標準解讀 | GB 44495-2024實施在即,汽車信息安全合規建設需提速?
GB 44495-2024《汽車整車信息安全技術要求》于2024年8月23日正式發布,2026年1月1日起對新車型強制實施。如圖1所示,該國標覆蓋M/N/O類車輛(含1個及以上ECU),首次將全生命周期管理體系納入強制標準,標志著我國智能網聯汽車安全監管邁入新階段。
圖1 GB 44495-2024國標概覽
一、標準解析:企業關注要點
《汽車整車信息安全技術要求》大綱如圖2所示,在體系咨詢和摸底測試的過程中,企業在以下要點容易忽視潛在風險。
1、汽車信息安全管理體系要求--全生命周期管理
- 車企應建立覆蓋汽車全生命周期的信息安全管理體系;
- 明確風險識別、評估、處置流程;
- 細化車企與供應商的安全責任劃分機制。
2、信息安全基本要求--車型產品開發流程
- 車型產品開發需遵循汽車信息安全管理體系要求,確保體系的有效運行;
- 新增網絡攻擊監測、漏洞響應等動態防御能力驗證。
3、 信息安全技術要求--車輛測試
- 圍繞外部連接、通信安全、軟件升級、數據安全四類場景提出要求,旨在引導企業系統性提升產品信息安全能力。
圖2 GB 44495-2024國標框架
二、技術要求解析:基于實際案例分析
依據信息安全技術要求對車輛進行合規摸底測試,如圖3所示。在測試過程中,整車固件掃描中發現的高危及以上漏洞的整改周期最長,每一項的整改時間跨度從幾周到幾個月不等。此外,因簽名校驗機制等信息不對等問題導致升級測試不符合要求的類似情況也頻繁出現。
圖3 信息安全技術要求
在技術要求各個部分出現過的典型案例如下:
1、外部連接安全:阻斷非授權訪問路徑
普遍問題:例如開放端口問題,企業在開發測試過程中的一些調試端口未關閉,且自定義開放端口的管理不規范,未能明確其業務用途。
案例參考:對某車輛中央網關開展端口掃描測試后,發現其SSH和Telnet的默認端口開放,存在非授權訪問車輛系統的風險;同時,部分自定義端口無法提供業務用途說明。
技術應對要點:及時關閉開發過程中開放的調試接口,確認僅保留必要的、與業務用途相關的網絡端口。
2、通信安全:保障數據傳輸可靠性
普遍問題:與外部通信的零部件身份認證缺失或系統權限劃分不合理,以及與外部對象的通信過程缺乏身份驗證機制。
案例參考:在測試某車輛與云平臺數據通信的過程中,發現車輛未對云平臺的身份進行驗證,通信過程中也沒有證書交換環節。
技術應對要點:嚴格管理車輛與外部對象的通信,確保與TSP、OTA等關鍵服務器的通信過程中具備與通信對象身份真實性的驗證機制。
3、軟件升級安全:確保更新過程可控
普遍問題:針對不同升級方式以及不同供應商零部件升級的過程,對升級包真實性完整性的校驗機制不夠完善。
案例參考:在測試某車輛離線升級刷寫的過程中,發現某ECU的升級包文件雖然包含定義簽名信息的字段,但是在篡改簽名數據后仍然可以成功刷寫并正常使用ECU功能。
技術應對要點:在升級校驗機制的開發階段和供應商安全需求下發的階段,明確校驗機制的定義,并開展充分測試驗證,避免因機制偏差導致安全隱患。
4、數據安全:強化敏感信息保護
普遍問題:主要集中在開發過程中使用的代理未關閉等原因導致的數據出境現象,以及敏感信息存儲管理不規范、權限劃分不清晰等問題。
案例參考:在某車輛的T-BOX蜂窩通信測試中,發現設備存在與境外IP之間存在數據通信,其代理功能未關閉,且底層廢棄代碼未清理,存在數據泄露等風險。
技術應對要點:關閉境外代理,并對開發過程中使用的底層開源代碼庫進行全面的分析與管控,防止敏感信息外泄。
三、車企應對建議:加速推進合規建設
GB 44495-2024《汽車整車信息安全技術要求》不僅為車輛制造商提供了清晰的信息安全技術規范和管理體系要求,推動了智能網聯汽車的技術升級與市場競爭,同時也強化了消費者權益和公共安全保障。此標準的實施對于提升汽車信息安全水平、促進國際合作交流具有深遠意義,促使車輛制造商積極進行信息安全建設,確保符合國家規范并有效應對不斷變化的安全挑戰。
為了更好地滿足新標準的要求,中汽研科技有限公司(簡稱“中汽研科技”)智能網聯汽車研究部網聯通信測試平臺技術總監李奇提出如下應對建議:
- 對現有車型進行全面的信息安全風險評估,識別潛在的安全隱患;
- 建立有效的供應商安全能力評估機制,確保供應鏈各環節的安全性;
- 開展典型場景下的滲透測試,以驗證車輛在面對真實攻擊時的防御能力;
- 盡早進行摸底檢測以確保符合新標準的要求,減少后期整改帶來的不必要成本。
面對日益復雜的信息安全挑戰,企業應積極采取上述措施,針對國標測試中存疑的地方積極與專業的測試人員咨詢,并持續關注行業動態和技術發展,不斷更新和完善自身的安全策略和防護體系,以應對未來可能出現的新威脅。
結語
當前,中汽研科技已依據GB 44495-2024《汽車整車信息安全技術要求》標準,建立了全面的合規測試能力。這標志著中汽研科技能夠為汽車行業提供符合國家標準的信息安全測試服務,確保車輛的信息安全滿足國標要求。截至目前,中汽研科技已經針對數據泄露、未授權訪問以及惡意軟件攻擊等多種高風險場景,提供了詳盡的信息安全測試方案。
專家介紹
李奇,中汽研科技網聯通信測試平臺技術總監
主要負責汽車信息安全、軟件升級、數據安全業務及相關標準制修訂工作;參與國家及省部級科研項目10項,主持/參與中心/院所級科研項目15項,授權發明專利4項。從事智能網聯汽車檢測研究工作10余年,參與80+款整車滲透測試、國標符合性測試以及出口車型R155認證測試等,以豐富的經驗護衛汽車信息安全。
市場聯系:聯系人丨張秀麗 聯系電話丨***********
業務聯系:聯系人丨李奇 聯系電話丨***********