1、中汽研软件测评：汽车信息安全测试技术研究与应用.pdf

1、中汽研软件测评（天津）有限公司201 合规测试要求02 R155测试要求的应对与建议03 国标测试要求的应对与建议04 资质能力介绍中汽研软件测评（天津）有限公司合规测试要求-信息安全标准法规2021年2月5日公布包含网络安全、软件升级在内的三项法规正式实施欧盟在2022年7月对新车型强制实施（所有适用范围内车型出口至欧盟均需进行认证）法规的适用范围为M/N/O类车型20162019202020222024CS/OTA IWG成立法规雏形，试验验证法规发布投票通过新车型实施所有新车实施农用机械等新话题l R155法规制定历程2019.11.052020.092021.072022.04 202

2、2.08项目组成立暨启动会议提交立项申请强标立项强标试行验证工作公开征求意见工作组内征求意见l 强制性国家标准制定历程2023.05l 推荐性国家标准GB/T40855、40856、40857、41578等零部件或系统级信息安全标准已经发布中汽研软件测评（天津）有限公司合规测试要求-对测试的要求标准法规状态及进展涉及车型研发验证测试检测认证测试UNECE R155发布并实施M/N/O（出口）零部件、子系统和整车集成验证测试和确认测试摸底测试和VTA（目击测试）汽车整车信息安全技术要求公开征求意见M/N/O零部件、子系统和整车集成验证测试和确认测试摸底测试和车型检测（附录A)推荐性国家标准发布并

3、实施M/N/O*零部件检测集成验证测试、确认测试1研发验证测试2检测认证测试零部件合规测试3零部件检测摸底测试、车型检测中汽研软件测评（天津）有限公司合规测试要求-测试类别介绍 集成验证测试：研发过程的验证测试要求必须做到有效性和充分性，目的是验证网络安全需求的有效实 施，包含零部件集成与验证、子系统集成与验证、整车集成与验证 1 确认测试：确认车辆的网络安全目标是否实现，可通过渗透测试、模糊测试等方式确认网络安全目标的充分性和有效性，包含零部件、子系统、整车确认测试2 摸底测试：在正式车型检测认证试验前，开展摸底测试，对前期的验证测试与确认测试结果是否正确进行验证，并采用与正式车型检测认证相

4、同的方式进行预演，实现摸底效果（可选的测试活动）3 车型检测：满足R155要求的目击测试以及国标附录A测试方法的测试4 零部件合规测试：零部件层级更细化的要求，与整车标准协同，可以作为整车合规的参考标准（需求规范）5中汽研软件测评（天津）有限公司合规测试要求-区别与联系通过确认测试摸底测试车型检测集成验证测试零部件合规测试测试类别区别与联系集成验证测试测试目标：验证网络安全需求的实施测试方法：基于需求的测试、设计审查、代码审计等确认测试测试目标：验证网络安全目标的实现测试方法：渗透测试、模糊测试等摸底测试测试目标：摸底车辆能否通过标准测试测试方法：155 VTA用例库、GB附录A、研发验证过程

5、的测试结果确认车型检测测试目标：测试车辆能否满足标准要求测试方法：155 VTA目击测试、GB附录A中汽研软件测评（天津）有限公司701 合规测试要求02 R155测试要求的应对与建议03 国标测试要求的应对与建议04 资质能力介绍中汽研软件测评（天津）有限公司R155测试要求的应对与建议-网络安全集成验证测试8测试指导书制定及评审整车网络安全计划回归测试测试计划制定及评审CSMS体系要求网络安全需求/方案测试准备首轮测试测试报告测试输入整车/系统台架整改后整车/系统台架整改建议问题整改测试方法n 基于需求的测试：n 设计审查；n 代码审计测试用例设计方法n 对需求的分析；n 边界值分析；n

6、基于知识和经验推测故障测试设备n Vehicle Spy、CANOE、USBCANFD：CAN协议测试n Swift Fuzzer：蓝牙协议功能验证测试n FOTA机柜：OTA功能验证测试n 宽带无线综测仪CMW500：蜂窝网络测试中汽研软件测评（天津）有限公司R155测试要求的应对与建议-网络安全确认测试输入材料：提供依据ISO 21434车型进行的风险评估阶段的输出物，包含威胁场景、攻击路径、攻击可行性评级、风险等级及风险处置决策、网络安全目标及网络安全声明等；提供网络安全概念及需求；提供对网络安全概念所进行集成验证报告或对网络安全目标所进行的安全测试报告；输出成果：网络安全确认活动方案；