DB4403_T 355-2023 智能网联汽车整车信息安全技术要求.docx

ICS43.020CCST40

DB4403

深圳市地方标准

DB4403/T355—2023

智能网联汽车整车信息安全技术要求

Technicalrequirementsofcybersecurityforintelligentandconnectedvehicles

2023-08-22发布2023-09-01实施

深圳市市场监督管理局发布

I

DB4403/T355—2023

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5汽车信息安全管理体系要求 2

6车辆信息安全一般要求 2

7车辆外部连接安全要求 3

8车辆通信通道安全要求 4

9车辆软件升级安全要求 4

10车辆数据代码安全要求 5

11审核评估及测试方法 5

附录A（规范性）车辆信息安全技术要求测试验证方法 7

II

DB4403/T355—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件以强制性国家标准《汽车整车信息安全技术要求》（计划号Q-339）（2023年5

月版本）为基础制定，主要用于支持深圳市智能网联汽车准入管理工作的实施。

本文件由深圳市工业和信息化局提出并归口。本文件起草单位：深圳市工业和信息化局。

1

DB4403/T355—2023

智能网联汽车整车信息安全技术要求

1范围

本文件规定了智能网联汽车信息安全管理体系要求、车辆信息安全一般要求、车辆外部连接安全要求、车辆通信通道安全要求、车辆软件升级安全要求、车辆数据代码安全要求、审核评估及测试方法。

本文件适用于M类、N类及至少装有1个电子控制单元的O类车辆，其他类型车辆可参考执行。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。3.1

汽车信息安全管理体系cybersecuritymanagementsystem

一种基于风险的系统方法，用以处理与车辆网络威胁相关的风险并保护车辆免受网络攻击。注：汽车信息安全管理体系包括组织流程、责任和治理方案。

3.2

风险risk

车辆信息安全不确定性的影响。3.3

风险评估riskassessment

发现、识别和描述风险，理解风险的性质以及确定风险级别，并将风险分析的结果与风险标准进行比较，以确定风险是否可接受。

3.4

威胁threat

可能导致系统、组织或个人受到伤害的意外事件的潜在原因。3.5

漏洞vulnerability

在资产或缓解措施中，可被一个或多个威胁利用的弱点。3.6

车载软件升级系统on-boardsoftwareupdatesystem

安装在车端并具备升级包接收、校验和分发等功能的软件和硬件。3.7

在线升级over-the-airupdate

不使用电缆或其他本地连接而通过无线方式进行数据传输的软件升级。3.8

2

DB4403/T355—2023

离线升级offlineupdate除在线升级以外的软件升级。

3.9

敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息。

注：敏感个人信息包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

4缩略语

下列缩略语适用于本文件。

CAN：控制器局域网络（ControlAreaNetwork）HSM：硬件安全模块（HardwareSecureModule）

MD5：MD5信息摘要算法（MD5Message-DigestAlgorithm）NFC：近距离无线通讯技术（NearFieldCommunication）

TLS：安全传输层协议（TransportLayerSecurity）USB：通用串行总线（UniversalSerialBus）

VLAN：虚拟局域网（VirtualLocalAreaNetwork）

VIN：车辆识别代号（VehicleIdentificationNumber）WLAN：无线局域网（WirelessLocalAreaNetwork）

5汽车信息安全管理