汽車整車信息安全技術要求

ICS43.020

CCST40

中華人民共和國國家標準

GBXXXXX—XXXX

汽車整車信息安全技術要求

Technicalrequirementsforvehiclecybersecurity

（征求意見稿）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GBXXXXX—XXXX

前??言

本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定

起草。

請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。

本文件由中華人民共和國工業(yè)和信息化部提出并歸口。

II

汽車整車信息安全技術要求

1范圍

本文件規(guī)定了汽車信息安全管理體系要求、車輛信息安全一般要求、車輛信息安全技術要求、審

核評估及測試驗證方法。

本文件適用于M類、N類及至少裝有1個電子控制單元的O類車輛，其他類型車輛可參考執(zhí)行。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術語和定義

下列術語和定義適用于本文件。

3.1

汽車信息安全管理體系cybersecuritymanagementsystem

網(wǎng)絡安全管理體系cybersecuritymanagementsystem

一種基于風險的系統(tǒng)方法，包括組織流程、責任和治理，以處理與車輛網(wǎng)絡威脅相關的風險并保

護車輛免受網(wǎng)絡攻擊。

[來源：GB/Txxxxx智能網(wǎng)聯(lián)汽車術語和定義]

3.2

開發(fā)階段developmentphase

車型獲得批準之前的時期。

3.3

生產(chǎn)階段productionphase

車型生產(chǎn)持續(xù)的時期。

3.4

后生產(chǎn)階段post-productionphase

從車型不再生產(chǎn)，直至該車型的所有車輛使用壽命結束的時期。在這一階段，該車型的車輛仍可

使用，但不再繼續(xù)生產(chǎn)，當該車型不再有可使用的車輛時，此階段結束。

3.5

風險risk

車輛信息安全不確定性的影響，可用攻擊可行性和影響表示。

3.6

風險評估riskassessment

發(fā)現(xiàn)、識別和描述風險，理解風險的性質以及確定風險級別，并將風險分析的結果與風險標準進

行比較，以確定風險是否可接受。

1

3.7

威脅threat

可能導致系統(tǒng)、組織或個人受到傷害的意外事件的潛在原因。

3.8

漏洞vulnerability

在資產(chǎn)或緩解措施中，可被一個或多個威脅利用的弱點。

3.9

車載軟件升級系統(tǒng)on-boardsoftwareupdatesystem

安裝在車端并具備升級包接收、校驗和分發(fā)等功能的軟件和硬件。

3.10

在線升級over-the-airupdate

通過無線方式而不是使用電纜或其他本地連接進行數(shù)據(jù)傳輸?shù)能浖墶?/p>

3.11

離線升級offlineupdate

除在線升級以外的軟件升級。

3.12

敏感個人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產(chǎn)

安全受到嚴重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。

[來源：汽車數(shù)據(jù)安全管理若干規(guī)定（試行），第三條]

4縮略語

下列縮略語適用于本文件。下列縮略語適用于本文件。

CAN：控制器局域網(wǎng)絡（ControlAreaNetwork）

ECU：電子控制單元（ElectronicControlUnit）

HSM：硬件安全模塊（HardwareSecureModule）

MD5：MD5信息摘要算法(MD5Message-DigestAlgorithm)

NFC：近距離無線通訊技術(NearFieldCommunication)

TLS：安全傳輸層協(xié)議(TransportLayerSecurity)

USB：通用串行總線(UniversalSerialBus)

VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）

VIN：車輛識別代號（VehicleIdentificationNumber）

WLAN：無線局域網(wǎng)(WirelessLocalAreaNetworks)

5汽車信息安全管理體系要求

5.1車輛生產(chǎn)企業(yè)應建立車輛全生命周期的汽車信息安全管理體系。

注：車輛全生命周期包括車輛的開發(fā)階段、生產(chǎn)階段及后生產(chǎn)階段。

5.2汽車信息安全管理體系中應涵蓋必要流程，以確保充分考慮安全風險。

2

5.2.1應建立企業(yè)內部管理信息安全的流程。

5.2.2應建立識別、評估、分類、處置車輛信息安全風險及核實已識別風險得到適當處置的流程，并

確保車輛風險評估保持最新狀態(tài)。

5.2.3應建立用于車輛信息安全測試的流程。

5.2.4應建立針對車輛的網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞的監(jiān)測、響應及上報流程，要求如下：

a)應包含漏洞管理機制，明確漏洞收集、分析、報告、處置、發(fā)布等活動環(huán)節(jié)；

b)應建立針對網(wǎng)絡攻擊提供相關數(shù)據(jù)并進行分析的流程；

示例：企業(yè)具備從車輛數(shù)據(jù)和車輛日志中分析和檢測網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞的能力。

c)應建立確保已識別的網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞得到響應，且在合理的時限內得到處置及上

報的流程；

d)應建立評估所實施的信息安全措施在發(fā)現(xiàn)新的網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞的情況下是否仍然

有效的流程；

e)應建立確保對網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞進行持續(xù)監(jiān)控的流程；

注：車輛登記后即納入監(jiān)控范圍。

5.2.5應建立管理企業(yè)與合同供應商、服務提供商、車輛生產(chǎn)企業(yè)子組織之間信息安全依賴關系的流

程。

6車輛信息安全一般要求

6.1車輛產(chǎn)品開發(fā)流程應遵循汽車信息安全管理體系要求。

6.2應識別和管理車輛與供應商相關的風險。

6.3應識別車輛的關鍵要素，對車輛進行詳細的風險評估，合理管理已識別的風險。

注：風險評估應考慮車輛的各個要素及其相互作用，并進一步考慮與任何外部系統(tǒng)的相互作用。

示例：關鍵要素包括有助于車輛安全、環(huán)境保護或防盜的要素，提供連接性的部件或車輛架構中對信息安全至關

重要的部分等。

6.4應采取基于第7章、第8章、第9章、第10章的信息安全技術要求處置措施保護車輛不受風險

評估中已識別的風險影響。

注1：若處置措施與所識別的風險不相關，則車輛制造商應說明其不相關性。

注2：若處置措施與所識別的風險不充分，則車輛制造商應實施其它的處置措施，并說明其使用措施的合理性。

6.5如有專用環(huán)境，則應采取相應適當?shù)拇胧?，以保護車輛用于存儲和執(zhí)行后裝軟件、服務、應用程

序或數(shù)據(jù)的專用環(huán)境。

6.6應通過適當和充分的測試來驗證所實施的信息安全措施的有效性。

6.7應針對車輛實施相應措施，以識別和防御針對該車輛的網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞，并為車輛生

產(chǎn)企業(yè)在識別與車輛相關的網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞方面提供監(jiān)測能力，以及為分析網(wǎng)絡攻擊、網(wǎng)

絡威脅和漏洞提供數(shù)據(jù)取證能力。

6.8應采用符合國際通用、國家或行業(yè)標準要求的密碼模塊。若使用的密碼模塊未采用國際通用、國

家或行業(yè)標準要求，則應說明其使用的合理性。應使用公開的、已發(fā)布的、有效的密碼算法，并選擇

適當?shù)膮?shù)和選項；應根據(jù)不同密碼算法和場景，選擇適當長度和有效的密鑰。

注：有效的密碼算法指安全有效且未被破解的算法，如MD5已被破解，此類算法相對不安全。

6.9車輛應采用默認安全設置。

示例：如WLAN的默認連接口令應滿足復雜度的要求。

3

6.10車輛數(shù)據(jù)處理活動中的數(shù)據(jù)車內處理、默認不收集、精度范圍適用、脫敏處理、個人同意及顯

著告知等要求，應符合GB/TXXXXX《智能網(wǎng)聯(lián)汽車數(shù)據(jù)通用要求》中4.2.1、4.2.2的規(guī)定。

7車輛外部連接安全要求

7.1遠程控制系統(tǒng)安全要求

7.1.1應對遠程控制系統(tǒng)的指令信息進行真實性和完整性驗證，并應具備驗證失敗的處理能力。

7.1.2應對遠程控制系統(tǒng)的指令設置訪問控制，禁用非授權的遠程控制指令。

7.1.3應具備遠程控制系統(tǒng)的安全日志記錄功能，安全日志記錄的內容至少包括遠程控制指令的日期、

時間、發(fā)送主體、遠程控制對象、操作結果等。

7.1.4應對車端具備遠程控制功能的系統(tǒng)的程序和配置數(shù)據(jù)進行完整性驗證。

7.2第三方應用安全要求

7.2.1應對授權的第三方應用的真實性和完整性進行驗證。

注：第三方應用是指車輛生產(chǎn)企業(yè)及其供應商之外的其他法人實體提供的面向用戶提供服務的應用程序，包括第

三方娛樂應用等。

7.2.2應對非授權的第三方應用的安裝運行進行提示，并對已安裝的非授權的第三方應用進行訪問控

制，避免此類應用直接訪問系統(tǒng)資源、個人信息等。

7.3外部接口安全要求

7.3.1應對外部接口進行訪問控制保護，禁止非授權訪問。

示例：外部接口包括USB接口、診斷接口和其他接口等。

7.3.2應對USB接口接入設備中的文件進行訪問控制，只允許讀寫指定格式的文件或安裝執(zhí)行指定簽

名的應用軟件。

7.3.3應具備抵御USB接口接入設備中的病毒程序和攜帶病毒的媒體文件/應用軟件的能力。

7.3.4通過診斷接口發(fā)送車輛關鍵參數(shù)的寫操作請求時，應采用身份鑒別、訪問控制等安全策略。

7.4車輛遠程控制系統(tǒng)、授權的第三方應用等外部連接系統(tǒng)不應存在由權威漏洞平臺6個月前公布且

未經(jīng)處置的高危及以上的安全漏洞。

注：處置包括消除漏洞、制定減緩措施等方式。

7.5車輛應關閉不必要的網(wǎng)絡端口。

8車輛通信安全要求

8.1車輛與車輛生產(chǎn)企業(yè)云平臺通信時，應對其通信對象的身份真實性進行驗證。

8.2車輛與車輛、路側單元、移動終端等進行直連通信時，應進行證書有效性和合法性的驗證。

8.3車輛應采用完整性保護機制保護外部通信通道。

示例：車輛外部通信通道包括移動蜂窩通信、WLAN、藍牙等，不包括射頻、NFC等短距離無線通信通道。

8.4車輛應具備對來自車輛外部通信通道的數(shù)據(jù)操作指令的訪問控制機制。

注：來自車輛外部通信通道的數(shù)據(jù)操作指令包括代碼注入、數(shù)據(jù)操縱、數(shù)據(jù)覆蓋、數(shù)據(jù)擦除和數(shù)據(jù)寫入等指令。

8.5車輛應驗證所接收的關鍵指令數(shù)據(jù)的有效性或唯一性。

4

注：關鍵指令數(shù)據(jù)是指可能影響行車和財產(chǎn)安全的指令數(shù)據(jù)，包括但不限于車控指令數(shù)據(jù)。

示例：針對遠程控制服務器發(fā)送的車控指令，車端可通過網(wǎng)關校驗該類指令的有效期或唯一性。

8.6車輛應對發(fā)送的敏感個人信息實施保密性保護措施。

8.7車輛與外部直接通信的零部件應具備身份識別機制。

注：與外部存在直接通信的零部件包括但不限于車載信息交互系統(tǒng)等，不包括短距離無線傳感器。

8.8車輛與外部直接通信的零部件應具備安全機制防止非授權的系統(tǒng)特權訪問。

注：非授權用戶可能通過調試接口獲得系統(tǒng)的根用戶權限。

8.9車輛內部網(wǎng)絡應劃分安全區(qū)域，并實現(xiàn)安全區(qū)域之間的隔離，對跨域請求應進行訪問控制，并遵

循默認拒絕原則和最小化授權原則。

注：隔離措施包括物理隔離、邏輯隔離（如采用白名單、防火墻等措施），如車載以太網(wǎng)可采用VLAN技術實現(xiàn)不

同功能域之間的邏輯隔離。

8.10車輛應具備識別車輛通信通道遭受拒絕服務攻擊的能力，并對攻擊數(shù)據(jù)包進行相應的處理。

注：對攻擊數(shù)據(jù)包的處理包括攔截、丟棄等。

示例：車輛通信通道包括移動蜂窩通信、V2X等車外通信通道，也包括CAN總線和車載以太網(wǎng)等車內通信通道。

8.11車輛應具備識別惡意的V2X數(shù)據(jù)、惡意的診斷數(shù)據(jù)、惡意的專有數(shù)據(jù)等的能力，并采取保護措

施。

注1：V2X數(shù)據(jù)包括道路設施發(fā)送到車輛的數(shù)據(jù)、車輛與車輛之間的數(shù)據(jù)。

注2：專有數(shù)據(jù)指正常發(fā)送自車輛生產(chǎn)企業(yè)或車輛組件、系統(tǒng)及功能供應商的數(shù)據(jù)。

8.12車輛應對關鍵的通信信息安全事件進行日志記錄。

注：關鍵的通信信息安全事件由車企根據(jù)風險評估的結果確定。

9車輛軟件升級安全要求

9.1通用安全要求

9.1.1車載軟件升級系統(tǒng)應具備安全啟動的功能，應保護車載軟件升級系統(tǒng)的可信根、引導加載程序、

系統(tǒng)固件不被篡改，或被篡改后無法正常啟動。

9.1.2車載軟件升級系統(tǒng)應不存在由權威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞。

注：處置方式包括消除漏洞、制定減緩措施等方式。

9.2在線升級安全要求

9.2.1車輛和在線升級服務器應進行身份認證，驗證其身份的真實性。

示例：常見的認證方式包括使用證書進行身份認證等。

9.2.2車載軟件升級系統(tǒng)應對下載的在線升級包進行真實性和完整性校驗。

9.2.3車載軟件升級系統(tǒng)應記錄在線升級過程中發(fā)生的失敗事件日志。

注：失敗事件包括升級包校驗失敗等，記錄內容包括事件時間、事件類型等。

9.3離線升級安全要求

9.3.1若車輛使用車載軟件升級系統(tǒng)進行離線升級，車輛應對離線升級包真實性和完整性進行校驗。

9.3.2若車輛不使用車載軟件升級系統(tǒng)進行離線升級，應采取保護措施保證刷寫接入端的安全性，或

者校驗離線升級包的真實性和完整性。

5

10車輛數(shù)據(jù)代碼安全要求

10.1車輛應安全地存儲對稱密鑰和私鑰，防止其被非授權訪問和獲取。

10.2車輛應采取安全訪問技術、加密技術等安全技術保護存儲在車內的敏感個人信息，防止其被非

授權訪問和獲取。

10.3車輛應采取安全防御機制保護存儲在車內的車輛識別代號（VIN）和用于身份識別的數(shù)據(jù)，防止

其被非授權刪除和修改。

示例：防止數(shù)據(jù)被非授權刪除和修改的安全防御機制包括安全訪問技術、只讀技術等。

10.4車輛應采取安全防御機制保護存儲在車內的關鍵數(shù)據(jù)，防止其被非授權刪除和修改。

注：關鍵數(shù)據(jù)包括車輛關鍵配置參數(shù)和車輛運行過程中產(chǎn)生的可能影響行車安全的數(shù)據(jù)。

示例：車輛關鍵配置參數(shù)包括制動數(shù)據(jù)、安全氣囊展開閾值、電池參數(shù)、自動駕駛參數(shù)等影響車輛行車、人員保

護功能的配置參數(shù)。

10.5車輛應采取安全防御機制保護存儲在車內的安全日志，防止其被非授權刪除和修改。

10.6車輛應具備個人信息清除功能及防恢復機制，便于在轉售、租借或報廢時清除個人信息。

10.7車輛不得直接向境外傳輸數(shù)據(jù)。

注：用戶使用瀏覽器訪問境外網(wǎng)站、使用通信軟件向境外傳遞消息、自主安裝可能導致數(shù)據(jù)出境的第三方應用等

不受本條款限制。

11審核評估及測試方法

11.1依據(jù)本文件開展第6章車輛信息安全一般要求評估和信息安全技術要求測試驗證前，應通過第

5章汽車信息安全管理體系要求審核。

11.2車輛信息安全技術要求測試驗證應按照本文件附錄A進行，在測試驗證前應開展第6章車輛信

息安全一般要求評估，確認車輛采取了基于第7章、第8章、第9章、第10章的信息安全技術要求處

置措施保護車輛不受風險評估中已識別的風險影響。

注1：若基于第7章、第8章、第9章、第10章的信息安全技術要求處置措施與企業(yè)所識別的風險不相關，無需對不

相關的條款開展測試，僅需開展評估確認。

注2：若基于第7章、第8章、第9章、第10章的信息安全技術要求處置措施無法覆蓋企業(yè)所識別的風險，應在按照

附錄A開展測試驗證的基礎上，對企業(yè)實際所使用的處置措施開展評估確認。

12車輛型式的變更和擴展

12.1總則

依據(jù)本文件通過型式檢驗的車型，其結果可擴展到符合12.2-12.4判定條件的其他車型。車型獲得

擴展后，此擴展車型不可再擴展到其他車型。當送檢車型具有多種選裝方案時，可只針對全覆蓋的車

型開展測試，即只要具備所有部件或系統(tǒng)的車型通過檢驗，可不再進行組合檢驗。

12.2直接擴展判定條件

12.2.1車輛生產(chǎn)企業(yè)相同；

12.2.2通過汽車信息安全管理體系審核；

6

12.2.3車型整車電子電氣架構相同；

12.2.4中央網(wǎng)關的硬件型號相同；

12.2.5車載軟件升級系統(tǒng)硬件型號相同；

12.2.6具備蜂窩移動通信系統(tǒng)功能的零部件硬件型號相同；

12.2.7車輛無線通信方式所使用的協(xié)議類型、版本相同；

注：無線通信方式包含WLAN、藍牙、NFC、蜂窩通訊、V2X等。

12.2.8所有暴露的外部物理接口的類型、數(shù)量相同或減少；

注：外部物理接口包括USB接口、診斷接口、充電接口等。

12.2.9與車型產(chǎn)生數(shù)據(jù)交互的車輛生產(chǎn)企業(yè)云平臺IP地址或域名相同。

12.3審核后擴展的判定條件

若車型發(fā)生涉及12.2.3~12.2.9的變更，經(jīng)審核車輛生產(chǎn)企業(yè)提供的車型風險評估報告后，確認整

車信息安全風險未增加，可獲得擴展。

示例：常見的不影響整車信息安全的改動包括替換與信息安全無關的系統(tǒng)或部件、ECU性能升級但不增加新的功

能、變更ECU零部件供應商但不改變信息安全配置、用于修復漏洞或性能優(yōu)化的軟件升級、不影響信息安全的功能變

更或新增功能（如在原有遠程控車功能的基礎上增加新的控車功能，且不涉及通信方式的改變）等。

12.4測試驗證后擴展的判定條件

若車型發(fā)生涉及12.2.3~12.2.9的變更，經(jīng)審核車輛生產(chǎn)企業(yè)提供的車型風險評估報告后，確認整

車信息安全風險增加，但未嚴重影響整車信息安全，應針對受影響的項目補充測試驗證，測試驗證通

過后可獲得擴展。

示例：常見的未嚴重影響整車信息安全的改動包括通信系統(tǒng)升級但不引入新的通信方式（如使用第五代移動通信

系統(tǒng)替換第二代移動通信系統(tǒng)），影響信息安全的ECU功能變更或增加新的功能等。

12.5無法擴展的判定條件

12.5.1車輛生產(chǎn)企業(yè)發(fā)生變更；

12.5.2汽車信息安全管理體系失效；

12.5.3發(fā)生嚴重影響整車信息安全的變更；

示例：常見的嚴重影響整車信息安全的變更包括改變車輛網(wǎng)絡拓撲（如增加新的網(wǎng)關）、增添新的外部接口、增

加新的網(wǎng)絡通信方式（如增加CAN/車載以太網(wǎng)、增加NFC通信）。

13實施日期

對于新申請型式批準的車型，自本文件實施之日起開始執(zhí)行。

對于已獲得型式批準的車型，自本文件實施之日起第25個月開始執(zhí)行。

7

附錄A

（規(guī)范性）

車輛信息安全要求測試驗證方法

A.1概述

本附錄規(guī)定了車輛外部連接安全要求、車輛通信安全要求、車輛軟件升級安全要求和車輛數(shù)據(jù)代

碼安全要求的測試驗證方法。開展測試驗證前，應評估確認滿足第6章車輛信息安全一般要求。

A.2測試條件

A.2.1測試環(huán)境應保證測試車輛能安全運行，影響車輛狀態(tài)的測試應在多運行工況的整車轉鼓環(huán)

境下進行。

A.2.2測試環(huán)境應保證車輛通信穩(wěn)定且測試不會對公網(wǎng)環(huán)境產(chǎn)生影響，影響公網(wǎng)環(huán)境的測試應在

具備通信功能的整車暗室或類似環(huán)境中進行。

A.2.3車輛生產(chǎn)企業(yè)應按照測試要求提供測試整車車輛，必要時需提供測試臺架。

A.2.4車輛生產(chǎn)企業(yè)應提供技術人員、刷寫工具等必要的支持協(xié)助完成測試。

A.3測試輸入信息

測試開始前，應根據(jù)車輛信息安全一般要求評估的結果，確認與測試車輛相關的測試項，并獲取

如下測試輸入信息：

注：測試輸入信息的獲取可在車輛生產(chǎn)企業(yè)認可的安全場景下進行，如在企業(yè)現(xiàn)場審閱相關文檔。

a)測試車輛遠程控制功能，包括遠程控制指令應用場景和使用權限、遠程控制指令審計方式及

審計日志記錄地址、車輛記錄異常指令的地址；

b)測試車輛授權第三方應用真實性和完整性校驗方式；

c)測試車輛非授權第三方應用的訪問控制機制；

d)測試車輛的外部接口；

e)與測試車輛通信的車輛生產(chǎn)企業(yè)云平臺；

f)測試車輛通信方法，包括采用的通信協(xié)議類型；

g)測試車輛的V2X功能；

h)測試車輛向外傳輸敏感個人信息的通信通道；

i)測試車輛與外部直接通信的零部件；

j)測試車輛內部通信方案及通信矩陣樣例，包括專用數(shù)據(jù)通信矩陣樣例；

k)測試車輛車載軟件升級系統(tǒng)可信根、引導加載程序、系統(tǒng)固件的訪問方式和地址；

l)測試車輛實現(xiàn)離線軟件升級的方式及工具；

m)測試車輛對稱密鑰和私鑰的存儲方式及說明文檔；

n)測試車輛內部存儲敏感個人信息存儲地址；

o)測試車輛內存儲的車輛識別代號和用于身份識別的數(shù)據(jù)清單及存儲地址；

p)測試車輛內存儲的關鍵數(shù)據(jù)清單及存儲的地址；

q)測試車輛個人信息清除功能及防恢復機制。

A.4車輛外部連接安全測試方法

8

A.4.1具備遠程操控功能的系統(tǒng)安全測試方法

A.4.1.1真實性和完整性校驗的測試方法

應依據(jù)附錄A.3a)測試車輛遠程控制功能，并按照如下測試方法，檢驗測試車輛是否滿足正文

7.1.1的要求：

嘗試偽造、篡改并發(fā)送遠程車輛控制指令，檢查車輛是否響應該指令，是否按照企業(yè)設定的驗證

失敗處理機制進行處理，并記錄測試結果，應不響應該指令。

A.4.1.2遠程控制指令控制測試方法

應依據(jù)附錄A.3a)測試車輛遠程控制功能，并按照如下測試方法，檢驗測試車輛是否滿足正文

7.1.2的要求：

構建非授權的遠程控制指令，發(fā)送至測試車輛，檢查車輛是否響應該指令，并記錄測試結果，應

不響應該指令。

A.4.1.3安全日志記錄功能測試方法

應依據(jù)附錄A.3a)測試車輛遠程控制功能，并按照如下測試方法，檢驗測試車輛是否滿足正文

7.1.3的要求：

構建并觸發(fā)遠程控制系統(tǒng)信息安全事件，使用授權的用戶或工具，導出遠程控制系統(tǒng)安全日志文

件，驗證文件記錄的內容是否包含遠程控制指令的日期、時間、發(fā)送主體、操作是否成功等信息，并

記錄驗證結果，應包括遠程控制指令的日期、時間、發(fā)送主體、操作是否成功的信息。

A.4.1.4遠程控制功能系統(tǒng)程序和數(shù)據(jù)完整性校驗測試方法

應依據(jù)附錄A.3a)測試車輛遠程控制功能，并按照如下測試方法，檢驗測試車輛是否滿足正文

7.1.4的要求：

篡改車端執(zhí)行遠程控制功能的系統(tǒng)的程序和數(shù)據(jù)，并下發(fā)遠程控制指令，測試車輛是否告警或不

執(zhí)行該控制指令，并記錄測試結果，應告警或不執(zhí)行該控制指令。

A.4.2第三方應用安全測試方法

A.4.2.1授權第三方應用真實性完整性驗證測試方法

測試人員應依據(jù)附錄A.3b)測試車輛授權第三方應用真實性和完整性校驗方式，并按照如下測試

方法，檢驗測試車輛是否滿足正文7.2.1的要求：

a)使用二進制工具，依據(jù)授權第三方應用真實性和完整性校驗方式，篡改第三方應用程序的代

碼；

b)嘗試安裝執(zhí)行篡改后的授權第三方應用程序，測試是否可以正常運行，并記錄測試結果，應

不可正常運行。

A.4.2.2非授權第三方應用訪問控制測試方法

測試人員應依據(jù)附錄A.3c)測試車輛非授權第三方應用的訪問控制機制，并按照如下測試方法，

檢驗測試車輛是否滿足正文7.2.2的要求：

9

a)嘗試安裝并執(zhí)行非授權第三方應用，測試車輛是否進行提示，并記錄測試結果，應有明確提

示；

b)嘗試使用非授權第三方應用程序訪問超出訪問控制權限的資源，并記錄測試結果，應不可訪

問控制權限外的資源。

A.4.3外部接口安全測試方法

A.4.3.1外部接口訪問控制測試方法

測試人員應依據(jù)附錄A.3d)測試車輛外部接口，并按照如下測試方法，檢驗測試車輛是否滿足正

文7.3.1的要求：

使用非授權的用戶或工具訪問車輛的外部接口，測試是否可以成功建立連接并訪問相應的信息，

并記錄測試結果，應無法成功建立連接。

A.4.3.2USB接口訪問控制測試方法

測試人員應依據(jù)附錄A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗測試車輛是否滿足

正文7.3.2的要求：

a)在具備USB接口的移動存儲介質中注入媒體文件、指定簽名的應用軟件和其它文件；

b)將移動存儲介質連接到車輛USB接口，測試車輛是否可以執(zhí)行除媒體文件和指定簽名的應用

軟件外的其他文件，并記錄測試結果，應無法執(zhí)行除媒體文件和指定簽名的應用軟件外的其

他文件。

A.4.3.3USB防病毒測試方法

測試人員應依據(jù)附錄A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗測試車輛是否滿足

正文7.3.3的要求：

a)在具備USB接口的移動存儲介質中注入病毒文件；

b)將移動存儲介質連接到車輛USB接口，嘗試執(zhí)行病毒文件，測試車輛系統(tǒng)是否可以測試出移

動存儲介質中的病毒文件或拒絕執(zhí)行病毒文件，并記錄測試結果，應能識別出病毒文件或拒

絕執(zhí)行病毒文件。

A.4.3.4診斷接口身份鑒別測試方法

測試人員應依據(jù)附錄A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗測試車輛是否滿足

正文7.3.4的要求：

a)使用非授權用戶或工具在診斷接口發(fā)送車輛關鍵參數(shù)寫操作請求，測試車輛是否執(zhí)行該操作

請求，并記錄測試結果，應無法執(zhí)行該操作請求；

b)使用授權用戶在診斷接口發(fā)送超出權限的車輛關鍵參數(shù)寫操作請求，測試車輛是否執(zhí)行該操

作請求，并記錄測試結果，應無法執(zhí)行該操作請求。

A.4.4車輛外部連接系統(tǒng)漏洞掃描測試方法

測試人員應按照如下測試方法，檢驗測試車輛是否滿足正文7.4的要求：

a)使用漏洞掃描工具對車輛外部連接系統(tǒng)進行漏洞掃描測試，測試是否存在權威漏洞平臺6個

月前公布的高危及以上的安全漏洞，并記錄測試結果；

10

b)如存在權威漏洞平臺6個月前公布的高危及以上的安全漏洞，對照企業(yè)提交的漏洞處置方案

清單，確認企業(yè)提交的漏洞處置方案清單中是否覆蓋該漏洞，并記錄測試結果，應不存在由

權威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞。

A.4.5車輛關閉不必要接口測試方法

測試人員應按照如下測試方法，檢驗測試車輛是否滿足正文7.5的要求：

a)測試人員通過WLAN、車載以太網(wǎng)等形式將測試車輛與掃描測試設備組網(wǎng)，查看配置文件獲得

被測車輛的IP地址；

b)使用掃描測試設備查看測試車輛所開放的端口，并將車輛開放的端口列表與提交的車輛業(yè)務

列表進行對比，測試車輛是否有開放非必要的網(wǎng)絡端口，并記錄測試結果，應僅開放必要的

網(wǎng)絡端口。

A.5車輛通信安全測試方法

A.5.1云平臺通信身份真實性驗證測試方法

測試人員應依據(jù)附錄A.3e)與測試車輛通信的車輛生產(chǎn)企業(yè)云平臺、附錄A.3f)測試車輛通信

方法，并按照如下測試方法，檢驗測試車輛是否滿足正文8.1的要求：

a)若車輛與車輛生產(chǎn)企業(yè)云平臺通信采用專用網(wǎng)絡或虛擬專用網(wǎng)絡環(huán)境進行通信，驗證通信網(wǎng)

絡技術報告，確定通信網(wǎng)絡類型，并記錄驗證結果。

b)若車輛與車輛生產(chǎn)企業(yè)云平臺通信采用公共網(wǎng)絡環(huán)境進行通信，且使用公有通信協(xié)議，采用

網(wǎng)絡數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，檢查是否采用如TLSV1.2同等安全

級別或以上要求的安全通信層協(xié)議，并記錄測試結果，應使用TLSV1.2同等安全級別或以

上要求的安全通信層協(xié)議；

c)若車輛與車輛生產(chǎn)企業(yè)云平臺通信采用公共網(wǎng)絡環(huán)境進行通信，且使用私有通信協(xié)議，對私

有通信協(xié)議方案進行驗證，并記錄測試結果，私有通信協(xié)議方案應能對通信對象的身份真實

性進行驗證。

A.5.2V2X通信身份認證測試方法

測試人員應依據(jù)附錄A.3f)測試車輛通信方法、附錄A.3g)測試車輛的V2X功能，并按照如下測

試方法，檢驗測試車輛是否滿足正文8.2的要求：

a）使用合法證書，利用V2X仿真測試設備模擬車輛、路側單元和移動終端，并嘗試與測試車輛建

立通信連接；

b）清除V2X仿真測試設備的通信記錄，并將證書替換為無效證書或非法證書，測試替換證書后測

試車輛是否依然能和V2X仿真測試設備通信，并記錄測試結果，應斷開通信連接。

A.5.3通信通道完整性保護測試方法

測試人員應依據(jù)附錄A.3f)測試車輛通信方法，并按照如下測試方法，檢驗測試車輛是否滿足正

文8.3的要求：

a）在車輛端設備與外部通信對象完成正常的身份認證之后，采用網(wǎng)絡數(shù)據(jù)抓包工具，解析通信

報文數(shù)據(jù)，判斷傳輸數(shù)據(jù)是否應用了完整性保護措施。

11

b）將對傳輸數(shù)據(jù)進行篡改或偽造后的報文發(fā)送到車輛端，測試車輛端是否對數(shù)據(jù)的完整性實施

校驗并做出適宜的響應，并記錄測試結果，應進行校驗并拒絕該消息。

A.5.4防非授權操作測試方法

測試人員應依據(jù)附錄A.3f)測試車輛通信方法，并按照如下測試方法，檢驗測試車輛是否滿足正

文8.4的要求：

a）使用非授權身份對嘗試對車輛通信部件的數(shù)據(jù)代碼進行讀取，測試是否可以成功操作，并記

錄測試結果，應不可讀取。

b）使用非授權身份對嘗試對車輛通信部件的數(shù)據(jù)代碼進行覆蓋，測試是否可以成功操作，并記

錄測試結果，應不可覆蓋。

c）使用非授權身份對嘗試對車輛通信部件的數(shù)據(jù)代碼進行清除，測試是否可以成功操作，并記

錄測試結果，應不可清除。

d）使用非授權身份對嘗試對車輛通信部件的數(shù)據(jù)代碼進行寫入，測試是否可以成功操作，并記

錄測試結果，應不可寫入。

A.5.5關鍵指令數(shù)據(jù)有效性和唯一性驗證測試方法

測試人員應按照如下方法，檢驗測試車輛是否滿足正文8.5的要求：

a）錄制正常會話指令，修改其中的一段數(shù)據(jù)，發(fā)送修改后的會話指令，測試車輛是否做出響應，

并記錄測試結果，應不響應；

b）錄制正常會話指令，間隔一段時間后，重新發(fā)送錄制的會話指令，測試車輛是否做出響應，

并記錄測試結果，應不響應。

A.5.6敏感個人信息保密性保護測試方法

測試人員應依據(jù)附錄A.3h)測試車輛向外傳輸敏感個人信息的通信通道，并按照如下測試方法，

檢驗測試車輛是否滿足正文8.6的要求：

a）依據(jù)車輛數(shù)據(jù)傳輸?shù)姆桨?，驗證是否正確使用聲明的加密算法對車輛傳輸?shù)臄?shù)據(jù)進行加密，

并記錄驗證結果，應進行加密；

b）驗證使用的加密算法強度是否滿足需求，并記錄驗證結果，算法強度應滿足要求。

A.5.7對外通信零部件身份識別測試方法

測試人員應依據(jù)附錄A.3i)測試車輛與外部直接通信的零部件,并按照如下測試方法，檢驗測試車

輛是否滿足正文8.7的要求。

a）使用和測試車輛與外部直接通信零部件功能相同的零部件替換安裝在整車相同的位置；

b）啟動車輛，測試零部件是否正常工作或車輛是否有異常部件連接告警，并記錄測試結果，系

統(tǒng)應無法正常運行或有異常告警提示。

A.5.8車輛與外部直接通信零部件防非特權訪問測試方法

測試人員應依據(jù)附錄A.3i)測試車輛與外部直接通信的零部件,并按照如下測試方法，檢驗測試車

輛是否滿足正文8.8的要求：

a）構建一個非授權用戶，嘗試對該用戶進行身份提權；

12

b）使用嘗試提權后的用戶對系統(tǒng)進行特權訪問，測試車輛是否有異常響應或動作，并記錄測試

結果，應不可訪問。

A.5.9車內安全區(qū)域隔離測試方法

測試人員依據(jù)附錄A.3j)測試車內通信方案及通信矩陣樣例，從如下測試方法中選擇適用的方法，

檢驗測試車輛是否滿足正文8.9的要求：

a）對于使用物理隔離措施的車輛，驗證車輛生產(chǎn)企業(yè)提供的物理隔離方案，并記錄測試結果，

應實現(xiàn)物理隔離。

b）對于使用邏輯隔離措施的車輛，根據(jù)車輛廠商提供的邏輯隔離策略，發(fā)送不符合策略的數(shù)據(jù)

幀,在指定的目的端口測試是否可以接收到相應的數(shù)據(jù)幀，并記錄測試結果，不應接收到相

應的數(shù)據(jù)幀。

c）對于采用VLAN技術實現(xiàn)域隔離的車輛，根據(jù)車輛廠商提供的域隔離策略，測試是否能夠跨域

轉發(fā)數(shù)據(jù)幀，并記錄測試結果，不應跨域轉發(fā)數(shù)據(jù)幀。

A.5.10拒絕服務攻擊識別測試方法

A.5.10.1CAN總線拒絕服務攻擊識別測試方法

測試人員應依據(jù)附錄A.3j)測試車輛車內通信方案及通信矩陣樣例，并按照如下測試方法，檢驗

測試車輛CAN總線通信拒絕服務攻擊識別防護能力是否滿足正文8.10的要求。

a）將拒絕服務攻擊測試設備接入車輛的CAN總線，識別該通道總線波特率，測試設備對該通道發(fā)

起大于80%總線負載率的拒絕服務攻擊，如果有多個通道，則依次分別進行測試試驗；

b）在拒絕服務攻擊時，測試車輛未受攻擊的CAN通道通信性能和預設的功能是否受到影響，并記

錄測試結果，應能不受影響或記錄攻擊事件；

c）在拒絕服務攻擊結束后，測試車輛是否按照預設方案處理攻擊數(shù)據(jù)包，并記錄測試結果，應

按照預設的方案處理攻擊數(shù)據(jù)包。

A.5.10.2以太網(wǎng)拒絕服務攻擊識別測試方法

測試人員應依據(jù)附錄A.3j)測試車輛車內通信方案及通信矩陣樣例，并按照如下測試方法，檢驗

測試車輛以太網(wǎng)通信拒絕服務攻擊識別防護能力是否滿足正文8.10的要求：

a）將拒絕服務攻擊測試設備與車輛的車載以太網(wǎng)進行組網(wǎng)，并嘗試向車載以太網(wǎng)發(fā)起拒絕服務

攻擊；

b）在拒絕服務攻擊時，測試車輛未受攻擊的部件性能和預設的功能是否受到影響，并記錄測試

結果，應能不受影響或記錄攻擊事件。

c）在拒絕服務攻擊結束后，測試車輛是否按照預設方案處理攻擊數(shù)據(jù)包，并記錄測試結果，應

按照預設的方案處理攻擊數(shù)據(jù)包。

A.5.10.3V2X通信拒絕服務攻擊識別測試方法

測試人員應按照如下測試方法，檢驗測試車輛V2X通信拒絕服務攻擊識別防護能力是否滿足正文

8.10的要求：

a）使用V2X仿真測試設備模擬構建不少于150輛可與測試車輛正常通信的虛擬車輛，并保持通信；

b）任選一輛虛擬車輛，將其與拒絕服務攻擊設備連接，向測試車輛發(fā)起拒絕服務攻擊；

13

c）在拒絕服務攻擊結束后，測試車輛的V2X功能是否恢復并可正常運行，并記錄測試結果，應從

攻擊中恢復并正常運行，并記錄攻擊事件。

A.5.11惡意數(shù)據(jù)識別測試方法

測試人員應依據(jù)車輛接受消息類型，從如下方法中選擇適用的方法，檢驗測試車輛是否滿足正文

8.11的要求。

a）依據(jù)V2X通信規(guī)則，構建并向車輛發(fā)送惡意的V2X消息數(shù)據(jù)時，測試車輛能否鑒別并拒絕響應，

并記錄測試結果，應拒絕響應。

b）依據(jù)診斷通信規(guī)則，構建并向車輛發(fā)送惡意的診斷消息數(shù)據(jù)時，測試車輛能否鑒別并拒絕響

應，并記錄測試結果，應拒絕響應。

c）依據(jù)專有消息通信規(guī)則，構建并向車輛發(fā)送惡意的專有消息數(shù)據(jù)時，測試車輛能否鑒別并拒

絕響應，并記錄測試結果，應拒絕響應。

A.5.12通信信息安全日志測試方法

測試人員應依據(jù)車輛通信信息安全日志記錄機制，并按照如下測試方法，檢驗測試車輛是否滿足

正文8.12的要求：

構建并觸發(fā)車輛通信信息安全事件，測試車輛是否會按照通信信息安全日志記錄機制記錄該事件，

并記錄測試結果，應按照機制要求記錄該安全事件。

A.6車輛軟件升級安全測試方法

A.6.1通用安全要求測試方法

A.6.1.1車載軟件升級系統(tǒng)安全啟動測試方法

測試人員應依據(jù)附錄A.3k)測試車輛車載軟件升級系統(tǒng)可信根、引導加載程序、系統(tǒng)固件的訪問

方式和地址，按照如下測試方法，檢驗測試車輛是否滿足正文9.1.1的要求：

a）獲取安全啟動信任根存儲區(qū)域的訪問方法和地址，使用軟件調試工具寫入數(shù)據(jù)，重復測試不

少于三次，測試是否可將數(shù)據(jù)寫入該存儲區(qū)域，并記錄測試結果，應無法將數(shù)據(jù)寫入該存儲

區(qū)域；

b）獲取正常運行的引導加載程序，使用軟件調試工具修改該引導加載程序的簽名信息，將修改

后的引導加載程序寫入到指定區(qū)域，檢查是否正常加載引導加載程序，并記錄測試結果，應

不正常加載引導加載程序；

c）獲取升級程序的系統(tǒng)固件，使用軟件調試工具對其進行篡改，將修改后的系統(tǒng)固件寫入到指

定區(qū)域，檢查升級程序是否正常工作，并記錄測試結果，升級程序應不工作。

A.6.1.2車載軟件升級系統(tǒng)安全漏洞掃描測試方法

測試人員應照如下測試方法，檢驗測試車輛是否滿足正文9.1.2的要求：

a）使用漏洞掃描工具對車載軟件升級系統(tǒng)進行漏洞掃描測試，測試是否存在權威漏洞平臺6個月

前公布的高危及以上的安全漏洞，并記錄測試結果；

b）如存在權威漏洞平臺6個月前公布的高危及以上的安全漏洞，對照企業(yè)提交的漏洞處置方案清

單，確認企業(yè)提交的漏洞處置方案清單中是否覆蓋該漏洞，并記錄測試結果，應不存在由權

威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞。

14

A.6.2在線升級安全測試方法

A.6.2.1軟件升級服務器身份認證測試方法

測試人員應按照附錄A.5.1云平臺通信身份真實性驗證測試方法，檢測測試車輛是否滿足正文

9.2.1的要求。

A.6.2.2升級包真實性和完整性校驗測試方法

測試人員應確認在線升級功能正常執(zhí)行，并按照如下測試方法，檢驗測試車輛是否滿足正文9.2.2

的要求：

a）構造被篡改破壞的在線升級包；

b）將該升級包下載或傳輸?shù)杰囕d端，執(zhí)行軟件升級，測試并記錄升級結果，應不執(zhí)行升級。

A.6.2.3失敗事件日志記錄測試方法

測試人員應按照如下測試方法，檢驗測試車輛是否滿足正文9.2.3的要求：

a）構造完整性或真實性被破壞的在線升級包，

b）觸發(fā)車輛軟件升級，檢查升級事件日志，并記錄測試結果，應記錄本次升級失敗事件。

A.6.3離線升級安全要求測試方法

A.6.3.1使用車載軟件升級系統(tǒng)的離線升級安全測試方法

若車輛使用車載軟件升級系統(tǒng)進行離線升級，測試人員應依據(jù)附錄A.3l)實現(xiàn)離線軟件升級的方

式及工具，并按照如下測試方法，檢驗測試車輛是否滿足正文9.3.1的要求：

a）構造被篡改破壞的離線升級包；

b）使用離線升級工具將該升級包下載或傳輸?shù)杰囕d端，執(zhí)行軟件升級，測試并記錄升級結果，

應不執(zhí)行升級。

A.6.3.2不使用車載軟件升級系統(tǒng)的離線升級安全測試方法

若車輛不使用車載軟件升級系統(tǒng)進行離線升級，測試人員應依據(jù)附錄A.3l)實現(xiàn)離線軟件升級的

方式及工具，并選擇以下兩種方法中適用的一種開展測試并記錄測試結果，檢驗測試車輛是否滿足正

文9.3.2的要求：

a）測試人員將非認證的刷寫接入端接入車輛刷寫接口，查看車輛是否能檢出接入了非認證的刷

寫接入端，并記錄測試結果，應能阻止非認證刷寫接入端與車輛進行通信；

b）構造被篡改破壞的離線升級包，使用離線升級工具將該升級包下載或傳輸?shù)杰囕d端，執(zhí)行軟

件升級，測試并記錄升級結果，應不執(zhí)行升級。

A.7車輛數(shù)據(jù)代碼安全測試方法

A.7.1密鑰防非法獲取和訪問測試方法

測試人員應按照附錄A.3m)測試車輛對稱密鑰和私鑰的存儲方式及說明文檔，選擇以下兩種方法

中適用的一種開展測試并記錄測試結果，測試車輛應滿足正文10.1的要求：

a）若采取HSM等硬件安全模塊存儲密鑰，應依據(jù)硬件安全模塊安裝位置說明文檔，驗證車輛是否

安裝了硬件安全模塊來保護密鑰，并記錄驗證結果,應在文檔標識位置安裝硬件安全模塊。

15

b）若采取安全的軟件存儲形式存儲密鑰，應依據(jù)密鑰存儲區(qū)域和地址范圍說明文檔，驗證是否

采取了防非授權提取技術或加密存儲技術，并記錄驗證結果，應采取防非授權提取技術或加

密存儲技術。

A.7.2敏感個人信息防泄露測試方法

測試人員應依據(jù)附錄A.3n)測試車輛內部存儲敏感個人信息存儲地址，并按照如下測試方法開展

測試并記錄測試結果，測試結果應滿足正文10.2的要求：

a）若采用安全訪問技術保護存儲的敏感個人信息，依據(jù)敏感個人信息存儲區(qū)域和地址范圍說明，

按照訪問控制規(guī)則創(chuàng)建一個未添加訪問控制權限的用戶，嘗試訪問存儲的敏感個人信息，測

試是否可以非授權訪問敏感個人信息，并記錄測試結果,應不可非授權訪問敏感個人信息。

b）若采取加密技術保護存儲的敏感個人信息，依據(jù)敏感個人信息存儲區(qū)域和地址范圍說明，嘗

試使用軟件分析工具提取存儲的敏感個人信息，測試是否為密文存儲，并記錄測試結果，應

為密文存儲。

A.7.3身份識別數(shù)據(jù)防篡改測試方法

測試人員應依據(jù)附錄A.3o)測試車輛內存儲的車輛識別代號和用于身份識別的數(shù)據(jù)清單及存儲地

址，并按照如下測試方法，檢驗測試車輛是否滿足正文10.3的要求：

依據(jù)車輛內存儲的車輛識別代號和用于身份識別的數(shù)據(jù)清單及存儲地址說明，嘗試使用軟件分析

工具篡改存儲在車輛識別代號和用于身份識別的數(shù)據(jù)，測試是否可以被篡改，并記錄測試結果，應不

可被篡改。

A.7.4關鍵數(shù)據(jù)防篡改測試方法

測試人員應依據(jù)附錄A.3p)測試車輛內存儲的關鍵數(shù)據(jù)清單及存儲的地址，并按照如下測試方法，

檢驗測試車輛是否滿足正文10.4的要求：

依據(jù)關鍵數(shù)據(jù)存儲區(qū)域和地址范圍說明，嘗試使用軟件分析工具篡改存儲在車內的關鍵數(shù)據(jù)，測

試是否可以被篡改，并記錄測試結果，應不可被篡改。

A.7.5日志文件防篡改測試方法

測試人員應按照如下測試方法，檢驗測試車輛是否滿足正文10.5的要求：

a）按照訪問控制規(guī)則創(chuàng)建一個未添加訪問控制權限的用戶；

b）嘗試修改和刪除安全日志文件，測試是否可以未授權刪除和修改安全日志文件，并記錄測試

結果，應不可未授權刪除和修改安全日志文件。

A.7.6個人信息清除功能測試方法

測試人員應依據(jù)附錄A.3q)測試車輛個人信息清除功能及防恢復機制，并按照如下測試方法，檢

驗測試車輛是否滿足正文10.6的要求：

a）嘗試使用測試車輛個人信息清除功能，清除車輛內存儲的個人信息，并記錄測試結果，應可

以被刪除。

b）嘗試恢復被刪除的個人信息，并記錄測試結果，應不可被恢復。

A.7.7防數(shù)據(jù)直接出境測試方法

16

測試人員應按照如下測試方法，檢驗測試車輛是否滿足正文10.7的要求：

a）開啟車輛全部移動蜂窩通信網(wǎng)絡、WLAN通信網(wǎng)絡，依次模擬測試車輛各項預裝的數(shù)據(jù)傳輸功

能

b）使用網(wǎng)絡數(shù)據(jù)抓包工具進行不少于3600秒的數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，分析目的IP地址

中是否包含境外IP地址，并記錄測試結果，應不包含境外IP地址。

17

GBXXXXX—XXXX

目次

前??言..............................................................................II

1范圍.................................................................................1

2規(guī)范性引用文件.......................................................................1

3術語和定義...........................................................................1

4縮略語...............................................................................2

5信息安全管理體系要求.................................................................2

6車輛信息安全一般要求.................................................................3

7車輛外部連接安全要求.................................................................4

8車輛通信安全要求.....................................................................4

9車輛軟件升級安全要求.................................................................5

10車輛數(shù)據(jù)代碼安全要求................................................................6

11審核評估及測試方法..................................................................6

12車輛型式的變更和擴展................................................................6

13實施日期............................................................................7

附錄A（規(guī)范性）車輛信息安全要求測試驗證方法......................................8

I

汽車整車信息安全技術要求

1范圍

本文件規(guī)定了汽車信息安全管理體系要求、車輛信息安全一般要求、車輛信息安全技術要求、審

核評估及測試驗證方法。

本文件適用于M類、N類及至少裝有1個電子控制單元的O類車輛，其他類型車輛可參考執(zhí)行。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術語和定義

下列術語和定義適用于本文件。

3.1

汽車信息安全管理體系cybersecuritymanagementsystem

網(wǎng)絡安全管理體系cybersecuritymanagementsystem

一種基于風險的系統(tǒng)方法，包括組織流程、責任和治理，以處理與車輛網(wǎng)絡威脅相關的風險并保

護車輛免受網(wǎng)絡攻擊。

[來源：GB/Txxxxx智能網(wǎng)聯(lián)汽車術語和定義]

3.2

開發(fā)階段developmentphase

車型獲得批準之前的時期。

3.3

生產(chǎn)階段productionphase

車型生產(chǎn)持續(xù)的時期。

3.4

后生產(chǎn)階段post-productionphase

從車型不再生產(chǎn)，直至該車型的所有車輛使用壽命結束的時期。在這一階段，該車型的車輛仍可

使用，但不再繼續(xù)生產(chǎn)，當該車型不再有可使用的車輛時，此階段結束。

3.5

風險risk

車輛信息安全不確定性的影響，可用攻擊可行性和影響表示。

3.6

風險評估riskassessment

發(fā)現(xiàn)、識別和描述風險，理解風險的性質以及確定風險級別，并將風險分析的結果與風險標準進

行比較，以確定風險是否可接受。

1

3.7

威脅threat

可能導致系統(tǒng)、組織或個人受到傷害的意外事件的潛在原因。

3.8

漏洞vulnerability

在資產(chǎn)或緩解措施中，可被一個或多個威脅利用的弱點。

3.9

車載軟件升級系統(tǒng)on-boardsoftwareupdatesystem

安裝在車端并具備升級包接收、校驗和分發(fā)等功能的軟件和硬件。

3.10

在線升級over-the-airupdate

通過無線方式而不是使用電纜或其他本地連接進行數(shù)據(jù)傳輸?shù)能浖墶?/p>

3.11

離線升級offlineupdate

除在線升級以外的軟件升級。

3.12

敏感個人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產(chǎn)

安全受到嚴重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。

[來源：汽車數(shù)據(jù)安全管理若干規(guī)定（試行），第三條]

4縮略語

下列縮略語適用于本文件。下列縮略語適用于本文件。

CAN：控制器局域網(wǎng)絡（ControlAreaNetwork）

ECU：電子控制單元（ElectronicControlUnit）

HSM：硬件安全模塊（HardwareSecureModule）

MD5：MD5信息摘要算法(MD5Message-DigestAlgorithm)

NFC：近距離無線通訊技術(NearFieldCommunication)

TLS：安全傳輸層協(xié)議(TransportLayerSecurity)

USB：通用串行總線(UniversalSerialBus)

VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）

VIN：車輛識別代號（VehicleIdentificationNumber）

WLAN：無線局域網(wǎng)(WirelessLocalAreaNetworks)

5汽車信息安全管理體系要求

5.1車輛生產(chǎn)企業(yè)應建立車輛全生命周期的汽車信息安全管理體系。

注：車輛全生命周期包括車輛的開發(fā)階段、生產(chǎn)階段及后生產(chǎn)階段。

5.2汽車信息安全管理體系中應涵蓋必要流程，以確保充分考慮安全風險。

2

5.2.1應建立企業(yè)內部管理信息安全的流程。

5.2.2應建立識別、評估、分類、處置車輛信息安全風險及核實已識別風險得到適當處置的流程，并

確保車輛風險評估保持最新狀態(tài)。

5.2.3應建立用于車輛信息安全測試的流程。

5.2.4應建立針對車輛的網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞的監(jiān)測、響應及上報流程，要求如下：

a)應包含漏洞管理機制，明確漏洞收集、分析、報告、處置、發(fā)布等活動環(huán)節(jié)；

b)應建立針對網(wǎng)絡攻擊提供相關數(shù)據(jù)并進行分析的流程；

示例：企業(yè)具備從車輛數(shù)據(jù)和車輛日志中分析和檢測網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞的能力。

c)應建立確保已識別的網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞得到響應，且在合理的時限內得到處置及上

報的流程；

d)應建立評估所實施的信息安全措施在發(fā)現(xiàn)新的網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞的情況下是否仍然

有效的流程；

e)應建立確保對網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞進行持續(xù)監(jiān)控的流程；

注：車輛登記后即納入監(jiān)控范圍。

5.2.5應建立管理企業(yè)與合同供應商、服務提供商、車輛生產(chǎn)企業(yè)子組織之間信息安全依賴關系的流

程。

6車輛信息安全一般要求

6.1車輛產(chǎn)品開發(fā)流程應遵循汽車信息安全管理體系要求。

6.2應識別和管理車輛與供應商相關的風險。

6.3應識別車輛的關鍵要素，對車輛進行詳細的風險評估，合理管理已識別的風險。

注：風險評估應考慮車輛的各個要素及其相互作用，并進一步考慮與任何外部系統(tǒng)的相互作用。

示例：關鍵要素包括有助于車輛安全、環(huán)境保護或防盜的要素，提供連接性的部件或車輛架構中對信息安全至關

重要的部分等。

6.4應采取基于第7章、第8章、第9章、第10章的信息安全技術要求處置措施保護車輛不受風險

評估中已識別的風險影響。

注1：若處置措施與所識別的風險不相關，則車輛制造商應說明其不相關性。

注2：若處置措施與所識別的風險不充分，則車輛制造商應實施其它的處置措施，并說明其使用措施的合理性。

6.5如有專用環(huán)境，則應采取相應適當?shù)拇胧?，以保護車輛用于存儲和執(zhí)行后裝軟件、服務、應用程

序或數(shù)據(jù)的專用環(huán)境。

6.6應通過適當和充分的測試來驗證所實施的信息安全措施的有效性。

6.7應針對車輛實施相應措施，以識別和防御針對該車輛的網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞，并為車輛生

產(chǎn)企業(yè)在識別與車輛相關的網(wǎng)絡攻擊、網(wǎng)絡威脅和漏洞方面提供監(jiān)測能力，以及為分析網(wǎng)絡攻擊、網(wǎng)

絡威脅和漏洞提供數(shù)據(jù)取證能力。

6.8應采用符合國際通用、國家或行業(yè)標準要求的密碼模塊。若使用的密碼模塊未采用