车辆远程升级信息安全测试规范 Information security penetration testspecification forvehicle upgrade overtheairICS43.020 CCST40 团 体 标 准 T/GHDQ106-2022 2022-11-02发布 2022-11-03实施 吉林省汽车电子协会 发布 GHDQ 全国团体标准信息平台 GHDQ全国团体标准信息平台 T/GHDQ106-2022 I目次 前言................................................................................. III 引言................................................................................... V 1范围................................................................................. 1 2规范性引用文件 ....................................................................... 1 3术语和定义 ........................................................................... 1 4概述................................................................................. 2 5测试环境 ............................................................................. 2 5.1基本测试配置 ................................................................... 2 5.2测试环境 ....................................................................... 2 5.3通用测试要求 ................................................................... 3 5.4测试内容 ....................................................................... 3 5.4.1移动端安全测试 ........................................................... 3 5.4.2TSP云端安全测试 .......................................................... 3 5.4.3OTA云端安全测试 .......................................................... 3 5.4.4车端网关安全测试 ......................................................... 4 5.4.5升级安装包安全测试 ....................................................... 4 5.5测试监控 ....................................................................... 4 5.6测试加固 ....................................................................... 4 6安全测试管理要求 ..................................................................... 4 参考文献 ............................................................................... 6 GHDQ 全国团体标准信息平台 T/GHDQ106-2022 II GHDQ 全国团体标准信息平台 T/GHDQ106-2022 III前言 本文件按照 GB/T1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国第一汽车集团有限公司智能网联开发院、 启明信息技术股份有限公司 联合提出。 本文件由吉林省汽车电子协会归口。 本文件由吉林省汽车电子协会组织实施。 本文件主要起草单位： 启明信息技术股份有限公司、 中国第一汽车集团有限公司智能网联开发院 。 本文件主要起草人 ：刘磊、宋迎亮、蒋澈、张鸿彪、魏利、徐焕、曾宪宇、王鹏、郭彧、尤涛、孙 琦、禹晶晶、陈明。 本文件参与起草单位 ：中国汽车工程研究院股份有限公司 、宇通客车股份有限公司 、吉林大学汽车 仿真与控制国家重点实验室 、联通智网科技股份有限公司 、摩登汽车有限公司 、三六零数字安全科技集 团有限公司、一汽解放汽车有限公司商用车开发院 、一汽-大众汽车有限公司、中电信数智科技有限公 司长春分公司、中电福富信息科技有限公司。 本文件参与起草人 ：全代勇、杨军涛、李杰、刘书勇、李原、田雪、高德志、王博、高深、李新坚。 本文件审查人 ：杨彦鼎（东风汽车集团有限公司技术中心 ）、夏国强（中国汽车工程研究院股份有 限公司）、马文峰（一汽奔腾轿车有限公司 ）、马喜来（一汽解放汽车有限公司 ）、占锐（东风汽车集 团有限公司技术中心） 、孔晓霜（中国第一汽车集团有限公司创新技术研究院 ）。 本文件为首次发布。 GHDQ全国团体标准信息平台 T/GHDQ106-2022 IV GHDQ 全国团体标准信息平台 T/GHDQ106-2022 V引言 在网联化和软件定义汽车两大趋势下，汽车 OTA（远程升级）受到汽车业界越来越多的重视。 OTA （远程升级）升级，涉及影音娱乐，个性化定制，自动辅助变道等方面。目前汽车OTA （远程升级）主 要挑战是稳定的通信性能和网络安全 。OTA（远程升级 ）由“云”（业务平台 ）、“管”（通信通道 ）、 “端”（车辆端设备）组成，存在非常多的外部可攻击点，安全隐患问题突出。为了确保汽车 OTA（远 程升级）过程中不被远程攻击，产生汽车安全问题，就要对OTA 系统包括移动端、云端、车端等方面提 出更高的安全性要求。 为此，吉林省汽车电子协会联合各相关单位起草了系列标准。 在本标准中 ，主要补充制定了车辆远 程升级信息安全的测试检测要求和安全评价标准。 GHDQ 全国团体标准信息平台 GHDQ全国团体标准信息平台 T/GHDQ106-2022 1车辆远程升级信息安全测试规范 1范围 本文件规定了车辆远程升级信息安全测试的测试环境、测试内容、和测试方法。 本文件适用于智能网联汽车车辆远程升级安全测试。 2规范性引用文件 下列文件中的内容 通过文中的规范性引用而构成本文件 必不可少 的条款。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于本 文件。 GB/T20984-2007 信息安全技术 信息安全风险评估规范 GB/T25069-2010 信息安全技术 术语 GB/T31509-2015 信息安全技术 信息安全风险评估实施指南 ISOSAE21434-2021 道路车辆 网络安全工程（ Roadvehicles —cybersecurity engineering ） T/GHDQ103-2022 智能网联汽车服务平台信息安全技术要求 T/GHDQ105-2022 移动终端控车应用软件信息安全测试规范 3术语和定义 GB/T31509-2010 界定的以及 下列术语和定义适用于本文件。 3.1 远程升级（空中下载技术） OTA（Over-the-Air Technology ） 通过网络从远程服务器下载新的软件更新包对自身系统进行升级。 3.2 漏洞扫描 Vulnerability Scanning 基于漏洞数据库 ，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测 ，并尝 试发现课利用漏洞的一种安全测试行为。 3.3 漏洞扫描工具 vulnerability scan 包括众多的应 ⽤安全扫描产品，可以对 ⽹站等Web应⽤进⾏⾃动化的应 ⽤安全扫描和测试。 3.4 国际漏洞库 CVE CVE的英文全称是 “CommonVulnerabilities &Exposures ”公开披露的网络安全漏洞列表。 CVE 就好像是一个字典表 ，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称 。使用 一个共同的名字 ，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据 ，虽然这些 工具很难整合在一起 。这样就使得 CVE成为了安全信息共享的 “关键字”。如果在一个漏洞报告中指明 GHDQ全国团体标准信息平台 T/GHDQ106-20