一、背景
近年来,5G、自动驾驶、人工智能、大模型等新一代信息技术快速发展,智能网联汽车也正由单一交通工具加速向智能终端转变,随之而来的数据窃取、隐私泄露和网络攻击等安全威胁也逐渐增加。工业和信息化部会同公安部发布的《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》,在编的国家标准《汽车整车信息安全技术要求(征求意见稿)》、《智能网联汽车数据通用要求》等均对智能网联汽车的网络安全和数据安全提出明确要求。
工业和信息化部智能网联汽车软件检测中心依托中国软件评测中心,以政策法规为指导、技术标准为依据,联合国家信息技术安全研究中心、北京航空航天大学、中汽研软件测评(天津)有限公司、国汽(北京)智能网联汽车研究院有限公司开展第4届智能网联汽车网络安全、数据安全测评活动。现面向行业公开征集被测样品车型,诚邀相关汽车生产企业报名参与。本次活动旨在测试摸底行业内智能网联汽车在网络安全和数据安全方面的防护情况,助力智能网联汽车安全技术发展。
二、测评对象
具备智能化、网联化功能的汽车产品。
三、测评依据
参考《ISO/SAE 21434 道路车辆信息安全工程》《ISO 24089 道路车辆软件升级工程》《GB/T40861-2021 汽车信息安全通用技术要求》《GB/T 40856-2021 车载信息交互系统信息安全技术要求》《GB/T 40857-2021 汽车网关信息安全技术要求》《CSAE 252-2022 智能网联汽车车载端信息安全测试规程》等国内外法规标准,按中国软件评测中心《智能网联汽车信息安全测评规范》实施测试。
四、测评内容
测评范围及内容主要包括:
1.车外网络安全。检测蜂窝网络、V2X、WiFi、蓝牙、无线钥匙、卫星导航的通信安全,测试是否存在远程控车、非法入侵、篡改信息等安全隐患。
2.车内网络安全。检测车内CAN总线、车载以太网通信安全。测试是否存在消息注入、会话劫持、重放攻击、未经授权访问等安全风险。
3.接口安全。检测USB、OBD和其他物理接口安全。测试身份认证、访问控制机制,车辆联网设备是否关闭不必要的网络端口。
4.车用操作系统安全。检测是否存在已知安全漏洞,是否存在提权、越权等问题。
5.应用安全。检测应用软件是否存在恶意程序、后门、已知安全漏洞、非授权访问等问题。
6.数据安全。检测汽车数据包括个人信息数据和重要数据的全生命周期安全防护;是否存在非授权访问、恶意篡改等安全隐患。
7.汽车软件升级安全。检测汽车软件升级前、升级中、升级后的安全防护情况。
五、活动流程
(一)征集报名期限
即日起至2023年8月30日。
(二)测试实施
由中国智能网联汽车产业创新联盟指导成立测评白帽团队,分组进行测试实施。本次活动在遵循保密原则的前提下发布测评研究成果。被测车辆需送至活动牵头方工业和信息化部智能网联汽车软件检测中心指定检测地点。
六、活动权益
本着第三方公平、公正的原则,对被测车辆进行测评。严格遵守保密协议,并对每个车型的测评结果及基本信息保密。本次活动最终解释权归工业和信息化部智能网联汽车软件检测中心所有。
七、联系我们
本次测评活动的联络工作由工业和信息化部智能网联汽车软件检测中心负责。请有意参与企业与以下负责人联系,报名表(点击智能网联汽车网络安全、数据安全测评活动报名表)发送至报名邮箱。
联系人:
朱科屹010-88559269
王 荣010-88559291
报名邮箱:CCIDICV@cstc.org.cn
工业和信息化部智能网联汽车软件检测中心
中国软件评测中心
赛迪(浙江)汽车检测服务有限公司
2023年6月27日
