1、 技术白皮书 智能网联汽车安全渗透 白皮书 2.0 （2021 年） 中国软件评测中心 智能网联汽车测评工程技术中心 国家信息技术安全研究中心 北京航空航天大学 国汽（北京）智能网联汽车研究院有限公司 智能网联驾驶测试与评价工业和信息化部重点实验室 赛迪（浙江）汽车检测服务有限公司 2021 年 12 月 序序 言言 智能化、网联化发展使得汽车领域应用环境更加特殊、管理更加困难，智能网联汽车所面临的网络安全威胁也更加突出。在此背景下，中国软件评测中心智能网联汽车测评工程技术中心自 2020 年起，聚焦整车安全威胁分析、网络安全渗透指标体系建设、测评实践结果分析等方面组织撰写智能网联汽车安全渗透

2、白皮书系列，旨在为行业提供一手测试数据，围绕关键安全漏洞进行剖析，针对智能网联汽车企业提出安全防护建议。 2021 年，中华人民共和国数据安全法和中华人民共和国个人信息保护法先后开始实施，工业和信息化部于8 月发布工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见，为智能网联汽车领域安全发展指明方向。“网络安全”在智能网联汽车领域持续升温，并逐步纳入监管范围。 为此，我们深入研究、组织撰写智能网联汽车安全渗透白皮书 2.0。与 1.0 版本相比，本白皮书持续跟踪分析行业内法规、政策、标准动态，继续为行业提供渗透结果数据及安全建议；对标最新政策法规、技术标准，更新完善渗透测试指标体系

3、；新增智能网联汽车网络安全威胁分析内容。 本白皮书由智能网联汽车测评工程技术中心（赛迪汽车）牵头，在中国智能网联汽车产业创新联盟指导下，联合 国家信息技术安全研究中心、北京航空航天大学、国汽（北京）智能网联汽车研究院有限公司等多家单位撰写，参与人员包括邹博松、朱科屹、路鹏飞等，在此特别感谢中国电子信息产业发展研究院副总工程师安晖、中国软件评测中心总工程师陈渌萍、北京航空航天大学交通科学与工程学院院长杨世春教授对本白皮书的撰写指导。 本白皮书中主要观点和结论仅代表编写组的思考，部分内容存在局限性。欢迎业界同仁提出宝贵意见，批评指正。 中国软件评测中心 巩潇 2021 年 12 月 目目 录录 序

4、序 言言 . - - 1 1 - - 前前 言言 . - - 1 1 - - 一、一、 智能网联汽车网络安全背景智能网联汽车网络安全背景 . - - 3 3 - - ( (一一) ) 智能网联汽车网络安全现状智能网联汽车网络安全现状 . - - 3 3 - - 1. 网络安全问题持续引起高度关注 . - 3 - 2. 网络安全保障成为产业发展重点 . - 4 - 3. 网络安全实践取得初步成果 . - 5 - ( (二二) ) 政策及法规政策及法规 . - - 7 7 - - 1. 国外政策法规发展现状 . - 7 - 2. 国内政策法规发展现状 . - 11 - ( (三三) ) 标准及规范

5、标准及规范 . . - - 13 13 - - 1. 国外标准规范建设现状 . - 13 - 2. 国内标准规范建设现状 . - 14 - 二、二、 智能网联汽车网络安全威胁分析智能网联汽车网络安全威胁分析 . - - 17 17 - - ( (一一) ) 威胁分析方法威胁分析方法论论 . - - 17 17 - - ( (二二) ) 整车网络安全资产分析整车网络安全资产分析 . - - 22 22 - - 1. 平台层 . - 23 - 2. 通信层 . - 24 - 3. 车端 . - 25 - 4. 移动终端 . - 25 - ( (三三) ) OTAOTA 升级威胁分析实例升级威胁分析

6、实例 . - - 25 25 - - 1. 评估对象及资产识别 . - 26 - 2. 影响场景及影响评级 . - 27 - 3. 威胁场景及攻击可行性分析 . - 28 - 三、三、 智能网联汽车网络安全渗透测试指标智能网联汽车网络安全渗透测试指标 . - - 30 30 - - ( (一一) ) 测试依据测试依据 . - - 30 30 - - ( (二二) ) 测试指标测试指标 . - - 31 31 - - ( (三三) ) 测试内容测试内容 . - - 31 31 - - 1. 信息传输安全 . - 31 - 2. 外部连接安全 . - 32 - 3. 数据安全 . - 32 - 4