隨著汽車智能化��、網(wǎng)聯(lián)化的不斷發(fā)展與應(yīng)用,車輛的信息安全問(wèn)題日益嚴(yán)峻�,一旦遭受網(wǎng)絡(luò)攻擊則可能導(dǎo)致用戶個(gè)人信息泄露及遠(yuǎn)程入侵控車等嚴(yán)重后果����,影響車輛用戶的信息、財(cái)產(chǎn)��、生命等多方面安全�����,甚至危害社會(huì)與國(guó)家安全��。因此�����,制定汽車信息安全強(qiáng)制性技術(shù)標(biāo)準(zhǔn)已成為我國(guó)發(fā)展智能網(wǎng)聯(lián)汽車的必然要求。GB 44495-2024《汽車整車信息安全技術(shù)要求》是由工業(yè)和信息化部提出并歸口的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)���,由國(guó)家市場(chǎng)監(jiān)督管理總局�、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)于2024年8月23日批準(zhǔn)發(fā)布(國(guó)家標(biāo)準(zhǔn)公告2024年第18號(hào)文)��,并將于2026年1月1日起正式實(shí)施����。標(biāo)準(zhǔn)規(guī)定了汽車信息安全管理體系要求���、信息安全基本要求、信息安全技術(shù)要求及同一型式判定��,描述了相應(yīng)的檢查與試驗(yàn)方法����。適用于M類、N類及至少裝有1個(gè)電子控制單元的O類車輛��。汽車信息安全:汽車的電子電氣系統(tǒng)��、組件和功能被保護(hù)����,使其資產(chǎn)不受威脅的狀態(tài)(來(lái)源于《GB/T 40861-2021 汽車信息安全通用技術(shù)要求》)。汽車信息安全管理體系:包括組織流程���、責(zé)任和治理����,以處理與車輛網(wǎng)絡(luò)威脅相關(guān)的風(fēng)險(xiǎn)并保護(hù)車輛免受網(wǎng)絡(luò)攻擊(來(lái)源于《GB/T 44373-2024 智能網(wǎng)聯(lián)汽車:術(shù)語(yǔ)與定義》)��。
車輛制造商應(yīng)具備車輛全生命周期的汽車信息安全管理體系,車輛產(chǎn)品開發(fā)流程應(yīng)遵循汽車信息安全管理體系�����,針對(duì)風(fēng)險(xiǎn)識(shí)別�����、管理��、評(píng)估的組織流程���、責(zé)任和治理措施對(duì)車輛制造商提出了明確的要求。針對(duì)遠(yuǎn)程入侵、近距離攻擊��、用戶側(cè)接觸攻擊等智能網(wǎng)聯(lián)汽車典型攻擊場(chǎng)景��,在外部連接��、通信安全技術(shù)����、軟件升級(jí)安全、數(shù)據(jù)安全等方面提出明確要求��。
(1)外部連接安全要求
GB 44495-2024首先強(qiáng)調(diào)了對(duì)外部連接安全性的防護(hù)�,旨在防止攻擊者通過(guò)外部連接侵入汽車系統(tǒng)�,從而避免敏感數(shù)據(jù)泄露�、未授權(quán)訪問(wèn)及惡意攻擊�����,確保汽車業(yè)務(wù)的持續(xù)運(yùn)行與穩(wěn)定性�����。測(cè)試的主要對(duì)象包括TBOX、工業(yè)以太網(wǎng)接口、Wi-Fi接口�����、關(guān)鍵零部件的固件����、第三方應(yīng)用程序�����、APP�、USB接口以及CAN診斷接口等����。
(2)通信安全技術(shù)要求
通信網(wǎng)絡(luò)是現(xiàn)代社會(huì)數(shù)據(jù)傳輸?shù)暮诵?��,在車輛行駛過(guò)程中��,與外界設(shè)備的數(shù)據(jù)交互離不開通信網(wǎng)絡(luò)的支持。當(dāng)前�,通信安全面臨著黑客攻擊����、病毒傳播和數(shù)據(jù)泄露等日益復(fù)雜的威脅�,這些威脅不僅可能導(dǎo)致企業(yè)經(jīng)濟(jì)損失��,還可能威脅國(guó)家安全和社會(huì)穩(wěn)定����。因此���,將通信安全納入GB信息安全標(biāo)準(zhǔn)�����,是構(gòu)建全方位、多層次信息安全防護(hù)網(wǎng)的重要舉措�,旨在確保信息系統(tǒng)的穩(wěn)定運(yùn)行和數(shù)據(jù)的安全傳輸����。主要的測(cè)試對(duì)象包括網(wǎng)絡(luò)通信協(xié)議����、WLAN、藍(lán)牙�、V2X通信、射頻鑰匙和OBD接口等����。
(3)軟件升級(jí)安全要求
軟件升級(jí)是提升系統(tǒng)性能、修復(fù)漏洞和改善用戶體驗(yàn)的關(guān)鍵方式����,但升級(jí)過(guò)程也可能引入安全風(fēng)險(xiǎn),如系統(tǒng)不穩(wěn)定�����、數(shù)據(jù)丟失或被惡意軟件利用���,威脅系統(tǒng)安全�����。攻擊者可能通過(guò)偽裝升級(jí)包或在升級(jí)時(shí)竊取信息來(lái)發(fā)動(dòng)攻擊。因此�,確保軟件升級(jí)的安全性對(duì)于抵御外部威脅�����、保護(hù)系統(tǒng)安全極為重要���。主要測(cè)試對(duì)象包括車載軟件升級(jí)系統(tǒng)的ECU、網(wǎng)絡(luò)通信協(xié)議��、升級(jí)包和升級(jí)日志等�����。
(4)數(shù)據(jù)安全要求
車內(nèi)數(shù)據(jù)的安全不僅關(guān)乎個(gè)人隱私保護(hù),確保駕乘人員的敏感信息不被泄露和濫用��,還直接關(guān)系到行車安全,因?yàn)殛P(guān)鍵參數(shù)的任意修改可能導(dǎo)致嚴(yán)重的后果��。隨著汽車信息化的不斷進(jìn)步����,數(shù)據(jù)在其全生命周期中的安全性變得越來(lái)越重要����。網(wǎng)絡(luò)攻擊�����、數(shù)據(jù)泄露和內(nèi)部誤操作等安全事件頻發(fā)����,對(duì)個(gè)人隱私�、企業(yè)運(yùn)營(yíng)和國(guó)家安全構(gòu)成了嚴(yán)重威脅。因此����,強(qiáng)化數(shù)據(jù)安全保護(hù)對(duì)于提供可靠的信息安全保障和確保車輛關(guān)鍵參數(shù)安全至關(guān)重要。GB 44495-2024標(biāo)準(zhǔn)中��,數(shù)據(jù)安全部分的主要測(cè)試對(duì)象包括IVI����、TBOX、網(wǎng)關(guān)和ADAS域控制器等關(guān)鍵車內(nèi)組件��。
易鼎豐已建立了功能安全、信息安全����、ASPICE融合的開發(fā)生產(chǎn)流程體系,打造符合信息安全的智能網(wǎng)聯(lián)汽車核心電控系統(tǒng)技術(shù)底座�����,助力整車企業(yè)滿足國(guó)家標(biāo)準(zhǔn)要求����,為智能網(wǎng)聯(lián)汽車信息安全產(chǎn)業(yè)高質(zhì)量發(fā)展貢獻(xiàn)力量����。 
