随着汽车智能化、网联化的不断发展与应用,车辆的信息安全问题日益严峻,一旦遭受网络攻击则可能导致用户个人信息泄露及远程入侵控车等严重后果,影响车辆用户的信息、财产、生命等多方面安全,甚至危害社会与国家安全。因此,制定汽车信息安全强制性技术标准已成为我国发展智能网联汽车的必然要求。制定并实施强制性国家标准《汽车整车信息安全技术要求》为行业监管提供明确的技术依据,划定整车信息安全防护基线,保障智能网联汽车产业健康可持续发展。
一、标准简介
GB44495—2024《汽车整车信息安全技术要求》是由工业和信息化部提出并归口的强制性国家标准,由国家市场监督管理总局、国家标准化管理委员会于2024年8月23日批准发布(国家标准公告2024年第18号文),并将于2026年1月1日起正式实施。本标准规定了汽车信息安全管理体系要求、信息安全基本要求、信息安全技术要求及同一型式判定,描述了相应的检查与试验方法。本标准适用于M类、N类及至少装有1个电子控制单元的O类车辆。
二、标准框架
三、术语和定义
四、汽车信息安全管理体系要求
汽车信息安全管理体系
-
建立企业内部管理汽车信息安全的过程。
-
建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到处置的过程,并确保车辆风险评估保持最新状态。
-
建立用于车辆信息安全测试的过程。
-
建立针对车辆的网络攻击、网络威胁和漏洞的监测、响应及漏洞上报过程。
-
建立管理企业与合同供应商、服务提供商、车辆制造商子组织之间汽车信息安全依赖关系的过程。
五、信息安全基本要求
六、信息安全技术要求
七、检查与试验方法
八、同一型式判定
01信息安全直接视同条件
如符合下述规定,则视为同一型式:
汽车信息安全管理体系有效;
车辆整车电子电气架构相同且信息安全处置措施相同;
车辆中央网关的硬件型号和软件版本号(不影响信息安全的除外)相同;
车辆车载软件升级系统硬件型号和软件版本号(不影响信息安全的除外)相同;
车辆具备蜂窝移动通信系统功能的零部件硬件型号和软件版本号(不影响信息安全的除外)相同;
车辆无线通信方式所使用的协议类型、协议版本、接口类型、接口数量相同或减少;
车辆外部接口的类型、数量相同或减少;
与车辆直接连接并产生数据交互的车辆生产企业云平台IP地址或域名相同。
02信息安全测试验证后视同条件
如车型信息安全直接视同条件发生变更,在符合下述规定时,仅需对变更参数相关的技术要求进行补充测试,经审批许可后获得扩展:
-
汽车信息安全管理体系有效;
-
车辆整车电子电气架构相同且信息安全处置措施相同;
-
车辆无线通信方式所使用的协议类型和接口类型相同或减少;
-
车辆外部接口的类型相同或减少。
03数据处理功能直接视同条件
如符合下述规定,则视为同一型式:
-
车辆匿名化算法生产企业和版本相同;
-
车辆实现匿名化算法的控制器硬件型号、软件版本号(不影响匿名化处理策略除外)和生产企业相同;
-
车辆用于实现匿名化功能相关的摄像头等采集设备硬件型号、主要参数配置(采样分辨率、采样视场角、采样帧率)和生产企业相同;
-
车辆匿名化功能触发规则相同。
九、标准的实施
-
对于新申请型式批准的车型,自2026年1月1日起开始执行。
-
对于已获得型式批准的车型,自2028年1月1日起开始执行。