GB 44495-2024 汽车整车信息安全技术要求.docx

《GB 44495-2024 汽车整车信息安全技术要求.docx》由会员分享，可在线阅读，更多相关《GB 44495-2024 汽车整车信息安全技术要求.docx（21页珍藏版）》请在课桌文档上搜索。

1、ICS43.020CCST40中华人民共和国家标准GB444952024汽车整车信息安全技术要求Technica1.requirementsforvehic1.ecybersecurity202408-23发布2026-01-01魅国家市场监督管理总局国家标准化管理委员会目次前言IIII范用I2规范性引用文件I3术语和定义I4缩略语25汽车信息安全管理体系要求26信息安全基本要求37信息雉财要求48检瓷与试验方法69同一型式只定1310标准的蚌14的文献15本文件按照GB,T1.1-20204标准化工作3则第1部分：标i化文件的结肉和起草规则S的规定起草.木文件技术内容卷考了联合国技术法规UN

2、R155M关于批准车辆信息安全和信息安全管理体系的统现定？，请注意本文件的某些内容可能涉及专利.本文件的发布机何不承担识别专利的击任，本文件由中华人民共和国工业和信息化都提出并归口。I1.1.汽车整车信息安全技术要求1题本文件规定了汽车信息安全管理体系要求、信息安全基本要求、信息安全技术要求及同一型式判定描述了相应的检查与试验方法.本文件适用于M类、N类及至少装有1个电子控制单元的O类车辆.2挺范性引用文件卜列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件，仅该11期时应的版本适用于本文件；不注11期的引用文件，其最新版本(包括所有的修改单)适用于本文件.G

3、B.T40861汽车信息安全通用技术要求GBfT44373智能网联汽车术语和定义GB.T44464-2024汽车数据通用要求GB444%汽车软件升级通用技术要求3 *iWGB.T4()861,GB.T44373、GB444%界定的以及下列术谱和定义适用于本文件.3.1汽车信总安全vehic1.ecybersecurity汽车的电子电气系统、加件和功能被保护,使其资产不受威胁的状态。来源：GRT40861-20211.j3.2汽车信息安全管理体系cybersecuritymanagenwntSyS1.em;CSMS基于风险的系统方法注：包搞R税流电谢EH哈理，以处理与车驯幽硼林1邠1搬并懒讨痛免

4、受幽攻击，来源：GBT4437320243I1.有修改3.3科risk车辆信息安全不确定性的影响.注：MJQM攻击可行性和影响无示.3.4风险评估riskassessment发现、识别和描述风除，理解风险的性J贞以及确定风险级别，并将风险分析的结果与风险标准进行比较，以确定风险是否可接受的过程。3.5威胁threat可能导致系统、祖生或个人受到损古的意外M件的潜在原因，WNvu1.nerabi1.ity在资产或缓解措施中，可被一个或买个成胁利用的弱点.3.7车戴软件升IB系故on-boardsoftwareupdatesystem安装在车端并具备直接接收、分发和校验来自车外的升拨包等用于实现软

5、件升级功能的软件和硬件。来漏GB44496-20243.123.8在线升级OVCr-IhC-airupdate通过无战方式而不是使用电缆或其他本地连接方式将升级包传输到车辆的软件升级。注1：“僦股”也林“远阳做.滋：“槌燃方式“般插酗车我诊断OBD展口、迎I呻行总缎I1.SB戕等进也怫辨连接加t来瀛GB44496-2024.333.9直线升级off1.ineupdate除在线升级外的软件升级.来源：GB444962024.3.133.10ttfrt*AttBsensitiveperscna1.infinaticn口泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产

6、安全受到严重危害的个人信息.注：倒甜绷J伽逐微、豳U赚物：物识糊维帘也.4下列缩略语适用于本文件。CAN:控制静局域网络(COngnCrAreaNetwork)ECU:电子控制单元(E1.CCgniCContro1.Unit)HSM:埋件安全模块(Hardw三:SecurityModu1.e)NFC:近场通信(NearFie1.dCommunication)OBD:乍我诊断(On-BOardDiagnostics)RFID：射频识别(RadioFrequencyIdentification)USB:通用串行总线(UniVCg1.Seria1.Bus)V1.N:虚拟同域网(VirtUaI1.oc

7、a1.reaNetwork)V1.N:车辆识别代号(VehiC1.CIdentificationNumber)V2X:车辆与车外其他设备之间的无线通值GehiC1.etoEverything)W1.AN:无线局域网(WirdCSS1.oca1.ArcaNetworks)5汽车息安全理体系要求5.1 车辆制造商应具备车辆全生命周期的汽车信息安全管理体系。注：乍辆全生命冏期包括千辆的开发阶段、牛产阶段及后生产阶段，5.2 汽车信息安全管理体系应包括以下内容。建立企业内部管理汽车信息安全的过程，建立识别、阳乩分类、处置车辆信息安全风险及核实已识别风险得到处置的过程,并确保车辆风险评估保持最新状态.建

8、立用于车辆信息安全测试的过程。建立针对车辆的网络攻击、河洛喊胁和漏洞的监测、响应及漏洞上报过程,要求如下：包含漏洞管理机制,明确漏洞收集、分析、报告、处置、发布、上报等活动环开：建立针对网络攻击提供相关数据并进行分析的过程，如通过车辆数据和车辆1志分析和检测网络攻击、喊胁和漏洞：建立确保对网络攻击、网络威胁和漏洞进行持续监控的过程，且车辆纳入监控范用的时间应不晚于车辆注册登记的时间：建立价保己识别的网络攻击、网络威胁和漏洞得到响应，且在时限内得到处置的过程；建立评估所实施的信息安全措施在发现新的网络攻击、网络威胁和漏洞的情况下是否仍然有效的过程.一-建立管理企业与合同供应商、服务提供商、车辆制

9、造商子殂织之间汽车信息安全依赖关系的过程。6值息安全皿竦6.1 车辆产品开发流程应遵衙汽车信息安全管理体系要求.6.2 车辆制造商应识别和管理车辆与供应商相关的风险6.3 车辆制造商应识别车辆的关键要索,对车辆进行风险评估.并管理已识别的风险.注1：砥淬估的范的包含彳晒向各个要装及其相互作用，并进一步考虑与械系统的相互作用。社2关批要素包括但4码!Fff助于车辆安全、环境保护或防盗的要素.以及提供连接柱的系统部件或牵柄架构中对信息安全至关31要的部分等，6. 4乍辆制造商应枭取基于笫7章要求的处巴措施保护车辆不受风险评估中已识别的风险影响。若处置措施与所识别的风险不相关，车辆制造商应说明其不相

10、关性.若处置措施不足以应时所识别的风险，乍辆制造商应实施其他的措脩，并说明其使用措施的合理性.6.5如有专用环境,车辆制造商应采取措施,以保护军辆用于存储和执行后装软件、服务、应用程序或数据的专用环境。注：加沙箱专用环境等，6. 6车辆制造商应通过测试来验证所实施的信息安全措施的有效性.6.7 车话制造商应针对车辆实施相应措施，以确保具符以卜能力：H对不喇络攻击的识别能力；-针对与车辆相美的IM络攻击、网络威胁和漏洞的监测能力及数据取证能力。6.8 车辆制造商应使用公开的、已发布的、有效的密码算法,应根据不同密码券法和业务场景,选择适当的参数和选项.6.9 车辆制造商应满足以下密眄模块要求之一

11、：-采用符合国际、国家或行业标准要求的密码模块；未采用国际、国家或行业标准要求的密码模块，说明使用的合理性。6.10 车辆应果用默认安全设置，如W1.AN的默认连接D令应满足包杂度的要求.6 .H汽车数据处理活动中的数据车内处理、蚁认不收集、精度范树适用、脱敏处理、个人同意及显著告知等要求,应符合GBrr444642024中4.2.2的规定.7 AIJB安全技术姿求7.1 外部连接安全要求7.1.1 通用安全要求7 .1.1.1车端具得远拜控制功能的系统、授权的第三方应用等外部连接系统不应存在由汽车行业权威JW洞平台6个月前公布旦未经处置的高危及以上的安全漏洞.注I：汽车行业权阈W制平台如的网

12、产品专用漏洞昨NVDBCAVI?政府主管部门认可的或他漏洞平台.注2:处置包括消除漏洞,制定诚躅措施等方JG8 .1.1.2车辆应关闭非业务必要的网络端口。7.1.2 远程控制安全襄求7.1.2.1 应对远程控制指令信息进行岚实性和完整性的证。7.1.2.2 应时远程摔制揖令设置访问控制.禁用|1授权的远程控制指令.7.1.2.3 1.2.3应具备记录远程控制指令的安全H志功能，安全H志记录的内容至少包括远程控制指令的时何、发送主体、远程控制对象、操作结果等，留存相关的安全日志应不少于6个月。7.1.2.4 应对车沏具备远程控制功能的娱统进行完整性验证.7.1.3 第三方应用安全要求7.1.3

13、.1 应对授权的第三方应用的真实性和完整性进行脸证.注r第三方应用是指，输摊商及其0城商之夕版其他实体提供的面向用户提供眼物如训程序，包括第三方媒乐刚用工7.1.3.2 应对善授权的第三方应用的安装进行提示.并对已安装的非授权的第三方应用进行访问控制,限制此类应用直接访问系统资源，个人信息等.7.1.4外部按口安全要求7.1.4.1 应对车辆外部接I1.迸行访问控制保护,禁止善授权访问.注：外部接口包掠SB接口、i獭接1.IH成他可直接搠的物?接口7.1.4.2 应对车MUSB接口、SD卡接口接入设备中的文件进行访问控M，仅允许读写指定格式的文件或安装执行指定签名的应用软件.7.1.43车辆应

14、对USB接口接入设备中的病毒风险进行处况。7.I.4.4通过诊断按口向车辆发送关情配置及标定参数的写操作指令时,车辆的采用身份鉴别或Ifj问控制等安全策略，7.2通信安全央求7.2.1 车辆与车辆制造商云平台通信时,应对其通信对象的身份其实性进行脸证。7.2.2 车辆与车辆、路侧单元、移动终辖等进行V2X直连通信时,应进行证书行效性和合法性的验证.7.2.3 车辆陶采用完整性保护机制保护除RFID、NFC之外的外部无线通信通道.7.2.4 车辆应具备时来门乍辆外部通信通道的数据株作指令的访问控制机制.注：来自车辆外部通信通道的数楙操作指令包括（号S注入、数*4燃、故WR!施数据擦除和数索写入等

15、指令.7.2.5 车辆应验证所接收的外部关键指令数据的有效性或唯一性.示例；计对远程控制服务器发送的4粮指令，千端可通过何关皱证该类指令的有效性或用.注I关例指令数据是指可能影响行车和正,产安钠指令数据，包括W不限于军控指令数据，7.2.6 车柄应对向车外发送的收攘个人信息实施保曲性保护措施,.7. 2.7车辆应具备安全机制防御物理操纵攻击，至少具备与外部直接无燃通信的零部件的身份识别机制.注：与外郃存在直接无线通信的零部件包括但彳现于率技信息交互系统等,不包括短距离无线传感器.7.2. 8车辆与外部I1.接无线通信的零部件应具f安全机制防止非授权的特权访问，注：非授权用户UJ能通过调试接口获

16、得系统的根刖户或特权户权限。7.2.9车辆应对内部网络进行区域划分并对区域边界进行防护.车辆内部网络的域请求应进行访问控制，并遵新默认拒绝原则和最小化授权原则.注：区域边界防妒措施包括物理隔黄、逻辑隔离（如果JH臼名第、防火燔、VIAN.7.3. 10车辆应具备识别车辆遹信通道遭受拒绝服分攻击的能力.并对攻击进行相战的处理.注I：对攻击的S回捌攻击数据何曲J城丢弃、必弼敝的自谢短、日志硼乐注2：下硒信通道包括移动蜂海信、V2X.CAN总战、车裁以太网等，7.211. 辆应具爸识别恶意的V2X数据、恶意的诊断数据的能力，并采取保护措施。注：V2X数据包括蹈W单元发送到车辆的数推、车辆与乍辆之间的

17、数据。7. 2.12应具备记录关邃的通信信息安全事件日志的功能，日志存储时长应不少于6个月.注：关键的通信信息安全事件由锦制造商根据冈脍评估力区号果确定，日志ii1.录内容包括本1时间、事件原因等。7.3软件升锻安全要求7.3.1 通用安全要求7.3.1.1车就软件升级系统应通过安全保护机制，保护车载软件开汲系统的可信根、引导加就程序、系统固件不被篡改,或在被篡改后，通过安全保护机制使其无法正常启动.7.3.1.2车我软件升级系统不应存在由汽车行业权成漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞，注1：汽车行业权威漏洞平台如辐眄产丛专用漏洞版UKVD等政府主管部门认可的民他踊洞平台.注

18、2：处罚.刨朝1断洞、制定侬密懒等方式7.12在线升级安全要求7.3.2.1车辆和在线升媛服务器应进行!份认证,险证其身价的真实性，井在卜戢中断修笈时重新验证.注；常见的认证方式包括侧口证书进行身份认证，73.2.2车辆应对下载的升级包进行真实性和完整性物证.7.3.2 .3应对在线升级过程中发生的信息安全事件日志进行记录,日志存储时长应不少于6个月。7.3.3 离我升级安全要求7.3.3.1若车辆使用车或软件升缎系统进行离线升级，:辆应对离线升级包口实性和完整性进行验证。7.3.3.2若车辆不使用车我软件升级系统进行离燃升级，应采取保护措施保证刷写接入她的安全性，或验证升级包的班实性和完整性

19、.7.4盘据安全要求7.4.1 车辆应采取安全访问技术或安全存储技术保护存储的对称密切和非对称密钥中的私钥,防止其被等授权访问和获取。7.4.2 车辆应采取安全访问技术、加密技术或其他安全技术保护存储在车内的陂感个人信息,防止其被非授权访问和我取.7.43 车辆应采取安全防御机制保护存储在车内的V1.N等用F车辆身份识别的数据，防止其被非授权蒯除和修改。注：防止数据被I宝网J球和怪I娇r交全防蒯饰IJ包括安全访问技术、只读技术等.7.44 4乍辆应采取安全防御机制保护存储在车内的关键数据，防止其被非.授权刷除和脩改。注：烟数据包括W励领、安全气囊展开阈价、动力电池参数等关谜配词昔数，以及其他鼻

20、塞运行过程中产生的可能彰响行车安全的数据，7.44.5 辆应采取安全防御机制保护存储在车内的安全日志，防止其被修改和非授权蒯除。7.44.6 辆应具备个人信息捌除功能，该功能可捌除的信息不应包括法律、行政法规、强制性国家标准中规定必须保留的个人信息.7.44.7 辆不应H接向境外传输数据.注：用户使用浏览器访0J三网站、使用通信软件向境外传递消息、自主安装可能导致敌格出境的第：方阿H等用户自主行为不受本条邵聘I。8检青与试方法&1总则检杳及试蛤方法包括汽车信息安全管理体系检杳、班木要求检食和技术要求测试：针时车辆制造商信息安全保障能力相关的文档进行检查，确认车辆制造商满足第5章的要求：一斜对车

21、辆在开发、生产等过程中信息安全相关的文档进行检查,确认测试车辆满足第6章的要求:一一基于车辆所识别的风险以及第7章车辆技术要求处置擀施的相关性，依据8.3确认年辆信息安全技术要求的测试范附，并依据测试范阳开展5试，确认车格湎足笫7章的要求，注：测试范困包括第7章与待测试车辆的适用条款、各运用条款对应的测试对象等.8.2信息安全基本要求检叠&21必堂求8.2.1.1车辆制造商应具备文档来说明车辆在开发、生产等过程的信息安钠况，文档包括提交的文档和砰存备杳的文档。8.2.1.2提交的文档应为中文版本,并至少包含如下内衣：证明车辆满足第6章要求的总结文档：写明文档版本信息的留存的查文档清单.8.2.

22、1.3车辆制造商应以安全的方式在本地他行车护信息安全相关过程文档招变，完成检查后应对用存的查的文档进行防建改处理.2.1.4车柄制造商应对提交和留存备直的文档与车辆的一致性、可追溯性做出自我向明.8.2.2tt三1 .2.2.1检杳年辆制造商提交的文档，确认检查方窠，包括检查范附、检查方式、检行日程、现场检查必要的证明文件清单。8 .2.2.2应依据8.2.2.1确认的检查方案,在车辆制造商现场检查用存备查的信息安全相关过程文档，确认车辆是否满足第6章的要求。8.3值思安全技术要求涌试anRi1.1.涉及无线短距离通信的测试，应保证车辆在无信号干扰的测试环境中进行。&1.29f3SK测试样件包

23、括整车及8.1确定的测试范围中涉及的零部件，应满足以卜要求：一测试样件可正常运行；整车信息安全相关功能处于开启状态：测试过程中,若测试车辆速度大禾）k11h或测试车辆可能发生非预期启动,则将测试车辆置了整车转较试验台或保证车辆安全运行的道路环境中开展测试，&1.3mtX*车精制造商应依据&I确定的测试范I札提供必要的测试输入支持完成测试。&21az1.i测试人员应使用漏洞扫描工具对车辆外部连接系统进行漏洞M描.并将测试结果与汽车行业权威漏洞平台6个月前公布的高危及以上的安全漏洞清单和车辆制造商提供的乍辆外部连接系统漏洞处置方案进行比对，判定车辆是否满足7111的要求.&021.2三务姆的口贻R

24、M测试人员应依据车辆制造商提供的车徜业务端口列表，通过W1.AN、车我以太网、好窝网络等通信通道将测试车辆与扫描测试设备组网使用扫描测试设的测试乍辆所开放的端口,并将测试得到的车柄开放端口列表与车辆业务端口列表进行比对，判定车辆是否满足Z1.1.2的要求.8.3.2.2SW&3221tt三（三tf测试人员应按照以下;则试方法依次开展测试，判定车辆是否满足7.1.21的要求：a）登录车辆远程控制程序账户，测试是否可触发正常的远程车辆控制指令；b）伪造、林改并发送远程东辆控制指令，检查是否可伪造、叙改该令，伏的是否执彳亍谢将令。8.3,2.2.2ssamw测试人员应依据乍辆制造施提供的车辆远程控制

25、指令应用场景和使用权限文件,构造并发送越出权限的远程控制指令，判定车辆是否满足71.2.2的要求.&222.3雉日测试人员应按照以下利试方法依次开展测试,判定是否满足7.1.2.3的要求:II）触发车辆远程控制功能检查是否存在安全日志安全H志记录的内容是否包含远程控制指令的时间、发送主体、远程控制对象、操作结果等信息：b）检查安全日志记录的时间跨度是否不少于6个月或是否具备留存安全日志不少于6个月的能力。&3.22.4测试人员应根据车辆制造商提供的车辆远程控制功能系统完整性验证功能的证明文件.判定车辆是否满足71.2.4的要求。&3.2.3第三方应用安全痂Cax2.i1.测试人员应获取授权的第

26、三方应用使用工具算改其代码.并安装、执行篡改后的授权第三方应用，判定车辆是否满足7.1.3.1的要求。若尊改后的授权第三方应用被限制访问出出访问控制权限的资海.视为应用非正常运行，满足要求.&12.12WeMMK测试人员应按照以下测试方法依次开展测试，判定车捌是否湎足7.1.3.2的要求：a）安装非授权的第三方应用,测试车辆是否进行提示：b）使用已安装的非授权第三方应用访问超出访问控制权限的宽源,测试是否可访问控制权限外的资源.a3.2.4阳班口安全SHCa3.2.4.1Mt口iARfimM测试人员应依据车辆制造商提供的车辆外部接口的总结文档或车辆外部接口清单，使用非授权的用户或工具访问车辆的

27、外部接口，判定军泗是再满足7.1.4.1的要求.&3.242U口、SDM口Watt测试人员应依据车辆制造商提供的USB接口、SD卡接1.I的总结文档或USB接口、SD卡接口支持的文件类型清单，分别在只得USB接口、SD卡接口的移动存储介旗中注入指定格式文件、指定签名的应用软件利其他非指定格式文件和非指定卷名的应用软件,将移动存储介质分别连接到车辆1.SB接口、SD卡接口尝试执行非指定格式文件和非指定签名的应用软件,判定车辆是否满足7.1.4.2的要求.8.3.2.43USB1.SBf1.安全潮试测试人倒应在具备16B接口的移动存储介质中注入病毒文件，物移动存储介质连接到车辆USB接口，尝试执行

28、病毒文件，判定乍柄是否满足7.1.4.3的要求，测试人员应按照以下两种冽试方法中适用的测试方法开展测试，判定车辆是否满足7.1.4.4的要求：a）使用非授权用户或工具在诊断接口发送车辆关键配词及标定参数的写操作指令，测试车纳是否执行该操作指令：b）使用工具在诊断接口发送车辆关键配置及标定参数的写操作指令，测试车辆是否存在访问控制机制,&43BttKt&1云平维僮身份J1.实性IHE安全潮试测试人员应依据乍辆制造商提供的云平台清单及采用的通信协议类型，并按照如下三种测试方法中适用的测试方法开展测试,判定车括是否满足7.21的要求.a）若车辆与车辆制造商云平台采用专用网格或虚拟专用网络环境进行通伯

29、，测试人员应根据企业提供的车辆云平台通信身份真实性的证明文件.确认车辆是否满足72.1的要求.b）若车辆与车辆制造商云平台采用公共网络环境进行通信，且使用公有通信讲议,测试人员应使用网络数据抓包工具进行数据抓包.解析通信报文数据,检查车辆是否对车辆制造商云平台进行身份真实性验证。若采用网络数据抓包工具无法进行数据报包.测试人员应根据企业提供的车辆云平台通信身份真实性的证明文件.确认车辆是否满足721的要求.O若车辆与车辆制造商云平台采用公共网络环境进行通佰，且使用私有通信协议,测试人员应根据企业提供的车辆云平台通信身份直实性的证明文件，确认车辆是否满足7.2.1的要求.8.3. X2V如!侑身

30、份认证安全潮试测试人f应按照以下测试方法依次开展测试，划定车辆是否满足7.2.2的要求：a依照8.3.1.2的要求处置车辆.用测试设备向测试车辆下发合法证书并与测试车辆进行正常通信，泅试乍辆是否能的接收测试设得的R连通信消息；b）分别构造失效证书和身份伪造证书，并向车辆发送通信消息,渊试午辆是否能缈识别失效证书和身份伪造证书.&3通帼9道戒性安全焉试刈试人员应依据乍辆制造商提供的车辆移动择切通佶、W_AN、蓝牙等外部通信通道清单,依次触发车辆外部无线通信数据传输.并使用刈试设备对车辆外部无税通信通道数据进行抓包.检查通道是否采用完整性保护机制，判定车柄是否满足72.3的要求,若使用测试设备无法

31、对车辆移动蜂窝通信的数据进行抓包.测试人员应根据企业提供的车辆移动蜂窝通信通道完整性保护证明文件，判定车辆是否满足7.2.3的要求.ai4渊测试人员应使用非授权身份通过车辆外部通信通道对年辆的数据依次进行超出访问控制机制的操作、消除和写入，检杳是否可操作、清除和写入数据，判定车辆是否满足7.2.4的要求，&5测试人员应依据车辆制造商提供的关键指令数据列式，使用测试设备录制关设指令数据.重新发送录制的指令数据,检查车辆是否做出响应，判定车辆是否满足7.2.5的要求.a3.3.6个人r息保出性安全渊试测试人员应依据车辆制造商提供的车辆向外传输眼感个人信息的功能清单，触发车辆向外传输敏感个人信息的功

32、能，使用车辆制造Ifii提供的端口和访问权限抓取传输的数据包，检杏是否对车辆传输的敏博个人信息进行加密,判定车辆是否满足72.6的要求.63.3.7 Rm1.mMU测试人员应依据车辆制造商提供的测试车辆与外部直接无线通信的零部件清单,使用和测试车辆与外部直接无线通信零部件型号相同但未授权的出部件昔换安装在测试车辆相同的位置，启动车辆，检查零部件是否功能异常或车辆是否有异常部件连接告警，判定车辆是否满足7.2.7的要求，63.3.8 车与外部件命非权特权访问安剑皿测试人员应依据车辆制造商提供的对外直接无线通信零部件系统权限设计方案,并按照以下两种测试方法中适用的测试方法开展测试，判定车辆是否满足

33、7.2.8的要求：a）若系统只存在特权访问的用户,测试是否能非授权登录诳入系统：b）若系统存在或可配汽多种权限用户，依据非特权用户登录系统方式进入系统，使用系统提权方法对非特权用户进行提权，测试进行提权操作后的用户是否能进行特权访问.&3.X9测试人员应依据车辆制造商提供的通信矩阵和访问控制列我样例，并按照以下两种测试方法中适用的测试方法开展测试，判定车辆是否满足7.2.9的要求：a）若使用物理隔面措施，验证车辆制造商提供的物理隔离方案是否有效；b）若使用逻辑隔离措脩,依据车辆制造商提供的边辑班隅策略.发送不符合策略的数据帧.在指定的目的端口，测试是否可按收到不符合策略的数据帧.a3.3.10

34、拒3R务攻击决别防护安韧试测试人员应依照8.31.2的要求处置车辆，使车辆分别处于静止和运动状态，使用拒绝果务攻击测试设在依次攻击车辆移动蜂窝通信、V2X、CAN总戏、车载以太网等通信通道，判定车辆是否满足7.2.10的要求.&aa11测试人员应依照8.3.1.2的要求处说车纳，向华纳发送当前车况非预期的恶意数据，判定车辆是否满足7.2.11的要求.63.3.9 12遍值值息安全日志安全皿测试人员应依据车辆制造商提供的车辆关键通信信息安全事件上I志记录机制及其存储路径.并按照以下测试方法依次开展测试,判定是否满足7.2.12的要求：a）构建并触发车辆关键通信信息安全小件，检衣是否按照关键通信信

35、息安全已件日志记录机制记录该事件：b）检查日志记录的时间聆度是否不少于6个月或是否具备留存日志不少于6个月的能力.a3.4a3.4.11.AJ1.&3.4.1.1测试人员应依据车辆制造商提供的车袋软件升级系统的可信根、引导加我程序、系统固件的安全保护机制的安全证明文件，判定车辆是否满足741.I的要求.I1.1.&a41.2浏试人员应使用漏洞扫描工具对车我软件升级系统进行漏洞扫描，并将测试结果与汽车行业权或漏洞平台6个月前公布的高危及以上的安全漏洞清电和车辆制造商提供的车我软件升级系统漏洞处置方案进行比对，判定车辆是否满足7a1.2的要求.&a42aa421AMMBU2SMK测试人员应依据4第

36、制造商提供的在线升级服务器清单及采用的通信协议类型，并按照以下三种测试方法中适用的测试方法开展测试,判定车辆是否满足7.3.2.1的要求，a）若卡培与在线升级,服务器来用专用网络或虚拟专用网络环境进行通信，测试人员应根据企业提供的在线升级服务器身份认证安全功能的证明文件确认车辆是否满足7.3.2.1的要求.b）若车辆与在骏升级服务器采用公共网络环境进行通信，口使用公有通佶协议，测试人员应使用测试设备进行数据抓包，解析通信报文数据,检查车柄是否对在线升级服务器进行身份真实性验证：中断下载并恢交,使测试设招进行数据抓包，解析通信报文数据,检查是否重新进行身份真实性脸证.并使用测试设备无法进行数据抓

37、包测试人员应收据企业提供的在线升级服务器身份认证安全功能的证明文件，确认乍辆是否满足7.&21的要求，C）若车辆与在线升级服务器采用公共网络环境进行通信,且使用私有通信协议测试人员应根据企业提供的在线升级服务器身份认证安全功能的证明文件,确认车辆是否满足7.3.2.1的要求.ai422测试人员应按照以卜侧试方法依次开展测试判定车利是否满足7.&2.2的要求a）使用车辆制造商提供的正常升级过触发在税升级，测试升或功能是否正常。b）确认在线升级功链正常后，构造真实性和完整性被破坏的升级包，并依据4潮制造商提供的方法和权限，将直实性和完整性被破坏的升级包下载或传输到车端，执行软件升级，测试是否升级成

38、功。若干精的信总安全防护机制不支持将真实性和完整性被破坏的升级包下载或传输到车端，则依据车辆制造商提供的在线升级信息安全防护机制证明文件检查车辆是否满足7.3.2.2的要求。&14.2.3三4HM件日测试人员应按照以下测试方法依次开展测试，判定是否满足7.3.2.3的要求：a）构造升级安全事件,检查是否存在花线升级信息安全事件日志：b）检於日志记录的时间跨度是否不少6个月或是否具备留存日志不少于6个月的能力,&143myeMaa43k1测试人员应分别构造被伪造、被算改的升级包使用离线升级工具将该升级包卜凝成传输到车载瑞，执行离战升线，判定车辆是否满足731的要求，&3432不使用率峥件刑图蜘1

39、州攸全耨K测试人员应按照如下测试方法中适用的测试方法开展测试，判定乍辆是否满足73.3.2的要求:a）将非认证的刷写接入端接入车辆刷写接口并执行离线升级，测试车辆是否能识别非认证的刷写接入地：b）分别构造被伪造、被纵改的升级包，使用刷写接入端接入车辆刷号接口,执行周线升级，测试是否执行升级或升级是否成功.&3.5ai5i8mmm测武人员应依据车辆密码使用方案，确认测试零部件，并按照以下三种测试方法中适用的测试方法开展测试，判定车辆是否满足7.4J的要求：a）若采取安全访问技术存储密钥.通过零部件访问接口进行破解、提取等攻击操作,测试是否可对密钥北授权访问和换取；b）若来取HSM等硬件安全模块存

40、储密钥，应依据硬件安全模块安装位置说明文档，检杳车辆是否在文档标识位置安袋了硬件安全模块来保护密钥：O若采取安全的软件存储形式存谛密钥应依据车辆制造商提供的保证车辆客钥安全存储证明文件，检杳是否安全存储密钥&a2人倒息防泄安全禽试测试人员应依据敏感个人信息功能消项和存储地址清单，确认测试零部件,依次触发车辆记录敏感个人信息的功能,并按照以下测试方法依次开展测试，判定车辆是否满足7.4.2的要求：a）若采用安全访问技术保护存储的敏感个人信息，依据敛憾个人信息存偌区域和地址范旭说明，通过零部件调试接口，使用未添加访问控制权限的用户访问存储的敏塔个人信息，测试是否能让授权访问技感个人信息；b若采取加

41、密技术保护存储的敏塔个人信息，依据敏塔个人信息存储区域和地址范树说明，通过零部件调试接口，使用软件分析工具提取存储的敏感个人信息，测试是否为密文存储：C）依次触发车辆记录板感个人信息的功能,然后依据系统量录方式进入系统,对测试零部件进行限想个人信息依索，测试是否可依索出不在收那个人信息功能清单和存储地址清单中存储的敬淳个人信息.ai53KA三JMHMmnMmiKWK测试人员应依据车辆内存储的VIN等用于车辆身份识别的数据清单及存佬地址，确定测试零部件，使用软件分析工具非授权删除和修改存储在车辆内的V1.N等用于车辆身份识别的数据，判定车辆是否满足71.3的要求.a3.5.4测试人员应依据车辆内

42、存储的关键数据清单及存谛的地址，确定测试零部件，通过零部件调试接口使用软件分析工具蟋改存储在车内的关键数据.判定车辆是否满足74.4的要求.a3.5.5日DM2测试人员应依据乍辆内存储的安全日志清单及存储的地址,确定测试零部件,并按照以下测试方法依次开展测试，判定车辆是否满足工4.5的要求：a）依据车辆内存储的安全日志清单及存储的地址,通过零部件调试接口,修改安全日志文件.冽试是否可修改安全日志文件：b）依据车辆内存储的安全日志济弟及存储的地址,通过零部件调试接【3使用状件分析工具测试有可非授权删除安全日志文件.&3.S.6个人信息清*加B试方法测试人员应使用冽试车辆个人信息清除功能，确认测试

43、零部件，依次触发车辆记录个人信刖的功ffe,清除车辆内存储的个人信息，依据车辆制造商提供的车幕内右:储的个人信息清单及存储的地址，通过零部件调试接U检索,检查个人信息是否被完全删除判定车辆是否满足7.4.6的要求.8.3.6.7Rmmamj测试人员应开启车辆全部移动蛭窝通信通道和W1.AN通信通道,依次模拟测试车辆处于未卜.电、仅上电、各项预装的数据传怆功能正常启用的状态，并使用网络数据抵包工具对对外通伯网络通道同时抓包，且总抓包时长不少于3600s,包析通信报文数据,检查目的IP地址中是否包含境外IP地址，判定车辆是否涵足71.7的要求。9m-ahw9.1 信融安全亶技视同判定条件如符合下述

44、规定，则视为同一型式：一汽车信息安全管理体系有效：车辆整车电子电气架构相同且信息安全处置措施相同：下辆中央网关的便件型号和软件版本号（不影响信息安全的除外）相同：乍辆车或软件升级系统现件型号和软件版本号（不影响信息安全的除外）相同：一一车辆具备蜂窝移动通信系统功能的零部件硬件型号和软件版本号（不影响信息安全的除外）相同：乍辆无税通信方式所使用的仍议类型、协议版本、接口类里、接口数盘相同或收少：注：耀通信方式包含W1.AN、普牙、NTC、眸岚通信、V2X等,车帮外部接口的类型、数显相同或战少：一-与车辆直接连接弁产生数据交互的车辆生产企业云平台IP地址或域名相同.9.2 倍患安金MiC1.g视同

45、判定条件如车里发生涉及9.1的变更,在符合下述规定时，仪需对变更参数相关的技术要求进行补充测试.经审批许可后获JtI扩展：汽车信息安全管理体系有效：车辆整车电子电气架构相同且信息安全处置措施相同；下柄无线通信方式所使用的协议类型和接口类鞭相同或及少：-4辆外部接I的类型相同或减少.9.3如符合下述规定，则视为同一型式：车辆匿名化算:法生产企业和版本相同：一一车辆实现匿名化尊法的控制器埋件型号、软件版本号（不影响匿名化处理策略除外）和生产企业相同：乍辆用于实现匿名化功能相关的执像头等采集设各硬件型号、主要参数配置（采样分册率、采样视场角、采样帧率）和生产企业相同：车辆匿名化功能触发规则相同.10对于新申请型式批准的车型,自本文件实施之日起开始执行.对于已获得型式批准的车型,自本文件实施之H起第25个月开始执行.GB4449S2ft24参考文献(1UNR1.55关于枇准车辆信息安全和信息安全管理体系的统一规定15