強制性國標！上?？匕矃⒕帯镀囌囆畔踩夹g要求》正式發(fā)布

8月23日，上?？匕矃⒕幍摹禛B 44495-2024 汽車整車信息安全技術要求》正式發(fā)布，標準將于2026年1月1日正式實施。

汽車整車信息安全技術要求

《汽車整車信息安全技術要求》由工業(yè)和信息化部歸口，委托全國汽車標準化技術委員會智能網(wǎng)聯(lián)汽車分會執(zhí)行。上?？匕苍趦?nèi)的汽車科技領域企業(yè)、主機廠、Tier1、高校院所、機構中心等單位聯(lián)合參與編制。

該標準是我國針對智能網(wǎng)聯(lián)汽車信息安全制定的強制性國家標準，基于當前汽車行業(yè)發(fā)展現(xiàn)狀和管理需求自主制定，旨在提升智能網(wǎng)聯(lián)汽車信息安全能力，保障汽車網(wǎng)絡安全、個人隱私與數(shù)據(jù)安全。

標準涵蓋信息安全管理體系建設、車輛信息安全要求、安全技術要求、測試驗證方法等內(nèi)容，對汽車整車信息安全和數(shù)據(jù)安全能力提出更符合我國發(fā)展現(xiàn)狀的嚴格要求，同時也為車企開展網(wǎng)絡安全及信息安全建設提供有效指導。

標準網(wǎng)址：https://std.samr.gov.cn/gb/search/gbDetailed?id=208DEC46F6B347EEE06397BE0A0AA4A0

汽車網(wǎng)絡安全解決方案

隨著汽車發(fā)展向智能化、網(wǎng)聯(lián)化走深走實，車輛搭載的關鍵代碼規(guī)模與電子控制單元數(shù)量大幅增長，導致汽車受到信息安全攻擊的風險與日俱增。近年來頻發(fā)的汽車信息安全事件加劇了社會各界對于智能汽車發(fā)展的擔憂。上?？匕仓铝τ陂L期攻堅智能網(wǎng)聯(lián)汽車關鍵核心技術，提出并建設了一系列汽車整車及核心零部件全方位網(wǎng)絡安全保障方案，在汽車產(chǎn)業(yè)轉型升級進程中取得了突破性成效。

滿足多項標準法規(guī)的研發(fā)咨詢服務

《汽車整車信息安全技術要求》的發(fā)布實施有助于應對智能網(wǎng)聯(lián)汽車信息技術快速發(fā)展帶來的安全挑戰(zhàn)。作為參編單位之一，上?？匕蔡峁M足《汽車整車信息安全技術要求》、WP.29 R155/R156、ISO/SAE 21434等標準法規(guī)的開發(fā)設計咨詢服務。

《汽車整車信息安全技術要求》標準咨詢

WP.29 R155/R156法規(guī)咨詢

ISO/SAE 21434汽車信息安全標準咨詢

汽車信息安全實驗室建設咨詢

覆蓋汽車全生命周期的網(wǎng)絡安全解決方案

智能網(wǎng)聯(lián)汽車的發(fā)展帶來了網(wǎng)絡安全諸多新的挑戰(zhàn)，涉及從開發(fā)設計到運營生產(chǎn)等汽車全生命周期的各個階段。為應對這些挑戰(zhàn)，需要采取全方位的網(wǎng)絡安全防護措施，上?？匕蔡峁└采w汽車全生命周期各個階段的汽車網(wǎng)絡安全風險管理整體解決方案。

上?？匕财嚾芷诰W(wǎng)絡安全風險管理

01概念階段

支持TARA分析服務和汽車網(wǎng)絡安全工程咨詢服務

◆ 遵循ISO/SAE 21434中的TARA分析流程，對整車及零部件，進行資產(chǎn)識別、威脅場景識別、攻擊路徑分析、風險評級等，最終得出安全目標和安全需求。

02開發(fā)階段

支持汽車網(wǎng)絡安全開發(fā)服務

◆ 支持安全啟動功能開發(fā)

在啟動時，通過HSM/TEE對bootloader、系統(tǒng)鏡像、應用代碼進行校驗，防止固件被篡改。

◆ 支持安全存儲功能開發(fā)

利用HSM/TEE的密碼服務對敏感數(shù)據(jù)（如密鑰）進行安全存儲，保證數(shù)據(jù)的真實性和機密性。

◆ 支持安全通信功能開發(fā)

- 基于HSM/TEE功能，對通信數(shù)據(jù)進行非對稱加密、對稱加密、消息驗證碼生成及校驗等密碼學計算，保證數(shù)據(jù)的機密性、完整性、真實性；

- 支持開發(fā)SecOC、TLS等標準的安全通信協(xié)議，同時提供私有安全通信流程的適配及設計。

◆ 支持安全診斷功能開發(fā)

支持UDS 0x27,0x29服務的設計及開發(fā)。

◆ 支持安全刷寫功能開發(fā)

結合HSM/TEE，對UDS刷寫過程進行加密及消息驗證碼校驗，保證過程的真實性、保密性及完整性。

◆ 支持安全日志功能開發(fā)

對日志的完整性和真實性進行防護，基于HSM/TEE提供的密碼算法對數(shù)據(jù)進行認證，保證日志數(shù)據(jù)的完整性和真實性。

◆ 支持藍牙鑰匙系統(tǒng)的開發(fā)

設計基于HSM/TEE的安全通信流程，開發(fā)汽車藍牙鑰匙系統(tǒng)。

03運營階段

支持OTA的簽名驗簽安全、車載入侵檢測防護與車輛安全運營監(jiān)控

◆ SmartRocket PKI-SINGER 基于車聯(lián)網(wǎng)的公鑰基礎設施及軟件簽名系統(tǒng)

能夠構建企業(yè)自有的公鑰基礎設施系統(tǒng)，用于生成/審核/頒發(fā)/管理證書及產(chǎn)生密鑰；同時數(shù)字簽名系統(tǒng)對接企業(yè)的軟件發(fā)布系統(tǒng)，自動實現(xiàn)數(shù)字簽名。

◆ IDPS 車載入侵檢測防護系統(tǒng)

提供CAN、以太網(wǎng)等車載網(wǎng)絡流量入侵檢測探針、主機入侵檢測探針、入侵檢測管理模塊以及入侵檢測上傳模塊。實現(xiàn)車端攻擊事件的檢測及上報?？稍诓煌?a target="_blank">MCU、MPU上進行部署及功能裁剪，支持Linux、Android、QNX系統(tǒng)適配。

◆ VSOC 車輛安全運營中心

支持平臺數(shù)據(jù)總覽、安全事件實時監(jiān)控、高靈活性配置、漏洞管理與風險處置。

04全生命周期

具備汽車網(wǎng)絡安全攻防演練靶場

◆ 該靶場支持針對實車、半實物臺架及全虛擬場景的測試或仿真測試。

◆ 可實現(xiàn)攻擊方法及安全措施測試、攻擊場景分析與復現(xiàn)。

◆ 為網(wǎng)絡安全相關研究人員培訓提供硬件支持。

汽車網(wǎng)絡安全測試實驗室建設能力

除產(chǎn)品及功能開發(fā)服務，上?？匕策€建立了汽車網(wǎng)絡安全測試實驗室，包含兩款標準化的測試工具，能夠針對整車、零部件、APP等對象，開展?jié)B透測試、合規(guī)測試及符合性測試。

◆ 滲透測試

涉及汽車相關的CAN、以太網(wǎng)、WIFI、藍牙、應用、硬件等11個模塊，目前積累200+滲透測試用例。

◆ 合規(guī)測試

- 支持GB 44495-2024《汽車整車信息安全技術要求》

- 支持GB/T 40855-2021《電動汽車遠程服務與管理系統(tǒng)信息安全技術要求及試驗方法》

- 支持GB/T 40856 《車載信息交互系統(tǒng)信息安全技術要求及試驗方法》

- 支持GB/T 40857 《汽車網(wǎng)關信息安全技術要求及試驗方法》

- 支持《智能網(wǎng)聯(lián)汽車 數(shù)據(jù)通用要求》（征求意見稿）

- 支持R155 Cyber security and cyber security management system

◆ 符合性測試

針對被測對象的安全需求進行測試用例設計及測試，驗證被測對象的安全需求是否得到滿足，以及安全開發(fā)方案是否合理。

標準化測試工具展示

SmartRocket BlitzFuzz工業(yè)互聯(lián)網(wǎng)協(xié)議模糊測試工具，可針對車載總線及車聯(lián)網(wǎng)協(xié)議的自動化智能黑盒模糊滲透測試工具，提供各種故障注入功能，能夠有效發(fā)現(xiàn)并修復智能網(wǎng)聯(lián)汽車通信系統(tǒng)中潛在的安全缺陷。通過自動化、系統(tǒng)化、智能化的模糊滲透測試方法，提高智能網(wǎng)聯(lián)汽車安全性。

SmartRocket PeneX汽車網(wǎng)絡安全測試系統(tǒng)，支持對整車及車輛零部件及子系統(tǒng)實施網(wǎng)絡安全測試，包含硬件安全、軟件系統(tǒng)安全、通信安全、數(shù)據(jù)安全四大安全測試系統(tǒng)；支持合規(guī)性測試，包含國內(nèi)外的法規(guī)及標準；提供實驗室部署方案及便攜式工具箱方案，可按需靈活選擇。

智能網(wǎng)聯(lián)汽車作為國家戰(zhàn)略性新興產(chǎn)業(yè)，切實保障其網(wǎng)絡與信息安全，對維護國家安全具有重大意義。未來，上?？匕矊⒊掷m(xù)聚焦汽車領域安全保障與技術創(chuàng)新，助力我國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質量發(fā)展，加快建設汽車強國。

審核編輯 黃宇