Q/LB.□XXXXX-XXXX汽車整車信息安全技術要求范圍本文件規定了汽車信息安全管理體系要求、信息安全一般要求、信息安全技術要求、試驗方法及同一型式判定。本文件適用于M類、N類及至少裝有1個電子控制單元的O類車輛。規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/TXXX汽車數據通用要求GBXXX汽車軟件升級通用技術要求術語和定義GB/T40861、GB/TXXX智能網聯汽車術語和定義、GBXXX汽車軟件升級通用技術要求界定的以及下列術語和定義適用于本文件。汽車信息安全vehiclecybersecurity汽車的電子電氣系統、組件和功能被保護，使其資產不受威脅的狀態。[來源：GB/T40861-2021,3.1]汽車信息安全管理體系cybersecuritymanagementsystem；CSMS一種基于風險的系統方法，包括組織流程、責任和治理，以處理與車輛網絡威脅相關的風險并保護車輛免受網絡攻擊。[來源：GB/TXXX智能網聯汽車術語和定義,3.11]風險risk車輛信息安全不確定性的影響。風險可用攻擊可行性和影響表示。風險評估riskassessment發現、識別和描述風險，理解風險的性質以及確定風險級別，并將風險分析的結果與風險標準進行比較，以確定風險是否可接受的過程。威脅threat可能導致系統、組織或個人受到損害的意外事件的潛在原因。漏洞vulnerability在資產或緩解措施中，可被一個或多個威脅利用的弱點。車載軟件升級系統on-boardsoftwareupdatesystem安裝在車端并具備直接接收、分發來自車外的升級包等用于實現軟件升級功能的軟件和硬件。[來源：GBXXX汽車軟件升級通用技術要求,3.12]在線升級over-the-airupdate；OTAupdate通過無線方式而不是使用電纜或其他本地連接方式將升級包傳輸到車輛的軟件升級。注1：“在線升級”也稱“遠程升級”。注2：“本地連接方式”一般指通過車載診斷（OBD）接口、通用串行總線（USB）接口等進行的物理連接方式。[來源：GBXXX汽車軟件升級通用技術要求,3.3]離線升級offlineupdate除在線升級以外的軟件升級。[來源：GBXXX汽車軟件升級通用技術要求,3.13]敏感個人信息sensitivepersonalinformation一旦泄露或者非法使用，可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產安全受到嚴重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。縮略語下列縮略語適用于本文件。CAN：控制器局域網絡（ControllerAreaNetwork）ECU：電子控制單元（ElectronicControlUnit）HSM：硬件安全模塊（HardwareSecurityModule）NFC：近距離無線通訊技術(NearFieldCommunication)USB：通用串行總線(UniversalSerialBus)VLAN：虛擬局域網（VirtualLocalAreaNetwork）VIN：車輛識別代號（VehicleIdentificationNumber）V2X：一種車輛與外界通信的技術（VehicletoEverything）WLAN：無線局域網(WirelessLocalAreaNetworks)汽車信息安全管理體系要求車輛制造商應具備車輛全生命周期的汽車信息安全管理體系。車輛全生命周期包括車輛的開發階段、生產階段及后生產階段。汽車信息安全管理體系應包括以下內容。建立企業內部管理汽車信息安全的過程。建立識別、評估、分類、處置車輛信息安全風險及核實已識別風險得到處置的過程，并確保車輛風險評估保持最新狀態。建立用于車輛信息安全測試的過程。建立針對車輛的網絡攻擊、網絡威脅和漏洞的監測、響應及漏洞上報過程，要求如下：應包含漏洞管理機制，明確漏洞收集、分析、報告、處置、發布、上報等活動環節； 應建立針對網絡攻擊提供相關數據并進行分析的過程，如通過車輛數據和車輛日志分析和檢測網絡攻擊、威脅和漏洞；應建立確保對網絡攻擊、網絡威脅和漏洞進行持續監控的過程，且車輛納入監控范圍的時間應不晚于車輛注冊登記的時間；應建立確保已識別的網絡攻擊、網絡威脅和漏洞得到響應，且在時限內得到處置的過程；應建立評估所實施的信息安全措施在發現新的網絡攻擊、網絡威脅和漏洞的情況下是否仍然有效的過程。建立管理企業與合同供應商、服務提供商、車輛制造商子組織之間汽車信息安全依賴關系的過程。車輛信息安全一般要求車輛產品開發流程應遵循汽車信息安全管理體系要求。車輛制造商應識別和管理車輛與供應商相關的風險。車輛制造商應識別車輛的關鍵要素，對車輛進行風險評估，并管理已識別的風險。注1：風險評估的范圍包含車輛的各個要素及其相互作用，并進一步考慮與外部系統的相互作用。注2：關鍵要素包括但不限于有助于車輛安全、環境保護或防盜的要素，以及提供連接性的系統部件或車輛架構中對信息安全至關重要的部分等。車輛制造商應采取基于第7章要求的處置措施保護車輛不受風險評估中已識別的風險影響。若處置措施與所識別的風險不相關，車輛制造商應說明其不相關性。若處置措施不足以應對所識別的風險，車輛制造商應實施其它的措施，并說明其使用措施的合理性。如有專用環境，車輛制造商應采取措施，以保護車輛用于存儲和執行后裝軟件、服務、應用程序或數據的專用環境。車輛制造商應通過測試來驗證所實施的信息安全措施的有效性。車輛制造商應針對車輛實施相應措施，以識別針對該車輛的網絡攻擊，并為車輛制造商在識別與車輛相關的網絡攻擊、網絡威脅和漏洞方面提供監測能力，以及為分析網絡攻擊、網絡威脅和漏洞提供數據取證能力。車輛制造商應滿足以下密碼模塊要求之一：采用符合國際、國家或行業標準要求的密碼模塊；未采用國際、國家或行業標準要求的密碼模塊，說明使用的合理性。車輛制造商應使用公開的、已發布的、有效的密碼算法，并選擇適當的參數和選項。應根據不同密碼算法和業務場景，選擇適當長度和有效的密鑰。車輛應采用默認安全設置，如WLAN的默認連接口令應滿足復雜度的要求。汽車數據處理活動中的數據車內處理、默認不收集、精度范圍適用、脫敏處理、個人同意及顯著告知等要求，應符合GB/TXXX《汽車數據通用要求》中4.2.2的規定。車輛信息安全技術要求外部連接安全要求一般安全要求車端具備遠程控制功能的系統、授權的第三方應用等外部連接系統不應存在由權威漏洞平臺6個月前公布且未經處置的高危及以上的安全漏洞。注：處置包括消除漏洞、制定減緩措施等方式。車輛應關閉非業務必要的網絡端口。遠程控制安全要求應對遠程控制指令信息進行真實性和完整性驗證。應對遠程控制指令設置訪問控制，禁用非授權的遠程控制指令。應具備記錄遠程控制指令的安全日志功能，安全日志記錄的內容至少包括遠程控制指令的時間、發送主體、遠程控制對象、操作結果等，留存相關的安全日志應不少于6個月。應對車端具備遠程控制功能的系統進行完整性驗證。第三方應用安全要求應對授權的第三方應用的真實性和完整性進行驗證。注：第三方應用是指車輛制造商及其供應商之外的其他實體提供的面向用戶提供服務的應用程序，包括第三方娛樂應用等。應對非授權的第三方應用的安裝進行提示，并對已安裝的非授權的第三方應用進行訪問控制，限制此類應用直接訪問系統資源、個人信息等。外部接口安全要求應對車輛外部接口進行訪問控制保護，禁止非授權訪問。外部接口包括USB接口、診斷接口和其他可直接接觸的物理接口。應對車輛USB接口、SD卡接口接入設備中的文件進行訪問控制，只允許讀寫指定格式的文件或安裝執行指定簽名的應用軟件。車輛應具備抵御USB接口接入設備中的病毒程序和攜帶病毒的媒體文件和應用軟件的能力，如車輛具備識別且不執行病毒文件的能力。通過診斷接口發送車輛關鍵配置及標定參數的寫操作指令時，應采用身份鑒別或訪問控制等安全策略。通信安全要求車輛與車輛制造商云平臺通信時，應對其通信對象的身份真實性進行驗證。車輛與車輛、路側單元、移動終端等進行V2X直連通信時，應進行證書有效性和合法性的驗證。車輛應采用完整性保護機制保護除射頻、NFC之外的外部無線通信通道。車輛應具備對來自車輛外部通信通道的數據操作指令的訪問控制機制。來自車輛外部通信通道的數據操作指令包括代碼注入、數據操縱、數據覆蓋、數據擦除和數據寫入等指令。車輛應驗證所接收的外部關鍵指令數據的有效性或唯一性。關鍵指令數據是指可能影響行車和財產安全的指令數據，包括但不限于車控指令數據。針對遠程控制服務器發送的車控指令，車端可通過網關驗證該類指令的有效性或唯一性。車輛應對向車外發送的敏感個人信息實施保密性保護措施。車輛應具備安全機制防御物理操縱攻擊，至少具備與外部直接無線通信的零部件的身份識別機制。與外部存在直接無線通信的零部件包括但不限于車載信息交互系統等，不包括短距離無線傳感器。車輛與外部直接無線通信的零部件應具備安全機制防止非授權的特權訪問。非授權用戶可能通過調試接口獲得系統的根用戶或特權用戶權限。車輛應對內部網絡進行區域劃分并對區域邊界進行防護。車輛內部網絡跨域請求應進行訪問控制，并遵循默認拒絕原則和最小化授權原則。區域邊界防護措施包括物理隔離、邏輯隔離（如采用白名單、防火墻、VLAN）等。車輛應具備識別車輛通信通道遭受拒絕服務攻擊的能力，并對攻擊進行相應的處理。對攻擊的處理包括對攻擊數據包的攔截或丟棄、受影響系統的自動恢復、日志記錄等。車輛通信通道包括移動蜂窩通信、V2X、CAN總線、車載以太網等。車輛應具備識別惡意的V2X數據、惡意的診斷數據的能力，并采取保護措施。V2X數據包括路側單元發送到車輛的數據、車輛與車輛之間的數據。應具備記錄關鍵的通信信息安全事件日志的功能，安全事件日志存儲時長應不少于6個月。關鍵的通信信息安全事件由車輛制造商根據風險評估的結果確定。軟件升級安全要求一般安全要求車載軟件升級系統應通過安全保護機制，保護車載軟件升級系統的可信根、引導加載程序、系統固件不被篡改，或在被篡改后，通過安全保護機制使其無法正常啟動。車載軟件升級系統應不存在由權威漏洞平臺6個月前公布且未經處置的高危及以上的安全漏洞。處置方式包括消除漏洞、制定減緩措施等。在線升級安全要求車輛和在線升級服務器應進行身份認證，驗證其身份的真實性，并在下載中斷恢復時重新驗證。常見的認證方式包括使用證書進行身份認證。車輛應對下載的升級包進行真實性和完整性驗證。不通過車載軟件升級系統、直接聯網并完成在線升級的ECU應具備安全保護機制，保護可信根、引導加載程序、系統固件不被篡改，或在被篡改后，通過安全保護機制使其無法正常啟動。應對在線升級過程中發生的失敗事件進行日志記錄，日志存儲時長應不少于6個月。失敗事件日志記錄內容包括事件時間、失敗原因等。離線升級安全要求若車輛使用車載軟件升級系統進行離線升級，車輛應對離線升級包真實性和完整性進行驗證。若車輛不使用車載軟件升級系統進行離線升級，應采取保護措施保證刷寫接入端的安全性，且驗證升級包的真實性和完整性。數據安全要求車輛應采取安全訪問技術或安全存儲技術保護存儲的對稱密鑰和非對稱密鑰中的私鑰，防止其被非授權訪問和獲取。車輛應采取安全訪問技術、加密技術或其他安全技術保護存儲在車內的敏感個人信息，防止其被非授權訪問和獲取。車輛應采取安全防御機制保護存儲在車內的車輛識別代號（VIN）等用于車輛身份識別的數據，防止其被非授權刪除和修改。防止數據被非授權刪除和修改的安全防御機制包括安全訪問技術、只讀技術等。車輛應采取安全防御機制保護存儲在車內的關鍵數據，防止其被非授權刪除和修改。關鍵數據包括制動參數、安全氣囊展開閾值、動力電池參數等關鍵配置參數，以及其他車輛運行過程中產生的可能影響行車安全的數據。車輛應采取安全防御機制保護存儲在車內的安全日志，防止其被修改和非授權刪除。車輛應具備個人信息刪除功能，該功能可刪除的信息不應包括法律、行政法規、強制性國家標準中規定的必須保留的個人信息。車輛不應直接向境外傳輸數據。用戶使用瀏覽器訪問境外網站、使用通信軟件向境外傳遞消息、自主安裝可能導致數據出境的第三方應用等用戶自主行為不受本條款限制。試驗方法總則試驗方法包括車輛信息安全一般要求評估和車輛信息安全技術要求測試：應針對車輛在開發、生產等過程中信息安全相關的文檔進行評估，確認測試車輛滿足第6章車輛信息安全一般要求；應基于車輛所識別的風險以及第7章車輛信息安全技術要求處置措施的相關性，依據8.3確認車輛信息安全技術要求的測試范圍，并依據測試范圍開展測試，確認車輛滿足第7章的要求。測試范圍包括第7章與待測試車輛的適用條款、各適用條款對應的測試對象等。車輛信息安全一般要求評估評估要求車輛制造商應具備文檔來說明車輛在開發、生產等過程的信息安全情況，文檔包括提交的文檔和留存備查的文檔。提交的文檔應為中文版本，并至少包含如下內容：證明車輛滿足本文件第6章要求的總結文檔；寫明文檔版本信息的留存備查文檔清單。車輛制造商應以安全的方式在本地留存車輛信息安全相關過程文檔備查，完成評估核查后應對留存備查的文檔進行防篡改處理。車輛制造商應對提交和留存備查的文檔與車輛的一致性、可追溯性做出自我聲明。評估方法評估車輛制造商提交的文檔，確認評估方案，評估方案包括評估范圍、評估方式、評估日程、現場評估必要的證明文件清單。應依據8.2.2.1確認的評估方案，在車輛制造商現場評估留存備查的信息安全相關過程文檔，確認車輛是否滿足第6章的要求。車輛信息安全技術要求測試測試條件測試環境要求涉及無線短距離通信的測試，應在保證車輛在無信號干擾的測試環境中進行。測試狀態要求測試樣件包括整車及8.1確定的測試范圍中涉及的零部件，應滿足以下要求：測試樣件可正常運行；整車信息安全相關功能處于開啟狀態；測試過程中，若測試車輛速度大于0km/h或測試車輛可能發生非預期啟動，應將測試車輛置于整車轉轂試驗臺或保證車輛安全運行的道路環境中開展測試。測試輸入要求車輛制造商應依據8.1確定的測試范圍，提供必要的測試輸入支持完成測試。外部連接安全測試一般安全測試系統漏洞安全測試測試人員應使用漏洞掃描工具對車輛外部連接系統進行漏洞掃描，并將測試結果與權威漏洞平臺6個月前公布的高危及以上的安全漏洞清單和車輛制造商提供的車輛外部連接系統漏洞處置方案進行比對，測試車輛是否滿足7.1.1.1的要求。非業務必要網絡端口安全測試測試人員應依據車輛制造商提供的車輛業務端口列表，通過WLAN、車載以太網、蜂窩網絡等通信通道將測試車輛與掃描測試設備組網，使用掃描測試設備測試車輛所開放的端口，并將測試得到的車輛開放端口列表與車輛業務端口列表進行比對，測試車輛是否滿足7.1.1.2的要求。遠程控制安全測試真實性和完整性驗證安全測試測試人員應按照以下測試方法依次開展測試，測試車輛是否滿足7.1.2.1的要求：登錄車輛遠程控制程序賬戶，測試是否可以觸發正常的遠程車輛控制指令；偽造、篡改并發送遠程車輛控制指令，檢查車輛是否執行該指令，是否按照車輛制造商設定的驗證失敗處理機制進行處理。遠程控制指令權限控制安全測試測試人員應依據車輛制造商提供的車輛遠程控制指令應用場景和使用權限文件，構造并發送超出權限的遠程控制指令，測試車輛是否滿足7.1.2.2的要求。安全日志記錄安全測試測試人員應按照以下測試方法依次開展測試，測試車輛是否滿足7.1.2.3的要求：觸發車輛遠程控制功能，檢查是否存在安全日志，安全日志記錄的內容是否包含遠程控制指令的時間、發送主體、遠程控制對象、操作結果等信息；檢查安全日志記錄的時間跨度是否不少于6個月或是否具備留存安全事件日志不少于6個月的能力。完整性安全測試測試人員根據車輛制造商提供的車輛遠程控制功能系統完整性驗證功能的證明文件，核查車輛是否滿足7.1.2.4的要求。第三方應用安全測試真實性完整性驗證安全測試測試人員應獲取授權的第三方應用，使用工具篡改其代碼，并安裝、執行篡改后的授權第三方應用，測試車輛是否滿足7.1.3.1的要求。若限制篡改后的授權第三方應用訪問超出訪問控制權限的資源，視為應用非正常運行，滿足要求。訪問控制安全測試測試人員應按照以下測試方法依次開展測試，測試車輛是否滿足7.1.3.2的要求：安裝非授權的第三方應用，測試車輛是否進行提示；使用已安裝的非授權第三方應用訪問超出訪問控制權限的資源，測試是否可以訪問控制權限外的資源。外部接口安全測試外部接口訪問控制安全測試測試人員應依據車輛制造商提供的車輛外部接口的總結文檔或車輛外部接口清單，使用非授權的用戶或工具訪問車輛的外部接口，測試車輛是否滿足7.1.4.1的要求。USB接口、SD卡接口訪問控制安全測試測試人員應依據車輛制造商提供的USB接口、SD卡接口的總結文檔或USB接口、SD卡接口支持的文件類型清單，分別在具備USB接口、SD卡接口的移動存儲介質中注入指定格式文件、指定簽名的應用軟件和其它非指定格式文件和非指定簽名的應用軟件，將移動存儲介質分別連接到車輛USB接口、SD卡接口，測試車輛是否滿足7.1.4.2的要求。USB防病毒安全測試測試人員應在具備USB接口的移動存儲介質中注入攜帶病毒的媒體文件、攜帶病毒的應用軟件和病毒程序等病毒文件，將移動存儲介質連接到車輛USB接口，測試車輛是否滿足7.1.4.3的要求。診斷接口身份鑒別安全測試測試人員應按照以下兩種測試方法中適用的測試方法，測試車輛是否滿足7.1.4.4的要求：使用非授權用戶或工具在診斷接口發送車輛關鍵配置及標定參數的寫操作指令，測試車輛是否執行該操作指令；使用工具在診斷接口發送車輛關鍵配置及標定參數的寫操作指令，測試車輛是否存在訪問控制機制。通信安全測試云平臺通信身份真實性驗證安全測試測試人員應依據車輛制造商提供的云平臺清單及采用的通信協議類型，并按照如下三種測試方法中適用的測試方法，測試車輛是否滿足7.2.1的要求：若車輛與車輛制造商云平臺通信采用專用網絡或虛擬專用網絡環境進行通信，測試人員應根據企業提供的車輛云平臺通信身份真實性的證明文件，確認車輛是否滿足7.2.1的要求；若車輛與車輛制造商云平臺通信采用公共網絡環境進行通信，且使用公有通信協議，測試人員應使用網絡數據抓包工具進行數據抓包，解析通信報文數據，檢查車輛是否對生產企業云平臺進行身份真實性驗證。若采用網絡數據抓包工具無法進行數據抓包，測試人員應根據企業提供的車輛云平臺通信身份真實性的證明文件，確認車輛是否滿足7.2.1的要求；若車輛與車輛制造商云平臺通信采用公共網絡環境進行通信，且使用私有通信協議，測試人員應根據企業提供的車輛云平臺通信身份真實性的證明文件，確認車輛是否滿足7.2.1的要求。V2X通信身份認證安全測試測試人員應按照以下測試方法依次開展測試，測試車輛是否滿足7.2.2的要求：依照8.3.1.2要求處置車輛，由測試設備向測試車輛下發合法證書并與測試車輛進行正常通信，測試車輛是否能夠接收測試設備的直連通信消息；分別構造失效證書和身份偽造證書，并向車輛發送通信消息，測試車輛是否能夠識別失效證書和身份偽造證書。通信通道完整性安全測試測試人員應依據車輛制造商提供的車輛移動蜂窩通信、WLAN、藍牙等外部通信通道清單，依次觸發車輛外部無線通信數據傳輸，并使用測試設備對車輛外部無線通信通道數據進行抓包，檢查通道是否采用完整性保護機制，測試車輛是否滿足7.2.3的要求。若使用測試設備無法對車輛移動蜂窩通信的數據進行抓包，測試人員應根據企業提供的車輛移動蜂窩通信通道完整性保護證明文件，核查車輛是否滿足7.2.3的要求。防非授權操作安全測試測試人員應使用非授權身份通過車輛外部通信通道對車輛的數據依次進行超出訪問控制機制的操作、清除和寫入，測試車輛是否滿足7.2.4的要求。關鍵指令數據有效性或唯一性驗證安全測試測試人員應依據車輛制造商提供的關鍵指令數據列表，使用測試設備錄制關鍵指令數據，重新發送錄制的指令數據，檢查車輛是否做出響應，測試車輛是否滿足7.2.5的要求。敏感個人信息保密性安全測試測試人員應依據車輛制造商提供的車輛向外傳輸敏感個人信息的功能清單，觸發車輛向外傳輸敏感個人信息的功能，使用車輛制造商提供的端口和訪問權限抓取傳輸的數據包，并使用車輛制造商提供的加密算法和密鑰對數據包進行解密，檢查是否使用聲明的加密算法對車輛傳輸的敏感個人信息進行加密，測試車輛是否滿足正文7.2.6的要求。防御物理操縱攻擊安全測試測試人員應依據車輛制造商提供的測試車輛與外部直接無線通信的零部件清單，使用和測試車輛與外部直接無線通信零部件型號相同的零部件替換安裝在測試車輛相同的位置，啟動車輛，檢查零部件是否功能異常或車輛是否有異常部件連接告警，測試車輛是否滿足7.2.7的要求。車輛與外部直接通信零部件防非授權特權訪問安全測試測試人員應依據車輛制造商提供的對外直接無線通信零部件系統權限設計方案，并按照以下兩種測試方法中適用的測試方法，測試車輛是否滿足7.2.8的要求：若系統只存在特權訪問的用戶，測試是否能在不知道特權訪問用戶的前提下登錄進入系統；若系統存在或可配置多種權限用戶，依據非特權用戶登錄系統方式進入系統，使用系統提權方法對非特權用戶進行提權，測試進行提權操作后的用戶是否能進行特權訪問。車內安全區域隔離安全測試測試人員應依據車輛制造商提供的通信矩陣和訪問控制列表樣例，并按照以下兩種測試方法中適用的測試方法，測試車輛是否滿足7.2.9的要求：若使用物理隔離措施，驗證車輛制造商提供的物理隔離方案是否有效；若使用邏輯隔離措施，依據車輛制造商提供的邏輯隔離策略，發送不符合策略的數據幀，在指定的目的端口，測試是否可以接收到不符合策略的數據幀。拒絕服務攻擊識別防護安全測試測試人員應依照8.3.1.2要求處置車輛，使車輛分別處于靜止和運動狀態，使用拒絕服務攻擊測試設備依次攻擊車輛移動蜂窩通信、V2X、CAN總線、車載以太網等通信通道，測試車輛是否滿足7.2.10的要求。惡意數據識別安全測試測試人員應依照8.3.1.2要求處置車輛，向車輛發送當前車況非預期的惡意數據，測試車輛是否滿足7.2.11的要求。通信信息安全日志安全測試測試人員應依據車輛制造商提供的車輛關鍵通信信息安全事件日志記錄機制及其存儲路徑，并按照以下測試方法依次開展測試，測試車輛是否滿足7.2.12的要求：構建并觸發車輛關鍵通信信息安全事件，檢查是否按照關鍵通信信息安全事件日志記錄機制記錄該事件；檢查安全日志記錄的時間跨度是否不少于6個月或是否具備留存安全事件日志不少于6個月的能力。軟件升級安全測試一般安全要求測試安全保護機制測試測試人員應依據車輛制造商提供的車載軟件升級系統的可信根、引導加載程序、系統固件的安全保護機制的安全證明文件，核查車輛是否滿足7.3.1.1的要求。漏洞安全測試測試人員應使用漏洞掃描工具對車載軟件升級系統進行漏洞掃描，并將測試結果與權威漏洞平臺6個月前公布的高危及以上的安全漏洞清單和車輛制造商提供的車載軟件升級系統漏洞處置方案進行比對，測試車輛是否滿足7.3.1.2的要求。在線升級安全測試服務器身份認證安全測試測試人員應依據車輛制造商提供的在線升級服務器清單及采用的通信協議類型，并按照如下三種測試方法中適用的測試方法，檢測測試車輛是否滿足7.3.2.1的要求：若車輛與線升級服務器通信采用專用網絡或虛擬專用網絡環境進行通信，測試人員應根據企業提供的在線升級服務器身份認證安全功能的證明文件，確認車輛是否滿足7.3.2.1的要求；若車輛與線升級服務器通信采用公共網絡環境進行通信，且使用公有通信協議，測試人員應使用測試設備進行數據抓包，解析通信報文數據，檢查車輛是否對生產企業云平臺進行身份真實性驗證。若使用測試設備無法進行數據抓包，測試人員應根據企業提供的在線升級服務器身份認證安全功能的證明文件，確認車輛是否滿足7.3.2.1的要求；若車輛與線升級服務器通信采用公共網絡環境進行通信，且使用私有通信協議，測試人員應根據企業提供的在線升級服務器身份認證安全功能的證明文件，確認車輛是否滿足7.3.2.1的要求。在線升級包真實性和完整性驗證安全測試測試人員應按照以下測試方法依次開展測試，測試車輛是否滿足7.3.2.2的要求：使用車輛制造商提供的正常升級包觸發在線升級，測試升級功能是否正常；確認在線升級功能正常后，構造真實性和完整性被破壞的升級包，并依據車輛制造商提供的方法和權限，將真實性和完整性被破壞的升級包下載或傳輸到車端，執行軟件升級，測試是否升級成功。若車輛的信息安全防護機制不支持將真實性和完整性被破壞的升級包下載或傳輸到車端，則依據車輛制造商提供的在線升級信息安全防護機制證明文件，核查車輛是否滿足7.3.2.2的要求。不通過車載軟件升級系統在線升級的ECU安全測試測試人員應依據車輛制造商提供的不通過車載軟件升級系統、直接聯網并完成在線升級的ECU的可信根、引導加載程序、系統固件的安全保護機制的安全證明文件，核查車輛是否滿足7.3.2.3的要求。在線升級失敗事件日志安全測試測試人員應按照以下測試方法依次開展測試，測試車輛是否滿足7.3.2.4的要求：構造升級失敗事件，檢查是否存在在線升級失敗事件日志；檢查安全日志記錄的時間跨度是否不少于6個月或是否具備留存安全事件日志不少于6個月的能力。離線升級安全測試使用車載軟件升級系統的離線升級安全測試測試人員應構造被偽造、篡改的升級包，使用離線升級工具將該升級包下載或傳輸到車載端，執行離線升級，測試車輛是否滿足7.3.3.1的要求。不使用車載軟件升級系統的離線升級安全測試測試人員應按照以下測試方法依次開展測試，測試車輛是否滿足7.3.3.2的要求：將非認證的刷寫接入端接入車輛刷寫接口并執行離線升級，測試車輛是否能識別非認證的刷寫接入端；構造被偽造、篡改破壞的升級包，使用認證的刷寫接入端接入車輛刷寫接口，執行離線升級，測試是否執行升級或升級是否成功。數據安全測試密鑰防非法獲取和訪問安全測試測試人員應依據車輛密碼使用方案，確認測試零部件，通過對車輛零部件級的訪問接口與零部件在車輛級狀態的訪問接口進行破解、提取等攻擊操作，若無法實現對零部件中密鑰的非授權訪問和獲取，則測試通過，否則應按照如下兩種測試方法中適用的測試方法，測試車輛是否滿足7.4.1的要求：若采取HSM等硬件安全模塊存儲密鑰，應依據硬件安全模塊安裝位置說明文檔，檢查車輛是否在文檔標識位置安裝了硬件安全模塊來保護密鑰；若采取安全的軟件存儲形式存儲密鑰，應依據車輛制造商提供的保證車輛密鑰安全存儲證明文件，核查車輛是否滿足7.4.1的要求。敏感個人信息防泄露安全測試測試人員應依據敏感個人信息功能清單和存儲地址清單，確認測試零部件，并按照以下測試方法依次開展測試，測試已存儲敏感個人信息的車輛是否滿足7.4.2的要求：啟動車輛，依次觸發車輛記錄敏感個人信息的功能，然后依據系統登錄方式進入系統，對測試零部件進行敏感個人信息檢索，測試是否可檢索出不在敏感個人信息功能清單和存儲地址清單中存儲的敏感個人信息；若采用安全訪問技術保護存儲的敏感個人信息，依據敏感個人信息存儲區域和地址范圍說明，通過零部件調試接口，使用未添加訪問控制權限的用戶訪問存儲的敏感個人信息，測試是否能非授權訪問敏感個人信息；若采取加密技術保護存儲的敏感個人信息，依據敏感個人信息存儲區域和地址范圍說明，通過零部件調試接口，使用軟件分析工具提取存儲的敏感個人信息，測試是否為密文存儲。車輛身份識別數據防非授權刪除和修改安全測試測試人員應依據車輛內存儲的車輛識別代號等用于車輛身份識別的數據清單及存儲地址，確定測試零部件，使用軟件分析工具非授權刪除和修改存儲在車輛內的車輛識別代號等用于車輛身份識別的數據，