8月23日,上海控安参编的《GB 44495-2024 汽车整车信息安全技术要求》正式发布,标准将于2026年1月1日正式实施。
汽车整车信息安全技术要求
《汽车整车信息安全技术要求》由工业和信息化部归口,委托全国汽车标准化技术委员会智能网联汽车分会执行。上海控安在内的汽车科技领域企业、主机厂、Tier1、高校院所、机构中心等单位联合参与编制。
该标准是我国针对智能网联汽车信息安全制定的强制性国家标准,基于当前汽车行业发展现状和管理需求自主制定,旨在提升智能网联汽车信息安全能力,保障汽车网络安全、个人隐私与数据安全。
标准涵盖信息安全管理体系建设、车辆信息安全要求、安全技术要求、测试验证方法等内容,对汽车整车信息安全和数据安全能力提出更符合我国发展现状的严格要求,同时也为车企开展网络安全及信息安全建设提供有效指导。
标准网址:国家标准 - 全国标准信息公共服务平台
汽车网络安全解决方案
随着汽车发展向智能化、网联化走深走实,车辆搭载的关键代码规模与电子控制单元数量大幅增长,导致汽车受到信息安全攻击的风险与日俱增。近年来频发的汽车信息安全事件加剧了社会各界对于智能汽车发展的担忧。上海控安致力于长期攻坚智能网联汽车关键核心技术,提出并建设了一系列汽车整车及核心零部件全方位网络安全保障方案,在汽车产业转型升级进程中取得了突破性成效。
满足多项标准法规的研发咨询服务
《汽车整车信息安全技术要求》的发布实施有助于应对智能网联汽车信息技术快速发展带来的安全挑战。作为参编单位之一,上海控安提供满足《汽车整车信息安全技术要求》、WP.29 R155/R156、ISO/SAE 21434等标准法规的开发设计咨询服务。
《汽车整车信息安全技术要求》标准咨询
WP.29 R155/R156法规咨询
ISO/SAE 21434汽车信息安全标准咨询
汽车信息安全实验室建设咨询
覆盖汽车全生命周期的网络安全解决方案
智能网联汽车的发展带来了网络安全诸多新的挑战,涉及从开发设计到运营生产等汽车全生命周期的各个阶段。为应对这些挑战,需要采取全方位的网络安全防护措施,上海控安提供覆盖汽车全生命周期各个阶段的汽车网络安全风险管理整体解决方案。
上海控安汽车全生命周期网络安全风险管理
01 概念阶段
支持TARA分析服务和汽车网络安全工程咨询服务
◆ 遵循ISO/SAE 21434中的TARA分析流程,对整车及零部件,进行资产识别、威胁场景识别、攻击路径分析、风险评级等,最终得出安全目标和安全需求。
02 开发阶段
支持汽车网络安全开发服务
◆ 支持安全启动功能开发
在启动时,通过HSM/TEE对bootloader、系统镜像、应用代码进行校验,防止固件被篡改。
◆ 支持安全存储功能开发
利用HSM/TEE的密码服务对敏感数据(如密钥)进行安全存储,保证数据的真实性和机密性。
◆ 支持安全通信功能开发
- 基于HSM/TEE功能,对通信数据进行非对称加密、对称加密、消息验证码生成及校验等密码学计算,保证数据的机密性、完整性、真实性;
- 支持开发SecOC、TLS等标准的安全通信协议,同时提供私有安全通信流程的适配及设计。
◆ 支持安全诊断功能开发
支持UDS 0x27,0x29服务的设计及开发。
◆ 支持安全刷写功能开发
结合HSM/TEE,对UDS刷写过程进行加密及消息验证码校验,保证过程的真实性、保密性及完整性。
◆ 支持安全日志功能开发
对日志的完整性和真实性进行防护,基于HSM/TEE提供的密码算法对数据进行认证,保证日志数据的完整性和真实性。
◆ 支持蓝牙钥匙系统的开发
设计基于HSM/TEE的安全通信流程,开发汽车蓝牙钥匙系统。
03 运营阶段
支持OTA的签名验签安全、车载入侵检测防护与车辆安全运营监控
◆ SmartRocket PKI-SINGER 基于车联网的公钥基础设施及软件签名系统
能够构建企业自有的公钥基础设施系统,用于生成/审核/颁发/管理证书及产生密钥;同时数字签名系统对接企业的软件发布系统,自动实现数字签名。
◆ IDPS 车载入侵检测防护系统
提供CAN、以太网等车载网络流量入侵检测探针、主机入侵检测探针、入侵检测管理模块以及入侵检测上传模块。实现车端攻击事件的检测及上报。可在不同的MCU、MPU上进行部署及功能裁剪,支持Linux、Android、QNX系统适配。
◆ VSOC 车辆安全运营中心
支持平台数据总览、安全事件实时监控、高灵活性配置、漏洞管理与风险处置。
04 全生命周期
具备汽车网络安全攻防演练靶场
◆ 该靶场支持针对实车、半实物台架及全虚拟场景的测试或仿真测试。
◆ 可实现攻击方法及安全措施测试、攻击场景分析与复现。
◆ 为网络安全相关研究人员培训提供硬件支持。
汽车网络安全测试实验室建设能力
除产品及功能开发服务,上海控安还建立了汽车网络安全测试实验室,包含两款标准化的测试工具,能够针对整车、零部件、APP等对象,开展渗透测试、合规测试及符合性测试。
◆ 渗透测试
涉及汽车相关的CAN、以太网、WIFI、蓝牙、应用、硬件等11个模块,目前积累200+渗透测试用例。
◆ 合规测试
- 支持GB 44495-2024《汽车整车信息安全技术要求》
- 支持GB/T 40855-2021《电动汽车远程服务与管理系统信息安全技术要求及试验方法》
- 支持GB/T 40856 《车载信息交互系统信息安全技术要求及试验方法》
- 支持GB/T 40857 《汽车网关信息安全技术要求及试验方法》
- 支持《智能网联汽车 数据通用要求》(征求意见稿)
- 支持R155 Cyber security and cyber security management system
◆ 符合性测试
针对被测对象的安全需求进行测试用例设计及测试,验证被测对象的安全需求是否得到满足,以及安全开发方案是否合理。
标准化测试工具展示
SmartRocket BlitzFuzz工业互联网协议模糊测试工具,可针对车载总线及车联网协议的自动化智能黑盒模糊渗透测试工具,提供各种故障注入功能,能够有效发现并修复智能网联汽车通信系统中潜在的安全缺陷。通过自动化、系统化、智能化的模糊渗透测试方法,提高智能网联汽车安全性。
SmartRocket PeneX汽车网络安全测试系统,支持对整车及车辆零部件及子系统实施网络安全测试,包含硬件安全、软件系统安全、通信安全、数据安全四大安全测试系统;支持合规性测试,包含国内外的法规及标准;提供实验室部署方案及便携式工具箱方案,可按需灵活选择。
智能网联汽车作为国家战略性新兴产业,切实保障其网络与信息安全,对维护国家安全具有重大意义。未来,上海控安将持续聚焦汽车领域安全保障与技术创新,助力我国智能网联汽车产业高质量发展,加快建设汽车强国。
