01 标准介绍
2021年10月11日至今,国家标准化管理委员会发布了GB/T 40855-2021《电动汽车远程服务与管理系统信息安全技术要求及试验方法》、GB/T 40856-2021《电动汽车充电系统信息安全技术要求及试验方法》、GB/T 40857-2021《汽车网关信息安全技术要求及试验方法》、GB/T 40861-2021《汽车信息安全通用技术要求》 、41578-2022《电动汽车充电系统信息安全技术要求及试验方法》 5项标准。
这5项标准是汽车行业在信息安全领域的首批基础性国家标准,将为汽车整车及零部件的信息安全防护技术水平的提升提供技术指导。广电计量检测集团股份有限公司积极参与各项标准的制修订,并开展了标准的试验方法验证工作。电动汽车远程服务与管理系统提供了远程控制、车辆监测和数据交互等功能,使车主能够通过手机应用或互联网与车辆进行交互。
02 主要安全风险
系统在使用过程中也会存在一定的安全风险,主要包括以下几个方面:
1.远程攻击:远程服务与管理系统通常与外部网络连接,如移动网络、云服务等,以实现与车辆的远程通信。如果系统存在漏洞或不安全配置,黑客可能通过远程攻击手段入侵系统,获取车辆的敏感数据、篡改车辆的功能或控制车辆行为。
2.软件漏洞和恶意软件:系统的软件可能存在漏洞,黑客可以利用这些漏洞进行攻击。同时,恶意软件或病毒可能通过下载应用、更新系统等途径被植入到远程服务与管理系统中,从而危及车辆和车主的安全。
3.数据隐私泄露:远程服务与管理系统涉及到车辆和车主的各种数据,如车辆位置、驾驶行为、个人账户信息等。如果这些数据未经适当保护,黑客可能获取到这些敏感数据,侵犯车主的隐私。
4.身份验证和授权问题:远程服务与管理系统需要建立有效的身份验证和授权机制,以确保只有授权用户才能访问和操作车辆。如果身份验证和授权机制存在漏洞或不安全,未经授权的人员可能滥用系统或进行非法操作。
03 测试项目及管控要点介绍
GB/T 40855-2021标准规定了面向电动汽车的车载终端、车企平台和公共平台之间数据通信安全的技术要求,同时对电动汽车车载终端信息安全测试环境、试验方法做出了明确要求,针对性进行管控服务,方能确保其安全性:
04 案例说明
广电计量检测集团股份有限公司(简称广电计量)具备完整的电动汽车车载终端及终端与平台通信信息安全测试能力,覆盖GB/T 40855-2021标准中的测试项目包括硬件安全、固件安全、软件系统安全、数据存储安全、网络端口传输安全、远程升级安全、日志功能安全及系统安全等,可有效检测车载终端所面临的网络攻击和恶意软件攻击等风险。目前已给江铃汽车、上汽大众、李尔、德赛西威、欧菲光等多家主机厂及零部件厂商完成包括GB/T40855在内的首批汽车信息安全标准的符合性测试。
05 服务优势
• 具备CNAS、CMA、CCRC风险评估、安全集成、安全运维、应急处置以及ISO 27001、ISO 20000、ISO 9001等服务资质,可出具权威报告
• 提供“培训、评估、检测、认证”一站式信息安全技术服务
• 拥有国际专家2名,具有丰富的行业资源和技术能力,具备资深的国际认证咨询和检测服务经验
• 主导和参与国家、行业、团体标准修订40余项,其中信息安全领域15项
• 承担通信、电力、轨道交通、汽车、金融、医疗、能源、政企、特殊行业等领域大型项目,服务经验丰富
• 全国布局五大实验室,辐射全国提供服务,提供就近就地、快速响应的服务
06 客户收益
• 支撑客户智能网联汽车生产企业及产品合规准入
• 获得“培训、评估、检测、认证”一站式信息安全技术服务
广电计量拥有完善的汽车信息安全测试能力,具备国际先进的信息安全测试工具,组建了一支由博士领衔的高水平测试队伍,其团队核心人员在安全行业均有多年经验。广电计量将不断扩大测试领域,以更先进的测试手段,深入探究汽车信息安全存在的安全隐患,助力汽车信息安全产业的发展。