目录
背景
概述
标准适用范围
汽车信息安全管理体系要求
信息安全基本要求
信息安全技术要求
◆ 外部连接安全要求:
◆通信安全要求:
◆软件升级安全要求:
◆ 数据安全要求:
检查试验方法
同一型式判定
背景
2024年8月23日,工业和信息化部组织制定的GB 44495-2024《汽车整车信息安全技术要求》、GB 44496-2024《汽车软件升级通用技术要求》和GB 44497-2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布(国家标准公告2024年第18号文),将于2026年1月1日起开始实施。
概述
GB 44495-2024《汽车整车信息安全技术要求》标准规定了汽车信息安全管理体系要求、信息安全基本要求、信息安全技术要求、检查与试验方法以及同一型式判定。
该标准是国内首个将体系要求纳入其中的标准,明确规定企业需制定详尽的流程和规范,以确保风险管控工作有序开展,有效减少人为错误和疏漏。尽管体系的建立周期较长,但它对于规范和加强智能网联汽车的信息安全管理,以及为车企在汽车整车信息安全建设方面提供了极大的帮助。标准中对于信息安全的技术要求包含了车辆外部连接安全、车辆通信安全、车辆软件升级安全以及车辆数据安全等多个方面。
标准适用范围
GB 44495-2024强标适用于M类、N类及至少装有1个电子控制单元(ECU,Electronic Control Unit)的O类车辆。
汽车信息安全管理体系要求
GB 44495-2024强标指出了车辆制造商应具备车辆全生命周期的汽车信息安全管理体系(cybersecuritymanagementsystem;CSMS,基于风险的系统方法)。
汽车信息安全管理体系应包括以下内容:
信息安全基本要求
信息安全技术要求
◆ 外部连接安全要求:
出于对当前复杂网络环境的安全考量,随着信息技术的飞速发展,外部有线和无线连接成为攻击者常用的入侵途径,非法外联、数据泄露、恶意软件感染等安全威胁日益严峻。因此,GB 44495-2024在技术要求的第一点提出了对于外部连接的安全要求,旨在防止通过外部连接通道进入汽车系统内部从而造成的敏感数据泄露、非法访问和恶意攻击,确保业务的连续性和稳定性。主要测试对象有TBOX-蜂窝以太网接口、Wifi接口、关键零部件固件、第三方应用、远程控车APP、USB接口、CAN诊断接口等。
◆通信安全要求:
通信网络是现代社会不可或缺的基础设施,承载着海量数据的传输与交换任务。车辆在行驶过程中,也需要经过通信网络与外界设备进行数据交互。在这一过程中,通信安全显得尤为重要,它直接关系到传输过程中数据的保密性、完整性和可用性。然而,通信安全正面临着日益复杂的威胁和挑战,黑客攻击、病毒传播、数据泄露等安全事件频发,这些不仅会给企业带来巨大的经济损失,还可能严重威胁到国家安全和社会稳定。因此,将通信安全纳入GB信息安全,是构建全方位、多层次的信息安全防护网的重要举措,旨在确保信息系统的稳定运行和数据的安全传输。主要的测试对象有网络通信协议、WLAN、蓝牙、V2X通信、射频钥匙、OBD口等。
◆软件升级安全要求:
软件升级已成为保持系统性能、修复安全漏洞和提升用户体验的重要手段。然而,软件升级过程本身也伴随着一定的安全风险。不当的升级操作可能会导致系统不稳定、数据丢失,甚至可能被恶意软件利用,从而对信息系统的整体安全构成严重威胁。黑客和攻击者常常利用软件升级过程中的漏洞进行攻击。他们可能伪装成合法的升级包,植入恶意代码,或者在升级过程中窃取敏感信息。因此,确保软件升级过程的安全对于防范外部威胁、保护系统免受攻击至关重要。主要的测试对象有具备车载软件升级系统的ECU、网络通信协议、升级包、升级日志等。
◆ 数据安全要求:
汽车信息化程度的不断加深,使得数据在生产、存储、传输、访问、使用、销毁等全生命周期中的安全问题日益凸显。网络攻击、数据泄露、内部人员误操作等安全事件频发,给个人、企业和国家带来了巨大的损失。
车内数据的安全不仅关乎个人隐私保护,确保驾乘人员的敏感信息不被泄露和滥用,还直接关系到行车安全,因为关键参数的任意修改可能导致严重的后果。因此,通过加强数据安全保护,不仅可以为用户提供可靠的信息安全保障,还能确保车辆行驶的关键参数不被任意修改。GB 44495-2024数据安全部分主要的测试对象有IVI、TBOX、网关、ADAS域控制器等车内关键零部件。
