01

引 言

隨著智能網聯汽車技術的飛速發展，車輛的信息系統正在逐步走向高度集成與高度互聯，傳統的車輛控制系統逐漸被復雜的車載操作系統和車聯網應用所取代。與此同時，汽車成為網絡攻擊目標的風險也日益增加，信息安全問題成為智能汽車發展的關鍵挑戰。為規范行業技術要求、提升整車信息安全保障能力，我國于2024年8月23日正式發布國家強制性標準 GB 44495-2024《汽車整車信息安全技術要求》，并將于2026年1月1日正式實施。該標準為整車廠及其供應鏈提供了全面的信息安全技術基線，成為汽車產業信息安全合規建設的重要里程碑。

02

標準背景與核心內容

GB 44495-2024《汽車整車信息安全技術要求》參考吸收了ISO/SAE 21434、UNECE WP.29 R155等國際主流標準和法規內容，結合我國智能網聯汽車發展現狀和實際應用場景，制定了一套覆蓋廣泛、要求明確的信息安全技術框架（如圖1所示）。該標準由工業和信息化部歸口，委托全國汽車標準化技術委員會智能網聯汽車分會執行。上海控安在內的汽車科技領域企業、主機廠、Tier1、高校院所、機構中心等單位聯合參與編制（如圖2所示）。

圖1 標準框架

圖2 標準參編單位

1.1 適用范圍和實施日期

該標準適用于M類、N類及至少裝有1個電子控制單元的O類車輛。

圖3 標準適用范圍

實施日期如下圖所示：

圖4 標準實施日期

1.2 汽車信息安全管理體系要求

整車企業應建立覆蓋產品全生命周期的信息安全管理體系，包括制定內部安全管理流程、識別與處置安全風險、建立測試機制、監測與響應網絡攻擊，以及管控與供應商、服務商之間的信息安全依賴關系，構建系統化的管理體系。

1.3 信息安全基本要求

信息安全基本要求涵蓋風險管理、專用環境保護、安全測試與監測取證、密碼模塊應用、默認安全設置和數據保護等方面。標準要求企業識別關鍵風險，實施有效管控措施，確保系統具備抗攻擊能力和取證能力；同時，使用符合標準的密碼算法與模塊，采用默認安全設置，保障數據處理過程中的個人隱私和用戶知情同意權，全面滿足信息安全防護的基礎要求。

1.4 信息安全技術要求

標準將信息安全技術要求劃分為以下四大核心領域：

1) 外部連接安全：要求對外部通信接口（如USB、藍牙、WIFI、蜂窩網絡等）進行訪問控制、身份認證和數據保護。

2) 通信安全：規定整車內部和外部通信在數據傳輸過程中必須具備加密、防篡改、防重放等能力，確保數據完整性與保密性。

3) 軟件升級安全：包括升級包完整性驗證、簽名認證、版本控制、回滾防護等機制，保障遠程升級的安全可控。

4) 數據安全：涉及用戶隱私數據保護、車輛運行數據加密存儲、本地訪問控制等內容，強化車輛對關鍵數據的生命周期管理能力。

1.5 檢查與試驗方法

該章節主要包括汽車信息安全管理體系檢查、基本要求檢查和技術要求測試。前兩部分主要是針對信息安全相關的文檔進行檢查，確認車輛制造商和測試車輛分別滿足標準第5、6章的要求。技術要求測試主要針對上述的四大核心領域進行安全測試，具體的測試項目和內容如下：

1) 外部連接安全測試

圖5 外部連接安全測試

2) 通信安全測試

圖6 通信安全測試

3）軟件升級安全測試

圖7 軟件升級安全測試

4) 數據安全測試

圖8 數據安全測試

1.6 同一型式判定

標準中的“同一型式判定”旨在明確信息安全測試的一致性范圍。若車輛在信息安全管理體系、電子電氣架構、關鍵控制器及通信協議等方面保持一致，且核心軟硬件版本無影響信息安全的差異，即可視為同一型式。若僅部分參數變更且滿足相應條件，經審批許可后可獲得擴展。同時，數據處理功能中的匿名化算法、控制器和采集設備一致，也可視為同一型式。

03

汽車信息安全測試方案

為滿足GB 44495-2024《汽車整車信息安全技術要求》等安全標準的要求，上海控安基于汽車行業信息安全相關法規和標準提供安全測試方案，標準覆蓋范圍如下圖：

圖9 標準和法規覆蓋范圍

主要圍繞六個方面進行測試能力覆蓋。如圖，以測試能力為核心，從“硬件、車外通信、車載網絡、軟件、數據、升級”六大維度系統化布局，全面支撐智能網聯汽車信息安全能力的合規建設和驗證，符合法規落地與產業實際需求。

圖10 汽車信息安全測試覆蓋面

主要的測試工具包括SmartRocket TestSec自動化智能模糊滲透測試系統，可針對車載總線及車聯網協議的自動化智能黑盒模糊滲透測試工具，主要負責汽車通信層面的安全測試，提供各種通信協議的模糊和滲透測試功能，通過自動化、系統化、智能化的模糊滲透測試方法，能夠有效發現并修復智能網聯汽車通信系統中潛在的安全缺陷，提高智能網聯汽車安全性。

SmartRocket PeneX汽車網絡安全測試系統，支持對整車及車輛零部件及子系統實施網絡安全測試，包含硬件安全、軟件安全、數據安全和軟件升級四大安全測試系統；支持合規性測試，包含國內外的法規及標準；提供實驗室機柜部署方案及便攜式工具箱方案，可按需靈活選擇。

圖11 汽車信息安全測試工具

04

總 結

GB 44495-2024《汽車整車信息安全技術要求》的發布，標志著我國汽車信息安全法規體系邁入全面落地階段。該標準不僅強調組織級的信息安全體系構建與基本安全能力建設，還在技術層面明確了外部連接、通信、升級、數據等防護能力和測試要求。面對日益復雜的汽車信息安全威脅，行業各方需從管理、設計、流程與工具等多個維度協同推進標準實施，切實提升智能網聯汽車的信息安全防護能力，推動我國汽車產業邁向安全、可信、可持續的新階段。