上海控安：筑牢智能网联汽车安全防线-GB44495标准深度解析与实战测试方案

2025年6月19日，在第四届中国车联网安全大会上，上海控安可信软件创新研究院技术总监、高级技术专家张璇指出，汽车行业正面临“新四化”带来的信息安全挑战，国内外相继出台法规与标准以约束汽车供应链各方成员。其中，GB44495标准作为强制性标准，对汽车制造商的网络安全管理体系及车辆网络安全能力提出了明确要求，旨在保障汽车信息安全。

张璇详细解读了GB44495标准的内容，包括标准的总体框架、适用范围、汽车信息安全管理要求、信息安全基本要求及技术要求等。他强调，相关标准还对车辆开发流程、风险评估、密码算法使用等方面提出了具体要求，以确保汽车信息系统的安全性与可靠性。

张璇 | 上海控安可信软件创新研究院技术总监、高级技术专家

以下为演讲内容整理：

行业现状

当前，汽车行业面临因“新四化”引发的信息安全挑战。新趋势拓展了车辆系统的攻击面，黑客可能利用这些漏洞实施攻击，进而影响车辆的功能安全。为应对此类问题，国内外相继出台相关法规与标准，对汽车供应链各环节成员进行约束。然而，在合规测试的具体实施层面，现有方案多依赖人工操作，存在零散化、可用性低及可复制性差等问题。

近年来，智能网联汽车市场规模持续扩大，产品迭代周期缩短。与此同时，汽车信息安全事件频发，包括恶意车辆控制、车机CVE的漏洞利用、充电桩勒索攻击以及用户数据泄露等。这些信息安全问题直接推动了国内外相关标准与法规的制定与完善。在市场与法规标准约束的双重驱动下，汽车信息安全产业迎来发展机遇。作为保障网络安全的关键环节，汽车信息安全测试亟需高效、系统的解决方案。

图源：演讲嘉宾素材

标准解读

在探讨强标时，R155法规是一个不可忽视的重要参照。强标的制定过程借鉴了R155法规的相关内容，主要涵盖两个方面：一是针对制造商的网络安全管理体系要求，明确规定若车辆拟进入欧洲市场，则必须通过CSMS的合规认证；二是关于车辆的网络安全能力要求，即车辆型式认证的技术要求，要求制造商在获得CSMS证书后，需提交相应的型式认证申请，并完成技术层面的测试。

强标于2019年11月正式立项，2021年7月由推荐性标准转变为强制性标准，随后进行立项公示。2024年8月23日，该标准已正式发布。在对比R155法规与GB44495时，可以发现强标在制定过程中参考了R155法规7.2章节中关于CSMS的要求，并将其转化为我国强标第五章的汽车信息安全管理体系要求。

图源：演讲嘉宾素材

标准的前四章主要是概述性的内容，主要对标准的适用范围、引用文件及术语定义和缩略词等进行说明。自第五章起，标准转入对汽车安全管理体系的具体要求，明确汽车制造商在信息安全管理体系构建方面应遵循的规范。第六章则聚焦于汽车信息安全的基本要求，从宏观层面界定汽车安全应达到的最低标准。

第七章深入技术层面，针对各厂商生产的零部件提出具体的技术要求与开发指南，旨在确保零部件满足相应的安全需求。第八章针对第五章、第六章及第七章的要求，规定相应的试验与检查流程。其中，第五章与第六章的要求通常通过安全过程文档审查的方式进行评估，而第七章则需借助技术测试手段进行验证。

第九章主要涉及车辆统一型式的判定。对于不同车型申请合规认证的情况，为减少重复测试工作量，标准要求对电子电气架构、通信接口及数据安全等方面进行评估，特别是针对匿名化算法的应用，需确认其与已通过合规认证的基础车型是否一致，从而有效降低重复测试成本。第十章则明确规定了标准的实施日期，为标准的监督执行提供明确的时间节点。

关于第五章的汽车信息安全管理体系要求，主要包括以下几方面。首先，企业需构建完善的内部安全管理流程，并设立相应的组织团队，以确保信息安全管理工作得到有效执行与监督。其次是风险管理过程，企业需依据ISO/SAE 21434标准的方法论，开展威胁分析与风险评估工作，对潜在的信息安全威胁进行全面识别、分析与应对，从而保障车辆信息安全。另外，企业应将信息安全测试与原有的功能测试相结合，融入至相关测试流程中，以验证车辆信息系统的安全性与可靠性。制造商还需与供应链上的供应商、服务商及子公司实施信息安全管控措施，确保各方在信息安全方面遵循统一的标准与要求。

第六章是信息安全的基本要求。一是车辆产品开发流程应遵循汽车信息安全管理体系要求；二是对车辆进行风险评估，管理已识别的风险；三是采取处置措施，保护车辆抵御外部攻击；四是采用符合标准的密码算法和模块；五是采用默认安全设置；六是车辆数据处理应符合GB/T 44464-2024《汽车数据通用要求》的规定。

第七章主要是信息安全技术要求，包括外部连接安全，通信安全、数据安全以及软件升级安全。

第八章关于检查与试验方法的内容包含三个部分：一和二分别是信息安全管理体系检查以及基本要求检查，这两部分主要通过过程体系及安全文档审查等方式进行验证，三是信息安全技术要求测试，此部分主要采用测试方法及测试工具进行技术层面的验证，以确认所实施的安全措施是否满足要求；

关于技术要求的测试，针对外部链接，主要包括通用安全测试、远程控制安全测试、第三方应用安全测试和外部接口安全测试。

通信安全方面，涉及云平台通信、V2X身份认证等方面，针对通信，主要进行机密性、完整性及可用性相关测试。

软件升级方面，主要聚焦于以下三个方面：一是通用安全相关要求，涵盖安全保护机制和漏洞扫描等测试；二是OTA相关要求，主要包括对服务器的身份认证，以及在线升级包的篡改防护和升级事件日志的安全测试；三是离线升级的安全测试，若采用车载软件升级系统，需开展相应检测，如USB升级需进行防病毒测试。对于不使用车载软件升级系统的测试，则需基于诊断仪进行安全测试。

数据安全方面，主要针对车辆行驶过程中涉及的密码学数据、车辆行驶数据、个人敏感信息等提出测试要求。同时，要求具备车辆具有个人信息清除防恢复的功能，并对数据出境作出限制，禁止车辆直接向境外传输数据。

测试方案

我们的主要测试服务范围涵盖整车、零部件以及车控应用APP。在概念设计阶段，开展威胁分析与风险评估，以此识别并获得概念层级的网络安全需求，明确安全目标。针对上层安全目标，进一步开展安全措施的技术层面设计工作，为实际开发提供指导。

我们拥有自主研发的汽车信息安全管理平台PeneX，该平台严格遵循法规及标准，同时可根据企业的个性化需求进行定制化开发。针对强制性标准，我们深入解读其技术要求与试验方法，并据此形成可实践落地的自动化、半自动化或手动测试用例。

下图是我们主要平台的界面展示。其中，合规测试管理模块是该平台的一大特色，区别于市面上多数同类工具。当前，大多数针对法规和标准的测试是基于规范文档逐条对照，并选用不同工具进行测试的，形式比较零散复杂。而我们的做法是，对强标要求进行深入解读，形成专用的测试方法与步骤，再将其与可实际的工具及操作方法进行关联。如此，借助合规测试管理模块，我们构建了一个统一的管理平台，便于生成自动化测试报告。

图源：演讲嘉宾素材

平台具备强大的测试能力：硬件层面测试主要针对硬件接口进行安全访问等测试；在通信方面，包括车载网络测试以及车外无线测试；软件安全测试针对系统固件及应用程序进行漏洞扫描分析；数据安全测试层面，依据相关标准中对数据收集、使用、存储、销毁等环节的要求，对数据的真实性、完整性和机密性进行检测。

硬件测试方面，我们基于不同控制器开展测试工作，具体包括硬件敏感信息检查、PACK硬件调试接口测试。运用硬件仿真调试工具，对硬件接口的访问控制进行测试。同时，开展部件提取测试，借助芯片测试工具及相关技术，对车机主控芯片或外部flash进行提取测试。

车载网络测试方面，我们依托自身资源，使用SmartRocket TestSec工具开展相关测试。该工具基于不同的硬件板卡实现通信数据的收发。与市面上主要用于汽车通信的工具不同，若使用这些工具进行网络安全测试，需单独编写测试用例脚本，操作较为繁琐，我们则将汽车通信协议相关的安全测试用例做成相应的测试模块，更易于实际测试。

针对车外通信安全测试，主要基于不同的硬件无线接口设备进行。根据法规和标准要求，涉及WiFi、蓝牙、射频、NFC等无线通信技术。我们采用USB通信适配器或SDR无线电设备等工具开展测试，同时使用罗德施瓦茨的设备进行GNSS、蜂窝网络以及V2X的安全检测。不过，由于罗德施瓦茨设备方案的成本较高，为了应对不同客户的需求，后续将设计并更具性价比的测试方案。

软件测试包含合规性测试与漏洞扫描检测等内容。合规性测试方面，主要针对应用的真实性与完整性进行检测，主要是通过篡改应用的证书及签名来开展检测工作，同时进行非授权访问控制测试，通过安装第三方非授权APP，检测能否正常安装。

漏洞扫描涵盖应用软件以及底层系统固件的扫描。目前，漏洞扫描主要测试的风险项包括：配置风险，即编码中是否存在硬编码等情况；密码学相关风险，降低密钥泄露、不安全证书等风险；针对敏感信息，需检测固件中的文件是否包含敏感信息，并且是否进行了安全存储；代码安全，要检查不安全代码配置等问题；安卓或 iOS 应用，检查其是否涉及敏感权限、加密安全以及潜在的漏洞。

数据安全测试主要依据标准要求，针对数据的收集、使用、存储和销毁环节，进行真实性、完整性和机密性检测。下图左侧为GB 44495提出的要求，右侧为PeneX平台对应的测试用例。除依据GB44495的测试内容外，我们还会整合GB/T 44496的相关要求条目。

图源：演讲嘉宾素材

软件升级测试主要依据R156法规及GB 44496的要求开展升级合规检测，具体包含以下两部分：一是一般性要求测试，涵盖升级包的真实性与完整性测试；二是软件识别码/版本号防篡改测试，通过读取软件识别码，并运用篡改指令对其进行篡改，前后对比软件识别码/版本号是否一致，以此检验升级系统是否具备防篡改机制。

二是针对OTA在线升级要求，在实施OTA升级时，需满足用户告知、用户确认等条件，并遵循相关先决条件要求。GB44496与R156法规存在一些差异，比如为适配本土化实际需求，GB 44496新增了车门防锁死要求。

基于此前在客户现场开展的测试工作，测试内容涵盖多个方面。例如，对版本号进行修改；检验用户升级前的告知机制是否有效；评估升级前的先决条件判断逻辑等。以电量保障测试为例，在升级前通过升级云平台对安全升级的电量要求进行确认，其中，升级前电量通常要求维持在20% - 100%之间。测试过程中，首先会消耗设备实际电量至20%以下，以此验证设备在低电量情况下能否正常升级。

图源：演讲嘉宾素材

平台能够提供定制化的测试报告输出服务，涵盖合规测试报告、渗透测试报告以及模糊测试报告，以此满足不同客户的多样化需求。

在实战测试场景方面，我们开展整车及车机零部件的渗透测试，以检验系统在面对潜在安全威胁时的防护能力；同时，基于自主研发的模糊引擎开展车机模糊测试，相较于市面上基于随机的模糊测试方法，我们的模糊测试在实际测试效果上更具加明显，通过该测试能够触发车机重启等异常情况，发现潜在的安全问题。

此外，针对整车开展渗透测试时，通过OBD接口并利用相关软件进行访问控制测试，检验系统对数据重放攻击的抵御能力；对车机进行模糊测试以观察是否会触发车机重启异常；针对车机的渗透，还可通过调试接口访问车机，检查是否存在弱口令设置；并运用端口扫描方法，查看是否存在非必要的应用服务以及访问控制权限等问题。

（以上内容来自上海控安可信软件创新研究院技术总监、高级技术专家张璇于2025年6月19日在第四届中国车联网安全大会发表的《筑牢智能网联汽车安全防线：GB44495标准深度解析与实战测试方案》主题演讲。）