标准解读 | GB 44495-2024实施在即，汽车信息安全合规建设需提速​

GB 44495-2024《汽车整车信息安全技术要求》于2024年8月23日正式发布，2026年1月1日起对新车型强制实施。如图1所示，该国标覆盖M/N/O类车辆（含1个及以上ECU），首次将全生命周期管理体系纳入强制标准，标志着我国智能网联汽车安全监管迈入新阶段。

图1  GB 44495-2024国标概览

一

标准解析：企业关注要点

《汽车整车信息安全技术要求》大纲如图2所示，在体系咨询和摸底测试的过程中，企业在以下要点容易忽视潜在风险。

1、汽车信息安全管理体系要求--全生命周期管理

车企应建立覆盖汽车全生命周期的信息安全管理体系；

明确风险识别、评估、处置流程；

细化车企与供应商的安全责任划分机制。

2、信息安全基本要求--车型产品开发流程

车型产品开发需遵循汽车信息安全管理体系要求，确保体系的有效运行；

新增网络攻击监测、漏洞响应等动态防御能力验证。

3、 信息安全技术要求--车辆测试

围绕外部连接、通信安全、软件升级、数据安全四类场景提出要求，旨在引导企业系统性提升产品信息安全能力。

图2  GB 44495-2024国标框架

二

技术要求解析：基于实际案例分析

依据信息安全技术要求对车辆进行合规摸底测试，如图3所示。在测试过程中，整车固件扫描中发现的高危及以上漏洞的整改周期最长，每一项的整改时间跨度从几周到几个月不等。此外，因签名校验机制等信息不对等问题导致升级测试不符合要求的类似情况也频繁出现。

图3 信息安全技术要求

在技术要求各个部分出现过的典型案例如下：

1、外部连接安全：阻断非授权访问路径

普遍问题：例如开放端口问题，企业在开发测试过程中的一些调试端口未关闭，且自定义开放端口的管理不规范，未能明确其业务用途。

案例参考：对某车辆中央网关开展端口扫描测试后，发现其SSH和Telnet的默认端口开放，存在非授权访问车辆系统的风险；同时，部分自定义端口无法提供业务用途说明。

技术应对要点：及时关闭开发过程中开放的调试接口，确认仅保留必要的、与业务用途相关的网络端口。

2、通信安全：保障数据传输可靠性

普遍问题：与外部通信的零部件身份认证缺失或系统权限划分不合理，以及与外部对象的通信过程缺乏身份验证机制。

案例参考：在测试某车辆与云平台数据通信的过程中，发现车辆未对云平台的身份进行验证，通信过程中也没有证书交换环节。

技术应对要点：严格管理车辆与外部对象的通信，确保与TSP、OTA等关键服务器的通信过程中具备与通信对象身份真实性的验证机制。

3、软件升级安全：确保更新过程可控

普遍问题：针对不同升级方式以及不同供应商零部件升级的过程，对升级包真实性完整性的校验机制不够完善。

案例参考：在测试某车辆离线升级刷写的过程中，发现某ECU的升级包文件虽然包含定义签名信息的字段，但是在篡改签名数据后仍然可以成功刷写并正常使用ECU功能。

技术应对要点：在升级校验机制的开发阶段和供应商安全需求下发的阶段，明确校验机制的定义，并开展充分测试验证，避免因机制偏差导致安全隐患。

4、数据安全：强化敏感信息保护

普遍问题：主要集中在开发过程中使用的代理未关闭等原因导致的数据出境现象，以及敏感信息存储管理不规范、权限划分不清晰等问题。

案例参考：在某车辆的T-BOX蜂窝通信测试中，发现设备存在与境外IP之间存在数据通信，其代理功能未关闭，且底层废弃代码未清理，存在数据泄露等风险。

技术应对要点：关闭境外代理，并对开发过程中使用的底层开源代码库进行全面的分析与管控，防止敏感信息外泄。

三

车企应对建议：加速推进合规建设

GB 44495-2024《汽车整车信息安全技术要求》不仅为车辆制造商提供了清晰的信息安全技术规范和管理体系要求，推动了智能网联汽车的技术升级与市场竞争，同时也强化了消费者权益和公共安全保障。此标准的实施对于提升汽车信息安全水平、促进国际合作交流具有深远意义，促使车辆制造商积极进行信息安全建设，确保符合国家规范并有效应对不断变化的安全挑战。

  李奇

   中汽研科技智能网联平台技术总监

为了更好地满足新标准的要求，中汽研科技有限公司（简称“中汽研科技”）智能网联汽车研究部网联通信测试平台技术总监李奇提出如下应对建议：

• 对现有车型进行全面的信息安全风险评估，识别潜在的安全隐患；

• 建立有效的供应商安全能力评估机制，确保供应链各环节的安全性；

• 开展典型场景下的渗透测试，以验证车辆在面对真实攻击时的防御能力；

• 尽早进行摸底检测以确保符合新标准的要求，减少后期整改带来的不必要成本。

面对日益复杂的信息安全挑战，企业应积极采取上述措施，针对国标测试中存疑的地方积极与专业的测试人员咨询，并持续关注行业动态和技术发展，不断更新和完善自身的安全策略和防护体系，以应对未来可能出现的新威胁。

结语

当前，中汽研科技已依据GB 44495-2024《汽车整车信息安全技术要求》标准，建立了全面的合规测试能力。这标志着中汽研科技能够为汽车行业提供符合国家标准的信息安全测试服务，确保车辆的信息安全满足国标要求。截至目前，中汽研科技已经针对数据泄露、未授权访问以及恶意软件攻击等多种高风险场景，提供了详尽的信息安全测试方案。

专家介绍 

 李奇

中汽研科技网联通信测试

平台技术总监