隨著汽車智能化���、網(wǎng)聯(lián)化的不斷發(fā)展與應用��,車輛的信息安全問題日益嚴峻����,一旦遭受網(wǎng)絡攻擊則可能導致用戶個人信息泄露及遠程入侵控車等嚴重后果����,影響車輛用戶的信息、財產(chǎn)����、生命等多方面安全,甚至危害社會與國家安全���。因此����,制定汽車信息安全強制性技術標準已成為我國發(fā)展智能網(wǎng)聯(lián)汽車的必然要求���。GB 44495-2024《汽車整車信息安全技術要求》是由工業(yè)和信息化部提出并歸口的強制性國家標準�����,由國家市場監(jiān)督管理總局���、國家標準化管理委員會于2024年8月23日批準發(fā)布(國家標準公告2024年第18號文),并將于2026年1月1日起正式實施�。標準規(guī)定了汽車信息安全管理體系要求、信息安全基本要求�����、信息安全技術要求及同一型式判定��,描述了相應的檢查與試驗方法��。適用于M類���、N類及至少裝有1個電子控制單元的O類車輛�。汽車信息安全:汽車的電子電氣系統(tǒng)����、組件和功能被保護,使其資產(chǎn)不受威脅的狀態(tài)(來源于《GB/T 40861-2021 汽車信息安全通用技術要求》)��。汽車信息安全管理體系:包括組織流程���、責任和治理�����,以處理與車輛網(wǎng)絡威脅相關的風險并保護車輛免受網(wǎng)絡攻擊(來源于《GB/T 44373-2024 智能網(wǎng)聯(lián)汽車:術語與定義》)����。
車輛制造商應具備車輛全生命周期的汽車信息安全管理體系,車輛產(chǎn)品開發(fā)流程應遵循汽車信息安全管理體系����,針對風險識別、管理�、評估的組織流程、責任和治理措施對車輛制造商提出了明確的要求�。針對遠程入侵、近距離攻擊��、用戶側(cè)接觸攻擊等智能網(wǎng)聯(lián)汽車典型攻擊場景��,在外部連接���、通信安全技術���、軟件升級安全、數(shù)據(jù)安全等方面提出明確要求����。
(1)外部連接安全要求
GB 44495-2024首先強調(diào)了對外部連接安全性的防護���,旨在防止攻擊者通過外部連接侵入汽車系統(tǒng),從而避免敏感數(shù)據(jù)泄露��、未授權訪問及惡意攻擊���,確保汽車業(yè)務的持續(xù)運行與穩(wěn)定性。測試的主要對象包括TBOX�、工業(yè)以太網(wǎng)接口、Wi-Fi接口�、關鍵零部件的固件、第三方應用程序�����、APP����、USB接口以及CAN診斷接口等。
(2)通信安全技術要求
通信網(wǎng)絡是現(xiàn)代社會數(shù)據(jù)傳輸?shù)暮诵?����,在車輛行駛過程中,與外界設備的數(shù)據(jù)交互離不開通信網(wǎng)絡的支持����。當前,通信安全面臨著黑客攻擊�����、病毒傳播和數(shù)據(jù)泄露等日益復雜的威脅�,這些威脅不僅可能導致企業(yè)經(jīng)濟損失,還可能威脅國家安全和社會穩(wěn)定��。因此����,將通信安全納入GB信息安全標準,是構建全方位�、多層次信息安全防護網(wǎng)的重要舉措,旨在確保信息系統(tǒng)的穩(wěn)定運行和數(shù)據(jù)的安全傳輸��。主要的測試對象包括網(wǎng)絡通信協(xié)議���、WLAN���、藍牙��、V2X通信����、射頻鑰匙和OBD接口等�����。
(3)軟件升級安全要求
軟件升級是提升系統(tǒng)性能���、修復漏洞和改善用戶體驗的關鍵方式,但升級過程也可能引入安全風險���,如系統(tǒng)不穩(wěn)定����、數(shù)據(jù)丟失或被惡意軟件利用��,威脅系統(tǒng)安全����。攻擊者可能通過偽裝升級包或在升級時竊取信息來發(fā)動攻擊。因此����,確保軟件升級的安全性對于抵御外部威脅�����、保護系統(tǒng)安全極為重要�。主要測試對象包括車載軟件升級系統(tǒng)的ECU���、網(wǎng)絡通信協(xié)議�、升級包和升級日志等�����。
(4)數(shù)據(jù)安全要求
車內(nèi)數(shù)據(jù)的安全不僅關乎個人隱私保護�,確保駕乘人員的敏感信息不被泄露和濫用,還直接關系到行車安全����,因為關鍵參數(shù)的任意修改可能導致嚴重的后果。隨著汽車信息化的不斷進步���,數(shù)據(jù)在其全生命周期中的安全性變得越來越重要�。網(wǎng)絡攻擊、數(shù)據(jù)泄露和內(nèi)部誤操作等安全事件頻發(fā)�����,對個人隱私����、企業(yè)運營和國家安全構成了嚴重威脅。因此�����,強化數(shù)據(jù)安全保護對于提供可靠的信息安全保障和確保車輛關鍵參數(shù)安全至關重要�����。GB 44495-2024標準中��,數(shù)據(jù)安全部分的主要測試對象包括IVI��、TBOX�����、網(wǎng)關和ADAS域控制器等關鍵車內(nèi)組件�����。
易鼎豐已建立了功能安全�、信息安全、ASPICE融合的開發(fā)生產(chǎn)流程體系����,打造符合信息安全的智能網(wǎng)聯(lián)汽車核心電控系統(tǒng)技術底座,助力整車企業(yè)滿足國家標準要求���,為智能網(wǎng)聯(lián)汽車信息安全產(chǎn)業(yè)高質(zhì)量發(fā)展貢獻力量�����。 
