2025 年 6 月 19 日,在第四屆中國車聯網安全大會上,上海控安可信軟件創新研究院技術總監、高級技術專家張璇指出,汽車行業正面臨 " 新四化 " 帶來的信息安全挑戰,國內外相繼出臺法規與標準以約束汽車供應鏈各方成員。其中,GB44495 標準作為強制性標準,對汽車制造商的網絡安全管理體系及車輛網絡安全能力提出了明確要求,旨在保障汽車信息安全。
張璇詳細解讀了 GB44495 標準的內容,包括標準的總體框架、適用范圍、汽車信息安全管理要求、信息安全基本要求及技術要求等。他強調,相關標準還對車輛開發流程、風險評估、密碼算法使用等方面提出了具體要求,以確保汽車信息系統的安全性與可靠性。
張璇 | 上海控安可信軟件創新研究院技術總監、高級技術專家
以下為演講內容整理:
行業現狀
當前,汽車行業面臨因 " 新四化 " 引發的信息安全挑戰。新趨勢拓展了車輛系統的攻擊面,黑客可能利用這些漏洞實施攻擊,進而影響車輛的功能安全。為應對此類問題,國內外相繼出臺相關法規與標準,對汽車供應鏈各環節成員進行約束。然而,在合規測試的具體實施層面,現有方案多依賴人工操作,存在零散化、可用性低及可復制性差等問題。
近年來,智能網聯汽車市場規模持續擴大,產品迭代周期縮短。與此同時,汽車信息安全事件頻發,包括惡意車輛控制、車機 CVE 的漏洞利用、充電樁勒索攻擊以及用戶數據泄露等。這些信息安全問題直接推動了國內外相關標準與法規的制定與完善。在市場與法規標準約束的雙重驅動下,汽車信息安全產業迎來發展機遇。作為保障網絡安全的關鍵環節,汽車信息安全測試亟需高效、系統的解決方案。
圖源:演講嘉賓素材
標準解讀
在探討強標時,R155 法規是一個不可忽視的重要參照。強標的制定過程借鑒了 R155 法規的相關內容,主要涵蓋兩個方面:一是針對制造商的網絡安全管理體系要求,明確規定若車輛擬進入歐洲市場,則必須通過 CSMS 的合規認證;二是關于車輛的網絡安全能力要求,即車輛型式認證的技術要求,要求制造商在獲得 CSMS 證書后,需提交相應的型式認證申請,并完成技術層面的測試。
強標于 2019 年 11 月正式立項,2021 年 7 月由推薦性標準轉變為強制性標準,隨后進行立項公示。2024 年 8 月 23 日,該標準已正式發布。在對比 R155 法規與 GB44495 時,可以發現強標在制定過程中參考了 R155 法規 7.2 章節中關于 CSMS 的要求,并將其轉化為我國強標第五章的汽車信息安全管理體系要求。
標準的前四章主要是概述性的內容,主要對標準的適用范圍、引用文件及術語定義和縮略詞等進行說明。自第五章起,標準轉入對汽車安全管理體系的具體要求,明確汽車制造商在信息安全管理體系構建方面應遵循的規范。第六章則聚焦于汽車信息安全的基本要求,從宏觀層面界定汽車安全應達到的最低標準。
第七章深入技術層面,針對各廠商生產的零部件提出具體的技術要求與開發指南,旨在確保零部件滿足相應的安全需求。第八章針對第五章、第六章及第七章的要求,規定相應的試驗與檢查流程。其中,第五章與第六章的要求通常通過安全過程文檔審查的方式進行評估,而第七章則需借助技術測試手段進行驗證。
第九章主要涉及車輛統一型式的判定。對于不同車型申請合規認證的情況,為減少重復測試工作量,標準要求對電子電氣架構、通信接口及數據安全等方面進行評估,特別是針對匿名化算法的應用,需確認其與已通過合規認證的基礎車型是否一致,從而有效降低重復測試成本。第十章則明確規定了標準的實施日期,為標準的監督執行提供明確的時間節點。
關于第五章的汽車信息安全管理體系要求,主要包括以下幾方面。首先,企業需構建完善的內部安全管理流程,并設立相應的組織團隊,以確保信息安全管理工作得到有效執行與監督。其次是風險管理過程,企業需依據 ISO/SAE 21434 標準的方法論,開展威脅分析與風險評估工作,對潛在的信息安全威脅進行全面識別、分析與應對,從而保障車輛信息安全。另外,企業應將信息安全測試與原有的功能測試相結合,融入至相關測試流程中,以驗證車輛信息系統的安全性與可靠性。制造商還需與供應鏈上的供應商、服務商及子公司實施信息安全管控措施,確保各方在信息安全方面遵循統一的標準與要求。
第六章是信息安全的基本要求。一是車輛產品開發流程應遵循汽車信息安全管理體系要求;二是對車輛進行風險評估,管理已識別的風險;三是采取處置措施,保護車輛抵御外部攻擊;四是采用符合標準的密碼算法和模塊;五是采用默認安全設置;六是車輛數據處理應符合 GB/T 44464-2024《汽車數據通用要求》的規定。
第七章主要是信息安全技術要求,包括外部連接安全,通信安全、數據安全以及軟件升級安全。
第八章關于檢查與試驗方法的內容包含三個部分:一和二分別是信息安全管理體系檢查以及基本要求檢查,這兩部分主要通過過程體系及安全文檔審查等方式進行驗證,三是信息安全技術要求測試,此部分主要采用測試方法及測試工具進行技術層面的驗證,以確認所實施的安全措施是否滿足要求;
關于技術要求的測試,針對外部鏈接,主要包括通用安全測試、遠程控制安全測試、第三方應用安全測試和外部接口安全測試。
通信安全方面,涉及云平臺通信、V2X 身份認證等方面,針對通信,主要進行機密性、完整性及可用性相關測試。
軟件升級方面,主要聚焦于以下三個方面:一是通用安全相關要求,涵蓋安全保護機制和漏洞掃描等測試;二是 OTA 相關要求,主要包括對服務器的身份認證,以及在線升級包的篡改防護和升級事件日志的安全測試;三是離線升級的安全測試,若采用車載軟件升級系統,需開展相應檢測,如 USB 升級需進行防病毒測試。對于不使用車載軟件升級系統的測試,則需基于診斷儀進行安全測試。
數據安全方面,主要針對車輛行駛過程中涉及的密碼學數據、車輛行駛數據、個人敏感信息等提出測試要求。同時,要求具備車輛具有個人信息清除防恢復的功能,并對數據出境作出限制,禁止車輛直接向境外傳輸數據。
測試方案
我們的主要測試服務范圍涵蓋整車、零部件以及車控應用 APP。在概念設計階段,開展威脅分析與風險評估,以此識別并獲得概念層級的網絡安全需求,明確安全目標。針對上層安全目標,進一步開展安全措施的技術層面設計工作,為實際開發提供指導。
我們擁有自主研發的汽車信息安全管理平臺 PeneX,該平臺嚴格遵循法規及標準,同時可根據企業的個性化需求進行定制化開發。針對強制性標準,我們深入解讀其技術要求與試驗方法,并據此形成可實踐落地的自動化、半自動化或手動測試用例。
下圖是我們主要平臺的界面展示。其中,合規測試管理模塊是該平臺的一大特色,區別于市面上多數同類工具。當前,大多數針對法規和標準的測試是基于規范文檔逐條對照,并選用不同工具進行測試的,形式比較零散復雜。而我們的做法是,對強標要求進行深入解讀,形成專用的測試方法與步驟,再將其與可實際的工具及操作方法進行關聯。如此,借助合規測試管理模塊,我們構建了一個統一的管理平臺,便于生成自動化測試報告。
平臺具備強大的測試能力:硬件層面測試主要針對硬件接口進行安全訪問等測試;在通信方面,包括車載網絡測試以及車外無線測試;軟件安全測試針對系統固件及應用程序進行漏洞掃描分析;數據安全測試層面,依據相關標準中對數據收集、使用、存儲、銷毀等環節的要求,對數據的真實性、完整性和機密性進行檢測。
硬件測試方面,我們基于不同控制器開展測試工作,具體包括硬件敏感信息檢查、PACK 硬件調試接口測試。運用硬件仿真調試工具,對硬件接口的訪問控制進行測試。同時,開展部件提取測試,借助芯片測試工具及相關技術,對車機主控芯片或外部 flash 進行提取測試。
車載網絡測試方面,我們依托自身資源,使用 SmartRocket TestSec 工具開展相關測試。該工具基于不同的硬件板卡實現通信數據的收發。與市面上主要用于汽車通信的工具不同,若使用這些工具進行網絡安全測試,需單獨編寫測試用例腳本,操作較為繁瑣,我們則將汽車通信協議相關的安全測試用例做成相應的測試模塊,更易于實際測試。
針對車外通信安全測試,主要基于不同的硬件無線接口設備進行。根據法規和標準要求,涉及 WiFi、藍牙、射頻、NFC 等無線通信技術。我們采用 USB 通信適配器或 SDR 無線電設備等工具開展測試,同時使用羅德施瓦茨的設備進行 GNSS、蜂窩網絡以及 V2X 的安全檢測。不過,由于羅德施瓦茨設備方案的成本較高,為了應對不同客戶的需求,后續將設計并更具性價比的測試方案。
軟件測試包含合規性測試與漏洞掃描檢測等內容。合規性測試方面,主要針對應用的真實性與完整性進行檢測,主要是通過篡改應用的證書及簽名來開展檢測工作,同時進行非授權訪問控制測試,通過安裝第三方非授權 APP,檢測能否正常安裝。
漏洞掃描涵蓋應用軟件以及底層系統固件的掃描。目前,漏洞掃描主要測試的風險項包括:配置風險,即編碼中是否存在硬編碼等情況;密碼學相關風險,降低密鑰泄露、不安全證書等風險;針對敏感信息,需檢測固件中的文件是否包含敏感信息,并且是否進行了安全存儲;代碼安全,要檢查不安全代碼配置等問題;安卓或 iOS 應用,檢查其是否涉及敏感權限、加密安全以及潛在的漏洞。
數據安全測試主要依據標準要求,針對數據的收集、使用、存儲和銷毀環節,進行真實性、完整性和機密性檢測。下圖左側為 GB 44495 提出的要求,右側為 PeneX 平臺對應的測試用例。除依據 GB44495 的測試內容外,我們還會整合 GB/T 44496 的相關要求條目。
軟件升級測試主要依據 R156 法規及 GB 44496 的要求開展升級合規檢測,具體包含以下兩部分:一是一般性要求測試,涵蓋升級包的真實性與完整性測試;二是軟件識別碼 / 版本號防篡改測試,通過讀取軟件識別碼,并運用篡改指令對其進行篡改,前后對比軟件識別碼 / 版本號是否一致,以此檢驗升級系統是否具備防篡改機制。
二是針對 OTA 在線升級要求,在實施 OTA 升級時,需滿足用戶告知、用戶確認等條件,并遵循相關先決條件要求。GB44496 與 R156 法規存在一些差異,比如為適配本土化實際需求,GB 44496 新增了車門防鎖死要求。
基于此前在客戶現場開展的測試工作,測試內容涵蓋多個方面。例如,對版本號進行修改;檢驗用戶升級前的告知機制是否有效;評估升級前的先決條件判斷邏輯等。以電量保障測試為例,在升級前通過升級云平臺對安全升級的電量要求進行確認,其中,升級前電量通常要求維持在 20% - 100% 之間。測試過程中,首先會消耗設備實際電量至 20% 以下,以此驗證設備在低電量情況下能否正常升級。
平臺能夠提供定制化的測試報告輸出服務,涵蓋合規測試報告、滲透測試報告以及模糊測試報告,以此滿足不同客戶的多樣化需求。
在實戰測試場景方面,我們開展整車及車機零部件的滲透測試,以檢驗系統在面對潛在安全威脅時的防護能力;同時,基于自主研發的模糊引擎開展車機模糊測試,相較于市面上基于隨機的模糊測試方法,我們的模糊測試在實際測試效果上更具加明顯,通過該測試能夠觸發車機重啟等異常情況,發現潛在的安全問題。
此外,針對整車開展滲透測試時,通過 OBD 接口并利用相關軟件進行訪問控制測試,檢驗系統對數據重放攻擊的抵御能力;對車機進行模糊測試以觀察是否會觸發車機重啟異常;針對車機的滲透,還可通過調試接口訪問車機,檢查是否存在弱口令設置;并運用端口掃描方法,查看是否存在非必要的應用服務以及訪問控制權限等問題。
(以上內容來自上海控安可信軟件創新研究院技術總監、高級技術專家張璇于 2025 年 6 月 19 日在第四屆中國車聯網安全大會發表的《筑牢智能網聯汽車安全防線:GB44495 標準深度解析與實戰測試方案》主題演講。)
