ICS43.020CCST40

DB4403深 圳 市 地 方 標(biāo) 準(zhǔn)DB4403/T355—2023智能網(wǎng)聯(lián)汽車整車信息安全技術(shù)要求vehicles2023-08-22vehicles2023-08-222023-09-01深圳市市場監(jiān)督管理局發(fā)布DB4403/T355DB4403/T355—2023DB4403/T355DB4403/T355—2023目 次前言 II范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 2汽車信息安全管理體系要求 2車輛信息安全一般要求 2車輛外部連接安全要求 3車輛通信通道安全要求 4車輛軟件升級(jí)安全要求 4車輛數(shù)據(jù)代碼安全要求 5審核評(píng)估及測試方法 5附錄A（規(guī)范性）車輛信息安全技術(shù)要求測試驗(yàn)證方法 7II前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件以強(qiáng)制性國家標(biāo)準(zhǔn)《汽車整車信息安全技術(shù)要求》（計(jì)劃號(hào)：20214422-Q-339）（2023年5月版本）為基礎(chǔ)制定，主要用于支持深圳市智能網(wǎng)聯(lián)汽車準(zhǔn)入管理工作的實(shí)施。本文件由深圳市工業(yè)和信息化局提出并歸口。本文件起草單位：深圳市工業(yè)和信息化局。IIII智能網(wǎng)聯(lián)汽車整車信息安全技術(shù)要求范圍本文件適用于M類、N類及至少裝有1個(gè)電子控制單元的O類車輛，其他類型車輛可參考執(zhí)行。規(guī)范性引用文件本文件沒有規(guī)范性引用文件。術(shù)語和定義下列術(shù)語和定義適用于本文件。汽車信息安全管理體系cybersecuritymanagementsystem一種基于風(fēng)險(xiǎn)的系統(tǒng)方法，用以處理與車輛網(wǎng)絡(luò)威脅相關(guān)的風(fēng)險(xiǎn)并保護(hù)車輛免受網(wǎng)絡(luò)攻擊。注：汽車信息安全管理體系cybersecuritymanagementsystem一種基于風(fēng)險(xiǎn)的系統(tǒng)方法，用以處理與車輛網(wǎng)絡(luò)威脅相關(guān)的風(fēng)險(xiǎn)并保護(hù)車輛免受網(wǎng)絡(luò)攻擊。注：汽車信息安全管理體系包括組織流程、責(zé)任和治理方案。3.2風(fēng)險(xiǎn)risk車輛信息安全不確定性的影響。3.3風(fēng)險(xiǎn)評(píng)估riskassessment3.4威脅threat可能導(dǎo)致系統(tǒng)、組織或個(gè)人受到傷害的意外事件的潛在原因。3.5漏洞vulnerability在資產(chǎn)或緩解措施中，可被一個(gè)或多個(gè)威脅利用的弱點(diǎn)。3.6車載軟件升級(jí)系統(tǒng)on-boardsoftwareupdatesystem安裝在車端并具備升級(jí)包接收、校驗(yàn)和分發(fā)等功能的軟件和硬件。3.7在線升級(jí)over-the-airupdate不使用電纜或其他本地連接而通過無線方式進(jìn)行數(shù)據(jù)傳輸?shù)能浖?jí)。3.81離線升級(jí)offlineupdate除在線升級(jí)以外的軟件升級(jí)。3.9敏感個(gè)人信息sensitivepersonalinformation一旦泄露或者非法使用，可能導(dǎo)致車主、駕駛?cè)恕⒊塑嚾恕④囃馊藛T等受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息。注：敏感個(gè)人信息包括車輛行蹤軌跡、音頻、視頻、圖像和生物識(shí)別特征等信息。縮略語下列縮略語適用于本文件。CAN：控制器局域網(wǎng)絡(luò)（ControlAreaNetwork）HSM：硬件安全模塊（HardwareSecureModule）MD5：MD5信息摘要算法（MD5Message-DigestAlgorithm）NFC：近距離無線通訊技術(shù)（NearFieldCommunication）TLS：安全傳輸層協(xié)議（TransportLayerSecurity）USB：通用串行總線（UniversalSerialBus）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）VIN：車輛識(shí)別代號(hào)（VehicleIdentificationNumber）WLAN：無線局域網(wǎng)（WirelessLocalAreaNetwork）汽車信息安全管理體系要求車輛生產(chǎn)企業(yè)應(yīng)建立車輛全生命周期的汽車信息安全管理體系。注：車輛全生命周期包括車輛的開發(fā)階段、生產(chǎn)階段及后生產(chǎn)階段。汽車信息安全管理體系中應(yīng)涵蓋必要流程，以確保充分考慮安全風(fēng)險(xiǎn)。車輛生產(chǎn)企業(yè)應(yīng)建立車輛生產(chǎn)企業(yè)內(nèi)部管理信息安全的流程。車輛生產(chǎn)企業(yè)應(yīng)建立識(shí)別、評(píng)估、分類、處置車輛信息安全風(fēng)險(xiǎn)及核實(shí)已識(shí)別風(fēng)險(xiǎn)得到適當(dāng)處置的流程，并確保車輛風(fēng)險(xiǎn)評(píng)估保持最新狀態(tài)。車輛生產(chǎn)企業(yè)應(yīng)建立用于車輛信息安全測試的流程。車輛生產(chǎn)企業(yè)應(yīng)建立針對(duì)車輛的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的監(jiān)測及響應(yīng)流程，要求如下：建立漏洞管理流程，明確漏洞收集、分析、報(bào)告、處置、發(fā)布等活動(dòng)環(huán)節(jié)；建立針對(duì)網(wǎng)絡(luò)攻擊提供相關(guān)數(shù)據(jù)并進(jìn)行分析的流程；示例：車輛生產(chǎn)企業(yè)具備從車輛數(shù)據(jù)和車輛日志中分析和檢測網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的能力。建立確保已識(shí)別的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞得到響應(yīng)，且在合理的時(shí)限內(nèi)得到處置的流程；建立評(píng)估所實(shí)施的信息安全措施在發(fā)現(xiàn)新的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的情況下是否仍然有效的流程；建立確保對(duì)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞進(jìn)行持續(xù)監(jiān)控的流程。注：車輛登記后即納入監(jiān)控范圍。車輛生產(chǎn)企業(yè)應(yīng)建立管理車輛生產(chǎn)企業(yè)與合同供應(yīng)商、服務(wù)提供商、車輛生產(chǎn)企業(yè)子組織之間信息安全依賴關(guān)系的流程。車輛信息安全一般要求2車輛產(chǎn)品開發(fā)流程應(yīng)遵循汽車信息安全管理體系要求。車輛產(chǎn)品開發(fā)流程中應(yīng)識(shí)別和管理車輛與供應(yīng)商相關(guān)的風(fēng)險(xiǎn)。車輛產(chǎn)品開發(fā)流程中應(yīng)識(shí)別車輛的關(guān)鍵要素，對(duì)車輛進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估，合理管理已識(shí)別的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估應(yīng)考慮車輛的各個(gè)要素及其相互作用，并進(jìn)一步考慮與任何外部系統(tǒng)的相互作用。示例：要的部分等。78910保護(hù)車輛不受風(fēng)險(xiǎn)評(píng)估中已識(shí)別的風(fēng)險(xiǎn)影響。注1：若處置措施與所識(shí)別的風(fēng)險(xiǎn)不相關(guān)，則車輛制造商說明其不相關(guān)性。注2：若處置措施與所識(shí)別的風(fēng)險(xiǎn)不充分，則車輛制造商實(shí)施其它的處置措施，并說明其使用措施的合理性。如有專用環(huán)境，則車輛生產(chǎn)企業(yè)應(yīng)采取相應(yīng)適當(dāng)?shù)拇胧员Ｗo(hù)車輛用于存儲(chǔ)和執(zhí)行后裝軟件、服務(wù)、應(yīng)用程序或數(shù)據(jù)的專用環(huán)境。車輛產(chǎn)品開發(fā)流程中應(yīng)通過適當(dāng)和充分的測試來驗(yàn)證所實(shí)施的信息安全措施的有效性。注：有效的密碼算法指安全有效且未被破解的算法，如MD5已被破解，此類算法相對(duì)不安全。車輛應(yīng)采用默認(rèn)安全設(shè)置。示例：如按照車輛口令復(fù)雜度要求設(shè)置WLAN的默認(rèn)連接口令。車輛外部連接安全要求外部連接一般安全要求6注：處置包括消除漏洞、制定減緩措施等方式。車輛應(yīng)關(guān)閉不必要的網(wǎng)絡(luò)端口。遠(yuǎn)程控制系統(tǒng)安全要求應(yīng)對(duì)遠(yuǎn)程控制系統(tǒng)的指令信息進(jìn)行真實(shí)性和完整性驗(yàn)證，并應(yīng)具備驗(yàn)證失敗的處理能力。應(yīng)對(duì)遠(yuǎn)程控制系統(tǒng)的指令設(shè)置訪問控制，禁用非授權(quán)的遠(yuǎn)程控制指令。應(yīng)對(duì)車端具備遠(yuǎn)程控制功能的系統(tǒng)的程序和配置數(shù)據(jù)進(jìn)行完整性驗(yàn)證。第三方應(yīng)用安全要求應(yīng)對(duì)授權(quán)的第三方應(yīng)用的真實(shí)性和完整性進(jìn)行驗(yàn)證。注：第三方應(yīng)用是指車輛生產(chǎn)企業(yè)及其供應(yīng)商之外的其他法人實(shí)體提供的面向用戶提供服務(wù)的應(yīng)用程序，包括第三方娛樂應(yīng)用等。3應(yīng)對(duì)非授權(quán)的第三方應(yīng)用的安裝運(yùn)行進(jìn)行提示，并對(duì)已安裝的非授權(quán)的第三方應(yīng)用進(jìn)行訪問控制，此類應(yīng)用應(yīng)不超出訪問控制權(quán)限的訪問系統(tǒng)資源、個(gè)人信息等。外部接口安全要求應(yīng)對(duì)外部接口進(jìn)行訪問控制保護(hù)。示例：外部接口包括USB接口、診斷接口和其他接口等。USBUSB/應(yīng)用軟件的能力。通過診斷接口發(fā)送車輛關(guān)鍵參數(shù)的寫操作請(qǐng)求時(shí)，應(yīng)采用身份鑒別或訪問控制等安全措施。車輛通信通道安全要求車輛與車輛生產(chǎn)企業(yè)云平臺(tái)通信時(shí)，應(yīng)對(duì)其通信對(duì)象的身份真實(shí)性進(jìn)行驗(yàn)證。車輛與車輛、路側(cè)單元、移動(dòng)終端等進(jìn)行直連通信時(shí)，應(yīng)進(jìn)行證書有效性和合法性的驗(yàn)證。車輛應(yīng)采用完整性保護(hù)機(jī)制保護(hù)外部通信通道。示例：車輛外部通信通道包括移動(dòng)蜂窩通信、WLAN、藍(lán)牙等，不包括射頻、NFC等短距離無線通信通道。車輛應(yīng)具備對(duì)來自車輛外部通信通道的數(shù)據(jù)操作指令的訪問控制機(jī)制。注：來自車輛外部通信通道的數(shù)據(jù)操作指令包括代碼注入、數(shù)據(jù)操縱、數(shù)據(jù)覆蓋、數(shù)據(jù)擦除和數(shù)據(jù)寫入等指令。車輛應(yīng)驗(yàn)證所接收的關(guān)鍵指令數(shù)據(jù)的有效性或唯一性。注：關(guān)鍵指令數(shù)據(jù)是指可能影響行車和財(cái)產(chǎn)安全的指令數(shù)據(jù)，包括但不限于車控指令數(shù)據(jù)。示例：針對(duì)遠(yuǎn)程控制服務(wù)器發(fā)送的車控指令，車端可通過網(wǎng)關(guān)校驗(yàn)該類指令的有效期或唯一性。車輛應(yīng)對(duì)發(fā)送的敏感個(gè)人信息實(shí)施保密性和完整性保護(hù)措施。車輛與外部直接通信的零部件應(yīng)具備身份識(shí)別機(jī)制。注：與外部存在直接通信的零部件包括但不限于車載信息交互系統(tǒng)等，不包括短距離無線傳感器。車輛與外部直接通信的零部件應(yīng)具備安全機(jī)制防止非授權(quán)的系統(tǒng)特權(quán)訪問。注：非授權(quán)用戶可能通過調(diào)試接口獲得系統(tǒng)的根用戶權(quán)限。車輛內(nèi)部網(wǎng)絡(luò)應(yīng)劃分安全區(qū)域，并實(shí)現(xiàn)安全區(qū)域之間的隔離，對(duì)跨域請(qǐng)求應(yīng)進(jìn)行訪問控制，并遵循默認(rèn)拒絕原則和最小化授權(quán)原則。注：隔離措施包括物理隔離、邏輯隔離（如采用白名單、防火墻等措施），如車載以太網(wǎng)可采用VLAN技術(shù)實(shí)現(xiàn)不同功能域之間的邏輯隔離。應(yīng)的處理。注：對(duì)攻擊數(shù)據(jù)包的處理包括攔截、丟棄等。示例：車輛通信通道包括移動(dòng)蜂窩通信、V2X等車外通信通道，也包括CAN總線和車載以太網(wǎng)等車內(nèi)通信通道。V2X注：V2X數(shù)據(jù)包括道路設(shè)施發(fā)送到車輛的數(shù)據(jù)、車輛與車輛之間的數(shù)據(jù)。車輛應(yīng)對(duì)關(guān)鍵的通信信息安全事件進(jìn)行日志記錄。注：關(guān)鍵的通信信息安全事件由車輛生產(chǎn)企業(yè)據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定。車輛軟件升級(jí)安全要求軟件升級(jí)一般安全要求46注：處置方式包括消除漏洞、制定減緩措施等方式。在線升級(jí)安全要求車輛和在線升級(jí)服務(wù)器應(yīng)進(jìn)行身份認(rèn)證，驗(yàn)證其身份的真實(shí)性。示例：常見的認(rèn)證方式包括使用證書進(jìn)行身份認(rèn)證等。車載軟件升級(jí)系統(tǒng)應(yīng)對(duì)下載的在線升級(jí)包進(jìn)行真實(shí)性和完整性校驗(yàn)。車載軟件升級(jí)系統(tǒng)應(yīng)記錄在線升級(jí)過程中發(fā)生的失敗事件日志。注：失敗事件包括升級(jí)包校驗(yàn)失敗等，記錄內(nèi)容包括事件時(shí)間、事件類型等。離線升級(jí)安全要求若車輛使用車載軟件升級(jí)系統(tǒng)進(jìn)行離線升級(jí)，車輛應(yīng)對(duì)離線升級(jí)包真實(shí)性和完整性進(jìn)行校驗(yàn)。若車輛不使用車載軟件升級(jí)系統(tǒng)進(jìn)行離線升級(jí)，應(yīng)采取保護(hù)措施保證刷寫接入端的安全性，并校驗(yàn)離線升級(jí)包的真實(shí)性和完整性。車輛數(shù)據(jù)代碼安全要求車輛應(yīng)安全地存儲(chǔ)對(duì)稱密鑰和私鑰，防止其被非授權(quán)訪問和獲取。VIN示例：防止數(shù)據(jù)被非授權(quán)刪除和修改的安全防御機(jī)制包括安全訪問技術(shù)、只讀技術(shù)等。車輛應(yīng)采取安全防御機(jī)制保護(hù)存儲(chǔ)在車內(nèi)的關(guān)鍵數(shù)據(jù)，防止其被非授權(quán)刪除和修改。注：關(guān)鍵數(shù)據(jù)包括車輛關(guān)鍵配置參數(shù)和車輛運(yùn)行過程中產(chǎn)生的可能影響行車安全的數(shù)據(jù)。示例：功能的配置參數(shù)。車輛應(yīng)采取安全防御機(jī)制保護(hù)存儲(chǔ)在車內(nèi)的安全日志，防止其被非授權(quán)刪除和修改。車輛應(yīng)具備個(gè)人信息清除功能及防恢復(fù)機(jī)制，便于在轉(zhuǎn)售、租借或報(bào)廢時(shí)清除個(gè)人信息。車輛不應(yīng)直接向境外傳輸數(shù)據(jù)。注：用戶使用瀏覽器訪問境外網(wǎng)站、使用通信軟件向境外傳遞消息、自主安裝可能導(dǎo)致數(shù)據(jù)出境的第三方應(yīng)用等不受本條款限制。審核評(píng)估及測試方法789105A注：測試驗(yàn)證實(shí)施方案包括第7章、第8章、第9章、第10章于待測試驗(yàn)證車輛的適用條款、各適用條款所對(duì)應(yīng)的測試驗(yàn)證對(duì)象、各適用條款對(duì)應(yīng)的測試驗(yàn)證細(xì)則等。66附錄 A（規(guī)范性）車輛信息安全技術(shù)要求測試驗(yàn)證方法概述測試條件測試環(huán)境應(yīng)保證測試車輛能安全運(yùn)行，影響車輛運(yùn)行狀態(tài)的測試應(yīng)在多運(yùn)行工況的整車轉(zhuǎn)鼓環(huán)境下進(jìn)行。測試環(huán)境應(yīng)保證車輛通信穩(wěn)定且測試不會(huì)對(duì)公網(wǎng)環(huán)境產(chǎn)生影響，影響公網(wǎng)環(huán)境的測試應(yīng)在具備通信功能的整車暗室或類似環(huán)境中進(jìn)行。車輛生產(chǎn)企業(yè)應(yīng)按照測試要求提供測試整車車輛，必要時(shí)需提供測試臺(tái)架。車輛生產(chǎn)企業(yè)應(yīng)提供技術(shù)人員、刷寫工具等必要的支持協(xié)助完成測試。測試輸入信息注：測試輸入信息的獲取可在車輛生產(chǎn)企業(yè)認(rèn)可的安全場景下進(jìn)行，如在車輛生產(chǎn)企業(yè)現(xiàn)場審閱相關(guān)文檔。測試車輛遠(yuǎn)程控制功能，包括遠(yuǎn)程控制指令應(yīng)用場景和使用權(quán)限、遠(yuǎn)程控制指令審計(jì)方式及審計(jì)日志記錄地址、車輛記錄異常指令的地址；測試車輛授權(quán)第三方應(yīng)用真實(shí)性和完整性校驗(yàn)方式；測試車輛非授權(quán)第三方應(yīng)用的訪問控制機(jī)制；測試車輛的外部接口；與測試車輛通信的車輛生產(chǎn)企業(yè)云平臺(tái)；測試車輛通信方法，包括采用的通信協(xié)議類型；V2X測試車輛向外傳輸敏感個(gè)人信息的通信通道；測試車輛與外部直接通信的零部件；測試車輛內(nèi)部通信方案及通信矩陣樣例，包括專用數(shù)據(jù)通信矩陣樣例；測試車輛車載軟件升級(jí)系統(tǒng)可信根、引導(dǎo)加載程序、系統(tǒng)固件的訪問方式和地址；測試車輛實(shí)現(xiàn)離線軟件升級(jí)的方式及工具；測試車輛對(duì)稱密鑰和私鑰的存儲(chǔ)方式及說明文檔；測試車輛內(nèi)部存儲(chǔ)敏感個(gè)人信息存儲(chǔ)地址；測試車輛內(nèi)存儲(chǔ)的車輛識(shí)別代號(hào)和用于身份識(shí)別的數(shù)據(jù)清單及存儲(chǔ)地址；測試車輛內(nèi)存儲(chǔ)的關(guān)鍵數(shù)據(jù)清單及存儲(chǔ)的地址；測試車輛個(gè)人信息清除功能及防恢復(fù)機(jī)制。車輛外部連接安全測試方法外部連接一般安全測試方法7車輛外部連接系統(tǒng)漏洞掃描測試方法測試人員應(yīng)按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.1.1的要求：66處置方案清單，確認(rèn)車輛生產(chǎn)企業(yè)提交的漏洞處置方案清單中是否覆蓋該漏洞，不應(yīng)存在由6車輛關(guān)閉不必要接口測試方法測試人員應(yīng)按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.1.2的要求：WLAN、車載以太網(wǎng)等形式將測試車輛與掃描測試設(shè)備組網(wǎng)，查看配置文件獲得IP使用掃描測試設(shè)備查看測試車輛所開放的端口，并將車輛開放的端口列表與提交的車輛業(yè)務(wù)列表進(jìn)行對(duì)比，測試車輛是否有開放非必要的網(wǎng)絡(luò)端口，應(yīng)僅開放必要的網(wǎng)絡(luò)端口。具備遠(yuǎn)程操控功能的系統(tǒng)安全測試方法真實(shí)性和完整性校驗(yàn)的測試方法應(yīng)依據(jù)A.3a)測試車輛遠(yuǎn)程控制功能，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.2.1的要求：嘗試偽造、篡改并發(fā)送遠(yuǎn)程車輛控制指令；測試車輛是否響應(yīng)偽造、篡改的指令，應(yīng)無法響應(yīng)偽造、篡改的指令。遠(yuǎn)程控制指令控制測試方法應(yīng)依據(jù)A.3a)測試車輛遠(yuǎn)程控制功能，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.2.2的要求：構(gòu)建非授權(quán)的遠(yuǎn)程控制指令，發(fā)送至測試車輛；測試車輛是否響應(yīng)非授權(quán)的指令，應(yīng)無法響應(yīng)非授權(quán)的指令。安全日志記錄功能測試方法應(yīng)依據(jù)A.3a)測試車輛遠(yuǎn)程控制功能，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.2.3的要求：構(gòu)建并觸發(fā)遠(yuǎn)程控制系統(tǒng)信息安全事件；使用授權(quán)的用戶或工具，導(dǎo)出遠(yuǎn)程控制系統(tǒng)安全日志文件，驗(yàn)證文件記錄的內(nèi)容是否包含遠(yuǎn)程控制指令的日期、時(shí)間、發(fā)送主體、操作是否成功等信息，應(yīng)包括遠(yuǎn)程控制指令的日期、時(shí)間、發(fā)送主體、操作是否成功的信息。遠(yuǎn)程控制功能系統(tǒng)程序和數(shù)據(jù)完整性校驗(yàn)測試方法應(yīng)依據(jù)A.3a)測試車輛遠(yuǎn)程控制功能，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.2.4的要求：篡改車端執(zhí)行遠(yuǎn)程控制功能的系統(tǒng)的程序和數(shù)據(jù)，并下發(fā)遠(yuǎn)程控制指令；測試車輛是否告警或不執(zhí)行該控制指令，應(yīng)告警或不執(zhí)行該控制指令。第三方應(yīng)用安全測試方法授權(quán)第三方應(yīng)用真實(shí)性完整性驗(yàn)證測試方法8測試人員應(yīng)依據(jù)A.3b)測試車輛授權(quán)第三方應(yīng)用真實(shí)性和完整性校驗(yàn)方式，依據(jù)車輛生產(chǎn)企業(yè)第三方應(yīng)用管理機(jī)制，從如下測試方法中選擇適用的方法開展測試，檢驗(yàn)測試車輛是否滿足7.3.1的要求：使用二進(jìn)制工具，依據(jù)授權(quán)第三方應(yīng)用真實(shí)性和完整性校驗(yàn)方式，篡改第三方應(yīng)用程序的代碼；若車輛生產(chǎn)企業(yè)不允許車輛安裝執(zhí)行非授權(quán)第三方應(yīng)用，嘗試安裝并執(zhí)行篡改后的授權(quán)第三方應(yīng)用程序，測試是否可以正常安裝或運(yùn)行，應(yīng)無法正常安裝或運(yùn)行；若車輛生產(chǎn)企業(yè)允許車輛安裝執(zhí)行非授權(quán)第三方應(yīng)用，嘗試使用篡改后的授權(quán)第三方應(yīng)用程序訪問超出訪問控制權(quán)限的資源，應(yīng)無法訪問控制權(quán)限外的資源。非授權(quán)第三方應(yīng)用訪問控制測試方法測試人員應(yīng)依據(jù)A.3c)測試車輛非授權(quán)第三方應(yīng)用的訪問控制機(jī)制，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.3.2的要求：嘗試安裝并執(zhí)行非授權(quán)第三方應(yīng)用，測試車輛是否進(jìn)行提示，應(yīng)有明確提示；嘗試使用非授權(quán)第三方應(yīng)用程序訪問超出訪問控制權(quán)限的資源，應(yīng)無法訪問控制權(quán)限外的資源。外部接口安全測試方法外部接口訪問控制測試方法測試人員應(yīng)依據(jù)A.3d)測試車輛外部接口，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.4.1的要求：使用非授權(quán)的用戶或工具訪問車輛的外部接口；測試是否可以成功建立連接并訪問相應(yīng)的信息，應(yīng)無法成功建立連接。USB測試人員應(yīng)依據(jù)A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.4.2的要求：USBUSBUSB測試人員應(yīng)依據(jù)A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.4.3的要求：USBUSB診斷接口身份鑒別測試方法測試人員應(yīng)依據(jù)A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足7.4.4的要求：使用非授權(quán)用戶或工具在診斷接口發(fā)送車輛關(guān)鍵參數(shù)寫操作請(qǐng)求，測試車輛是否執(zhí)行該操作請(qǐng)求，應(yīng)無法執(zhí)行該操作請(qǐng)求；9使用授權(quán)用戶在診斷接口發(fā)送超出權(quán)限的車輛關(guān)鍵參數(shù)寫操作請(qǐng)求，測試車輛是否執(zhí)行該操作請(qǐng)求，應(yīng)無法執(zhí)行該操作請(qǐng)求。車輛通信安全測試方法云平臺(tái)通信身份真實(shí)性驗(yàn)證測試方法測試人員應(yīng)依據(jù)A.3eA.3f若車輛與車輛生產(chǎn)企業(yè)云平臺(tái)通信采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)環(huán)境進(jìn)行通信，驗(yàn)證通信網(wǎng)絡(luò)技術(shù)報(bào)告，確定通信網(wǎng)絡(luò)類型，并記錄驗(yàn)證結(jié)果；若車輛與車輛生產(chǎn)企業(yè)云平臺(tái)通信采用公共網(wǎng)絡(luò)環(huán)境進(jìn)行通信，且使用公有通信協(xié)議，采用TLSV1.2TLSV1.2若車輛與車輛生產(chǎn)企業(yè)云平臺(tái)通信采用公共網(wǎng)絡(luò)環(huán)境進(jìn)行通信，且使用私有通信協(xié)議，對(duì)私有通信協(xié)議方案進(jìn)行驗(yàn)證，私有通信協(xié)議方案應(yīng)能對(duì)通信對(duì)象的身份真實(shí)性進(jìn)行驗(yàn)證。V2X通信身份認(rèn)證測試方法測試人員應(yīng)依據(jù)A.3f)測試車輛通信方法、A.3g)測試車輛的V2X功能，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足8.2的要求：使用合法證書，利用V2X仿真測試設(shè)備模擬車輛、路側(cè)單元和移動(dòng)終端，并嘗試與測試車輛建立通信連接；清除V2X仿真測試設(shè)備的通信記錄，并將證書替換為無效證書或非法證書，測試替換證書后測試車輛是否依然能和V2X仿真測試設(shè)備通信，應(yīng)斷開通信連接。通信通道完整性保護(hù)測試方法測試人員應(yīng)依據(jù)A.3f8.3的要求：a）文數(shù)據(jù)，判斷傳輸數(shù)據(jù)是否應(yīng)用了完整性保護(hù)措施；b）防非授權(quán)操作測試方法測試人員應(yīng)依據(jù)A.3f8.4的要求：a）蓋；關(guān)鍵指令數(shù)據(jù)有效性和唯一性驗(yàn)證測試方法測試人員應(yīng)按照如下方法，檢驗(yàn)測試車輛是否滿足8.5的要求：10錄制正常會(huì)話指令，修改其中的一段數(shù)據(jù)，發(fā)送修改后的會(huì)話指令，測試車輛是否做出響應(yīng)，應(yīng)無法響應(yīng)修改后的指令；敏感個(gè)人信息保密性保護(hù)測試方法測試人員應(yīng)依據(jù)A.3h)測試車輛向外傳輸敏感個(gè)人信息的通信通道，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足8.6的要求：驗(yàn)證使用的加密算法強(qiáng)度是否滿足需求，算法強(qiáng)度應(yīng)滿足要求。對(duì)外通信零部件身份識(shí)別測試方法測試人員應(yīng)依據(jù)A.3i)測試車輛與外部直接通信的零部件，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足8.7的要求：啟動(dòng)車輛，測試零部件是否正常工作或車輛是否有異常部件連接告警，應(yīng)有異常告警提示。車輛與外部直接通信零部件防非特權(quán)訪問測試方法測試人員應(yīng)依據(jù)A.3i)測試車輛與外部直接通信的零部件，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足8.8的要求：構(gòu)建一個(gè)非授權(quán)用戶，嘗試對(duì)該用戶進(jìn)行身份提權(quán)的操作；車內(nèi)安全區(qū)域隔離測試方法測試人員依據(jù)A.3j)測試車內(nèi)通信方案及通信矩陣樣例，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足8.9的要求：a）在指定的目的端口測試是否可以接收到相應(yīng)的數(shù)據(jù)幀，應(yīng)無法接收到相應(yīng)的數(shù)據(jù)幀；c）VLAN拒絕服務(wù)攻擊識(shí)別測試方法CAN測試人員應(yīng)依據(jù)A.3j)測試車輛車內(nèi)通信方案及通信矩陣樣例，并按照如下測試方法，檢驗(yàn)測試車輛CAN總線通信拒絕服務(wù)攻擊識(shí)別防護(hù)能力是否滿足8.10的要求：將拒絕服務(wù)攻擊測試設(shè)備接入車輛的CAN總線，識(shí)別該通道總線波特率，測試設(shè)備對(duì)該通道發(fā)起大于80在拒絕服務(wù)攻擊時(shí)，測試車輛未受攻擊的CAN通道通信性能和預(yù)設(shè)的功能是否受到影響，應(yīng)不受影響；11以太網(wǎng)拒絕服務(wù)攻擊識(shí)別測試方法測試人員應(yīng)依據(jù)A.3j)測試車輛車內(nèi)通信方案及通信矩陣樣例，并按照如下測試方法，檢驗(yàn)測試車輛以太網(wǎng)通信拒絕服務(wù)攻擊識(shí)別防護(hù)能力是否滿足8.10的要求：在拒絕服務(wù)攻擊時(shí)，測試車輛未受攻擊的部件性能和預(yù)設(shè)的功能是否受到影響，應(yīng)不受影響；c）攻擊數(shù)據(jù)包。V2X測試人員應(yīng)按照如下測試方法，檢驗(yàn)測試車輛V2X通信拒絕服務(wù)攻擊識(shí)別防護(hù)能力是否滿足8.10的要求：a）使用V2X仿真測試設(shè)備模擬構(gòu)建不少于150輛可與測試車輛正常通信的虛擬車輛，并保持通信；b）任選一輛虛擬車輛，將其與拒絕服務(wù)攻擊設(shè)備連接，向測試車輛發(fā)起拒絕服務(wù)攻擊；c）在拒絕服務(wù)攻擊結(jié)束后，測試車輛的V2X功能是否恢復(fù)并可正常運(yùn)行，應(yīng)從攻擊中恢復(fù)并正常運(yùn)行。惡意數(shù)據(jù)識(shí)別測試方法測試人員應(yīng)依據(jù)車輛接收消息類型，從如下方法中選擇適用的方法，檢驗(yàn)測試車輛是否滿足8.11的要求：依據(jù)V2X通信規(guī)則，構(gòu)建并向車輛發(fā)送惡意的V2X消息數(shù)據(jù)時(shí)，測試車輛能否鑒別并拒絕響應(yīng)，應(yīng)拒絕響應(yīng)；通信信息安全日志測試方法測試人員應(yīng)依據(jù)車輛通信信息安全日志記錄機(jī)制，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足8.12的要求：構(gòu)建并觸發(fā)車輛通信信息安全事件；車輛軟件升級(jí)安全測試方法通用安全要求測試方法車載軟件升級(jí)系統(tǒng)安全啟動(dòng)測試方法測試人員應(yīng)依據(jù)A.3k)測試車輛車載軟件升級(jí)系統(tǒng)可信根、引導(dǎo)加載程序、系統(tǒng)固件的訪問方式和地址，按照如下測試方法，檢驗(yàn)測試車輛是否滿足9.1.1的要求：12車載軟件升級(jí)系統(tǒng)安全漏洞掃描測試方法測試人員應(yīng)照如下測試方法，檢驗(yàn)測試車輛是否滿足9.1.2的要求：使用漏洞掃描工具對(duì)車載軟件升級(jí)系統(tǒng)進(jìn)行漏洞掃描測試，測試是否存在權(quán)威漏洞平臺(tái)6個(gè)月前公布的高危及以上的安全漏洞；如存在權(quán)威漏洞平臺(tái)6個(gè)月前公布的高危及以上的安全漏洞，對(duì)照車輛生產(chǎn)企業(yè)提交的漏洞處在線升級(jí)安全測試方法軟件升級(jí)服務(wù)器身份認(rèn)證測試方法測試人員應(yīng)按照A.5.1云平臺(tái)通信身份真實(shí)性驗(yàn)證測試方法，檢測測試車輛是否滿足9.2.1的要求。升級(jí)包真實(shí)性和完整性校驗(yàn)測試方法測試人員應(yīng)確認(rèn)在線升級(jí)功能正常執(zhí)行，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足9.2.2的要求：構(gòu)造被篡改破壞的在線升級(jí)包；將該升級(jí)包下載或傳輸?shù)杰囕d端，嘗試執(zhí)行軟件升級(jí)，應(yīng)無法執(zhí)行升級(jí)。失敗事件日志記錄測試方法測試人員應(yīng)按照如下測試方法，檢驗(yàn)測試車輛是否滿足9.2.3的要求：a）b）觸發(fā)車輛軟件升級(jí)，檢查升級(jí)事件日志，應(yīng)記錄本次升級(jí)失敗事件。離線升級(jí)