隨著汽車智能化、網(wǎng)聯(lián)化的不斷發(fā)展與應(yīng)用,車輛的信息安全問題日益嚴(yán)峻,一旦遭受網(wǎng)絡(luò)攻擊則可能導(dǎo)致用戶個人信息泄露及遠(yuǎn)程入侵控車等嚴(yán)重后果�����,影響車輛用戶的信息��、財產(chǎn)����、生命等多方面安全����,甚至危害社會與國家安全。因此,制定汽車信息安全強(qiáng)制性技術(shù)標(biāo)準(zhǔn)已成為我國發(fā)展智能網(wǎng)聯(lián)汽車的必然要求�。GB 44495-2024《汽車整車信息安全技術(shù)要求》是由工業(yè)和信息化部提出并歸口的強(qiáng)制性國家標(biāo)準(zhǔn),由國家市場監(jiān)督管理總局�、國家標(biāo)準(zhǔn)化管理委員會于2024年8月23日批準(zhǔn)發(fā)布(國家標(biāo)準(zhǔn)公告2024年第18號文),并將于2026年1月1日起正式實施��。標(biāo)準(zhǔn)規(guī)定了汽車信息安全管理體系要求��、信息安全基本要求���、信息安全技術(shù)要求及同一型式判定,描述了相應(yīng)的檢查與試驗方法�����。適用于M類��、N類及至少裝有1個電子控制單元的O類車輛���。汽車信息安全:汽車的電子電氣系統(tǒng)�、組件和功能被保護(hù)���,使其資產(chǎn)不受威脅的狀態(tài)(來源于《GB/T 40861-2021 汽車信息安全通用技術(shù)要求》)�����。汽車信息安全管理體系:包括組織流程����、責(zé)任和治理,以處理與車輛網(wǎng)絡(luò)威脅相關(guān)的風(fēng)險并保護(hù)車輛免受網(wǎng)絡(luò)攻擊(來源于《GB/T 44373-2024 智能網(wǎng)聯(lián)汽車:術(shù)語與定義》)��。
車輛制造商應(yīng)具備車輛全生命周期的汽車信息安全管理體系���,車輛產(chǎn)品開發(fā)流程應(yīng)遵循汽車信息安全管理體系�,針對風(fēng)險識別�����、管理���、評估的組織流程���、責(zé)任和治理措施對車輛制造商提出了明確的要求。針對遠(yuǎn)程入侵���、近距離攻擊���、用戶側(cè)接觸攻擊等智能網(wǎng)聯(lián)汽車典型攻擊場景���,在外部連接、通信安全技術(shù)�、軟件升級安全、數(shù)據(jù)安全等方面提出明確要求�����。
(1)外部連接安全要求
GB 44495-2024首先強(qiáng)調(diào)了對外部連接安全性的防護(hù)��,旨在防止攻擊者通過外部連接侵入汽車系統(tǒng)��,從而避免敏感數(shù)據(jù)泄露�����、未授權(quán)訪問及惡意攻擊�,確保汽車業(yè)務(wù)的持續(xù)運行與穩(wěn)定性���。測試的主要對象包括TBOX����、工業(yè)以太網(wǎng)接口、Wi-Fi接口���、關(guān)鍵零部件的固件��、第三方應(yīng)用程序��、APP��、USB接口以及CAN診斷接口等�����。
(2)通信安全技術(shù)要求
通信網(wǎng)絡(luò)是現(xiàn)代社會數(shù)據(jù)傳輸?shù)暮诵?���,在車輛行駛過程中���,與外界設(shè)備的數(shù)據(jù)交互離不開通信網(wǎng)絡(luò)的支持��。當(dāng)前���,通信安全面臨著黑客攻擊、病毒傳播和數(shù)據(jù)泄露等日益復(fù)雜的威脅�,這些威脅不僅可能導(dǎo)致企業(yè)經(jīng)濟(jì)損失�����,還可能威脅國家安全和社會穩(wěn)定��。因此��,將通信安全納入GB信息安全標(biāo)準(zhǔn)�����,是構(gòu)建全方位���、多層次信息安全防護(hù)網(wǎng)的重要舉措��,旨在確保信息系統(tǒng)的穩(wěn)定運行和數(shù)據(jù)的安全傳輸��。主要的測試對象包括網(wǎng)絡(luò)通信協(xié)議����、WLAN、藍(lán)牙��、V2X通信�����、射頻鑰匙和OBD接口等。
(3)軟件升級安全要求
軟件升級是提升系統(tǒng)性能�����、修復(fù)漏洞和改善用戶體驗的關(guān)鍵方式�,但升級過程也可能引入安全風(fēng)險,如系統(tǒng)不穩(wěn)定����、數(shù)據(jù)丟失或被惡意軟件利用,威脅系統(tǒng)安全���。攻擊者可能通過偽裝升級包或在升級時竊取信息來發(fā)動攻擊���。因此,確保軟件升級的安全性對于抵御外部威脅�、保護(hù)系統(tǒng)安全極為重要。主要測試對象包括車載軟件升級系統(tǒng)的ECU���、網(wǎng)絡(luò)通信協(xié)議��、升級包和升級日志等����。
(4)數(shù)據(jù)安全要求
車內(nèi)數(shù)據(jù)的安全不僅關(guān)乎個人隱私保護(hù),確保駕乘人員的敏感信息不被泄露和濫用��,還直接關(guān)系到行車安全���,因為關(guān)鍵參數(shù)的任意修改可能導(dǎo)致嚴(yán)重的后果�����。隨著汽車信息化的不斷進(jìn)步��,數(shù)據(jù)在其全生命周期中的安全性變得越來越重要����。網(wǎng)絡(luò)攻擊��、數(shù)據(jù)泄露和內(nèi)部誤操作等安全事件頻發(fā)�����,對個人隱私�、企業(yè)運營和國家安全構(gòu)成了嚴(yán)重威脅�����。因此,強(qiáng)化數(shù)據(jù)安全保護(hù)對于提供可靠的信息安全保障和確保車輛關(guān)鍵參數(shù)安全至關(guān)重要�。GB 44495-2024標(biāo)準(zhǔn)中,數(shù)據(jù)安全部分的主要測試對象包括IVI����、TBOX、網(wǎng)關(guān)和ADAS域控制器等關(guān)鍵車內(nèi)組件�����。
易鼎豐已建立了功能安全�����、信息安全�、ASPICE融合的開發(fā)生產(chǎn)流程體系,打造符合信息安全的智能網(wǎng)聯(lián)汽車核心電控系統(tǒng)技術(shù)底座����,助力整車企業(yè)滿足國家標(biāo)準(zhǔn)要求,為智能網(wǎng)聯(lián)汽車信息安全產(chǎn)業(yè)高質(zhì)量發(fā)展貢獻(xiàn)力量�����。 
