上海汽检—GB44495安全基线对漏洞风险的约束.pdf

1、为客户钻研 替用户把关上海机动车检测认证技术研究中心有限公司GB 44495安全基线对漏洞风险的约束上海汽检信息安全检测研究实验室厉洪瑞2025.Mar.27thResearch for customers and check for users2PART 1GB44495标准现状GB 44495-2024标准架构解析M 类、N 类及至少装有1个电子控制单元的 O 类车辆范围执行规范性引用文件术语和定义缩略语汽车信息安全管理体系要求信息安全基本要求信息安全技术要求检查与试验方法同一型式判定汽车整车信息安全技术要求管理体系车型企业体系文档清单输入管理体系覆盖全生命周期审查内部管理流程审查风险评估

2、流程审查测试流程审查持续监控流程审查供应商管理流程审查审查报告企业提供基本要求总结文档车辆基本要求检测满足GB/T44464-2024中4.2要求的检测报告确认车型测试方案企业提供测试输入项外部连接安全测试通信安全测试软件升级安全测试数据安全测试标准的实施信息安全直接视同判定条件信息安全测试验证后视同判定条件数据处理功能直接视同条件新车型2026年1月1日正式实施所有车型2028年1月1日正式实施GB 44495-2024一般检测要点GB 44495-2024的一般检测要点，包含管理体系审核和车辆检测两个部分，使得安全验证条线有迹可循。GB 44495-2024汽车整车信息安全技术要求检测分为

3、管理体系检测和车型产品检测两个环节.GB 44495-2024 Technical Requirements for Vehicle Cybersecurity testing is divided into two parts:management system testing and vehicle product testing管理体系检测 Management system testing5.持续的网络安全管理检测 continuous cybersecurity management testing1.全生命周期检测CSMS covers the entire life cycle

4、testing 2.内部管理流程检测Internal management process testing6.供应商网络安全管理检测supplier management testing4.测试验证流程检测testverification process dection3.风险评估流程检测risk assessment process testing落地车型产品检测 Vehicle product testing 1.基本要求总结文档test basic requirements summary document2.基本要求检测basic requirements testing3.确认测试范

5、围determine test scope4.执行第七章、第八章相关的测试项test related items of chapter 7&chapter 85.输出检验报告（含5、6、7章）output test report(contains chapter 5、6、7)GB测试工具链介绍GB 44495的第七章、第八章所要求的信息安全合规检测；建设CNAS&CMA认可的实验室能力；上海汽检信息安全检测研究实验室随即建设完整的汽车整车及零部件信息安全和软件升级测试能力。6PART 2车辆云管端的安全挑战分析安全挑战实例分析实车攻防演练场景中一组数据表明，智能网联汽车的安全保障正面临强有力的

6、安全挑战。下图中，分别示例了漏洞风险的 评级 以及计量后的 漏洞类型统计。云管端安全风险框架智能网联汽车“云管端”，提升用户体验的同时也扩大受到安全威胁的风险面。TSP云端运营系统T-boxIVI娱乐信息系统音频、视频、导航、外部的多媒体设备/电话等车身控制系统仪表板、空调、门锁、大灯、方向/双闪灯、车窗、座椅等底盘控制系统转向、刹车、气囊、后视镜系统等CAN BusCAN Gateway通过入侵云端服务通过移动应用远程攻击通过蓝牙射频或Wi-Fi车端一般严重致命攻击产生的危害程度接触式攻击通过硬件调试接口通过OBD接口恶意/可控的ECU通过浏览器越权访问近程攻击云管端典型风险类型典型的安全漏