8月23日���,上?���?匕矃⒕幍摹禛B 44495-2024 汽車整車信息安全技術要求》正式發布,標準將于2026年1月1日正式實施。
汽車整車信息安全技術要求
《汽車整車信息安全技術要求》由工業和信息化部歸口,委托全國汽車標準化技術委員會智能網聯汽車分會執行。上海控安在內的汽車科技領域企業、主機廠���、Tier1、高校院所、機構中心等單位聯合參與編制�����。
該標準是我國針對智能網聯汽車信息安全制定的強制性國家標準����,基于當前汽車行業發展現狀和管理需求自主制定����,旨在提升智能網聯汽車信息安全能力,保障汽車網絡安全���、個人隱私與數據安全。
標準涵蓋信息安全管理體系建設�、車輛信息安全要求����、安全技術要求��、測試驗證方法等內容���,對汽車整車信息安全和數據安全能力提出更符合我國發展現狀的嚴格要求�����,同時也為車企開展網絡安全及信息安全建設提供有效指導。
標準網址:https://std.samr.gov.cn/gb/search/gbDetailed?id=208DEC46F6B347EEE06397BE0A0AA4A0
汽車網絡安全解決方案
隨著汽車發展向智能化���、網聯化走深走實,車輛搭載的關鍵代碼規模與電子控制單元數量大幅增長�����,導致汽車受到信息安全攻擊的風險與日俱增�����。近年來頻發的汽車信息安全事件加劇了社會各界對于智能汽車發展的擔憂。上海控安致力于長期攻堅智能網聯汽車關鍵核心技術�,提出并建設了一系列汽車整車及核心零部件全方位網絡安全保障方案�,在汽車產業轉型升級進程中取得了突破性成效����。
滿足多項標準法規的研發咨詢服務
《汽車整車信息安全技術要求》的發布實施有助于應對智能網聯汽車信息技術快速發展帶來的安全挑戰。作為參編單位之一,上?��?匕蔡峁M足《汽車整車信息安全技術要求》、WP.29 R155/R156、ISO/SAE 21434等標準法規的開發設計咨詢服務����。
《汽車整車信息安全技術要求》標準咨詢
WP.29 R155/R156法規咨詢
ISO/SAE 21434汽車信息安全標準咨詢
汽車信息安全實驗室建設咨詢
覆蓋汽車全生命周期的網絡安全解決方案
智能網聯汽車的發展帶來了網絡安全諸多新的挑戰��,涉及從開發設計到運營生產等汽車全生命周期的各個階段。為應對這些挑戰�����,需要采取全方位的網絡安全防護措施�,上海控安提供覆蓋汽車全生命周期各個階段的汽車網絡安全風險管理整體解決方案�。
上?�?匕财嚾芷诰W絡安全風險管理
01 概念階段
支持TARA分析服務和汽車網絡安全工程咨詢服務
◆ 遵循ISO/SAE 21434中的TARA分析流程,對整車及零部件��,進行資產識別����、威脅場景識別、攻擊路徑分析、風險評級等,最終得出安全目標和安全需求。
02 開發階段
支持汽車網絡安全開發服務
◆ 支持安全啟動功能開發
在啟動時�����,通過HSM/TEE對bootloader、系統鏡像�、應用代碼進行校驗,防止固件被篡改。
◆ 支持安全存儲功能開發
利用HSM/TEE的密碼服務對敏感數據(如密鑰)進行安全存儲����,保證數據的真實性和機密性���。
◆ 支持安全通信功能開發
- 基于HSM/TEE功能�����,對通信數據進行非對稱加密、對稱加密、消息驗證碼生成及校驗等密碼學計算�,保證數據的機密性���、完整性�、真實性��;
- 支持開發SecOC����、TLS等標準的安全通信協議���,同時提供私有安全通信流程的適配及設計�����。
◆ 支持安全診斷功能開發
支持UDS 0x27,0x29服務的設計及開發�����。
◆ 支持安全刷寫功能開發
結合HSM/TEE,對UDS刷寫過程進行加密及消息驗證碼校驗,保證過程的真實性��、保密性及完整性�����。
◆ 支持安全日志功能開發
對日志的完整性和真實性進行防護,基于HSM/TEE提供的密碼算法對數據進行認證�����,保證日志數據的完整性和真實性���。
◆ 支持藍牙鑰匙系統的開發
設計基于HSM/TEE的安全通信流程��,開發汽車藍牙鑰匙系統����。
03 運營階段
支持OTA的簽名驗簽安全�、車載入侵檢測防護與車輛安全運營監控
◆ SmartRocket PKI-SINGER 基于車聯網的公鑰基礎設施及軟件簽名系統
能夠構建企業自有的公鑰基礎設施系統,用于生成/審核/頒發/管理證書及產生密鑰��;同時數字簽名系統對接企業的軟件發布系統��,自動實現數字簽名�����。
◆ IDPS 車載入侵檢測防護系統
提供CAN、以太網等車載網絡流量入侵檢測探針��、主機入侵檢測探針��、入侵檢測管理模塊以及入侵檢測上傳模塊�����。實現車端攻擊事件的檢測及上報?�?稍诓煌腗CU�����、MPU上進行部署及功能裁剪���,支持Linux��、Android、QNX系統適配����。
◆ VSOC 車輛安全運營中心
支持平臺數據總覽����、安全事件實時監控�����、高靈活性配置����、漏洞管理與風險處置���。
04 全生命周期
具備汽車網絡安全攻防演練靶場
◆ 該靶場支持針對實車��、半實物臺架及全虛擬場景的測試或仿真測試��。
◆ 可實現攻擊方法及安全措施測試、攻擊場景分析與復現���。
◆ 為網絡安全相關研究人員培訓提供硬件支持。
汽車網絡安全測試實驗室建設能力
除產品及功能開發服務�,上?���?匕策€建立了汽車網絡安全測試實驗室�,包含兩款標準化的測試工具�,能夠針對整車、零部件�����、APP等對象���,開展滲透測試����、合規測試及符合性測試。
◆ 滲透測試
涉及汽車相關的CAN、以太網����、WIFI���、藍牙�、應用����、硬件等11個模塊,目前積累200+滲透測試用例。
◆ 合規測試
- 支持GB 44495-2024《汽車整車信息安全技術要求》
- 支持GB/T 40855-2021《電動汽車遠程服務與管理系統信息安全技術要求及試驗方法》
- 支持GB/T 40856 《車載信息交互系統信息安全技術要求及試驗方法》
- 支持GB/T 40857 《汽車網關信息安全技術要求及試驗方法》
- 支持《智能網聯汽車 數據通用要求》(征求意見稿)
- 支持R155 Cyber security and cyber security management system
◆ 符合性測試
針對被測對象的安全需求進行測試用例設計及測試����,驗證被測對象的安全需求是否得到滿足�����,以及安全開發方案是否合理。
標準化測試工具展示
SmartRocket BlitzFuzz工業互聯網協議模糊測試工具,可針對車載總線及車聯網協議的自動化智能黑盒模糊滲透測試工具,提供各種故障注入功能��,能夠有效發現并修復智能網聯汽車通信系統中潛在的安全缺陷�。通過自動化�、系統化、智能化的模糊滲透測試方法,提高智能網聯汽車安全性�����。
SmartRocket BlitzFuzz
工業互聯網協議模糊測試工具
(↑ 點擊鏈接了解詳情 ↑)
BlitzFuzz 小型機柜
SmartRocket PeneX汽車網絡安全測試系統��,支持對整車及車輛零部件及子系統實施網絡安全測試���,包含硬件安全�、軟件系統安全、通信安全、數據安全四大安全測試系統���;支持合規性測試,包含國內外的法規及標準;提供實驗室部署方案及便攜式工具箱方案���,可按需靈活選擇。
SmartRocket PeneX
汽車網絡安全測試系統
(↑ 點擊鏈接了解詳情 ↑)
PeneX Lab
PeneX Lite
智能網聯汽車作為國家戰略性新興產業,切實保障其網絡與信息安全�,對維護國家安全具有重大意義�����。未來,上海控安將持續聚焦汽車領域安全保障與技術創新,助力我國智能網聯汽車產業高質量發展,加快建設汽車強國���。
閱讀原文
