《汽车整车信息安全技术要求》

ICS

43.020OBCCS T40中华人民共和象标准GB XXXXX-XXXX汽车整车信息安全技术要求Technical requirementsfor vehiclecybersecurity（点击此处添加与国际标准一致性程度的标识）（征求意见稿）在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上国家市场监督管理总局关布发布国家标准化管xxxx-xx-xx理委员会发布实施XXXX-XX-XX具备远程操控功能的系统安全测试方法A.

4.1真实性和完整性校验的测试方法A.

4.

1.1应依据附录）测试车辆远程控制功能，并按照如下测试方法，检验测试车辆是否满足正文A.3a

7.

1.1的要求尝试伪造、篡改并发送远程车辆控制指令，检查车辆是否响应该指令，是否按照企业设定的验证失败处理机制进行处理，并记录测试结果，应不响应该指令远程控制指令控制测试方法A.

4.

1.2应依据附录）测试车辆远程控制功能，并按照如下测试方法，检验测试车辆是否满足正文A.3a

7.

1.2的要求构建非授权的远程控制指令，发送至测试车辆，检查车辆是否响应该指令，并记录测试结果，应不响应该指令安全日志记录功能测试方法A.

4.

1.3应依据附录）测试车辆远程控制功能，并按照如下测试方法，检验测试车辆是否满足正文的A.3a

7.

1.3要求构建并触发远程控制系统信息安全事件，使用授权的用户或工具，导出远程控制系统安全日志文件，验证文件记录的内容是否包含远程控制指令的日期、时间、发送主体、操作是否成功等信息，并记录验证结果，应包括远程控制指令的日期、时间、发送主体、操作是否成功的信息远程控制功能系统程序和数据完整性校验测试方法A.

4.

1.4应依据附录）测试车辆远程控制功能，并按照如下测试方法，检验测试车辆是否满足正文A.3a

7.

1.4的要求篡改车端执行远程控制功能的系统的程序和数据，并下发远程控制指令，测试车辆是否告警或不执行该控制指令，并记录测试结果，应告警或不执行该控制指令第三方应用安全测试方法A.

4.2授权第三方应用真实性完整性验证测试方法A.

4.

2.1测试人员应依据附录）测试车辆授权第三方应用真实性和完整性校验方式，并按照如下测试方法，A.3b检验测试车辆是否满足正文的要求

7.

2.1）使用二进制工具，依据授权第三方应用真实性和完整性校验方式，篡改第三方应用程序的代码；a）尝试安装执行篡改后的授权第三方应用程序，测试是否可以正常运行，并记录测试结果，应不可正b常运行非授权第三方应用访问控制测试方法A.

4.

2.2测试人员应依据附录）测试车辆非授权第三方应用的访问控制机制，并按照如下测试方法，检验A.3c测试车辆是否满足正文的要求

7.

2.2）尝试安装并执行非授权第三方应用，测试车辆是否进行提示，并记录测试结果，应有明确提示；a）尝试使用非授权第三方应用程序访问超出访问控制权限的资源，并记录测试结果，应不可访问控制b权限外的资源外部接口安全测试方法A.

4.3外部接口访问控制测试方法A.

4.

3.1测试人员应依据附录）测试车辆外部接口，并按照如下测试方法，检验测试车辆是否满足正文A.3d

7.的要求

3.1使用非授权的用户或工具访问车辆的外部接口，测试是否可以成功建立连接并访问相应的信息，并记录测试结果，应无法成功建立连接接口访问控制测试方法A.

4.

3.2USB测试人员应依据附录）测试车辆的外部接口，并按照如下测试方法，检验测试车辆是否满足正文A.3d的要求

7.

3.2）在具备接口的移动存储介质中注入媒体文件、指定签名的应用软件和其它文件；a USB）将移动存储介质连接到车辆接口，测试车辆是否可以执行除媒体文件和指定签名的应用软件外b USB的其他文件，并记录测试结果，应无法执行除媒体文件和指定签名的应用软件外的其他文件防病毒测试方法A.

4.

3.3USB测试人员应依据附录）测试车辆的外部接口，并按照如下测试方法，检验测试车辆是否满足正文A.3d的要求

7.

3.3）在具备接口的移动存储介质中注入病毒文件；a USB）将移动存储介质连接到车辆接口，尝试执行病毒文件，测试车辆系统是否可以测试出移动存储b USB介质中的病毒文件或拒绝执行病毒文件，并记录测试结果，应能识别出病毒文件或拒绝执行病毒文件诊断接口身份鉴别测试方法A.

4.

3.4测试人员应依据附录）测试车辆的外部接口，并按照如下测试方法，检验测试车辆是否满足正文A.3d的要求:

73.4）使用非授权用户或工具在诊断接口发送车辆关键参数写操作请求，测试车辆是否执行该操作请求，a并记录测试结果，应无法执行该操作请求；）使用授权用户在诊断接口发送超出权限的车辆关键参数写操作请求，测试车辆是否执行该操作请求，b并记录测试结果，应无法执行该操作请求车辆外部连接系统漏洞扫描测试方法A.

4.4测试人员应按照如下测试方法，检验测试车辆是否满足正文的要求

7.4）使用漏洞扫描工具对车辆外部连接系统进行漏洞扫描测试，测试是否存在权威漏洞平台个月前公a6布的高危及以上的安全漏洞，并记录测试结果；）如存在权威漏洞平台个月前公布的高危及以上的安全漏洞，对照企业提交的漏洞处置方案清单，b6确认企业提交的漏洞处置方案清单中是否覆盖该漏洞，并记录测试结果，应不存在由权威漏洞平台个月前公布且未经处置的高危及以上的安全漏洞6车辆关闭不必要接口测试方法A.

4.5测试人员应按照如下测试方法，检验测试车辆是否满足正文的要求

7.5）测试人员通过、车载以太网等形式将测试车辆与扫描测试设备组网，查看配置文件获得被测a WLAN车辆的地址；IP）使用扫描测试设备查看测试车辆所开放的端口，并将车辆开放的端口列表与提交的车辆业务列表进b行对比，测试车辆是否有开放非必要的网络端口，并记录测试结果，应仅开放必要的网络端口车辆通信安全测试方法A.5云平台通信身份真实性验证测试方法A.

5.1测试人员应依据附录）与测试车辆通信的车辆生产企业云平台、附录）测试车辆通信方法，A.3e A.3f并按照如下测试方法，检验测试车辆是否满足正文的要求

8.1）若车辆与车辆生产企业云平台通信采用专用网络或虚拟专用网络环境进行通信，验证通信网络技术a报告，确定通信网络类型，并记录验证结果）若车辆与车辆生产企业云平台通信采用公共网络环境进行通信，且使用公有通信协议，采用网络数b据抓包工具进行数据抓包，解析通信报文数据，检查是否采用如同等安全级别或以上要TLS VI.2求的安全通信层协议，并记录测试结果，应使用同等安全级别或以上要求的安全通信层TLS VL2协议；）若车辆与车辆生产企业云平台通信采用公共网络环境进行通信，且使用私有通信协议，对私有通信c协议方案进行验证，并记录测试结果，私有通信协议方案应能对通信对象的身份真实性进行验证通信身份认证测试方法A.

5.2V2X测试人员应依据附录）测试车辆通信方法、附录）测试车辆的功能，并按照如下测试方A.3f A.3g V2X法，检验测试车辆是否满足正文的要求

8.2）使用合法证书，利用仿真测试设备模拟车辆、路侧单元和移动终端，并尝试与测试车辆建立通a V2X信连接；）清除仿真测试设备的通信记录，并将证书替换为无效证书或非法证书，测试替换证书后测试车b V2X辆是否依然能和仿真测试设备通信，并记录测试结果，应断开通信连接V2X通信通道完整性保护测试方法A.

5.3测试人员应依据附录）测试车辆通信方法，并按照如下测试方法，检验测试车辆是否满足正文A.3f

8.3的要求）在车辆端设备与外部通信对象完成正常的身份认证之后，采用网络数据抓包工具，解析通信报文数a据，判断传输数据是否应用了完整性保护措施）将对传输数据进行篡改或伪造后的报文发送到车辆端，测试车辆端是否对数据的完整性实施校验并b做出适宜的响应，并记录测试结果，应进行校验并拒绝该消息防非授权操作测试方法A.

5.4测试人员应依据附录）测试车辆通信方法，并按照如下测试方法，检验测试车辆是否满足正文A.3f

8.4的要求）使用非授权身份对尝试对车辆通信部件的数据代码进行读取，测试是否可以成功操作，并记录测试a结果，应不可读取）使用非授权身份对尝试对车辆通信部件的数据代码进行覆盖，测试是否可以成功操作，并记录测试b结果，应不可覆盖）使用非授权身份对尝试对车辆通信部件的数据代码进行清除，测试是否可以成功操作，并记录测试c结果，应不可清除）使用非授权身份对尝试对车辆通信部件的数据代码进行写入，测试是否可以成功操作，并记录测试d结果，应不可写入关键指令数据有效性和唯一性验证测试方法A.

5.5测试人员应按照如下方法，检验测试车辆是否满足正文的要求

8.5）录制正常会话指令，修改其中的一段数据，发送修改后的会话指令，测试车辆是否做出响应,并记录a测试结果，应不响应；）录制正常会话指令，间隔一段时间后，重新发送录制的会话指令，测试车辆是否做出响应，并记录b测试结果，应不响应敏感个人信息保密性保护测试方法A.

5.6测试人员应依据附录）测试车辆向外传输敏感个人信息的通信通道，并按照如下测试方法，检验A.3h测试车辆是否满足正文的要求

8.6）依据车辆数据传输的方案，验证是否正确使用声明的加密算法对车辆传输的数据进行加密，并记录a验证结果，应进行加密；）验证使用的加密算法强度是否满足需求，并记录验证结果，算法强度应满足要求b对外通信零部件身份识别测试方法A.

5.7测试人员应依据附录）测试车辆与外部直接通信的零部件，并按照如下测试方法，检验测试车辆A.3i是否满足正文的要求

8.7）使用和测试车辆与外部直接通信零部件功能相同的零部件替换安装在整车相同的位置；a）启动车辆，测试零部件是否正常工作或车辆是否有异常部件连接告警，并记录测试结果，系统应无b法正常运行或有异常告警提示车辆与外部直接通信零部件防非特权访问测试方法A.

5.8测试人员应依据附录）测试车辆与外部直接通信的零部件，并按照如下测试方法，检验测试车辆A.3i是否满足正文的要求

8.8）构建一个非授权用户，尝试对该用户进行身份提权；a）使用尝试提权后的用户对系统进行特权访问，测试车辆是否有异常响应或动作，并记录测试结果，b应不可访问车内安全区域隔离测试方法A.

5.9测试人员依据附录）测试车内通信方案及通信矩阵样例，从如下测试方法中选择适用的方法,检验A.3j测试车辆是否满足正文的要求

8.9）对于使用物理隔离措施的车辆，验证车辆生产企业提供的物理隔离方案，并记录测试结果，应实现a物理隔离）对于使用逻辑隔离措施的车辆，根据车辆厂商提供的逻辑隔离策略，发送不符合策略的数据帧，在b指定的目的端口测试是否可以接收到相应的数据帧，并记录测试结果，不应接收到相应的数据帧）对于采用技术实现域隔离的车辆，根据车辆厂商提供的域隔离策略，测试是否能够跨域转发c VLAN数据帧，并记录测试结果，不应跨域转发数据帧拒绝服务攻击识别测试方法A.

5.10总线拒绝服务攻击识别测试方法A.

5.

10.1CAN测试人员应依据附录）测试车辆车内通信方案及通信矩阵样例，并按照如下测试方法，检验测试A.3j车辆总线通信拒绝服务攻击识别防护能力是否满足正文的要求CAN

8.10）将拒绝服务攻击测试设备接入车辆的总线，识别该通道总线波特率，测试设备对该通道发起大a CAN于总线负载率的拒绝服务攻击，如果有多个通道，则依次分别进行测试试验；80%）在拒绝服务攻击时，测试车辆未受攻击的通道通信性能和预设的功能是否受到影响，并记录测b CAN试结果，应能不受影响或记录攻击事件；）在拒绝服务攻击结束后，测试车辆是否按照预设方案处理攻击数据包，并记录测试结果，应按照预c设的方案处理攻击数据包以太网拒绝服务攻击识别测试方法A.

5.

10.2测试人员应依据附录）测试车辆车内通信方案及通信矩阵样例，并按照如下测试方法，检验测试A.3j车辆以太网通信拒绝服务攻击识别防护能力是否满足正文的要求

8.10）将拒绝服务攻击测试设备与车辆的车载以太网进行组网，并尝试向车载以太网发起拒绝服务攻击；a）在拒绝服务攻击时，测试车辆未受攻击的部件性能和预设的功能是否受到影响，并记录测试结果，b应能不受影响或记录攻击事件）在拒绝服务攻击结束后，测试车辆是否按照预设方案处理攻击数据包，并记录测试结果，应按照预c设的方案处理攻击数据包通信拒绝服务攻击识别测试方法A.

5.

10.3V2X测试人员应按照如下测试方法，检验测试车辆通信拒绝服务攻击识别防护能力是否满足正文V2X的要求

8.10）使用仿真测试设备模拟构建不少于辆可与测试车辆正常通信的虚拟车辆，并保持通信;a V2X150）任选一辆虚拟车辆，将其与拒绝服务攻击设备连接，向测试车辆发起拒绝服务攻击；bC）在拒绝服务攻击结束后，测试车辆的V2X功能是否恢复并可正常运行，并记录测试结果，应从攻击中恢复并正常运行，并记录攻击事件恶意数据识别测试方法A.

5.11测试人员应依据车辆接受消息类型，从如下方法中选择适用的方法，检验测试车辆是否满足正文

8.11的要求）依据通信规则，构建并向车辆发送恶意的消息数据时，测试车辆能否鉴别并拒绝响应,并a V2X V2X记录测试结果，应拒绝响应）依据诊断通信规则，构建并向车辆发送恶意的诊断消息数据时，测试车辆能否鉴别并拒绝响应，并b记录测试结果，应拒绝响应）依据专有消息通信规则，构建并向车辆发送恶意的专有消息数据时，测试车辆能否鉴别并拒绝响应，c并记录测试结果，应拒绝响应通信信息安全日志测试方法A.

5.12测试人员应依据车辆通信信息安全日志记录机制，并按照如下测试方法，检验测试车辆是否满足正文的要求12构建并触发车辆通信信息安全事件，测试车辆是否会按照通信信息安全日志记录机制记录该事件,并记录测试结果，应按照机制要求记录该安全事件车辆软件升级安全测试方法A.6通用安全要求测试方法A.

6.1车载软件升级系统安全启动测试方法A.

6.

1.1测试人员应依据附录）测试车辆车载软件升级系统可信根、引导加载程序、系统固件的访问方式A.3k和地址，按照如下测试方法，检验测试车辆是否满足正文的要求

9.

1.1）获取安全启动信任根存储区域的访问方法和地址，使用软件调试工具写入数据，重复测试不少于三a次，测试是否可将数据写入该存储区域，并记录测试结果，应无法将数据写入该存储区域；）获取正常运行的引导加载程序，使用软件调试工具修改该引导加载程序的签名信息，将修改后的引b导加载程序写入到指定区域，检查是否正常加载引导加载程序，并记录测试结果，应不正常加载引导加载程序；）获取升级程序的系统固件，使用软件调试工具对其进行篡改，将修改后的系统固件写入到指定区域，c检查升级程序是否正常工作，并记录测试结果，升级程序应不工作车载软件升级系统安全漏洞扫描测试方法A.

6.

1.2测试人员应照如下测试方法，检验测试车辆是否满足正文的要求

9.L2）使用漏洞扫描工具对车载软件升级系统进行漏洞扫描测试，测试是否存在权威漏洞平台个月前公a6布的高危及以上的安全漏洞，并记录测试结果；）如存在权威漏洞平台个月前公布的高危及以上的安全漏洞，对照企业提交的漏洞处置方案清单，b6确认企业提交的漏洞处置方案清单中是否覆盖该漏洞，并记录测试结果，应不存在由权威漏洞平台个月前公布且未经处置的高危及以上的安全漏洞6在线升级安全测试方法A.

6.2软件升级服务器身份认证测试方法A.

6.

2.1测试人员应按照附录云平台通信身份真实性验证测试方法，检测测试车辆是否满足正文的A.

5.

19.

2.1要求升级包真实性和完整性校验测试方法A.

6.

2.2测试人员应确认在线升级功能正常执行，并按照如下测试方法，检验测试车辆是否满足正文的要

9.

2.2求）构造被篡改破坏的在线升级包；a）将该升级包下载或传输到车载端，执行软件升级，测试并记录升级结果，应不执行升级b失败事件日志记录测试方法A.

6.

2.3测试人员应按照如下测试方法，检验测试车辆是否满足正文的要求

9.

2.3）构造完整性或真实性被破坏的在线升级包，a）触发车辆软件升级，检查升级事件日志，并记录测试结果，应记录本次升级失败事件b离线升级安全要求测试方法A.

6.3使用车载软件升级系统的离线升级安全测试方法A.

6.

3.1若车辆使用车载软件升级系统进行离线升级，测试人员应依据附录）实现离线软件升级的方式及A.31工具，并按照如下测试方法，检验测试车辆是否满足正文的要求

9.

3.1）构造被篡改破坏的离线升级包；a）使用离线升级工具将该升级包下载或传输到车载端，执行软件升级，测试并记录升级结果，应不执b行升级不使用车载软件升级系统的离线升级安全测试方法A.

6.

3.2若车辆不使用车载软件升级系统进行离线升级，测试人员应依据附录）实现离线软件升级的方式A.31及工具，并选择以下两种方法中适用的一种开展测试并记录测试结果，检验测试车辆是否满足正文

9.

3.2的要求）测试人员将非认证的刷写接入端接入车辆刷写接口，查看车辆是否能检出接入了非认证的刷写接入a端，并记录测试结果，应能阻止非认证刷写接入端与车辆进行通信；）构造被篡改破坏的离线升级包，使用离线升级工具将该升级包下载或传输到车载端，执行软件升级，b测试并记录升级结果，应不执行升级车辆数据代码安全测试方法A.7密钥防非法获取和访问测试方法A.

7.1测试人员应按照附录）测试车辆对称密钥和私钥的存储方式及说明文档，选择以下两种方法中适A.3m用的一种开展测试并记录测试结果，测试车辆应满足正文的要求

10.1）若采取等硬件安全模块存储密钥，应依据硬件安全模块安装位置说明文档，验证车辆是否安装a HSM了硬件安全模块来保护密钥，并记录验证结果,应在文档标识位置安装硬件安全模块）若采取安全的软件存储形式存储密钥，应依据密钥存储区域和地址范围说明文档，验证是否采取了b防非授权提取技术或加密存储技术，并记录验证结果，应采取防非授权提取技术或加密存储技术敏感个人信息防泄露测试方法A.

7.2测试人员应依据附录）测试车辆内部存储敏感个人信息存储地址，并按照如下测试方法开展测试A.3n并记录测试结果，测试结果应满足正文的要求

10.2）若采用安全访问技术保护存储的敏感个人信息，依据敏感个人信息存储区域和地址范围说明,按照访a问控制规则创建一个未添加访问控制权限的用户，尝试访问存储的敏感个人信息，测试是否可以非授权访问敏感个人信息，并记录测试结果,应不可非授权访问敏感个人信息）若采取加密技术保护存储的敏感个人信息，依据敏感个人信息存储区域和地址范围说明，尝试使用b软件分析工具提取存储的敏感个人信息，测试是否为密文存储，并记录测试结果，应为密文存储身份识别数据防篡改测试方法A.

7.3测试人员应依据附录）测试车辆内存储的车辆识别代号和用于身份识别的数据清单及存储地址，A.3o并按照如下测试方法，检验测试车辆是否满足正文的要求

10.3依据车辆内存储的车辆识别代号和用于身份识别的数据清单及存储地址说明，尝试使用软件分析工具篡改存储在车辆识别代号和用于身份识别的数据，测试是否可以被篡改，并记录测试结果，应不可被篡改关键数据防篡改测试方法A.

7.4测试人员应依据附录）测试车辆内存储的关键数据清单及存储的地址，并按照如下测试方法,检验A.3p测试车辆是否满足正文的要求

10.4依据关键数据存储区域和地址范围说明，尝试使用软件分析工具篡改存储在车内的关键数据，测试是否可以被篡改，并记录测试结果，应不可被篡改日志文件防篡改测试方法A.

7.5测试人员应按照如下测试方法，检验测试车辆是否满足正文的要求

10.5）按照访问控制规则创建一个未添加访问控制权限的用户；a）尝试修改和删除安全日志文件，测试是否可以未授权删除和修改安全日志文件，并记录测试结果，b应不可未授权删除和修改安全日志文件个人信息清除功能测试方法A.

7.6测试人员应依据附录）测试车辆个人信息清除功能及防恢复机制，并按照如下测试方法，检验测A.3q试车辆是否满足正文的要求

10.6）尝试使用测试车辆个人信息清除功能，清除车辆内存储的个人信息，并记录测试结果，应可以被删a除）尝试恢复被删除的个人信息，并记录测试结果，应不可被恢复b防数据直接出境测试方法A.

7.7测试人员应按照如下测试方法，检验测试车辆是否满足正文的要求

10.7）开启车辆全部移动蜂窝通信网络、通信网络，依次模拟测试车辆各项预装的数据传输功能a WLAN）使用网络数据抓包工具进行不少于秒的数据抓包，解析通信报文数据，分析目的地址中是b3600IP否包含境外地址，并记录测试结果，应不包含境外地址IP IP《汽车整车信息安全技术要求》（征求意见稿）编制说明

一、工作简况

（一）任务来源根据国家标准化管理委员会《关于下达〈包装机械安全要求＞等项强制性国家标准制修订计划及相31关标准外文版计划的通知》（国标委发

（2021）27号）中项目编号20214422-Q-339的强制性国家标准制定项目，制定强制性国家标准《汽车整车信息安全技术要求》

（二）主要工作过程受工业和信息化部委托，全国汽标委智能网联汽车分标委根据单位申请情况成立标准起草项目组,确定中国汽车技术研究中心有限公司、国汽（北京）智能网联汽车研究院有限公司和电子科技大学为标准起草项目组牵头单位，并在此基础上明确了任务和分工，积极开展标准的预研、起草及征求意见等工作自标准制定工作启动以来，牵头单位多次组织项目组成员单位召开项目组会议，分析了联合国等国际标准法规组织的汽车标准法规现状，讨论确定了适应中国汽车产业发展现状的汽车整车信息安全的技术要求并编写了标准草案，最终完成了标准的征求意见稿年月启动标准编制工作，成立项目组，召开第次会议2019111年月就标准边界及制定思路等内容征集各单位意见201912年月项目组第次会议（线上），围绕制定思路及框架展开讨论202032年月月确定框架、征求参编意向并分工编写20204〜5年月月形成标准草案并提交立项申请20206〜9年月项目组第次会议，持续完善标准草案2020103年月月根据行业管理需求和主管部门要求，将原推荐性国家标准项目调整为强制性国家标准20213〜4项目年月项目组第次会议，完成本标准与法规的对比分析202144UN WP29R155年月月组织多次封闭写稿和专题研讨会议，持续完善标准草案20215〜7年月项目组第次会议，充分参照法规及解释文件形成标准草案202175R155年月月组织多次封闭写稿和专题研讨会议，持续完善标准草案20218〜9年月项目组第次会议，对草案进行详细讨论，确定技术要求框架，形成试验方法2021106年月月组织行业开展标准验证试验工作，包括企业信息安全管理审核、车辆技术要求及试验20221〜6方法验证年月月在汽车信息安全标准工作组进行征集意见，收集反馈意见并召开意见协调会，形成意20227〜8见处理结论年月根据意见反馈修改形成公开征求意见稿和编制说明

20229.项目组第一次会议1汽车整车信息安全技术要求标准项目组第一次会议于年月日在杭州召开，正式启动标准制2019115定工作会议就标准的制定背景、范围、目标、框架、进度计划、研制思路等进行了讨论，对一些共性问题进行了探讨，会议明确标准撰写的整体思路按照整车开发流程字型的架构来设计，需要和《汽车信息V安全通用技术要求》的安全原则及需求相结合，综合考虑标准的对象，并在会后对标准框架开展进一步总结与梳理.项目组第二次会议2汽车整车信息安全技术要求标准项目组第二次工作会议于年月日在线上召开，会议进一步围202034绕标准背景及项目计划、编写思路、框架等展开讨论会议明确了标准定位是从整车视角出发综合考量，不包括对零部件单独的安全要求，技术要求和测试对象以整车为主；标准不区分不同的驾驶自动化级别，而是适用于道路车辆的通用基本要求会议就标准下一步编制工作的分工进行了安排，由威胁分析与风险评估、外部访问点安全、内部网络通信安全、基于业务的安全、基于功能的安全、数据安全要求等个部7分分工编写，形成版草案V

1.

0.项目组第三次会议3汽车整车信息安全技术要求范围1本文件规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法本文件适用于类、类及至少装有个电子控制单元的类车辆，其他类型车辆可参考执行M N10规范性引用文件2本文件没有规范性引用文件术语和定义3下列术语和定义适用于本文件

3.1汽车信息安全管理体系cybersecurity managementsystem网络安全管理体系cybersecur ity managementsystem一种基于风险的系统方法，包括组织流程、责任和治理，以处理与车辆网络威胁相关的风险并保护车辆免受网络攻击［来源智能网联汽车术语和定义］GB/T xxxxx

1.2开发阶段deve Iopment phase车型获得批准之前的时期

2.3生产阶段product ion phase车型生产持续的时期

3.4后生产阶段post-product ion phase从车型不再生产，直至该车型的所有车辆使用寿命结束的时期在这一阶段，该车型的车辆仍可使用，但不再继续生产，当该车型不再有可使用的车辆时，此阶段结束

4.5风险r isk车辆信息安全不确定性的影响，可用攻击可行性和影响表示

5.6风险评估r isk assessment发现、识别和描述风险，理解风险的性质以及确定风险级别，并将风险分析的结果与风险标准进行比较，以确定风险是否可接受汽车整车信息安全技术要求标准项目组第三次工作会议于年月日在北京召开会议讨论了20201021标准的总体框架、编制思路，并由整车威胁分析与风险评估、外部访问点安全、内部网络通信安全、基于业务的安全、基于功能的安全、数据安全要求等个部分对各章的编写思路和遇到的问题进行了交流与讨7论，基于讨论进一步协调统一了标准框架、编写方式及要求力度等，并在会后面向项目组内广泛征集各章节的编写意见.项目组第四次会议6汽车整车信息安全技术要求标准项目组第四次工作会议于年月日在天津召开会议对本标2021426准转为强标的背景进行了介绍，增进项目组全体成员对现有标准内容的理解；明确了整体的时间进度计划、各节点任务，明确各章节任务分工、工作思路和计划会议明确本标准作为国家强制标准,不一定代表技术先进性，而侧重考量技术的广泛性和通用性，每条技术要求的提出都应力求必要、精简凝练，并且要着重考虑与法规的国际协调；围绕法规原文对标准框架设置和章节内容进行了对应的优化与调整UN R

155.作为强制性国家标准重新立项7年月，为贯彻落实《网络安全法》《数据安全法》等，应对智能网联汽车信息安全风险与挑战，20217主管部门出于产业安全发展及行业管理需要，将该推荐性国家标准项目调整为强制性国家标准项目，为保障产业健康可持续发展划定信息安全基线要求.项目组第五次会议8汽车整车信息安全技术要求标准项目组第五次工作会议于年月日在厦门召开本次会议2021726-29扩大了项目组成员的参与范围，主要针对车辆技术要求部分进行封闭写稿及讨论，并就各章节内容的编写情况逐一进行介绍和全体讨论，基本确定了标准的框架及主体内容，形成版草案，并参考V

2.0GB40050等信息安全行业重点标准的行文表述方式，统一梳理标准内容及行文.项目组第六次会议9汽车整车信息安全技术要求标准项目组第六次工作会议于年月日在成都召开本次会议20211012-13在项目组内对标准的技术要求条款进行逐条地讨论、完善及确认，并初步讨论了管理章节的内容及试验开展的思路，为试验方法编写提供参考会议形成的标准草案版，主要包括管理要求、车型技术要求、V

3.0试验方法大部分内容，同时明确了本标准不提出唯一限定的技术要求和试验方法,希望企业在充分的风3险评估的基础上开展后续将重点解决各章节存在内容交叉、重复的问题，进一步优化完善技术要求，增加相应的试验方法，部署标准验证试验工作标准验证试验10年月月，汽标委智能网联汽车分标委秘书处根据标准编制工作计划开展本标准验证试验,验证20221-6试验项目包括汽车信息安全管理体系审核，在申请企业所在地及线上同步开展；车辆技术要求及试验方法验证，在相关试验机构开展秘书处面向汽车信息安全标准工作组广泛征集参与企业及试验车辆，由于本标准试验验证条款数量较多、准备工作复杂、体系验证需大量相关方配合、整体试验周期较长、试验验证资源有限，按照整车产品安全开发程度及企业信息安全管理体系建设完备程度，从征集到的家汽车生24产企业中最终选取了家企业随机分配至家检测机构共同开展验证试验受疫情影响，以线上线下相结126合的方式先后完成所有车辆的标准验证试验及信息安全管理体系审核工作，总结试验过程中的经验和问题，进一步完善标准草案试验工作专题启动会11汽车整车信息安全技术要求的试验工作专题启动会于年月日以线上会议召开本次会议由秘202231书处及家试验机构共同参与，本次会议部署了开展验证试验的工作要求，并重点研讨确定标准验证试验6实施方案及具体工作计划明确了以验证标准草案中各条要求的合理性和可实施性为出发点,核查标准要求是否为基线要求工作组意见协调会

12.年月日，形成工作组征求意见稿，并面向汽标委智能网联汽车分标委汽车信息安全标准工作2022731组余家单位征求意见本次反馈意见共计收到家单位的意见反馈，标准项目组于月日至月1007883096日召开意见处理协调会议，根据反馈意见进行了逐条讨论处理，并根据相关意见对标准公开征求意见稿和编制说明进行了修改二编制原则强制性国家标准主要技术要求的依据及理由本文件编写符合《标准化工作导则第部分标准化文件的结构和起草规则》的规定起GB/T

1.1-20201草起草过程，充分考虑国内外现有相关标准的统一和协调；标准的要求充分考虑了国内当前的行业技术水平，对草案内容进行多次征求意见和充分讨论

（一）适用范围本文件规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法本文件适用于类、类及至少装有个电子控制单元的类车辆，其他类型车辆可参考执行M N10

（二）主要技术内容本标准主要技术内容包括个部分，以下选择标准技术要求的部分重点内容进行说明:6第章信息安全管理体系要求5基于国内行业技术发展现状，参考法规第章节的内容，针对如下方面提出要求R

1557.2

（1）车辆制造商应建立车辆全生命周期的信息安全管理体系说明本标准条款所要求的信息安全管理体系以车辆产品为核心，应覆盖车辆的全生命周期若流程、规定等仅与企业经营管理、组织自身运营相关，并不涉及车辆产品信息安全相关话题，则不在本标准所要求的体系范围内

（2）应建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到适当处置的流程，并确保车辆风险评估保持最新状态说明本条款要求汽车生产企业针对车辆的信息安全风险进行识别、评估、分类、处置等相关管控活动，并建立相应的流程此处的流程应能够应对车辆全生命周期的风险管控，企业可自行定义实施路线

（3）应包含漏洞管理机制，明确漏洞收集、分析、报告、处置、发布等活动环节说明本条款明确要求企业建立漏洞管理机制，并且需涵盖收集、分析、报告、处置、发布等关键环节第章车辆信息安全一般要求6基于国内行业技术发展现状，参考法规中第章节的内容，及附录中的部分相关内容（表R

1557.

35、有关脆弱性/威胁的描述、漏洞及攻击方法示例，以及表、中有关的缓解措施），针对A

14.

3.

44.

3.7B3B5如下方面提出要求

（1）车辆产品开发流程应遵循汽车信息安全管理体系要求说明车辆产品应按照汽车信息安全管理体系中定义的相关流程、制度开展开发工作

（2）识别和管理车辆与供应商相关的风险说明此处“供应商”关注与车辆产品风险相关的供应商，包括合同供应商、服务提供商等

（3）应针对车辆实施相应措施，以识别和防御针对该车辆的网络攻击、网络威胁和漏洞，并为车辆生产企业在识别与车辆相关的网络攻击、网络威胁和漏洞方面提供监测能力，以及为分析网络攻击、网络威胁和漏洞提供数据取证能力说明车辆产品端应实施相应的措施，与企业在汽车信息安全管理体系中建立的网络攻击、网络威胁和漏洞的监测和响应流程进行协同，从而保障企业可以针对车辆产品进行网络攻击、网络威胁和漏洞方面的监测，并且支持数据取证第章车辆外部连接安全要求7基于国内行业技术发展现状，参考法规附录中的相关内容（表、有关脆弱性/威胁R1555A

14.

3.1435的描述、漏洞及攻击方法示例，以及表中有关的缓解措施），针对如下方面提出要求B4

（1）对具备远程控制功能系统的安全要求，包括对远程控制指令信息的真实性和完整性验证、验证失败的处理功能、对远程控制指令设置访问控制、安全日志记录、对车端远程操控功能系统的程序和配置数据的完整性验证要求等

（2）对第三方应用安装运行的要求，第三方应用是指汽车制造商及其供应商之外的其他法人实体提供的面向用户提供服务的应用程序，包括通过应用商店或浏览器或等用户安装的应用软件，汽车制造商USB应对其授权和认可的第三方应用的真实性和完整性进行验证，防止该应用被篡改；汽车制造商应对其未授权的第三方应用的安装运行采取防护措施，如在安装时进行提示、限制其访问权限，避免非授权的第三方应用对车辆系统等的资源配置、关键参数、重要数据等进行访问

（3）对外部接口的安全要求，包括对USB接口、诊断接口和其他接口的设备进行访问控制，禁止非授权访问应对端口接入设备中的文件进行访问控制，只允许指定格式的文件读写或指定签名的应用软USB件安装或执行，应具备端口接入设备中病毒程序或携带病毒的媒体文件/应用软件的鉴别并禁止安装USB的能力，对通过诊断接口发送的对车辆关键参数写操作请求时，进行身份鉴别、访问控制等安全策略

（4）对车辆外部连接系统漏洞管理的要求，包括但不限于远程控制系统、授权的第三方应用等，应不存在由权威漏洞平台个月前公布且未经处置的高危及以上的安全漏洞，处置措施包括消除漏洞、制定减6缓措施等

（5）对网络端口的安全要求，应关闭不必要网络端口，如TCP连接或UDP消息的逻辑信道端点等第章车辆通信安全要求8基于国内行业技术发展现状，参考法规附录中的相关内容（表有关脆弱性/威胁的描R1555A

14.

3.2述、漏洞及攻击方法示例，以及表、中有关的缓解措施），针对如下方面提出要求Bl B5

（1）车辆与车辆生产企业云平台通信时，应对其通信对象的身份真实性进行验证说明本文件并未强制要求双向认证、也未强制要求必须使用证书保护利制L

（2）车辆与车辆、路侧单元、移动终端等进行直连通信时，应进行证书有效性和合法性的验证说明本条款主要是针对场景提出的要求V2X（）车辆应采用完整性保护机制保护外部通信通道3说明本条款主要针对能够在通信协议层面实现完整性保护机制的外部通信通道某些外部通信通道例如、等，不适用此条款；无线传感器与车载设备之间的通信、语音交互也不适用于本条款；对RFID NFC于企业采用的完整性保护技术类型和强度，本文件不做具体要求

（4）应对车辆发送的敏感个人信息实施保密性保护说明本文件旨在对车辆的信息安全风险提出安全要求，具体“敏感个人信息”的定义以汽车数据安全相关管理要求和标准规定为准（）车辆与外部直接通信的零部件应具备安全机制防止非授权的系统特权访问5说明本条款仅包含与外部直接通信的零部件，利用车载信息交互系统间接与外部通信的零部T-BOX,件不适用于本条款的要求；射频、等短距离无线通信的传感器也不适用于本条款要求；身份识别机制NFC包括基于密码的认证机制、记录、日志记录、异常提醒等，对外部通信零部件进行身份识别的技术可DTC通过云端来实现

（6）车辆应具有识别恶意的V2X数据、恶意的诊断数据、恶意的专有数据等的能力，并采取防护措施说明恶意的诊断数据包括非法诊断请求、非法诊断应答、暴力请求认证、非法开启主动上传、DTC恶意连续复位等；本条款使用“数据”而不是消息或指令等表述方式，是为了全文统一考虑，其本身是广义的概念，可指代原文的“恶意消息”具；体恶意数据的定义由厂家决定并提供清单作为测试的输入

（7）车辆应对关键的通信信息安全事件进行日志记录说明本条款对车辆通信信息安全事件日志记录提出了要求，安全日志防护应满足第章数据代码章10节的要求第章软件升级安全要求9基于国内行业技术发展现状，参考法规附录以及法规中的相关内容（表有关脆弱R1555R156A

14.

3.3性/威胁的描述、漏洞及攻击方法示例，以及表中有关的缓解措施），针对如下方面提出要求B2（）车载软件升级系统应具备安全启动的功能，应保护车载软件升级系统的可信根、引导加载程序、1系统固件不被篡改，或被篡改后无法正常启动说明车载软件升级系统在行业和某些企业也被称为车端包括系统软件和硬件；该条款的0TAMaster,正常启动是指车载软件升级系统默认加载程序的启动；本文件中将除默认加载程序的启动之外,均视为非正常启动（）车载软件升级系统应不存在由权威漏洞平台个月前公布且未经处置的高危及以上的安全漏洞26注处置方式包括消除漏洞、制定减缓措施等方式说明本条款的说明参见第章的相关说明7（）在线软件升级时，车辆和在线升级服务器应进行身份认证，验证其身份的真实性，车载软件升级3系统应对下载的在线升级包进行真实性和完整性校验，车载软件升级系统应记录在线升级过程中发生的失败事件日志说明该条款是对在线软件升级场景（0TA场景）提出的要求；在线升级包在解包和分发之前，需要由车载软件升级系统校验其真实性和完整性，以保证在线升级包的真实来源和未受修改，其他环节是否进行校验不在本文件中进行要求（）离线软件升级时，若车辆使用车载软件升级系统进行离线升级，车辆应对离线升级包真实性和完4整性进行校验，若车辆不使用车载软件升级系统进行离线升级，应采取保护措施保证刷写接入端的安全性，或者校验离线升级包的真实性和完整性说明若车辆不使用车载软件升级系统进行离线升级，主要有以下两类升级方式）使用诊断仪等基a于端口的设备进行刷写升级；）使用端口进行直刷（不经过车载软件升级系统）如果采用）0BD bUSB a方式，要求车端刷写准入端采用如服务等防护措施对诊断仪等设备进行认证之后，才能进行刷写操作；27如果采用）方式，要求在被刷写之前对离线升级包的真实性和完整性进行校验第章数据代码安b ECU10全要求基于国内行业技术发展现状，参考法规附录中的部分相关内容（表有关脆弱性/威胁的R1555A

14.

3.6描述、漏洞及攻击方法示例，以及表、、中有关的缓解措施），针对以下方面提出要求B5B7C3

（1）车辆应安全的地存储对称密钥和私钥，防止其被非授权访问和获取说明常见的安全的存储方式包括存储在、、等安全模块，也包括安全的软件存储形式HSM SETEE

（2）车辆应采取安全防御机制保护存储在车内的车辆识别代号（VIN）和用于身份识别的数据，防止其被非授权删除和修改说明此条要求中用于身份识别的数据由企业自行确定，包括直接用于身份识别的数据和组合起来间接识别身份的数据（）车辆应采取安全防御机制保护存储在车内的关键数据，防止其被非授权删除和修改3说明关键数据由企业根据车型的业务场景和风险评估来确认

（4）车辆应具备个人信息清除功能及防恢复机制，便于在转售、租借或报废时清除个人信息说明国家要求存储在车内不允许修改的数据除外，例如内存储的数据，防恢复机制在DSSAD.EDR本标准中不提出强度要求，未来以数据安全标准要求的强度为准

（5）车辆不得直接向境外传输数据说明此条款主要是避免车型设计时预留了数据出境的功能或接口，导致大批量的车辆避开管理部门的监管向境外直传数据车辆通过国内云平台中转间接向境外传递数据，用户个人行为的跨境数据传输均不受本条款的要求附录（规范性）车辆信息安全要求测试验证方法A对测试条件、测试输入信息、车辆外部连接安全测试方法、车辆通信通道安全测试方法、车辆软件升级安全测试方法、车辆数据代码安全测试方法等内容进行了规定，并分别与正文第章~第章的要求条710款进行对应，给出具体的通过条件

（五）主要试验（或）验证情况分析根据工作安排，中国汽车技术研究中心有限公司、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、上海机动车检测认证技术研究中心有限公司、中国汽车工程研究院股份有限公司、招商局检测车辆技术研究院有限公司、襄阳达安汽车检测中心有限公司等家检测机构以及上海汽车集团股6份有限公司、重庆长安汽车股份有限公司、广州汽车集团股份有限公司、吉利汽车研究院（宁波）有限公司、东风汽车集团有限公司、上海蔚来汽车有限公司、广州小鹏汽车科技有限公司、北京车和家汽车科技有限公司、梅赛德斯-奔驰集团股份公司、宝马（中国）服务有限公司、一汽.大众汽车有限公司、一汽解放汽车有限公司等进行了汽车信息安全管理体系审核、车辆技术要求的试验方法验证，以下选择有代表性的验证内容对验证主要情况进行说明汽车信息安全管理体系审核评估结果

1.在审核期间，汽车生产企业依据秘书处发出的《体系审核表》进行材料准备，采取文件展示、现场演示等方式，通过现场/远程方式进行审核，评估企业是否满足本标准草案中的要求经审核发现，所有参与验证活动的整车生产企业均建立汽车信息安全管理体系框架，初步形成面向汽车产品的信息安全管理制度，能够覆盖本标准第章的条款要求，但不同企业的落地执行方式不同、所执行颗粒度有所差异为便于行5业理解以及加强企业落地可操作性，特作如下说明车辆制造商应建立车辆全生命周期的信息安全管理体系1说明《道路车辆信息安全工程》可作为证明和评估信息安全管理体系所需阶段的依据第IS21434章〃概念阶段〃、第章〃产品开发〃和第章〃信息安全验证〃可用于评估信息安全管理体系的开发91011阶段第章〃生产〃可用于评估信息安全管理体系的生产阶段第章〃持续的信息安全活动〃、第章〃12713操作和维护〃以及第章〃报废〃可用于评估信息安全管理体系的后生产阶段；14应建立企业内部管理信息安全的流程2说明本条款中提及的企业内部管理信息安全的流程，指在组织层级与车辆信息安全强相关的流程，对于组织本身的信息安全流程，如针对企业系统的信息安全管理流程等不在本标准考虑范围内止匕IT外，本条款可参考《道路车辆信息安全工程》中第五章〃组织信息安全管理〃中的要求，从治理ISO21434文化、信息共享、安全审核、工具管理、持续改进等方面进行开展应建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到适当处置的流程，并确保3车辆风险评估保持最新状态说明本条款中提及的风险指车辆全生命周期中的信息安全风险，覆盖研发阶段、生产阶段、后生产阶段企业根据实际需求与业务场景，定义车辆全生命周期中的信息安全风险管控流程此外，ISO21434《道路车辆信息安全工程》中第十五章提及的威胁分析与风险评估方法论可供参考，企业可自行选择是否采用应建立针对车辆的网络攻击、网络威胁和漏洞的监测和响应流程，要求如下4应包含确保已识别的网络威胁和漏洞得到响应，且在合理的时限内得到处置的流程；a

3.7威胁threat可能导致系统、组织或个人受到伤害的意外事件的潜在原因

3.8漏洞vu Inerab iI ity在资产或缓解措施中，可被一个或多个威胁利用的弱点

3.9车载软件升级系统on-board softwareupdate system安装在车端并具备升级包接收、校验和分发等功能的软件和硬件

3.10在线升级over-the-a ir update通过无线方式而不是使用电缆或其他本地连接进行数据传输的软件升级

3.11离线升级offline update除在线升级以外的软件升级

3.12敏感个人信息sensitive personaI informat ion一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息［来源汽车数据安全管理若干规定试行，第三条］缩略语4下列缩略语适用于本文件下列缩略语适用于本文件CAN控制器局域网络Control AreaNetworkECU电子控制单元Electronic ControlUnitHSM硬件安全模块Hardware SecureModuleMD5MD5信息摘要算法MD5Message-Digest AlgorithmNFC近距离无线通讯技术Near FieldCommunicationTLS安全传输层协议Transport LayerSecurityUSB通用串行总线Universal SerialBusVLAN虚拟局域网Virtual LocalArea NetworkVIN车辆识别代号Vehicle IdentificationNumberWLAN无线局域网Wireless LocalArea Networks汽车信息安全管理体系要求5车辆生产企业应建立车辆全生命周期的汽车信息安全管理体系

5.1注车辆全生命周期包括车辆的开发阶段、生产阶段及后生产阶段汽车信息安全管理体系中应涵盖必要流程，以确保充分考虑安全风险

5.2应建立企业内部管理信息安全的流程

5.

2.1应建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到适当处置的流程，并确保

5.

2.2车辆风险评估保持最新状态应建立用于车辆信息安全测试的流程

5.

2.3应建立针对车辆的网络攻击、网络威胁和漏洞的监测、响应及上报流程，要求如下

5.

2.4）应包含漏洞管理机制，明确漏洞收集、分析、报告、处置、发布等活动环节；a）应建立针对网络攻击提供相关数据并进行分析的流程；b示例企业具备从车辆数据和车辆日志中分析和检测网络攻击、网络威胁和漏洞的能力）应建立确保已识别的网络攻击、网络威胁和漏洞得到响应，且在合理的时限内得到处置及上报的流c程；）应建立评估所实施的信息安全措施在发现新的网络攻击、网络威胁和漏洞的情况下是否仍然有效的d流程；）应建立确保对网络攻击、网络威胁和漏洞进行持续监控的流程；e注车辆登记后即纳入监控范围应建立管理企业与合同供应商、服务提供商、车辆生产企业子组织之间信息安全依赖关系的流程

5.

2.5车辆信息安全一般要求6车辆产品开发流程应遵循汽车信息安全管理体系要求

1.1应识别和管理车辆与供应商相关的风险

1.2应识别车辆的关键要素，对车辆进行详细的风险评估，合理管理已识别的风险

1.3注风险评估应考虑车辆的各个要素及其相互作用，并进一步考虑与任何外部系统的相互作用示例关键要素包括有助于车辆安全、环境保护或防盗的要素，提供连接性的部件或车辆架构中对信息安全至关重要的部分等应采取基于第章、第章、第章、第章的信息安全技术要求处置措施保护车辆不受风险评估

1.478910中已识别的风险影响注1若处置措施与所识别的风险不相关，则车辆制造商应说明其不相关性注2若处置措施与所识别的风险不充分，则车辆制造商应实施其它的处置措施，并说明其使用措施的合理性如有专用环境，则应采取相应适当的措施，以保护车辆用于存储和执行后装软件、服务、应用程序或

1.5数据的专用环境应通过适当和充分的测试来验证所实施的信息安全措施的有效性

6.6应针对车辆实施相应措施，以识别和防御针对该车辆的网络攻击、网络威胁和漏洞，并为车辆生产企

6.1业在识别与车辆相关的网络攻击、网络威胁和漏洞方面提供监测能力，以及为分析网络攻击、网络威胁和漏洞提供数据取证能力应采用符合国际通用、国家或行业标准要求的密码模块若使用的密码模块未采用国际通用、国家或

6.2行业标准要求，则应说明其使用的合理性应使用公开的、已发布的、有效的密码算法，并选择适当的参数和选项；应根据不同密码算法和场景，选择适当长度和有效的密钥注有效的密码算法指安全有效且未被破解的算法，如MD5已被破解，此类算法相对不安全车辆应采用默认安全设置

6.3示例如WLAN的默认连接口令应满足复杂度的要求车辆数据处理活动中的数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知

6.4等要求，应符合《智能网联汽车数据通用要求》中、的规定GB/T XXXXX

4.

2.

14.

2.2车辆外部连接安全要求7程控制系统安全要求

6.5对远程控制系统的指令信息进行真实性和完整性验证，并应具备验证失败的处理能力

6.

5.1对远程控制系统的指令设置访问控制，禁用非授权的远程控制指令

6.

5.2具备远程控制系统的安全日志记录功能，安全日志记录的内容至少包括远程控制指令的日期、时

6.

5.3间、发送主体、远程控制对象、操作结果等对车端具备远程控制功能的系统的程序和配置数据进行完整性验证

6.

5.4三方应用安全要求

6.6应对授权的第三方应用的真实性和完整性进行验证

7.

2.1注第三方应用是指车辆生产企业及其供应商之外的其他法人实体提供的面向用户提供服务的应用程序，包括第三方娱乐应用等应对非授权的第三方应用的安装运行进行提示，并对已安装的非授权的第三方应用进行访问控制，避

7.

2.2免此类应用直接访问系统资源、个人信息等外部接口安全要求

7.3应对外部接口进行访问控制保护，禁止非授权访问

7.

3.1示例外部接口包括USB接口、诊断接口和其他接口等应对接口接入设备中的文件进行访问控制，只允许读写指定格式的文件或安装执行指定签名

7.

3.2USB的应用软件应具备抵御接口接入设备中的病毒程序和携带病毒的媒体文件/应用软件的能力

7.

3.

33.3USB通过诊断接口发送车辆关键参数的写操作请求时，应采用身份鉴别、访问控制等安全策略

7.

3.4车辆远程控制系统、授权的第三方应用等外部连接系统不应存在由权威漏洞平台个月前公布且未经

7.46处置的高危及以上的安全漏洞注处置包括消除漏洞、制定减缓措施等方式车辆应关闭不必要的网络端口

7.5车辆通信安全要求8车辆与车辆生产企业云平台通信时，应对其通信对象的身份真实性进行验证

8.1车辆与车辆、路侧单元、移动终端等进行直连通信时，应进行证书有效性和合法性的验证

8.2车辆应采用完整性保护机制保护外部通信通道

8.3示例车辆外部通信通道包括移动蜂窝通信、WLAN、蓝牙等，不包括射频、NFC等短距离无线通信通道车辆应具备对来自车辆外部通信通道的数据操作指令的访问控制机制

8.4注来自车辆外部通信通道的数据操作指令包括代码注入、数据操纵、数据覆盖、数据擦除和数据写入等指令车辆应验证所接收的关键指令数据的有效性或唯一性

8.5注关键指令数据是指可能影响行车和财产安全的指令数据，包括但不限于车控指令数据示例针对远程控制服务器发送的车控指令，车端可通过网关校验该类指令的有效期或唯一性车辆应对发送的敏感个人信息实施保密性保护措施

8.6车辆与外部直接通信的零部件应具备身份识别机制

8.7注与外部存在直接通信的零部件包括但不限于车载信息交互系统等，不包括短距离无线传感器车辆与外部直接通信的零部件应具备安全机制防止非授权的系统特权访问

8.8注非授权用户可能通过调试接口获得系统的根用户权限车辆内部网络应划分安全区域，并实现安全区域之间的隔离，对跨域请求应进行访问控制，并遵循默

8.9认拒绝原则和最小化授权原则注隔离措施包括物理隔离、逻辑隔离（如采用白名单、防火墙等措施），如车载以太网可采用VLAN技术实现不同功能域之间的逻辑隔离车辆应具备识别车辆通信通道遭受拒绝服务攻击的能力，并对攻击数据包进行相应的处理

8.10注对攻击数据包的处理包括拦截、丢弃等示例车辆通信通道包括移动蜂窝通信、V2X等车外通信通道，也包括CAN总线和车载以太网等车内通信通道

8.11车辆应具备识别恶意的数据、恶意的诊断数据、恶意的专有数据等的能力，并采取保护措施V2X注1V2X数据包括道路设施发送到车辆的数据、车辆与车辆之间的数据注2专有数据指正常发送自车辆生产企业或车辆组件、系统及功能供应商的数据车辆应对关键的通信信息安全事件进行日志记录

8.12注关键的通信信息安全事件由车企根据风险评估的结果确定车辆软件升级安全要求9用安全要求

8.13载软件升级系统应具备安全启动的功能，应保护车载软件升级系统的可信根、引导加载程序、系

8.

13.1统固件不被篡改，或被篡改后无法正常启动

8.

13.2载软件升级系统应不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞注处置方式包括消除漏洞、制定减缓措施等方式线升级安全要求

8.

149.

2.1车辆和在线升级服务器应进行身份认证，验证其身份的真实性示例常见的认证方式包括使用证书进行身份认证等车载软件升级系统应对下载的在线升级包进行真实性和完整性校验

9.

2.2车载软件升级系统应记录在线升级过程中发生的失败事件日志

9.

2.3注失败事件包括升级包校验失败等，记录内容包括事件时间、事件类型等离线升级安全要求

9.3若车辆使用车载软件升级系统进行离线升级，车辆应对离线升级包真实性和完整性进行校验

9.

3.

19.

3.2若车辆不使用车载软件升级系统进行离线升级，应采取保护措施保证刷写接入端的安全性，或者校验离线升级包的真实性和完整性车辆数据代码安全要求10车辆应安全地存储对称密钥和私钥，防止其被非授权访问和获取

10.1车辆应采取安全访问技术、加密技术等安全技术保护存储在车内的敏感个人信息，防止其被非授权

10.2访问和获取

10.3车辆应采取安全防御机制保护存储在车内的车辆识别代号（VIN）和用于身份识别的数据，防止其被非授权删除和修改示例防止数据被非授权删除和修改的安全防御机制包括安全访问技术、只读技术等车辆应采取安全防御机制保护存储在车内的关键数据，防止其被非授权删除和修改

10.4注关键数据包括车辆关键配置参数和车辆运行过程中产生的可能影响行车安全的数据示例车辆关键配置参数包括制动数据、安全气囊展开阈值、电池参数、自动驾驶参数等影响车辆行车、人员保护功能的配置参数车辆应采取安全防御机制保护存储在车内的安全日志，防止其被非授权删除和修改

10.5车辆应具备个人信息清除功能及防恢复机制，便于在转售、租借或报废时清除个人信息

10.6车辆不得直接向境外传输数据

10.7注用户使用浏览器访问境外网站、使用通信软件向境外传递消息、、自主安装可能导致数据出境的第三方应用等不受本条款限制审核评估及测试方法11依据本文件开展第章车辆信息安全一般要求评估和信息安全技术要求测试验证前，应通过第章汽

11.165车信息安全管理体系要求审核车辆信息安全技术要求测试验证应按照本文件附录进行，在测试验证前应开展第章车辆信息安

11.2A6全一般要求评估，确认车辆采取了基于第章、第章、第章、第章的信息安全技术要求处置措施保78910护车辆不受风险评估中已识别的风险影响注1若基于第7章、第8章、第9章、第10章的信息安全技术要求处置措施与企业所识别的风险不相关，无需对不相关的条款开展测试，仅需开展评估确认注2若基于第7章、第8章、第9章、第10章的信息安全技术要求处置措施无法覆盖企业所识别的风险，应在按照附录A开展测试验证的基础上，对企业实际所使用的处置措施开展评估确认车辆型式的变更和扩展12总则

12.1依据本文件通过型式检验的车型，其结果可扩展到符合判定条件的其他车型车型获得扩展

12.2T

2.4后，此扩展车型不可再扩展到其他车型当送检车型具有多种选装方案时，可只针对全覆盖的车型开展测试，即只要具备所有部件或系统的车型通过检验，可不再进行组合检验直接扩展判定条件

12.2车辆生产企业相同；

12.

2.1通过汽车信息安全管理体系审核;

12.

2.2车型整车电子电气架构相同；

12.

2.3中央网关的硬件型号相同；

12.

2.4车载软件升级系统硬件型号相同；

12.

2.5具备蜂窝移动通信系统功能的零部件硬件型号相同；

12.

2.6车辆无线通信方式所使用的协议类型、版本相同；

12.

2.7注无线通信方式包含WLAN、蓝牙、NFC、蜂窝通讯、V2X等所有暴露的外部物理接口的类型、数量相同或减少；

12.

2.8注外部物理接口包括USB接口、诊断接口、充电接口等与车型产生数据交互的车辆生产企业云平台地址或域名相同

12.

2.9IP审核后扩展的判定条件

12.3若车型发生涉及的变更，经审核车辆生产企业提供的车型风险评估报告后，确认整车

12.

2.3〜

12.

2.9信息安全风险未增加，可获得扩展示例常见的不影响整车信息安全的改动包括替换与信息安全无关的系统或部件、ECU性能升级但不增加新的功能、变更ECU零部件供应商但不改变信息安全配置、用于修复漏洞或性能优化的软件升级、不影响信息安全的功能变更或新增功能（如在原有远程控车功能的基础上增加新的控车功能，且不涉及通信方式的改变）等测试验证后扩展的判定条件

12.4若车型发生涉及的变更，经审核车辆生产企业提供的车型风险评估报告后，确认整车信

12.

2.3〜

12.

2.9息安全风险增加，但未严重影响整车信息安全，应针对受影响的项目补充测试验证，测试验证通过后可获得扩展示例常见的未严重影响整车信息安全的改动包括通信系统升级但不引入新的通信方式（如使用第五代移动通信系统替换第二代移动通信系统），影响信息安全的ECU功能变更或增加新的功能等无法扩展的判定条件

12.5车辆生产企业发生变更；

12.

5.

15.1汽车信息安全管理体系失效；

12.

5.2发生严重影响整车信息安全的变更；

12.

5.3示例常见的严重影响整车信息安全的变更包括改变车辆网络拓扑（如增加新的网关）、增添新的外部接口、增加新的网络通信方式（如增加CAN/车载以太网、增加NFC通信）实施日期13对于新申请型式批准的车型，自本文件实施之日起开始执行对于已获得型式批准的车型，自本文件实施之日起第个月开始执行25附录A（规范性）车辆信息安全要求测试验证方法概述A.1本附录规定了车辆外部连接安全要求、车辆通信安全要求、车辆软件升级安全要求和车辆数据代码安全要求的测试验证方法开展测试验证前，应评估确认满足第章车辆信息安全一般要求6测试条件A.2测试环境应保证测试车辆能安全运行，影响车辆状态的测试应在多运行工况的整车转鼓环境下进A.

2.1行测试环境应保证车辆通信稳定且测试不会对公网环境产生影响，影响公网环境的测试应在具备通信A.

2.2功能的整车暗室或类似环境中进行车辆生产企业应按照测试要求提供测试整车车辆，必要时需提供测试台架A.

2.3车辆生产企业应提供技术人员、刷写工具等必要的支持协助完成测试A.

2.4测试输入信息A.3测试开始前，应根据车辆信息安全一般要求评估的结果，确认与测试车辆相关的测试项，并获取如下测试输入信息注测试输入信息的获取可在车辆生产企业认可的安全场景下进行，如在企业现场审阅相关文档）测试车辆远程控制功能，包括远程控制指令应用场景和使用权限、远程控制指令审计方式及审计日a志记录地址、车辆记录异常指令的地址；）测试车辆授权第三方应用真实性和完整性校验方式；b）测试车辆非授权第三方应用的访问控制机制；c）测试车辆的外部接口；d）与测试车辆通信的车辆生产企业云平台；e）测试车辆通信方法，包括采用的通信协议类型；f）测试车辆的功能；g V2X）测试车辆向外传输敏感个人信息的通信通道；h）测试车辆与外部直接通信的零部件；iJ）测试车辆内部通信方案及通信矩阵样例，包括专用数据通信矩阵样例；）测试车辆车载软件升级系统可信根、引导加载程序、系统固件的访问方式和地址；k）测试车辆实现离线软件升级的方式及工具；1）测试车辆对称密钥和私钥的存储方式及说明文档；m）测试车辆内部存储敏感个人信息存储地址；n）测试车辆内存储的车辆识别代号和用于身份识别的数据清单及存储地址；oP）测试车辆内存储的关键数据清单及存储的地址；）测试车辆个人信息清除功能及防恢复机制q车辆外部连接安全测试方法A.4。