第三届智能网联汽车网络安全测评活动

一、 背景

随着智能网联汽车智能化、网联化、电动化“三化一体”的发展，车辆运行的车联网环境越来越多元化，引入的网络安全威胁也逐渐增加。工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》，国家强制性标准《汽车整车信息安全技术要求（征求意见稿）》均对汽车网络安全提出明确要求。中国软件评测中心（工业和信息化部软件与集成电路促进中心）依托工业和信息化部智能网联汽车软件检测中心、智能网联驾驶测试与评价工业和信息化部重点实验室、北京市智能网联驾驶测试与评价工程技术研究中心已连续2年开展测评实践活动，以政策法规为指导、技术标准为依据，旨在测试验证行业智能网联汽车网络安全防护情况，推动智能网联汽车网络安全技术发展。

2022年第3届整车渗透测评活动，由中国智能网联汽车产业创新联盟推动，中国软件评测中心牵头，在相关主管单位的指导监督下，联合国家信息技术安全研究中心等多家机构共同开展。以公益形式，联合面向行业公开征集被测样品车型。特此诚邀相关企业报名参与。

二、 测评对象

具备智能化、网联化功能的智能网联汽车产品。

三、 测评依据

参考《智能网联汽车生产企业及产品准入管理指南（试行）》《汽车整车信息安全技术要求（征求意见稿）》《ISO/SAE-21434道路车辆 信息安全工程》《汽车信息安全通用技术要求》《车载信息交互系统信息安全技术要求》《汽车网关信息安全技术要求》《智能网联汽车车载端信息安全测试规程》等国内外法规标准，按照中国软件评测中心《智能网联汽车网络安全测评规范》实施测试。

四、 测评内容

测评范围及内容主要从车外网络安全、车内网络安全、接口安全、系统安全、应用安全、数据安全、汽车软件升级安全等多个方面进行。

1. 车外网络安全。通过蜂窝网络、WiFi、蓝牙、无线钥匙、卫星导航干扰等通信方式的漏洞，远程控制车辆、非法入侵、篡改通信信息等。

2. 车内网络安全。通过CAN总线通信、车载以太网的通信漏洞实现虚假消息注入、会话劫持或重放攻击、未经授权访问车辆敏感数据、拒绝服务攻击、获取车辆特权控制。

3. 接口安全。验证是否存在身份认证和访问控制机制，防止病毒及恶意消息注入。

4. 系统安全。验证是否存在已公布的网络安全漏洞，预装软件、是否存在恶意程序；是否存在未声明的功能和访问接口（含远程调试接口）；是否存在用户权限控制，限制用户提权。

5. 应用安全。验证是否存在后门、是否可以非授权获取手机用户信息，第三方应用软件是否存在恶意代码入侵、未经授权访问敏感数据等问题。

6. 数据安全。验证车辆防御非法盗取、破坏关键数据的安全防护能力。包括提取软件代码、未经授权访问个人信息、提取密钥数据、篡改车辆行驶数据等。

7. 汽车软件升级安全。验证车辆OTA在线升级的传输安全、是否对升级包的完整性和真实性进行校验，验证车辆离线升级是否对升级设备进行身份鉴别、是否对升级包的完整性和真实性进行校验等。

五、 活动流程

征集报名期限

即日起至2022年9月30日。（注：若报名截止日期前达到名额上限，则报名截止。）

测试实施

由中国软件评测中心成立测评白帽团队，根据报名车型分组，安排测试实施。测试实施按照拟定的测评方案及内容执行，在遵循保密原则的前提下发布测评研究成果。原则上被测车辆需送至中国软件评测中心，如有特殊情况，根据目标车型实际情况另行商定检测地点。

六、 活动权益

本着第三方公平、公正的原则，对被测车辆进行测评，每个车型的测评结果及基本信息将遵守保密协议。本次活动最终解释权归中国软件评测中心智能网联汽车测评工程技术中心所有。

七、 联系我们

本次公益测评活动的联络工作由中国软件评测中心智能网联汽车测评工程技术中心负责。请有意参加评测的企业活动报名及技术沟通与以下负责人联系，确认参评内容并按要求提交参评材料至联系人邮箱。

联系人：

工业和信息化部智能网联汽车软件检测中心

中国软件评测中心

（工业和信息化部软件与集成电路促进中心）

赛迪（浙江）汽车检测服务有限公司

2022年8月8日

原文件：

来源：中国软件评测中心