《車載信息交互系統(tǒng)信息安全技術(shù)要求》

GB/TXXXXX—XXXX

目??次

前言......................................................................................................................................................................II

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語與定義.....................................................................................................................................................1

4縮略語.............................................................................................................................................................2

5技術(shù)要求.........................................................................................................................................................3

5.1硬件安全要求..........................................................................................................................................3

5.2通信協(xié)議與接口安全要求......................................................................................................................3

5.3操作系統(tǒng)安全要求..................................................................................................................................5

5.4應(yīng)用軟件安全要求..................................................................................................................................7

5.5數(shù)據(jù)安全要求..........................................................................................................................................8

6測試方法.........................................................................................................................................................9

6.1硬件安全測試方法..................................................................................................................................9

6.2通信協(xié)議與接口安全測試方法..............................................................................................................9

6.3操作系統(tǒng)安全測試方法........................................................................................................................11

6.4應(yīng)用軟件安全技術(shù)測試方法................................................................................................................14

6.5數(shù)據(jù)安全測試方法................................................................................................................................16

附錄A（資料性附錄）車載信息交互系統(tǒng)示意圖....................................................................................18

參考文獻.............................................................................................................................................................19

I

GB/TXXXXX—XXXX

前??言

本標準按照GB/T1.1—2009給出的規(guī)則起草。

本標準由中華人民共和國工業(yè)和信息化部提出。

本標準由全國汽車標準化技術(shù)委員會（SAC/TC114）歸口。

本標準起草單位：

本標準主要起草人：

II

GB/TXXXXX—XXXX

車載信息交互系統(tǒng)信息安全技術(shù)要求

1范圍

本標準規(guī)定了車載信息交互系統(tǒng)硬件、通信協(xié)議與接口、操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)的信息安全技

術(shù)要求與測試方法。

本標準適用于指導(dǎo)整車廠、零部件供應(yīng)商、軟件供應(yīng)商等企業(yè)，開展車載信息交互系統(tǒng)信息安全技

術(shù)的設(shè)計開發(fā)、驗證與生產(chǎn)等工作。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/TXXX汽車信息安全通用技術(shù)要求

3術(shù)語與定義

GB/T25069、GB/TXXX界定的以及下列術(shù)語和定義適用于本文件。

3.1

車載信息交互系統(tǒng)on-boardinformationinteractivesystem

安裝在車輛上的通信系統(tǒng)，屬于信息交互或娛樂服務(wù)裝置，應(yīng)具備下列至少一項功能：

a)對外可通過蜂窩網(wǎng)絡(luò)、短距離通信等通信技術(shù)建立連接并進行數(shù)據(jù)交換等功能，對內(nèi)可通過汽

車總線與電子電氣系統(tǒng)進行信息采集、數(shù)據(jù)傳遞與指令下發(fā)等功能；

b)實現(xiàn)通話錄音、文化娛樂等相關(guān)服務(wù)功能。

注：車載信息交互系統(tǒng)通常為遠程車載信息交互系統(tǒng)（T-Box）、車載綜合信息處理系統(tǒng)（IVI）以及其混合體。

典型的車載信息交互系統(tǒng)示意圖參考附錄A中圖A.1所示。

3.2

對外通信externalcommunication

車載信息交互系統(tǒng)與車輛外部的無線通信，包括基于移動蜂窩網(wǎng)絡(luò)的遠程通信、藍牙、WLAN等短距

離通信等。

3.3

內(nèi)部通信internalcommunication

車載信息交互系統(tǒng)與車輛內(nèi)電子電氣系統(tǒng)的通信，包括基于CAN、CANFD、LIN、以太網(wǎng)等車輛內(nèi)部

的通信。

1

GB/TXXXXX—XXXX

3.4

用戶user

使用車載信息交互系統(tǒng)資源的對象，包括人、車輛或者第三方應(yīng)用程序。

3.5

用戶數(shù)據(jù)userdata

由用戶產(chǎn)生或為用戶服務(wù)的數(shù)據(jù)，該數(shù)據(jù)不影響安全功能的運行。

3.6

代碼簽名codesigning

利用數(shù)字簽名機制，由具備簽名權(quán)限的實體對全部或部分代碼進行簽名的機制。

3.7

應(yīng)用軟件applicationsoftware

在車載信息交互系統(tǒng)上，為實現(xiàn)支付、娛樂等功能的一類軟件，包括在車載信息交互系統(tǒng)中已預(yù)裝

的應(yīng)用軟件和后期可安裝的應(yīng)用軟件。

3.8

平臺服務(wù)端platformserver

為車輛提供服務(wù)的平臺，包括企業(yè)自主運營平臺及第三方平臺等。

3.9

外部終端externalterminal

車輛外部的終端設(shè)備，包括路側(cè)單元、手機等。

4縮略語

CAN控制器局域網(wǎng)絡(luò)（controlareanetwork）

ECU電子控制單元（electroniccontrolunit）

E-Call緊急呼叫（emergencycall）

FTP文件傳輸協(xié)議（filetransferprotocol）

HTTP超文本傳輸協(xié)議（hypertexttransferprotocol）

JTAG測試行動聯(lián)合組織(JointTestActionGroup)

LE低功耗（lowenergy）

PSK預(yù)共享密鑰（pre-sharedkey）

SSP安全簡易配對（securesimplepairing）

SPI串行外設(shè)接口（serialperipheralinterface）

TLS安全傳輸層協(xié)議(transportlayersecurity)

TSP終端服務(wù)平臺（telematicsserviceprovider）

UART通用異步收發(fā)器(UniversalAsynchronousReceiver/Transmitter)

2

GB/TXXXXX—XXXX

URL統(tǒng)一資源定位符(uniformresourcelocator)

USB通用串行總線(universalserialBUS)

WLAN無線局域網(wǎng)（wirelesslocalareanetworks）

WPAWLAN網(wǎng)絡(luò)安全接入(WLANprotectedaccess)

5技術(shù)要求

5.1硬件安全要求

5.1.1車載信息交互系統(tǒng)所使用的芯片應(yīng)滿足以下要求：

a)按照6.1a)進行測試，調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制；

b)按照6.1b)進行測試，不存在后門或隱蔽接口；

5.1.2按照6.1c)進行測試，車載信息交互系統(tǒng)所使用的關(guān)鍵芯片（例如：處理器、存儲模塊、通訊

IC等用于處理、存儲和傳輸敏感信息的芯片以及安全芯片）應(yīng)減少暴露管腳；

5.1.3按照6.1d)進行測試，車載信息交互系統(tǒng)所使用的安全芯片之間應(yīng)減少通信線路的數(shù)量（例如：

使用多層電路板的車載信息交互系統(tǒng)可采用內(nèi)層布線方式隱藏通信線路）；

5.1.4按照6.1e)進行測試,電路板及芯片不宜暴露用以標注、端口和管腳功能的可讀絲印。

5.2通信協(xié)議與接口安全要求

5.2.1對外通信協(xié)議安全

通信連接安全

按照a)進行測試,車輛端應(yīng)實現(xiàn)對平臺服務(wù)端或外部終端的身份認證。當(dāng)身份認證成功后，

按照b)進行測試,車輛端與平臺服務(wù)端或外部終端才能進行業(yè)務(wù)數(shù)據(jù)的通信交互。

通信傳輸安全

按照進行測試,車輛端與平臺服務(wù)端或外部終端間傳輸?shù)臄?shù)據(jù)內(nèi)容應(yīng)進行密鑰加密。

通信連接終止安全

車載信息交互系統(tǒng)進行通信時,按照a)、b)進行測試,發(fā)生身份鑒權(quán)失敗、有加密要求的

數(shù)據(jù)內(nèi)容校驗失敗等情況，應(yīng)終止該響應(yīng)操作。

遠程通信協(xié)議安全

.1公有遠程通信協(xié)議安全

公有遠程通信協(xié)議（例如：HTTP、FTP等），按照.1進行測試,應(yīng)采用TLS（版本不低于1.2）

或至少同等安全級別（例如：同等級別的國密算法等）的安全通信協(xié)議。

.2私有遠程通信協(xié)議安全

私有遠程通信協(xié)議（例如：整車廠或零部件廠與TSP自定義的通信協(xié)議等）應(yīng)滿足以下要求：

a)按照.2a)進行測試,支持以安全方式進行數(shù)據(jù)加密密鑰的更新；

b)按照.2b)進行測試,其使用的密鑰應(yīng)進行安全存儲。

短距離通信協(xié)議安全

3

GB/TXXXXX—XXXX

.1短距離通信口令應(yīng)用安全

短距離通信口令應(yīng)用安全應(yīng)滿足以下要求：

a)按照.1a)進行測試,缺省口令應(yīng)使用至少包括數(shù)字、大小寫字母，長度不少于8位的

強復(fù)雜度的口令；

b)按照.1b)進行測試,同一個缺省口令不復(fù)用于不同系統(tǒng)；

c)按照.1c)進行測試,更改口令時，限制用戶設(shè)置a)要求的口令或向用戶提示風(fēng)險；

d)按照.1d)進行測試,對于人機接口或跨信任網(wǎng)絡(luò)的不同車載信息交互系統(tǒng)之間接口的

登錄認證，應(yīng)支持口令防暴力破解機制，且按照.1e)進行測試,口令文件應(yīng)設(shè)置安全

訪問控制。

.2車載藍牙通信協(xié)議安全

對具有車載藍牙通信功能的車載信息交互系統(tǒng)應(yīng)滿足以下要求：

a)按照.2a)進行測試,車載藍牙通信設(shè)備不應(yīng)存在后門；

b)按照.2b)進行測試,外部設(shè)備請求與車載藍牙配對的方式應(yīng)為SSP模式（針對Classic

場合）或LESecureConnection模式（針對LE場合）；

c)按照.2c)進行測試,車載藍牙通信設(shè)備應(yīng)驗證配對請求，配對成功后，應(yīng)對外部設(shè)備

進行鑒權(quán)；

d)對于高安全要求的車載藍牙通信功能（例如：利用藍牙進行非接觸控制車輛等），按照

.2d)進行測試,應(yīng)對外部設(shè)備進行認證以防止非法接入；

e)對于高安全要求的車載藍牙通信功能（例如：利用藍牙進行非接觸控制車輛等），按照

.2e)進行測試,應(yīng)對相關(guān)數(shù)據(jù)進行安全加密處理。

.3車載WLAN通信協(xié)議安全

對具有WLAN熱點功能的車載信息交互系統(tǒng)，按照.3進行測試,應(yīng)使用WPA2-PSK或更高安全級

別的加密認證方式。

5.2.2內(nèi)部通信安全

當(dāng)車載信息交互系統(tǒng)通過CAN或車載以太網(wǎng)等總線與車內(nèi)其他控制器節(jié)點進行數(shù)據(jù)交互時，按照

6.2.2進行測試,應(yīng)使用安全機制確保傳輸?shù)闹匾獢?shù)據(jù)（例如：車輛控制指令等）完整性和可用性。

5.2.3通信接口安全

總體要求

車載信息交互系統(tǒng)的通信接口應(yīng)滿足以下要求：

a)按照a)進行測試,不應(yīng)存在任何后門或隱蔽接口；

b)按照b)進行測試,訪問權(quán)限等需授權(quán)內(nèi)容應(yīng)滿足“最小化授權(quán)原則”，不應(yīng)超出正常

業(yè)務(wù)范圍。

車外通信接口安全

.1按照a)進行測試,車載信息交互系統(tǒng)應(yīng)支持路由隔離，隔離核心業(yè)務(wù)平臺（例如：

執(zhí)行控制車輛指令、收集個人敏感信息等功能的業(yè)務(wù)平臺）的通信、內(nèi)部通信（非核心業(yè)務(wù)平臺的通信）、

外網(wǎng)通信（非核心業(yè)務(wù)平臺的通信）等；

4

GB/TXXXXX—XXXX

.2按照b)進行測試,車載信息交互系統(tǒng)與核心業(yè)務(wù)平臺（例如：能執(zhí)行控制車輛指

令、收集個人敏感信息等功能的業(yè)務(wù)平臺）的通信宜采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)通信，與公網(wǎng)隔離。

車內(nèi)通信接口安全

車載信息交互系統(tǒng)應(yīng)滿足以下要求：

a)按照a)進行測試,對合法指令設(shè)置白名單；

a)按照b)進行測試,對總線控制指令來源進行校驗。

5.3操作系統(tǒng)安全要求

5.3.1操作系統(tǒng)安全配置

車載信息交互系統(tǒng)在其操作系統(tǒng)安全配置方面，應(yīng)滿足以下要求：

a)按照6.3.1a)進行測試,禁止ROOT用戶直接登錄，且限制用戶提權(quán)操作；

b)按照6.3.1b)進行測試,刪除或禁用無用賬號，并使用至少包括數(shù)字、大小寫字母，長度不少

于8位的強復(fù)雜度的口令；

c)按照6.3.1c)進行測試,具備訪問控制機制，依據(jù)安全策略控制用戶、進程等主體對文件、數(shù)

據(jù)庫等客體進行訪問；

d)按照6.3.1d)進行測試,禁止不必要的服務(wù)（例如：FTP服務(wù)等），按照6.3.1e)進行測試,

禁止非授權(quán)的遠程接入服務(wù)。

5.3.2安全調(diào)用控制能力

通信類功能受控機制

.1撥打電話

具有撥打電話功能的車載信息交互系統(tǒng)應(yīng)滿足以下要求：

a)按照.1a)進行測試,在用戶確認后，調(diào)用撥打電話操作才能執(zhí)行；

b)按照.1b)進行測試,向用戶明示業(yè)務(wù)內(nèi)容，且在用戶確認后，調(diào)用撥打電話開通呼叫

轉(zhuǎn)移業(yè)務(wù)操作才能執(zhí)行。

注：緊急情況下，E-Call等應(yīng)急功能不限定于以上條款要求內(nèi)。

.2三方通話

具有三方通話功能的車載信息交互系統(tǒng)，按照.2進行測試,應(yīng)在用戶確認后，調(diào)用三方通話

操作才能執(zhí)行。

.3發(fā)送短信

具有發(fā)送短信功能的車載信息交互系統(tǒng)，按照.3進行測試,應(yīng)在用戶確認后，調(diào)用發(fā)送短信

操作才能執(zhí)行。

.4發(fā)送彩信

具有發(fā)送彩信功能的車載信息交互系統(tǒng)，按照.4進行測試,應(yīng)在用戶確認后，調(diào)用發(fā)送彩信

操作才能執(zhí)行。

.5發(fā)送郵件

5

GB/TXXXXX—XXXX

具有發(fā)送郵件功能的車載信息交互系統(tǒng)，按照.5進行測試,應(yīng)在用戶確認后，調(diào)用發(fā)送郵件

操作才能執(zhí)行。

.6移動通信網(wǎng)絡(luò)連接

具有交互界面的車載信息交互系統(tǒng)，在移動通信網(wǎng)絡(luò)連接時，應(yīng)滿足以下要求：

a)按照.6a)進行測試,提供開關(guān)以開啟或關(guān)閉移動通信網(wǎng)絡(luò)連接功能；

b)按照.6b)進行測試,向用戶進行提示，且在用戶確認后，調(diào)用移動通信網(wǎng)絡(luò)連接功能

的操作才能執(zhí)行；

c)按照.6c)進行測試,向用戶提供通過配置應(yīng)用軟件調(diào)用移動通信網(wǎng)絡(luò)連接的功能；

d)當(dāng)移動通信網(wǎng)絡(luò)處于已連接狀態(tài)時，按照.6d)進行測試,應(yīng)在交互界面上給用戶相

應(yīng)的狀態(tài)提示；

e)當(dāng)正在傳送數(shù)據(jù)時，按照.6e)進行測試,應(yīng)在交互界面上給用戶相應(yīng)的狀態(tài)提示；

f)上述d）和e）中，按照.6f)進行測試,狀態(tài)提示的方式應(yīng)不同。

注：緊急情況下，E-Call等應(yīng)急功能不限定于以上條款要求內(nèi)。

.7WLAN網(wǎng)絡(luò)連接

具有交互界面的車載信息交互系統(tǒng)，在WLAN網(wǎng)絡(luò)連接時，應(yīng)滿足以下要求：

a)按照.7a)進行測試,提供開關(guān)以開啟或關(guān)閉WLAN網(wǎng)絡(luò)連接功能；

b)按照.7b)進行測試,向用戶進行提示，且在用戶確認后，調(diào)用WLAN網(wǎng)絡(luò)連接功能的

操作才能執(zhí)行；

c)當(dāng)WLAN網(wǎng)絡(luò)處于已連接狀態(tài)時，按照.7c)進行測試,應(yīng)在交互界面上給用戶相應(yīng)的

狀態(tài)提示；

d)當(dāng)正在傳送數(shù)據(jù)時，按照.7d)進行測試,應(yīng)在交互界面上給用戶相應(yīng)的狀態(tài)提示；

e)上述c）和d）中，按照.7e)進行測試,狀態(tài)提示的方式應(yīng)不同。

本地敏感功能受控機制

.1定位功能

具有交互界面的車載信息交互系統(tǒng)，在調(diào)用定位功能時，要求如下：

a)按照.1a)進行測試,在用戶確認后，才能執(zhí)行定位功能；

b)按照.1b)進行測試,向用戶提供后臺定位控制功能以配置應(yīng)用軟件是否可調(diào)用定位

功能；

c)上述a）和b）中，按照.1c)進行測試,應(yīng)讓用戶分別操作。

d)當(dāng)調(diào)用定位功能時，按照.1d)進行測試,宜在交互界面上給用戶相應(yīng)的狀態(tài)提示。

.2通話錄音功能

具有交互界面的車載信息交互系統(tǒng)，在調(diào)用通話錄音功能時，按照.2進行測試,應(yīng)在用戶確

認后，才能執(zhí)行通話錄音功能。

.3本地錄音功能

具有交互界面的車載信息交互系統(tǒng)，在調(diào)用本地錄音功能時，按照.3進行測試,應(yīng)在用戶確

認后，才能執(zhí)行本地錄音功能。

6

GB/TXXXXX—XXXX

.4對用戶數(shù)據(jù)的操作

處理用戶數(shù)據(jù)時，按照.4進行測試,操作系統(tǒng)應(yīng)進行相應(yīng)授權(quán)（例如：當(dāng)應(yīng)用軟件需要調(diào)用

對電話本數(shù)據(jù)、通話記錄、上網(wǎng)記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)的讀或?qū)懖僮鲿r，操作系統(tǒng)應(yīng)在應(yīng)用軟件授

權(quán)的情況下方可執(zhí)行）。

5.3.3操作系統(tǒng)安全啟動

車載信息交互系統(tǒng)應(yīng)滿足以下要求：

a)按照6.3.3a)進行測試,操作系統(tǒng)的啟動應(yīng)始于一個無法被修改的信任根；

b)按照6.3.3b)進行測試,應(yīng)在驗證操作系統(tǒng)簽名后，才能從可信存儲區(qū)域加載車載端操作系統(tǒng)，

防止加載被篡改的操作系統(tǒng)；

c)在執(zhí)行其它的安全啟動代碼前，按照6.3.3c)進行測試,應(yīng)驗證代碼完整性。

5.3.4操作系統(tǒng)更新

車載信息交互系統(tǒng)要求如下：

a)按照6.3.4a)進行測試,應(yīng)具備系統(tǒng)鏡像的防回退校驗功能；

b)當(dāng)更新鏡像安裝失敗時，按照6.3.4b)進行測試,應(yīng)恢復(fù)到更新前的版本；

c)按照6.3.4c)、d)進行測試,宜具有驗證更新鏡像完整性和來源可靠的安全機制。

5.3.5操作系統(tǒng)隔離

對預(yù)置功能平行的多操作系統(tǒng)，除必要的接口和數(shù)據(jù)（例如：撥打電話等功能和電話本和短信等數(shù)

據(jù)）可共享外，按照6.3.5進行測試,不同操作系統(tǒng)之間不應(yīng)進行通信。

5.3.6操作系統(tǒng)安全管理

車載信息交互系統(tǒng)要求如下：

a)針對車機類智能操作系統(tǒng)，按照6.3.6a)進行測試,應(yīng)對應(yīng)用軟件運行的實時環(huán)境進行監(jiān)控，

對異常狀況（例如：異常網(wǎng)絡(luò)連接、內(nèi)存占用突增等狀況）進行告警；

b)針對車機類智能操作系統(tǒng)，按照6.3.6b)進行測試,應(yīng)具有清理內(nèi)存、存儲垃圾等功能；

c)針對車機類智能操作系統(tǒng)，按照6.3.6c)進行測試,應(yīng)支持審計功能；

d)按照6.3.6d)進行測試,應(yīng)具備重要事件（例如：關(guān)鍵配置變更、安全啟動校驗失敗等事件）

的日志記錄功能，并按照6.3.6e)進行測試,應(yīng)能按照策略上傳至服務(wù)器；

e)按照6.3.6g)進行測試,應(yīng)對日志文件進行安全存儲；

f)按照6.3.6f)進行測試,應(yīng)采取訪問控制機制，對日志讀取寫入的權(quán)限進行管理；

g)按照6.3.6h)進行測試,應(yīng)對開發(fā)者調(diào)試接口進行管控，禁止非授權(quán)訪問；

h)按照6.3.6i)進行測試,不應(yīng)存在由權(quán)威漏洞平臺公開發(fā)布6個月及以上且未經(jīng)處置的高危安

全漏洞；

i)按照6.3.6j)進行測試,宜具備識別、阻斷應(yīng)用軟件以高敏感權(quán)限（例如：ROOT權(quán)限、涉及非

業(yè)務(wù)內(nèi)控車行為的權(quán)限等）運行的能力。

5.4應(yīng)用軟件安全要求

5.4.1應(yīng)用軟件基礎(chǔ)安全

車載信息交互系統(tǒng)上的應(yīng)用軟件應(yīng)滿足以下要求：

a)按照6.4.1a)進行測試,從安全合規(guī)的應(yīng)用商店下載和安裝軟件；

7

GB/TXXXXX—XXXX

b)按照6.4.1b)進行測試,不存在由權(quán)威漏洞平臺公開發(fā)布6個月及以上且未經(jīng)處置的高危安全

漏洞；

c)按照6.4.1c)進行測試,不存在非授權(quán)收集或泄露個人敏感信息、非授權(quán)數(shù)據(jù)外傳等惡意行為；

d)按照6.4.1d)進行測試,不以明文形式存儲個人敏感信息；

e)按照6.4.1e)進行測試,具備會話安全保護機制（例如：使用隨機生成會話ID等機制）；

f)按照6.4.1f)進行測試,使用至少包括數(shù)字、大小寫字母，長度不少于8位的強復(fù)雜度口令；

g)按照6.4.1g)進行測試，符合密碼學(xué)要求，不直接在代碼中寫入密鑰；按照6.4.1h)進行測

試，使用已驗證、安全的加密算法和參數(shù)；按照6.4.1i)進行測試，同一個密鑰不復(fù)用于不同

用途；

h)按照6.4.1j)進行測試，使用到的隨機數(shù)符合隨機數(shù)相關(guān)標準(例如：《GM/T0005》等)，保

證由已驗證、安全的隨機數(shù)生成器產(chǎn)生。

5.4.2應(yīng)用軟件代碼安全

車載信息交互系統(tǒng)上的應(yīng)用軟件要求如下：

a)按照6.4.2a)進行測試，應(yīng)用軟件的開發(fā)者使用第三方組件應(yīng)識別其涉及公開漏洞庫中已知

的漏洞并安裝補??；

b)對于非托管代碼，按照6.4.2b)進行測試，應(yīng)確保內(nèi)存空間的安全分配、使用和釋放；

c)按照6.4.2c)進行測試，應(yīng)用軟件安裝包應(yīng)采用代碼簽名認證機制；

d)按照6.4.2d)進行測試，發(fā)布后不應(yīng)包含調(diào)試功能及調(diào)試信息；

e)在非調(diào)試場景或調(diào)試模式下，按照6.4.2e)進行測試，應(yīng)用軟件日志不應(yīng)包含調(diào)試輸出；

f)按照6.4.2f)進行測試，宜使用構(gòu)建工具鏈提供的代碼安全機制（例如：堆棧保護、自動引

用計數(shù)等）；

g)按照6.4.2g)進行測試，宜使用安全機制（例如：混淆、加殼等），防止被逆向分析。

5.4.3應(yīng)用軟件訪問控制

車載信息交互系統(tǒng)上的應(yīng)用軟件應(yīng)滿足以下要求：

a)按照6.4.3a)進行測試，支持權(quán)限管理并遵守最小授權(quán)原則，按照6.4.3b)進行測試，不同

的應(yīng)用軟件基于實現(xiàn)特定功能分配不同的接口權(quán)限；

b)按照6.4.3c)進行測試，對外部輸入的來源（例如：用戶界面、URL等來源）進行校驗；

c)身份校驗時，按照6.4.3d)進行測試，應(yīng)至少進行本地驗證。

5.4.4應(yīng)用軟件運行安全

車載信息交互系統(tǒng)上的應(yīng)用軟件要求如下:

a)按照6.4.4a)進行測試，關(guān)鍵應(yīng)用軟件（例如：與控制車輛、支付相關(guān)等）在啟動時應(yīng)執(zhí)行

自檢機制；

b)當(dāng)輸入個人敏感信息時，按照6.4.4b)進行測試，應(yīng)采取安全措施確保個人敏感信息不被其

他應(yīng)用竊取，并防止錄屏（例如：使用安全軟鍵盤等）；

c)應(yīng)用軟件正常退出時，按照6.4.4c)進行測試，應(yīng)擦除緩存文件中的個人敏感信息；

d)按照6.4.4d)進行測試，應(yīng)用軟件進程間通信不宜明文傳輸個人敏感信息；

e)按照6.4.4e)進行測試，不宜利用進程間通信提供敏感功能（涉及個人敏感信息的功能）的

接口。

5.4.5應(yīng)用軟件通信安全

8

GB/TXXXXX—XXXX

車載信息交互系統(tǒng)上的應(yīng)用軟件應(yīng)滿足以下要求：

a)對外傳輸個人敏感信息時，按照6.4.5a)進行測試，應(yīng)采用數(shù)據(jù)加密傳輸方式；

b)按照6.4.5b)進行測試，實現(xiàn)通信端之間的雙向認證后，才能發(fā)送個人敏感信息；

c)按照6.4.5c)進行測試，使用已驗證、安全的參數(shù)設(shè)置，按照6.4.5d)進行測試，只允許驗

證通過OEM授信CA簽發(fā)的證書。

5.4.6應(yīng)用軟件日志安全

車載信息交互系統(tǒng)上的應(yīng)用軟件應(yīng)滿足以下要求：

a)按照6.4.6a)進行測試，采取訪問控制機制管理日志讀取和寫入的權(quán)限；

b)按照6.4.6b)進行測試，對日志文件進行安全存儲；

c)按照6.4.6c)進行測試，對個人敏感信息進行脫敏等防護后，才能寫入應(yīng)用日志。

5.5數(shù)據(jù)安全要求

5.5.1數(shù)據(jù)采集

車載信息交互系統(tǒng)要求如下：

a)采集用戶數(shù)據(jù)時，按照6.5.1a)進行測試，應(yīng)告知用戶采集目的和范圍，取得授權(quán)同意，并

提供關(guān)閉數(shù)據(jù)采集的功能；

b)采集個人敏感信息時，按照6.5.1b)進行測試，應(yīng)取得用戶的明示同意，并確保個人信息主

體的明示同意是其在完全知情的基礎(chǔ)上自愿給出的、具體的、清晰明確的意愿表示；

c)采集遠程控制、遠程診斷等功能場景下所發(fā)送的指令數(shù)據(jù)時，按照6.5.1c)進行測試，應(yīng)取

得用戶授權(quán)同意；

d)按照6.5.1d)進行測試，宜在提供相應(yīng)服務(wù)的同時進行用戶數(shù)據(jù)采集。

5.5.2數(shù)據(jù)存儲

車載信息交互系統(tǒng)要求如下：

a)按照6.5.2a)進行測試，應(yīng)采用加密等安全措施存儲個人敏感信息，可采用硬件安全存儲方

式；

b)按照6.5.2b)進行測試，應(yīng)實現(xiàn)安全重要參數(shù)的安全存儲和運算，可采用硬件防護方式；

c)存儲用戶數(shù)據(jù)時，按照6.5.2c)進行測試，應(yīng)防止非授權(quán)訪問；

d)按照6.5.2d)進行測試，應(yīng)采用技術(shù)措施處理后再進行存儲個人生物識別信息（例如：僅存

儲個人生物識別信息的摘要等方式）；

e)按照6.5.2e)進行測試，未經(jīng)用戶授權(quán)不應(yīng)修改、刪除用戶數(shù)據(jù)；

f)按照6.5.2f)進行測試，應(yīng)對用戶數(shù)據(jù)操作（包括采集，傳輸，存儲，銷毀）進行日志存儲。

5.5.3數(shù)據(jù)傳輸

按照6.5.3進行測試，車載信息交互系統(tǒng)應(yīng)采取管理措施和技術(shù)手段，保護所傳輸用戶數(shù)據(jù)的保密

性、完整性和可用性。

5.5.4數(shù)據(jù)銷毀

車載信息交互系統(tǒng)應(yīng)滿足以下要求：

a)按照6.5.4a)進行測試，應(yīng)具備用戶數(shù)據(jù)銷毀的功能；

9

GB/TXXXXX—XXXX

b)對共享類應(yīng)用（例如：共享汽車等應(yīng)用場景），在當(dāng)前用戶退出后，按照6.5.4b)進行測試，

應(yīng)清空個人敏感信息。

6測試方法

6.1硬件安全測試方法

硬件安全測試應(yīng)按照下列流程及要求依次進行：

a)檢查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等調(diào)試接口，

如存在則使用測試工具嘗試獲取調(diào)試權(quán)限；

b)拆解被測樣件設(shè)備外殼，取出PCB板，通過5倍率以上的光學(xué)放大鏡，觀察網(wǎng)關(guān)PCB板，檢查

PCB板硬件是否存在后門或隱蔽接口；

c)通過采用開盒觀察方法，檢查關(guān)鍵芯片管腳暴露情況，或?qū)彶橄鄳?yīng)文檔，是否有減少暴露管腳

的考量；

d)查看PCB布線及設(shè)計，檢查安全芯片之間通信線路是否做隱蔽處理，檢查敏感數(shù)據(jù)的通信線路

數(shù)量或?qū)彶橄鄳?yīng)文檔，檢查通信線路是否有做隱蔽處理與減少通信線路數(shù)量的考量；

e)通過采用開盒觀察方法，檢查車載信息交互系統(tǒng)的電路板及電路板上的芯片是否存在用以標注

芯片、端口和管腳功能的可讀絲印。

6.2通信協(xié)議與接口安全測試方法

6.2.1對外通信協(xié)議安全測試方法

通信連接安全測試方法

通信連接安全測試應(yīng)按照下列流程及要求依次進行：

a)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，檢查車輛端與平臺服務(wù)端或外部終

端的通信有無身份認證；

b)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，模擬中間人攻擊方式，檢查車輛端

與平臺服務(wù)端或外部終端是否無法建立通信連接。

通信傳輸安全測試方法

通信傳輸安全測試應(yīng)按照下列要求進行：

采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，檢查車輛端與平臺服務(wù)端或外部終端間

傳輸?shù)臄?shù)據(jù)內(nèi)容是否經(jīng)過加密。

通信連接終止安全測試方法

通信連接終止安全測試應(yīng)按照下列流程及要求依次進行：

a)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，模擬偽造簽名的報文數(shù)據(jù)，觸發(fā)身份

鑒權(quán)失敗，檢查車載信息交互系統(tǒng)是否終止該響應(yīng)操作；

b)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，重發(fā)加密的數(shù)據(jù)，觸發(fā)校驗失敗，

檢查車載信息交互系統(tǒng)是否終止該響應(yīng)操作。

遠程通信協(xié)議安全測試方法

.1公有遠程通信協(xié)議安全測試方法

10

GB/TXXXXX—XXXX

公有遠程通信協(xié)議安全測試應(yīng)按照下列要求進行：

采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，檢查是否采用如TLSV1.2同等安全級別

或以上要求的安全通信層協(xié)議。

.2私有遠程通信協(xié)議安全測試方法

私有遠程通信協(xié)議安全測試應(yīng)按照下列流程及要求依次進行：

a)對私有遠程通信協(xié)議方案進行審核，采用網(wǎng)絡(luò)數(shù)據(jù)抓包的方法進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)

中加密密鑰衍生和更新策略，檢查是否支持以安全方式進行定期更新；

b)對私有遠程通信協(xié)議方案進行審核，采用網(wǎng)絡(luò)數(shù)據(jù)抓包的方法進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)

中加密密鑰存儲策略，檢查安全傳輸協(xié)議是否以安全的方式存儲數(shù)據(jù)加密密鑰。

短距離通信協(xié)議安全測試方法

.1短距離通信口令應(yīng)用安全測試方法

短距離通信口令應(yīng)用安全測試應(yīng)按照下列流程及要求依次進行：

a)使用暴力破解的方法，檢查缺省口令的復(fù)雜度；

b)通過對同一產(chǎn)品的多個樣品驗證缺省口令的方式，檢查缺省口令是否具有唯一性；

c)設(shè)置較低復(fù)雜度口令，檢查修改過程中是否給出明確的風(fēng)險提示或不允許設(shè)置；

d)對于人機接口或跨信任網(wǎng)絡(luò)的不同車載信息交互系統(tǒng)之間接口的登錄認證，使用暴力破解的方

法，檢查是否成功觸發(fā)防暴力破解機制；

e)通過嘗試篡改口令文件，檢查是否設(shè)置了訪問控制。

.2藍牙通信協(xié)議安全測試方法

藍牙通信協(xié)議安全測試應(yīng)按照下列流程及要求依次進行：

a)模擬遍歷連接車載信息交互系統(tǒng)上的藍牙設(shè)備，檢查是否存在后門提供其他車輛服務(wù)；

b)采用藍牙抓包工具進行數(shù)據(jù)抓包，解析藍牙通信數(shù)據(jù)，檢查針對Classic場合，是否采用SSP

模式或針對LE場合，是否采用LESecureConnection模式；

c)向車載藍牙設(shè)備發(fā)出配對請求，檢查車載藍牙設(shè)備是否對配對請求進行驗證，若配對成功后，

檢查是否對外部設(shè)備進行鑒權(quán)；

d)利用未認證的外部設(shè)備，嘗試進行控制車輛，檢查是否成功接入；

e)在利用藍牙進行非接觸控制車輛業(yè)務(wù)時，采用藍牙抓包工具進行數(shù)據(jù)抓包，解析藍牙通信數(shù)據(jù)，

檢查是否對相關(guān)數(shù)據(jù)進行安全加密處理。

.3WLAN通信協(xié)議安全測試方法

WLAN通信協(xié)議安全測試應(yīng)按照下列要求進行：

通過獲取WLAN熱點安全類型，檢查WLAN熱點是否采用WPA2-PSK或更高安全級別的加密認證方式。

6.2.2內(nèi)通信協(xié)議的安全測試方法

內(nèi)通信協(xié)議安全測試應(yīng)按照下列要求進行：

采用車內(nèi)網(wǎng)絡(luò)報文抓包和解析的方法，檢查車載信息交互系統(tǒng)通過CAN或車載以太網(wǎng)等總線與車內(nèi)

其他控制器節(jié)點進行數(shù)據(jù)交互，傳輸重要數(shù)據(jù)時，是否使用安全機制保證傳輸數(shù)據(jù)的完整性及可用性。

6.2.3通信接口的安全測試方法

11

GB/TXXXXX—XXXX

總體要求測試方法

總體要求安全測試應(yīng)按照下列流程及要求依次進行：

a)對軟硬件接口進行探測，端口掃描，檢查是否存在“未公開接口”，是否存在可繞過系統(tǒng)安全機

制對系統(tǒng)或數(shù)據(jù)進行訪問的功能；

b)對通信接口進行遍歷，檢查其訪問權(quán)限是否滿足“最小權(quán)限原則”。

車外通信接口安全測試方法

車外通信接口安全測試應(yīng)按照下列流程及要求依次進行：

a)訪問車載信息交互系統(tǒng)中不同區(qū)域的數(shù)據(jù)，檢查車載信息交互系統(tǒng)是否支持路由隔離，是否可

以隔離核心業(yè)務(wù)平臺的通信、內(nèi)部通信、外網(wǎng)通信等；

b)使用公網(wǎng)訪問車載信息交互系統(tǒng)和核心業(yè)務(wù)平臺，檢查車載信息交互系統(tǒng)與核心業(yè)務(wù)平臺的通

信是否采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)通信，與公網(wǎng)隔離。

車內(nèi)通信接口安全測試方法

車內(nèi)通信接口安全測試應(yīng)按照下列流程及要求依次進行：

a)調(diào)用非白名單指令，檢查車載信息交互系統(tǒng)是否針對發(fā)送和接收到的指令進行白名單過濾；

b)模擬惡意應(yīng)用，發(fā)送控制指令，檢查車載信息交互系統(tǒng)是否實現(xiàn)總線控制指令來源的校驗。

6.3操作系統(tǒng)安全測試方法

6.3.1操作系統(tǒng)安全配置測試方法

操作系統(tǒng)安全配置測試應(yīng)按照下列流程及要求依次進行：

a)使用root賬號登錄，并嘗試進行提權(quán),檢查系統(tǒng)是否禁止root用戶直接登錄，限制用戶提權(quán)

操作；

b)查看系統(tǒng)中的賬號列表，檢查是否存在無用賬號，或者嘗試登錄其中的無用賬號，驗證是否無

法登陸，通過設(shè)置弱口令，檢查系統(tǒng)是否提示口令安全弱，賬號口令應(yīng)至少包括數(shù)字、大小寫

字母，并且長度不小于8位；

c)使用授權(quán)身份a或授權(quán)進程a’對文件、數(shù)據(jù)庫等進行訪問，檢查訪問是否被允許，使用非授

權(quán)身份b或非授權(quán)進程b’對文件、數(shù)據(jù)庫等進行訪問，檢查訪問是否無法成功；

d)查看正在運行的應(yīng)用服務(wù)，檢查是否關(guān)閉了不必要的應(yīng)用服務(wù)；

e)使用授權(quán)身份a進行遠程接入，檢查是否可以成功遠程接入，使用非授權(quán)身份b進行遠程接入，

檢查是否不能遠程接入服務(wù)。

6.3.2安全調(diào)用控制能力測試方法

通信類功能受控機制安全測試方法

.1撥打電話安全測試方法

撥打電話安全測試應(yīng)按照下列流程及要求依次進行：

a)在應(yīng)用軟件內(nèi)調(diào)用撥打電話操作，檢查應(yīng)用軟件調(diào)用執(zhí)行撥打電話操作時，是否在用戶確認的

情況下，才能執(zhí)行撥打操作；

b)在應(yīng)用軟件內(nèi)調(diào)用撥打電話開通呼叫轉(zhuǎn)移業(yè)務(wù)操作，檢查應(yīng)用軟件調(diào)用執(zhí)行撥打電話開通呼叫

轉(zhuǎn)移業(yè)務(wù)時，是否向用戶明示業(yè)務(wù)內(nèi)容，且在用戶確認的情況下才能執(zhí)行操作。

12

GB/TXXXXX—XXXX

.2三方通話安全測試方法

三方通話安全測試應(yīng)按照下列要求進行：

在應(yīng)用軟件內(nèi)調(diào)用三方通話操作，檢查應(yīng)用軟件調(diào)用執(zhí)行三方通話操作時，是否在用戶確認的情況

下才能執(zhí)行三方通話操作。

.3發(fā)送短信安全測試方法

發(fā)送短信安全測試應(yīng)按照下列要求進行：

在應(yīng)用軟件內(nèi)調(diào)用發(fā)送短信操作，檢查應(yīng)用軟件調(diào)用執(zhí)行發(fā)送短信操作時，是否在用戶確認的情況

下才能執(zhí)行發(fā)送短信操作。

.4發(fā)送彩信安全測試方法

發(fā)送彩信安全測試應(yīng)按照下列要求進行：

在應(yīng)用軟件內(nèi)調(diào)用發(fā)送彩信操作，檢查應(yīng)用軟件調(diào)用執(zhí)行發(fā)送彩信操作時，是否在用戶確認的情況

下才能執(zhí)行發(fā)送彩信操作。

.5發(fā)送郵件安全測試方法

發(fā)送郵件安全測試應(yīng)按照下列要求進行：

在應(yīng)用軟件內(nèi)調(diào)用發(fā)送彩信操作，檢查應(yīng)用軟件調(diào)用執(zhí)行發(fā)送彩信操作時，是否在用戶確認的情況

下才能執(zhí)行發(fā)送彩信操作。

.6移動通信網(wǎng)絡(luò)連接安全測試方法

移動通信網(wǎng)絡(luò)連接安全測試應(yīng)按照下列流程及要求依次進行：

a)檢查車載信息交互系統(tǒng)是否提供了控制移動通信網(wǎng)絡(luò)數(shù)據(jù)連接的開關(guān)，開啟開關(guān)檢查是否可使

用移動通信網(wǎng)絡(luò)數(shù)據(jù)連接，關(guān)閉開關(guān)檢查是否無法使用移動通信網(wǎng)絡(luò)數(shù)據(jù)連接；

b)檢查應(yīng)用軟件調(diào)用開啟通信網(wǎng)絡(luò)數(shù)據(jù)連接功能時，是否對用戶進行了相應(yīng)的提示，且是否在用

戶確認后才開啟通信網(wǎng)絡(luò)數(shù)據(jù)連接功能，當(dāng)用戶未確認時是否沒有開啟；

c)檢查車載信息交互系統(tǒng)是否向用戶提供通過配置應(yīng)用軟件調(diào)用移動通信網(wǎng)絡(luò)連接的功能；

d)檢查當(dāng)移動通信網(wǎng)絡(luò)的數(shù)據(jù)連接處于已連接狀態(tài)時，車載信息交互系統(tǒng)是否在用戶界面上有相

應(yīng)的狀態(tài)提示；

e)當(dāng)移動通信網(wǎng)絡(luò)正在傳送數(shù)據(jù)時，檢查車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提

示；

f)檢查d）和e）的兩種狀態(tài)提示是否不同。

.7WLAN網(wǎng)絡(luò)連接安全測試方法

WLAN網(wǎng)絡(luò)連接安全測試應(yīng)按照下列流程及要求依次進行：

a)檢查車載信息交互系統(tǒng)是否有控制WLAN網(wǎng)絡(luò)連接功能的開關(guān)，開啟開關(guān)檢查是否可使用WLAN

網(wǎng)絡(luò)連接，關(guān)閉開關(guān)檢查是否不能使用WLAN網(wǎng)絡(luò)連接；

b)檢查應(yīng)用軟件調(diào)用開啟WLAN網(wǎng)絡(luò)連接功能時，是否對用戶進行相應(yīng)的提示，且是否在用戶確

認后才開啟WLAN網(wǎng)絡(luò)連接，當(dāng)用戶未確認時是否沒有開啟；

c)檢查當(dāng)WLAN網(wǎng)絡(luò)連接處于已連接狀態(tài)時，車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)

提示；

d)檢查當(dāng)WLAN網(wǎng)絡(luò)正在傳送數(shù)據(jù)時，車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提示；

13

GB/TXXXXX—XXXX

e)檢查c）和d）的兩種狀態(tài)提示是否不同。

本地敏感功能受控機制測試方法

.1定位功能測試方法

定位功能測試應(yīng)按照下列流程及要求依次進行：

a)檢查當(dāng)應(yīng)用軟件在使用期間調(diào)用定位功能時，車載信息交互系統(tǒng)是否要求用戶確認允許使用定

位功能，用戶未確認時是否會停止調(diào)用定位功能；

b)檢查車載信息交互系統(tǒng)是否提供了后臺定位控制能力，且用戶是否可為每個應(yīng)用軟件選擇開啟

和關(guān)閉后臺定位功能；

c)檢查a）和b）是否讓用戶分別操作；

d)檢查當(dāng)應(yīng)用軟件調(diào)用定位功能時，車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提示。

.2通話錄音功能測試方法

通話錄音功能測試應(yīng)按照下列要求進行：

檢查當(dāng)應(yīng)用軟件調(diào)用通話錄音功能時，是否要求用戶確認，用戶未確認時是否不開啟通話錄音。

.3本地錄音功能測試方法

本地錄音功能測試應(yīng)按照下列要求進行：

檢查應(yīng)用軟件調(diào)用本地錄音功能時，是否要求用戶確認，用戶未確認時是否不開啟本地錄音。

.4對用戶數(shù)據(jù)的操作測試方法

對用戶數(shù)據(jù)的操作測試應(yīng)按照下列要求進行：

使用授權(quán)的應(yīng)用軟件a對用戶數(shù)據(jù)進行處理，檢查是否可以成功執(zhí)行，使用非授權(quán)的應(yīng)用軟件b對用

戶數(shù)據(jù)進行處理，檢查是否無法成功。

6.3.3操作系統(tǒng)安全啟動測試方法

操作系統(tǒng)安全啟動測試應(yīng)按照下列流程及要求依次進行：

a)獲取操作系統(tǒng)安全啟動信任根存儲區(qū)域的訪問方法和地址，使用軟件調(diào)試工具寫入數(shù)據(jù)，重復(fù)

多次檢查是否可將數(shù)據(jù)寫入該存儲區(qū)域；

b)提取操作系統(tǒng)簽名，使用軟件調(diào)試工具對簽名進行篡改，將修改后簽名寫入到車載終端內(nèi)的指

定區(qū)域，檢查是否正常工作；

c)獲取操作系統(tǒng)的系統(tǒng)固件等其他安全啟動代碼，使用軟件調(diào)試工具對其進行篡改，將修改后的

啟動代碼寫入到車載終端內(nèi)的指定區(qū)域，檢查是否正常工作。

6.3.4操作系統(tǒng)更新安全測試方法

操作系統(tǒng)安全更新測試應(yīng)按照下列流程及要求依次進行：

a)將鏡像替換為過期的鏡像，檢查是否無法成功加載；

b)確認更新鏡像安裝失敗時（如通過在更新鏡像時人為斷電等方法），檢查系統(tǒng)安裝之前的版本

是否可用；

c)修改更新鏡像，檢查更新流程是否無法執(zhí)行；

d)使用非官方授信的更新鏡像，檢查更新流程是否無法執(zhí)行。

6.3.5操作系統(tǒng)隔離測試方法

14

GB/TXXXXX—XXXX

操作系統(tǒng)隔離測試應(yīng)按照下列要求進行：

審查設(shè)計文檔，檢查是否采用了操作系統(tǒng)隔離措施，即除撥打電話、電話本和短信等必要的接口和

數(shù)據(jù)可以共享外，不同操作系統(tǒng)之間不能進行通信。

6.3.6操作系統(tǒng)安全管理測試方法

操作系統(tǒng)安全管理測試應(yīng)按照下列流程及要求依次進行：

a)針對車機類智能操作系統(tǒng)，引入異常狀況（例如：異常網(wǎng)絡(luò)連接、內(nèi)存占用突增），檢查是否

會對異常情況進行告警；

b)針對車機類智能操作系統(tǒng)，檢查系統(tǒng)是否會進行內(nèi)存、存儲垃圾清理等；

c)針對車機類智能操作系統(tǒng)，審查文檔，檢查操作系統(tǒng)是否具有審計功能，并進行核查；

d)打開日志查詢界面，檢查操作系統(tǒng)是否對重要事件進行了日志記錄；

e)審查文檔，檢查操作系統(tǒng)是否設(shè)定了將日志上傳至服務(wù)器的策略；

f)使用授權(quán)身份a進行日志進行讀取或?qū)懭?，檢查是否可以成功操作，使用非授權(quán)身份b進行日

志讀取或訪問，檢查是否無法成功；

g)通過嘗試覆蓋、刪除日志存儲區(qū)域，檢查日志的存儲是否存在安全防護；

h)使用授權(quán)身份a通過調(diào)用調(diào)試接口訪問內(nèi)部數(shù)據(jù)，檢查是否可以成功操作，使用非授權(quán)身份b

通過調(diào)用調(diào)試接口訪問內(nèi)部數(shù)據(jù)，檢查是否無法成功；

i)使用漏洞掃描工具對車載終端進行漏洞檢測，檢查是否存在權(quán)威漏洞平臺發(fā)布6個月及以上的

高危安全漏洞，且廠商是否提供了該高危漏洞的處置方案；

j)通過應(yīng)用軟件進行root權(quán)限運行和業(yè)務(wù)不包含控車的應(yīng)用軟件進行控車行為操作，檢查該操

作是否會被阻斷。

6.4應(yīng)用軟件安全技術(shù)測試方法

6.4.1應(yīng)用軟件基礎(chǔ)安全測試方法

應(yīng)用軟件基礎(chǔ)安全測試應(yīng)按照下列流程及要求依次進行：

a)從非應(yīng)用商店處下載未使用官方簽名的應(yīng)用軟件，檢查是否可以正常下載和安裝；

b)使用漏洞掃描工具對車載終端進行漏洞檢測，檢查是否存在權(quán)威漏洞平臺發(fā)布6個月及以上的

高危安全漏洞，且廠商是否提供了該高危漏洞的處置方案；

c)對應(yīng)用軟件中數(shù)據(jù)進行分析，檢查應(yīng)用軟件對個人敏感信息是否非授權(quán)收集或泄露、非授權(quán)數(shù)

據(jù)是否外傳等惡意行為；

d)使用分析、查找方法，檢查應(yīng)用軟件是否以明文形式存儲個人敏感信息；

e)分析會話內(nèi)容，檢驗車載信息交互系統(tǒng)是否具備會話安全保護機制，如：使用隨機生成的會話

ID等；

f)使用暴力破解方法，檢查用戶口令策略（例如：長度、字符類型等）是否滿足要求；

g)對代碼進行查找和分析，檢查是否在代碼中不存在密鑰；

h)對代碼進行查找和分析，檢查該應(yīng)用軟件是否使用已驗證的、安全的加密算法和參數(shù)；

i)對代碼進行查找和分析，檢查是否不存在將同一個密鑰復(fù)用于多種不同用途；

j)使用設(shè)計文檔分析的方法并驗證，檢查使用到的隨機數(shù)是否由已驗證的、安全的隨機數(shù)生成器

產(chǎn)生并符合隨機數(shù)標準。

6.4.2應(yīng)用軟件代碼安全測試方法

應(yīng)用軟件代碼安全測試應(yīng)按照下列流程及要求依次進行：

15

GB/TXXXXX—XXXX

a)使用代碼掃描工具，對應(yīng)用軟件代碼進行掃描，檢查應(yīng)用軟件構(gòu)建設(shè)置是否滿足安全要求，應(yīng)

用軟件使用的第三方組件是否識別已知漏洞并安裝補?。?/p>

b)對于非托管代碼，使用代碼掃描工具，檢查是否可確保內(nèi)存空間的安全分配、使用和釋放；

c)分析設(shè)計文檔，檢查應(yīng)用軟件是否采用代碼簽名機制，且代碼簽名機制符合相關(guān)標準要求；

d)使用調(diào)試分析方法，檢查應(yīng)用軟件發(fā)布后是否包含調(diào)試功能及調(diào)試信息；

e)在非調(diào)試場景或調(diào)試模式下，使用調(diào)試工具進行分析，檢查應(yīng)用軟件日志是否包含調(diào)試輸出；

f)使用代碼掃描工具，檢查是否使用構(gòu)建工具鏈提供的代碼安全機制，例如堆棧保護、自動引用

計數(shù)；

g)使用逆向工具進行分析，檢查應(yīng)用軟件是否使用安全機制（例如：混淆、加殼），對抗針對應(yīng)

用的逆向分析；

6.4.3應(yīng)用軟件訪問控制測試方法

應(yīng)用軟件訪問控制測試應(yīng)按照下列流程及要求依次進行：

a)通過遍歷調(diào)用所有接口的方式，檢查是否授予超出其實際業(yè)務(wù)需求的權(quán)限；

b)采用分析設(shè)計文檔和測試的方法，檢查不同的應(yīng)用軟件是否分配不同的接口權(quán)限集合；

c)通過對應(yīng)用軟件的輸入接口進行模糊測試的方式，檢查應(yīng)用軟件是否對輸入信息的來源（包括

用戶界面、URL等來源）進行校驗；

d)采用分析設(shè)計文檔的方法，檢查身份驗證是否至少在本地進行。

6.4.4應(yīng)用軟件運行安全測試方法

應(yīng)用軟件運行安全測試應(yīng)按照下列流程及要求依次進行：

a)篡改或替換關(guān)鍵應(yīng)用軟件的部分代碼，檢查關(guān)鍵應(yīng)用程序及定制應(yīng)用軟件能否正常啟動運行；

b)檢驗輸入個人敏感信息時，檢查是否使用安全軟鍵盤或其他安全措施，確保敏感信息不被其他

應(yīng)用竊取，并防止錄屏；

c)應(yīng)用軟件正常終止時，讀取內(nèi)存數(shù)據(jù)，檢查是否包含個人敏感信息；

d)截取進程間通信內(nèi)容，進行分析，檢查進程間通訊是否涉及明文的個人敏感信息；

e)遍歷接口，截取各接口通信內(nèi)容，進行分析，檢查應(yīng)用軟件是否利用進程間通信提供敏感功能

的接口。

6.4.5應(yīng)用軟件通信安全測試方法

應(yīng)用軟件通信安全測試應(yīng)按照下列流程及要求依次進行：

a)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析應(yīng)用軟件對外傳輸?shù)臄?shù)據(jù)，檢查個人敏感信息是否

加密；

b)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信數(shù)據(jù)，檢查通信端是否進行雙向認證；

c)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信數(shù)據(jù)，檢查是否使用已驗證的參數(shù)設(shè)置；

d)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信數(shù)據(jù)，獲取證書，檢查證書是否是通過OEM

授信的CA簽發(fā)的。

6.4.6應(yīng)用軟件日志安全測試方法

應(yīng)用軟件日志安全測試應(yīng)按照下列流程及要求依次進行：

a)通過嘗試日志讀取寫入操作，檢查是否存在訪問控制機制，檢查是否對日志讀寫進行權(quán)限管理；

b)通過嘗試覆蓋、刪除日志存儲區(qū)域，檢查日志的存儲是否存在安全防護；

c)分析應(yīng)用軟件存儲的日志，檢查是否包含未脫敏的個人敏感信息。

16

GB/TXXXXX—XXXX

6.5數(shù)據(jù)安全測試方法

6.5.1數(shù)據(jù)采集安全測試方法

數(shù)據(jù)采集安全測試應(yīng)按照下列流程及要求依次進行：

a)檢查車端在采集用戶數(shù)據(jù)時，是否通過主動點擊“同意”、明確告知采集目的和范圍等方式得到

用戶的授權(quán)同意；

b)檢查車端在采集個人敏感信息時，是否通過主動點擊“同意”等方式得到用戶的明示同意；

c)檢查車端在遠程控制、遠程診斷等功能場景下發(fā)送指令數(shù)據(jù)時，是否通過主動點擊“同意”、明

確告知等方式得到用戶的授權(quán)同意；

d)啟動一項服務(wù)，檢查是否在服務(wù)啟動之后才進行數(shù)據(jù)采集，終止服務(wù)時停止數(shù)據(jù)采集。

6.5.2數(shù)據(jù)存儲安全測試方法

數(shù)據(jù)存儲安全測試應(yīng)按照下列流程及要求依次進行：

a)通過嘗試讀取存儲包含個人敏感信息的文件，檢查個人敏感信息是否進行了加密存儲；

b)通過查看車載信息交互系統(tǒng)設(shè)計文檔，檢查是否有效實現(xiàn)重要安全參數(shù)的安全存儲和運算；

c)使用非授權(quán)身份訪問存儲用戶數(shù)據(jù)的文件，檢查是否無法訪問文件信息；

d)檢查存儲在車載信息交互系統(tǒng)中的個人生物識別信息，是否使用了僅存摘要等技術(shù)措施；

e)通過嘗試修改和刪除存儲的用戶數(shù)據(jù)，檢查是否無法成功，用戶同意之后，嘗試修改和刪除存

儲的用戶數(shù)據(jù)，檢查是否成功；

f)檢查車載信息交互系統(tǒng)是否支持數(shù)據(jù)操作（包括采集，傳輸，存儲，銷毀）日志的存儲功能。

6.5.3數(shù)據(jù)傳輸安全測試方法

數(shù)據(jù)傳輸安全測試應(yīng)按照下列要求進行：

使用篡改、偽造等方法進行模擬攻擊，檢查對于數(shù)據(jù)完整性、保密性