
---针对车辆在开发、生产等过程中信息安全相关的文档进行检查,确认测试车辆满足第6章的
要求;
---基于车辆所识别的风险以及第7章车辆技术要求处置措施的相关性,依据8.3确认车辆信息
安全技术要求的测试范围,并依据测试范围开展测试,确认车辆满足第7章的要求。
注:测试范围包括第7章与待测试车辆的适用条款、各适用条款对应的测试对象等。
8.2 信息安全基本要求检查
8.2.1 检查要求
8.2.1.1 车辆制造商应具备文档来说明车辆在开发、生产等过程的信息安全情况,文档包括提交的文档
和留存备查的文档。
8.2.1.2 提交的文档应为中文版本,并至少包含如下内容:
---证明车辆满足第6章要求的总结文档;
---写明文档版本信息的留存备查文档清单。
8.2.1.3 车辆制造商应以安全的方式在本地留存车辆信息安全相关过程文档备查,完成检查后应对留
存备查的文档进行防篡改处理。
8.2.1.4 车辆制造商应对提交和留存备查的文档与车辆的一致性、可追溯性做出自我声明。
8.2.2 检查方法
8.2.2.1 检查......
|