《智能網(wǎng)聯(lián)汽車整車信息安全技術(shù)要求》

ICS43.020

CCST40

DB4403

深圳市地方標(biāo)準(zhǔn)

DB4403/TXXXX—XXXX

智能網(wǎng)聯(lián)汽車整車信息安全技術(shù)要求

Technicalrequirementsforintelligentandconnectedvehicle

cybersecurity

（送審稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

深圳市市場監(jiān)督管理局發(fā)布

DB4403/TXXXX—XXXX

智能網(wǎng)聯(lián)汽車整車信息安全技術(shù)要求

1范圍

本文件規(guī)定了具備智能網(wǎng)聯(lián)汽車信息安全管理體系要求、車輛信息安全一般要求、車輛信息安全技

術(shù)要求、審核評估及測試驗(yàn)證方法。

本文件適用于M類、N類及至少裝有1個電子控制單元的O類車輛，其他類型車輛可參考執(zhí)行。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

汽車信息安全管理體系cybersecuritymanagementsystem

一種基于風(fēng)險的系統(tǒng)方法，包括組織流程、責(zé)任和治理，以處理與車輛網(wǎng)絡(luò)威脅相關(guān)的風(fēng)險并保護(hù)

車輛免受網(wǎng)絡(luò)攻擊。

3.2

開發(fā)階段developmentphase

車型獲得批準(zhǔn)之前的時期。

3.3

生產(chǎn)階段productionphase

車型生產(chǎn)持續(xù)的時期。

3.4

后生產(chǎn)階段post-productionphase

從車型不再生產(chǎn)，直至該車型的所有車輛使用壽命結(jié)束的時期。在這一階段，該車型的車輛仍可使

用，但不再繼續(xù)生產(chǎn)，當(dāng)該車型不再有可使用的車輛時，此階段結(jié)束。

3.5

風(fēng)險risk

車輛信息安全不確定性的影響，可用攻擊可行性和影響表示。

3.6

風(fēng)險評估riskassessment

發(fā)現(xiàn)、識別和描述風(fēng)險，理解風(fēng)險的性質(zhì)以及確定風(fēng)險級別，并將風(fēng)險分析的結(jié)果與風(fēng)險標(biāo)準(zhǔn)進(jìn)行

比較，以確定風(fēng)險是否可接受。

3.7

威脅threat

可能導(dǎo)致系統(tǒng)、組織或個人受到傷害的意外事件的潛在原因。

1

DB4403/TXXXX—XXXX

3.8

漏洞vulnerability

在資產(chǎn)或緩解措施中，可被一個或多個威脅利用的弱點(diǎn)。

3.9

車載軟件升級系統(tǒng)on-boardsoftwareupdatesystem

安裝在車端并具備升級包接收、校驗(yàn)和分發(fā)等功能的軟件和硬件。

3.10

在線升級over-the-airupdate

通過無線方式而不是使用電纜或其他本地連接進(jìn)行數(shù)據(jù)傳輸?shù)能浖墶?/p>

3.11

離線升級offlineupdate

除在線升級以外的軟件升級。

3.12

敏感個人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能導(dǎo)致車主、駕駛?cè)?、乘車人、車外人員等受到歧視或者人身、財(cái)產(chǎn)安

全受到嚴(yán)重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。

4縮略語

下列縮略語適用于本文件。

CAN：控制器局域網(wǎng)絡(luò)（ControlAreaNetwork）

ECU：電子控制單元（ElectronicControlUnit）

HSM：硬件安全模塊（HardwareSecureModule）

MD5：MD5信息摘要算法(MD5Message-DigestAlgorithm)

NFC：近距離無線通訊技術(shù)(NearFieldCommunication)

TLS：安全傳輸層協(xié)議(TransportLayerSecurity)

USB：通用串行總線(UniversalSerialBus)

VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）

VIN：車輛識別代號（VehicleIdentificationNumber）

WLAN：無線局域網(wǎng)(WirelessLocalAreaNetworks)

5汽車信息安全管理體系要求

5.1車輛生產(chǎn)企業(yè)應(yīng)建立車輛全生命周期的汽車信息安全管理體系。

注：車輛全生命周期包括車輛的開發(fā)階段、生產(chǎn)階段及后生產(chǎn)階段。

5.2汽車信息安全管理體系中應(yīng)涵蓋必要流程，以確保充分考慮安全風(fēng)險。

5.2.1應(yīng)建立企業(yè)內(nèi)部管理信息安全的流程。

5.2.2應(yīng)建立識別、評估、分類、處置車輛信息安全風(fēng)險及核實(shí)已識別風(fēng)險得到適當(dāng)處置的流程，并

確保車輛風(fēng)險評估保持最新狀態(tài)。

5.2.3應(yīng)建立用于車輛信息安全測試的流程。

5.2.4應(yīng)建立針對車輛的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的監(jiān)測和響應(yīng)流程，要求如下：

a)應(yīng)包含漏洞管理機(jī)制，明確漏洞收集、分析、報告、處置、發(fā)布等活動環(huán)節(jié)；

b)應(yīng)建立針對網(wǎng)絡(luò)攻擊提供相關(guān)數(shù)據(jù)并進(jìn)行分析的流程；

2

DB4403/TXXXX—XXXX

示例：企業(yè)具備從車輛數(shù)據(jù)和車輛日志中分析和檢測網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的能力。

c)應(yīng)建立確保已識別的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞得到響應(yīng)，且在合理的時限內(nèi)得到處置的流

程；

d)應(yīng)建立評估所實(shí)施的信息安全措施在發(fā)現(xiàn)新的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞的情況下是否仍然

有效的流程；

e)應(yīng)建立確保對網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞進(jìn)行持續(xù)監(jiān)控的流程。

注：車輛登記后即納入監(jiān)控范圍。

5.2.5應(yīng)建立管理企業(yè)與合同供應(yīng)商、服務(wù)提供商、車輛生產(chǎn)企業(yè)子組織之間信息安全依賴關(guān)系的流

程。

6車輛信息安全一般要求

6.1車輛產(chǎn)品開發(fā)流程應(yīng)遵循汽車信息安全管理體系要求。

6.2應(yīng)識別和管理車輛與供應(yīng)商相關(guān)的風(fēng)險。

6.3應(yīng)識別車輛的關(guān)鍵要素，對車輛進(jìn)行詳細(xì)的風(fēng)險評估，合理管理已識別的風(fēng)險。

注：風(fēng)險評估應(yīng)考慮車輛的各個要素及其相互作用，并進(jìn)一步考慮與任何外部系統(tǒng)的相互作用。

示例：關(guān)鍵要素包括有助于車輛安全、環(huán)境保護(hù)或防盜的要素，提供連接性的部件或車輛架構(gòu)中對信息安全至關(guān)重

要的部分等。

6.4應(yīng)采取基于第7章、第8章、第9章、第10章的信息安全技術(shù)要求處置措施保護(hù)車輛不受風(fēng)險評

估中已識別的風(fēng)險影響。

注1：若處置措施與所識別的風(fēng)險不相關(guān)，則車輛制造商應(yīng)說明其不相關(guān)性。

注2：若處置措施與所識別的風(fēng)險不充分，則車輛制造商應(yīng)實(shí)施其它的處置措施，并說明其使用措施的合理性。

6.5如有專用環(huán)境，則應(yīng)采取相應(yīng)適當(dāng)?shù)拇胧?，以保護(hù)車輛用于存儲和執(zhí)行后裝軟件、服務(wù)、應(yīng)用程

序或數(shù)據(jù)的專用環(huán)境。

6.6應(yīng)通過適當(dāng)和充分的測試來驗(yàn)證所實(shí)施的信息安全措施的有效性。

6.7應(yīng)針對車輛實(shí)施相應(yīng)措施，以識別和防御針對該車輛的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞，并為車輛生

產(chǎn)企業(yè)在識別與車輛相關(guān)的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞方面提供監(jiān)測能力，以及為分析網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)

威脅和漏洞提供數(shù)據(jù)取證能力。

6.8應(yīng)采用符合國際通用、國家或行業(yè)標(biāo)準(zhǔn)要求的密碼模塊。若使用的密碼模塊未采用國際通用、國

家或行業(yè)標(biāo)準(zhǔn)要求，則應(yīng)說明其使用的合理性。應(yīng)使用公開的、已發(fā)布的、有效的密碼算法，并選擇適

當(dāng)?shù)膮?shù)和選項(xiàng)；應(yīng)根據(jù)不同密碼算法和場景，選擇適當(dāng)長度和有效的密鑰。

注：有效的密碼算法指安全有效且未被破解的算法，如MD5已被破解，此類算法相對不安全。

6.9車輛應(yīng)采用默認(rèn)安全設(shè)置。

示例：如WLAN的默認(rèn)連接口令應(yīng)滿足復(fù)雜度的要求。

7車輛外部連接安全要求

7.1遠(yuǎn)程控制系統(tǒng)安全要求

7.1.1應(yīng)對遠(yuǎn)程控制系統(tǒng)的指令信息進(jìn)行真實(shí)性和完整性驗(yàn)證，并應(yīng)具備驗(yàn)證失敗的處理能力。

7.1.2應(yīng)對遠(yuǎn)程控制系統(tǒng)的指令設(shè)置訪問控制，禁用非授權(quán)的遠(yuǎn)程控制指令。

7.1.3應(yīng)具備遠(yuǎn)程控制系統(tǒng)的安全日志記錄功能，安全日志記錄的內(nèi)容至少包括遠(yuǎn)程控制指令的日期、

時間、發(fā)送主體、遠(yuǎn)程控制對象、操作結(jié)果等。

3

DB4403/TXXXX—XXXX

7.1.4應(yīng)對車端具備遠(yuǎn)程控制功能的系統(tǒng)的程序和配置數(shù)據(jù)進(jìn)行完整性驗(yàn)證。

7.2第三方應(yīng)用安全要求

7.2.1應(yīng)對授權(quán)的第三方應(yīng)用的真實(shí)性和完整性進(jìn)行驗(yàn)證。

注：第三方應(yīng)用是指車輛生產(chǎn)企業(yè)及其供應(yīng)商之外的其他法人實(shí)體提供的面向用戶提供服務(wù)的應(yīng)用程序，包括第三

方娛樂應(yīng)用等。

7.2.2應(yīng)對非授權(quán)的第三方應(yīng)用的安裝運(yùn)行進(jìn)行提示，并對已安裝的非授權(quán)的第三方應(yīng)用進(jìn)行訪問控

制，避免此類應(yīng)用直接訪問系統(tǒng)資源、個人信息等。

7.3外部接口安全要求

7.3.1應(yīng)對外部接口進(jìn)行訪問控制保護(hù)，禁止非授權(quán)訪問。

示例：外部接口包括USB接口、診斷接口和其他接口等。

7.3.2應(yīng)對USB接口接入設(shè)備中的文件進(jìn)行訪問控制，只允許讀寫指定格式的文件或安裝執(zhí)行指定簽

名的應(yīng)用軟件。

7.3.3應(yīng)具備抵御USB接口接入設(shè)備中的病毒程序和攜帶病毒的媒體文件/應(yīng)用軟件的能力。

7.3.4通過診斷接口發(fā)送車輛關(guān)鍵參數(shù)的寫操作請求時，應(yīng)采用身份鑒別、訪問控制等安全策略。

7.4車輛遠(yuǎn)程控制系統(tǒng)、授權(quán)的第三方應(yīng)用等外部連接系統(tǒng)不應(yīng)存在由權(quán)威漏洞平臺6個月前公布且

未經(jīng)處置的高危及以上的安全漏洞。

注：處置包括消除漏洞、制定減緩措施等方式。

7.5車輛應(yīng)關(guān)閉不必要的網(wǎng)絡(luò)端口。

8車輛通信通道安全要求

8.1車輛與車輛生產(chǎn)企業(yè)云平臺通信時，應(yīng)對其通信對象的身份真實(shí)性進(jìn)行驗(yàn)證。

8.2車輛與車輛、路側(cè)單元、移動終端等進(jìn)行直連通信時，應(yīng)進(jìn)行證書有效性和合法性的驗(yàn)證。

8.3車輛應(yīng)采用完整性保護(hù)機(jī)制保護(hù)外部通信通道。

示例：車輛外部通信通道包括移動蜂窩通信、WLAN、藍(lán)牙等，不包括射頻、NFC等短距離無線通信通道。

8.4車輛應(yīng)具備對來自車輛外部通信通道的數(shù)據(jù)操作指令的訪問控制機(jī)制。

注：來自車輛外部通信通道的數(shù)據(jù)操作指令包括代碼注入、數(shù)據(jù)操縱、數(shù)據(jù)覆蓋、數(shù)據(jù)擦除和數(shù)據(jù)寫入等指令。

8.5車輛應(yīng)驗(yàn)證所接收的關(guān)鍵指令數(shù)據(jù)的有效性或唯一性。

注：關(guān)鍵指令數(shù)據(jù)是指可能影響行車和財(cái)產(chǎn)安全的指令數(shù)據(jù)，包括但不限于車控指令數(shù)據(jù)。

示例：針對遠(yuǎn)程控制服務(wù)器發(fā)送的車控指令，車端可通過網(wǎng)關(guān)校驗(yàn)該類指令的有效期或唯一性。

8.6車輛應(yīng)對發(fā)送的敏感個人信息實(shí)施保密性保護(hù)措施。

8.7車輛與外部直接通信的零部件應(yīng)具備身份識別機(jī)制。

注：與外部存在直接通信的零部件包括但不限于車載信息交互系統(tǒng)等，不包括短距離無線傳感器。

8.8車輛與外部直接通信的零部件應(yīng)具備安全機(jī)制防止非授權(quán)的系統(tǒng)特權(quán)訪問。

注：非授權(quán)用戶可能通過調(diào)試接口獲得系統(tǒng)的根用戶權(quán)限。

8.9車輛內(nèi)部網(wǎng)絡(luò)應(yīng)劃分安全區(qū)域，并實(shí)現(xiàn)安全區(qū)域之間的隔離，對跨域請求應(yīng)進(jìn)行訪問控制，并遵

循默認(rèn)拒絕原則和最小化授權(quán)原則。

注：隔離措施包括物理隔離、邏輯隔離（如采用白名單、防火墻等措施），如車載以太網(wǎng)可采用VLAN技術(shù)實(shí)現(xiàn)不同

功能域之間的邏輯隔離。

8.10車輛應(yīng)具備識別車輛通信通道遭受拒絕服務(wù)攻擊的能力，并對攻擊數(shù)據(jù)包進(jìn)行相應(yīng)的處理。

注：對攻擊數(shù)據(jù)包的處理包括攔截、丟棄等。

4

DB4403/TXXXX—XXXX

示例：車輛通信通道包括移動蜂窩通信、V2X等車外通信通道，也包括CAN總線和車載以太網(wǎng)等車內(nèi)通信通道。

8.11車輛應(yīng)具備識別惡意的V2X數(shù)據(jù)、惡意的診斷數(shù)據(jù)、惡意的專有數(shù)據(jù)等的能力，并采取保護(hù)措施。

注1：V2X數(shù)據(jù)包括道路設(shè)施發(fā)送到車輛的數(shù)據(jù)、車輛與車輛之間的數(shù)據(jù)。

注2：專有數(shù)據(jù)指正常發(fā)送自車輛生產(chǎn)企業(yè)或車輛組件、系統(tǒng)及功能供應(yīng)商的數(shù)據(jù)。

8.12車輛應(yīng)對關(guān)鍵的通信信息安全事件進(jìn)行日志記錄。

注：關(guān)鍵的通信信息安全事件由車企根據(jù)風(fēng)險評估的結(jié)果確定。

9車輛軟件升級安全要求

9.1通用安全要求

9.1.1車載軟件升級系統(tǒng)應(yīng)具備安全啟動的功能，應(yīng)保護(hù)車載軟件升級系統(tǒng)的可信根、引導(dǎo)加載程序、

系統(tǒng)固件不被篡改，或被篡改后無法正常啟動。

9.1.2車載軟件升級系統(tǒng)應(yīng)不存在由權(quán)威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞。

注：處置方式包括消除漏洞、制定減緩措施等方式。

9.2在線升級安全要求

9.2.1車輛和在線升級服務(wù)器應(yīng)進(jìn)行身份認(rèn)證，驗(yàn)證其身份的真實(shí)性。

示例：常見的認(rèn)證方式包括使用證書進(jìn)行身份認(rèn)證等。

9.2.2車載軟件升級系統(tǒng)應(yīng)對下載的在線升級包進(jìn)行真實(shí)性和完整性校驗(yàn)。

9.2.3車載軟件升級系統(tǒng)應(yīng)記錄在線升級過程中發(fā)生的失敗事件日志。

注：失敗事件包括升級包校驗(yàn)失敗等，記錄內(nèi)容包括事件時間、事件類型等。

9.3離線升級安全要求

9.3.1若車輛使用車載軟件升級系統(tǒng)進(jìn)行離線升級，車輛應(yīng)對離線升級包真實(shí)性和完整性進(jìn)行校驗(yàn)。

9.3.2若車輛不使用車載軟件升級系統(tǒng)進(jìn)行離線升級，應(yīng)采取保護(hù)措施保證刷寫接入端的安全性，或

者校驗(yàn)離線升級包的真實(shí)性和完整性。

10車輛數(shù)據(jù)代碼安全要求

10.1車輛應(yīng)安全地存儲對稱密鑰和私鑰，防止其被非授權(quán)訪問和獲取。

10.2車輛應(yīng)采取安全訪問技術(shù)、加密技術(shù)等安全技術(shù)保護(hù)存儲在車內(nèi)的敏感個人信息，防止其被非授

權(quán)訪問和獲取。

10.3車輛應(yīng)采取安全防御機(jī)制保護(hù)存儲在車內(nèi)的車輛識別代號（VIN）和用于身份識別的數(shù)據(jù)，防止

其被非授權(quán)刪除和修改。

示例：防止數(shù)據(jù)被非授權(quán)刪除和修改的安全防御機(jī)制包括安全訪問技術(shù)、只讀技術(shù)等。

10.4車輛應(yīng)采取安全防御機(jī)制保護(hù)存儲在車內(nèi)的關(guān)鍵數(shù)據(jù)，防止其被非授權(quán)刪除和修改。

注：關(guān)鍵數(shù)據(jù)包括車輛關(guān)鍵配置參數(shù)和車輛運(yùn)行過程中產(chǎn)生的可能影響行車安全的數(shù)據(jù)。

示例：車輛關(guān)鍵配置參數(shù)包括制動數(shù)據(jù)、安全氣囊展開閾值、電池參數(shù)、自動駕駛參數(shù)等影響車輛行車、人員保護(hù)

功能的配置參數(shù)。

10.5車輛應(yīng)采取安全防御機(jī)制保護(hù)存儲在車內(nèi)的安全日志，防止其被非授權(quán)刪除和修改。

10.6車輛應(yīng)具備個人信息清除功能及防恢復(fù)機(jī)制，便于在轉(zhuǎn)售、租借或報廢時清除個人信息。

10.7車輛不得直接向境外傳輸數(shù)據(jù)。

注：用戶使用瀏覽器訪問境外網(wǎng)站、使用通信軟件向境外傳遞消息、自主安裝可能導(dǎo)致數(shù)據(jù)出境的第三方應(yīng)用等不

5

DB4403/TXXXX—XXXX

受本條款限制。

11審核評估及測試方法

11.1依據(jù)本文件開展車輛信息安全一般要求評估和信息安全技術(shù)要求測試驗(yàn)證前，應(yīng)通過汽車信息安

全管理體系要求審核。

11.2車輛信息安全技術(shù)要求測試驗(yàn)證應(yīng)按照本文件附錄A進(jìn)行，在測試驗(yàn)證前應(yīng)開展車輛信息安全一

般要求評估，確認(rèn)車輛采取了基于第7章、第8章、第9章、第10章的信息安全技術(shù)要求處置措施保

護(hù)車輛不受風(fēng)險評估中已識別的風(fēng)險影響。

注1：若基于第7章、第8章、第9章、第10章的信息安全技術(shù)要求處置措施與企業(yè)所識別的風(fēng)險不相關(guān)，無需對不相

關(guān)的條款開展測試，僅需開展評估確認(rèn)。

注2：若基于第7章、第8章、第9章、第10章的信息安全技術(shù)要求處置措施無法覆蓋企業(yè)所識別的風(fēng)險，應(yīng)在按照附

錄A開展測試驗(yàn)證的基礎(chǔ)上，對企業(yè)實(shí)際所使用的處置措施開展評估確認(rèn)。

6

DB4403/TXXXX—XXXX

A

A

附錄A

（規(guī)范性）

車輛信息安全技術(shù)要求測試驗(yàn)證方法

A.1概述

本附錄規(guī)定了車輛外部連接安全要求、車輛通信安全要求、車輛軟件升級安全要求和車輛數(shù)據(jù)代碼

安全要求的測試驗(yàn)證方法。開展測試驗(yàn)證前，應(yīng)評估確認(rèn)滿足第6章車輛信息安全一般要求。

A.2測試條件

A.2.1測試環(huán)境應(yīng)保證測試車輛能安全運(yùn)行，影響車輛狀態(tài)的測試應(yīng)在多運(yùn)行工況的整車轉(zhuǎn)鼓環(huán)境下

進(jìn)行。

A.2.2測試環(huán)境應(yīng)保證車輛通信穩(wěn)定且測試不會對公網(wǎng)環(huán)境產(chǎn)生影響，影響公網(wǎng)環(huán)境的測試應(yīng)在具備

通信功能的整車暗室或類似環(huán)境中進(jìn)行。

A.2.3車輛生產(chǎn)企業(yè)應(yīng)按照測試要求提供測試整車車輛，必要時需提供測試臺架。

A.2.4車輛生產(chǎn)企業(yè)應(yīng)提供技術(shù)人員、刷寫工具等必要的支持協(xié)助完成測試。

A.3測試輸入信息

測試開始前，應(yīng)根據(jù)車輛信息安全一般要求評估的結(jié)果，確認(rèn)與測試車輛相關(guān)的測試項(xiàng)，并獲取如

下測試輸入信息：

注：測試輸入信息的獲取可在車輛生產(chǎn)企業(yè)認(rèn)可的安全場景下進(jìn)行，如在企業(yè)現(xiàn)場審閱相關(guān)文檔。

a)測試車輛遠(yuǎn)程控制功能，包括遠(yuǎn)程控制指令應(yīng)用場景和使用權(quán)限、遠(yuǎn)程控制指令審計(jì)方式及

審計(jì)日志記錄地址、車輛記錄異常指令的地址；

b)測試車輛授權(quán)第三方應(yīng)用真實(shí)性和完整性校驗(yàn)方式；

c)測試車輛非授權(quán)第三方應(yīng)用的訪問控制機(jī)制；

d)測試車輛的外部接口；

e)與測試車輛通信的車輛生產(chǎn)企業(yè)云平臺；

f)測試車輛通信方法，包括采用的通信協(xié)議類型；

g)測試車輛的V2X功能；

h)測試車輛向外傳輸敏感個人信息的通信通道；

i)測試車輛與外部直接通信的零部件；

j)測試車輛內(nèi)部通信方案及通信矩陣樣例，包括專用數(shù)據(jù)通信矩陣樣例；

k)測試車輛車載軟件升級系統(tǒng)可信根、引導(dǎo)加載程序、系統(tǒng)固件的訪問方式和地址；

l)測試車輛實(shí)現(xiàn)離線軟件升級的方式及工具；

m)測試車輛對稱密鑰和私鑰的存儲方式及說明文檔；

n)測試車輛內(nèi)部存儲敏感個人信息存儲地址；

o)測試車輛內(nèi)存儲的車輛識別代號和用于身份識別的數(shù)據(jù)清單及存儲地址；

p)測試車輛內(nèi)存儲的關(guān)鍵數(shù)據(jù)清單及存儲的地址；

q)測試車輛個人信息清除功能及防恢復(fù)機(jī)制。

A.4車輛外部連接安全測試方法

A.4.1具備遠(yuǎn)程操控功能的系統(tǒng)安全測試方法

7

DB4403/TXXXX—XXXX

A.4.1.1真實(shí)性和完整性校驗(yàn)的測試方法

應(yīng)依據(jù)附錄A.3a)測試車輛遠(yuǎn)程控制功能，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文7.1.1

的要求：

a)嘗試偽造、篡改并發(fā)送遠(yuǎn)程車輛控制指令；

b)檢查車輛是否響應(yīng)該指令，是否按照企業(yè)設(shè)定的驗(yàn)證失敗處理機(jī)制進(jìn)行處理，并記錄測試結(jié)

果，應(yīng)不響應(yīng)該指令。

A.4.1.2遠(yuǎn)程控制指令控制測試方法

應(yīng)依據(jù)附錄A.3a)測試車輛遠(yuǎn)程控制功能，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文7.1.2

的要求：

a)構(gòu)建非授權(quán)的遠(yuǎn)程控制指令，發(fā)送至測試車輛；

b)檢查車輛是否響應(yīng)該指令，并記錄測試結(jié)果，應(yīng)不響應(yīng)該指令。

A.4.1.3安全日志記錄功能測試方法

應(yīng)依據(jù)附錄A.3a)測試車輛遠(yuǎn)程控制功能，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文7.1.3

的要求：

a)構(gòu)建并觸發(fā)遠(yuǎn)程控制系統(tǒng)信息安全事件；

b)使用授權(quán)的用戶或工具，導(dǎo)出遠(yuǎn)程控制系統(tǒng)安全日志文件，驗(yàn)證文件記錄的內(nèi)容是否包含遠(yuǎn)

程控制指令的日期、時間、發(fā)送主體、操作是否成功等信息，并記錄驗(yàn)證結(jié)果，應(yīng)包括遠(yuǎn)程

控制指令的日期、時間、發(fā)送主體、操作是否成功的信息。

A.4.1.4遠(yuǎn)程控制功能系統(tǒng)程序和數(shù)據(jù)完整性校驗(yàn)測試方法

應(yīng)依據(jù)附錄A.3a)測試車輛遠(yuǎn)程控制功能，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文7.1.4

的要求：

a)篡改車端執(zhí)行遠(yuǎn)程控制功能的系統(tǒng)的程序和數(shù)據(jù)，并下發(fā)遠(yuǎn)程控制指令；

b)測試車輛是否告警或不執(zhí)行該控制指令，并記錄測試結(jié)果，應(yīng)告警或不執(zhí)行該控制指令。

A.4.2第三方應(yīng)用安全測試方法

A.4.2.1授權(quán)第三方應(yīng)用真實(shí)性完整性驗(yàn)證測試方法

測試人員應(yīng)依據(jù)附錄A.3b)測試車輛授權(quán)第三方應(yīng)用真實(shí)性和完整性校驗(yàn)方式，并按照如下測試

方法，檢驗(yàn)測試車輛是否滿足正文7.2.1的要求：

a)使用二進(jìn)制工具，依據(jù)授權(quán)第三方應(yīng)用真實(shí)性和完整性校驗(yàn)方式，篡改第三方應(yīng)用程序的代

碼；

b)嘗試安裝執(zhí)行篡改后的授權(quán)第三方應(yīng)用程序，測試是否可以正常運(yùn)行，并記錄測試結(jié)果，應(yīng)

不可正常運(yùn)行。

A.4.2.2非授權(quán)第三方應(yīng)用訪問控制測試方法

測試人員應(yīng)依據(jù)附錄A.3c)測試車輛非授權(quán)第三方應(yīng)用的訪問控制機(jī)制，并按照如下測試方法，

檢驗(yàn)測試車輛是否滿足正文7.2.2的要求：

a)嘗試安裝并執(zhí)行非授權(quán)第三方應(yīng)用，測試車輛是否進(jìn)行提示，并記錄測試結(jié)果，應(yīng)有明確提

示；

8

DB4403/TXXXX—XXXX

b)嘗試使用非授權(quán)第三方應(yīng)用程序訪問超出訪問控制權(quán)限的資源，并記錄測試結(jié)果，應(yīng)不可訪

問控制權(quán)限外的資源。

A.4.3外部接口安全測試方法

A.4.3.1外部接口訪問控制測試方法

測試人員應(yīng)依據(jù)附錄A.3d)測試車輛外部接口，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文

7.3.1的要求：

a)使用非授權(quán)的用戶或工具訪問車輛的外部接口；

b)測試是否可以成功建立連接并訪問相應(yīng)的信息，并記錄測試結(jié)果，應(yīng)無法成功建立連接。

A.4.3.2USB接口訪問控制測試方法

測試人員應(yīng)依據(jù)附錄A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正

文7.3.2的要求：

a)在具備USB接口的移動存儲介質(zhì)中注入媒體文件、指定簽名的應(yīng)用軟件和其它文件；

b)將移動存儲介質(zhì)連接到車輛USB接口，測試車輛是否可以執(zhí)行除媒體文件和指定簽名的應(yīng)用

軟件外的其他文件，并記錄測試結(jié)果，應(yīng)無法執(zhí)行除媒體文件和指定簽名的應(yīng)用軟件外的其

他文件。

A.4.3.3USB防病毒測試方法

測試人員應(yīng)依據(jù)附錄A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正

文7.3.3的要求：

a)在具備USB接口的移動存儲介質(zhì)中注入病毒文件；

b)將移動存儲介質(zhì)連接到車輛USB接口，嘗試執(zhí)行病毒文件，測試車輛系統(tǒng)是否可以測試出移

動存儲介質(zhì)中的病毒文件或拒絕執(zhí)行病毒文件，并記錄測試結(jié)果，應(yīng)能識別出病毒文件或拒

絕執(zhí)行病毒文件。

A.4.3.4診斷接口身份鑒別測試方法

測試人員應(yīng)依據(jù)附錄A.3d)測試車輛的外部接口，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正

文7.3.4的要求：

a)使用非授權(quán)用戶或工具在診斷接口發(fā)送車輛關(guān)鍵參數(shù)寫操作請求，測試車輛是否執(zhí)行該操作

請求，并記錄測試結(jié)果，應(yīng)無法執(zhí)行該操作請求；

b)使用授權(quán)用戶在診斷接口發(fā)送超出權(quán)限的車輛關(guān)鍵參數(shù)寫操作請求，測試車輛是否執(zhí)行該操

作請求，并記錄測試結(jié)果，應(yīng)無法執(zhí)行該操作請求。

A.4.4車輛外部連接系統(tǒng)漏洞掃描測試方法

測試人員應(yīng)按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文7.4的要求：

a)使用漏洞掃描工具對車輛外部連接系統(tǒng)進(jìn)行漏洞掃描測試，測試是否存在權(quán)威漏洞平臺6個

月前公布的高危及以上的安全漏洞，并記錄測試結(jié)果；

b)如存在權(quán)威漏洞平臺6個月前公布的高危及以上的安全漏洞，對照企業(yè)提交的漏洞處置方案

清單，確認(rèn)企業(yè)提交的漏洞處置方案清單中是否覆蓋該漏洞，并記錄測試結(jié)果，應(yīng)不存在由

權(quán)威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞。

A.4.5車輛關(guān)閉不必要接口測試方法

9

DB4403/TXXXX—XXXX

測試人員應(yīng)按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文7.5的要求：

a)測試人員通過WLAN、車載以太網(wǎng)等形式將測試車輛與掃描測試設(shè)備組網(wǎng)，查看配置文件獲得

被測車輛的IP地址；

b)使用掃描測試設(shè)備查看測試車輛所開放的端口，并將車輛開放的端口列表與提交的車輛業(yè)務(wù)

列表進(jìn)行對比，測試車輛是否有開放非必要的網(wǎng)絡(luò)端口，并記錄測試結(jié)果，應(yīng)僅開放必要的

網(wǎng)絡(luò)端口。

A.5車輛通信安全測試方法

A.5.1云平臺通信身份真實(shí)性驗(yàn)證測試方法

測試人員應(yīng)依據(jù)附錄A.3e)與測試車輛通信的車輛生產(chǎn)企業(yè)云平臺、附錄A.3f)測試車輛通信方

法，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文8.1的要求：

a)若車輛與車輛生產(chǎn)企業(yè)云平臺通信采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)環(huán)境進(jìn)行通信，驗(yàn)證通信網(wǎng)

絡(luò)技術(shù)報告，確定通信網(wǎng)絡(luò)類型，并記錄驗(yàn)證結(jié)果；

b)若車輛與車輛生產(chǎn)企業(yè)云平臺通信采用公共網(wǎng)絡(luò)環(huán)境進(jìn)行通信，且使用公有通信協(xié)議，采用

網(wǎng)絡(luò)數(shù)據(jù)抓包工具進(jìn)行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，檢查是否采用如TLSV1.2同等安全級

別或以上要求的安全通信層協(xié)議，并記錄測試結(jié)果，應(yīng)使用TLSV1.2同等安全級別或以上要

求的安全通信層協(xié)議；

c)若車輛與車輛生產(chǎn)企業(yè)云平臺通信采用公共網(wǎng)絡(luò)環(huán)境進(jìn)行通信，且使用私有通信協(xié)議，對私

有通信協(xié)議方案進(jìn)行驗(yàn)證，并記錄測試結(jié)果，私有通信協(xié)議方案應(yīng)能對通信對象的身份真實(shí)

性進(jìn)行驗(yàn)證。

A.5.2V2X通信身份認(rèn)證測試方法

測試人員應(yīng)依據(jù)附錄A.3f)測試車輛通信方法、附錄A.3g)測試車輛的V2X功能，并按照如下測

試方法，檢驗(yàn)測試車輛是否滿足正文8.2的要求：

a）使用合法證書，利用V2X仿真測試設(shè)備模擬車輛、路側(cè)單元和移動終端，并嘗試與測試車輛建

立通信連接；

b）清除V2X仿真測試設(shè)備的通信記錄，并將證書替換為無效證書或非法證書，測試替換證書后測

試車輛是否依然能和V2X仿真測試設(shè)備通信，并記錄測試結(jié)果，應(yīng)斷開通信連接。

A.5.3通信通道完整性保護(hù)測試方法

測試人員應(yīng)依據(jù)附錄A.3f)測試車輛通信方法，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正

文8.3的要求：

a）在車輛端設(shè)備與外部通信對象完成正常的身份認(rèn)證之后，采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具，解析通信報

文數(shù)據(jù)，判斷傳輸數(shù)據(jù)是否應(yīng)用了完整性保護(hù)措施；

b）將對傳輸數(shù)據(jù)進(jìn)行篡改或偽造后的報文發(fā)送到車輛端，測試車輛端是否對數(shù)據(jù)的完整性實(shí)施校

驗(yàn)并做出適宜的響應(yīng)，并記錄測試結(jié)果，應(yīng)進(jìn)行校驗(yàn)并拒絕該消息。

A.5.4防非授權(quán)操作測試方法

測試人員應(yīng)依據(jù)附錄A.3f)測試車輛通信方法，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正

文8.4的要求：

a）使用非授權(quán)身份對嘗試對車輛通信部件的數(shù)據(jù)代碼進(jìn)行讀取，測試是否可以成功操作，并記錄

測試結(jié)果，應(yīng)不可讀取；

10

DB4403/TXXXX—XXXX

b）使用非授權(quán)身份對嘗試對車輛通信部件的數(shù)據(jù)代碼進(jìn)行覆蓋，測試是否可以成功操作，并記錄

測試結(jié)果，應(yīng)不可覆蓋；

c）使用非授權(quán)身份對嘗試對車輛通信部件的數(shù)據(jù)代碼進(jìn)行清除，測試是否可以成功操作，并記錄

測試結(jié)果，應(yīng)不可清除；

d）使用非授權(quán)身份對嘗試對車輛通信部件的數(shù)據(jù)代碼進(jìn)行寫入，測試是否可以成功操作，并記錄

測試結(jié)果，應(yīng)不可寫入。

A.5.5關(guān)鍵指令數(shù)據(jù)有效性和唯一性驗(yàn)證測試方法

測試人員應(yīng)按照如下方法，檢驗(yàn)測試車輛是否滿足正文8.5的要求：

a）錄制正常會話指令，修改其中的一段數(shù)據(jù)，發(fā)送修改后的會話指令，測試車輛是否做出響應(yīng)，

并記錄測試結(jié)果，應(yīng)不響應(yīng)；

b）錄制正常會話指令，間隔一段時間后，重新發(fā)送錄制的會話指令，測試車輛是否做出響應(yīng)，并

記錄測試結(jié)果，應(yīng)不響應(yīng)。

A.5.6敏感個人信息保密性保護(hù)測試方法

測試人員應(yīng)依據(jù)附錄A.3h)測試車輛向外傳輸敏感個人信息的通信通道，并按照如下測試方法，檢

驗(yàn)測試車輛是否滿足正文8.6的要求：

a）依據(jù)車輛數(shù)據(jù)傳輸?shù)姆桨福?yàn)證是否正確使用聲明的加密算法對車輛傳輸?shù)臄?shù)據(jù)進(jìn)行加密，并

記錄驗(yàn)證結(jié)果，應(yīng)進(jìn)行加密；

b）驗(yàn)證使用的加密算法強(qiáng)度是否滿足需求，并記錄驗(yàn)證結(jié)果，算法強(qiáng)度應(yīng)滿足要求。

A.5.7對外通信零部件身份識別測試方法

測試人員應(yīng)依據(jù)附錄A.3i)測試車輛與外部直接通信的零部件,并按照如下測試方法，檢驗(yàn)測試車

輛是否滿足正文8.7的要求。

a）使用和測試車輛與外部直接通信零部件功能相同的零部件替換安裝在整車相同的位置；

b）啟動車輛，測試零部件是否正常工作或車輛是否有異常部件連接告警，并記錄測試結(jié)果，應(yīng)有

異常告警提示。

A.5.8車輛與外部直接通信零部件防非特權(quán)訪問測試方法

測試人員應(yīng)依據(jù)附錄A.3i)測試車輛與外部直接通信的零部件，并按照如下測試方法，檢驗(yàn)測試車

輛是否滿足正文8.8的要求：

a）構(gòu)建一個非授權(quán)用戶，嘗試對該用戶進(jìn)行身份提權(quán)；

b）使用嘗試提權(quán)后的用戶對系統(tǒng)進(jìn)行特權(quán)訪問，測試車輛是否有異常響應(yīng)或動作，并記錄測試結(jié)

果，應(yīng)不可訪問。

A.5.9車內(nèi)安全區(qū)域隔離測試方法

測試人員依據(jù)附錄A.3j)測試車內(nèi)通信方案及通信矩陣樣例，并按照如下測試方法，檢驗(yàn)測試車

輛是否滿足正文8.9的要求：

a）對于使用物理隔離措施的車輛，驗(yàn)證車輛生產(chǎn)企業(yè)提供的物理隔離方案，并記錄測試結(jié)果，應(yīng)

實(shí)現(xiàn)物理隔離；

b）對于使用邏輯隔離措施的車輛，根據(jù)車輛廠商提供的邏輯隔離策略，發(fā)送不符合策略的數(shù)據(jù)幀，

在指定的目的端口測試是否可以接收到相應(yīng)的數(shù)據(jù)幀，并記錄測試結(jié)果，不應(yīng)接收到相應(yīng)的數(shù)

據(jù)幀；

11

DB4403/TXXXX—XXXX

c）對于采用VLAN技術(shù)實(shí)現(xiàn)域隔離的車輛，根據(jù)車輛廠商提供的域隔離策略，測試是否能夠跨域轉(zhuǎn)

發(fā)數(shù)據(jù)幀，并記錄測試結(jié)果，不應(yīng)跨域轉(zhuǎn)發(fā)數(shù)據(jù)幀。

A.5.10拒絕服務(wù)攻擊識別測試方法

A.5.10.1CAN總線拒絕服務(wù)攻擊識別測試方法

測試人員應(yīng)依據(jù)附錄A.3j)測試車輛車內(nèi)通信方案及通信矩陣樣例，并按照如下測試方法，檢驗(yàn)

測試車輛CAN總線通信拒絕服務(wù)攻擊識別防護(hù)能力是否滿足正文8.10的要求。

a）將拒絕服務(wù)攻擊測試設(shè)備接入車輛的CAN總線，識別該通道總線波特率，測試設(shè)備對該通道發(fā)

起大于80%總線負(fù)載率的拒絕服務(wù)攻擊，如果有多個通道，則依次分別進(jìn)行測試試驗(yàn)；

b）在拒絕服務(wù)攻擊時，測試車輛未受攻擊的CAN通道通信性能和預(yù)設(shè)的功能是否受到影響，并記

錄測試結(jié)果，應(yīng)能不受影響；

c）在拒絕服務(wù)攻擊結(jié)束后，測試車輛是否按照預(yù)設(shè)方案處理攻擊數(shù)據(jù)包，并記錄測試結(jié)果，應(yīng)按

照預(yù)設(shè)的方案處理攻擊數(shù)據(jù)包。

A.5.10.2以太網(wǎng)拒絕服務(wù)攻擊識別測試方法

測試人員應(yīng)依據(jù)附錄A.3j)測試車輛車內(nèi)通信方案及通信矩陣樣例，并按照如下測試方法，檢驗(yàn)

測試車輛以太網(wǎng)通信拒絕服務(wù)攻擊識別防護(hù)能力是否滿足正文8.10的要求：

a）將拒絕服務(wù)攻擊測試設(shè)備與車輛的車載以太網(wǎng)進(jìn)行組網(wǎng)，并嘗試向車載以太網(wǎng)發(fā)起拒絕服務(wù)攻

擊；

b）在拒絕服務(wù)攻擊時，測試車輛未受攻擊的部件性能和預(yù)設(shè)的功能是否受到影響，并記錄測試結(jié)

果，應(yīng)能不受影響；

c）在拒絕服務(wù)攻擊結(jié)束后，測試車輛是否按照預(yù)設(shè)方案處理攻擊數(shù)據(jù)包，并記錄測試結(jié)果，應(yīng)按

照預(yù)設(shè)的方案處理攻擊數(shù)據(jù)包。

A.5.10.3V2X通信拒絕服務(wù)攻擊識別測試方法

測試人員應(yīng)按照如下測試方法，檢驗(yàn)測試車輛V2X通信拒絕服務(wù)攻擊識別防護(hù)能力是否滿足正文

8.10的要求：

a）使用V2X仿真測試設(shè)備模擬構(gòu)建不少于150輛可與測試車輛正常通信的虛擬車輛，并保持通信；

b）任選一輛虛擬車輛，將其與拒絕服務(wù)攻擊設(shè)備連接，向測試車輛發(fā)起拒絕服務(wù)攻擊；

c）在拒絕服務(wù)攻擊結(jié)束后，測試車輛的V2X功能是否恢復(fù)并可正常運(yùn)行，并記錄測試結(jié)果，應(yīng)從

攻擊中恢復(fù)并正常運(yùn)行。

A.5.11惡意數(shù)據(jù)識別測試方法

測試人員應(yīng)依據(jù)車輛接受消息類型，從如下方法中選擇適用的方法，檢驗(yàn)測試車輛是否滿足正文

8.11的要求：

a）依據(jù)V2X通信規(guī)則，構(gòu)建并向車輛發(fā)送惡意的V2X消息數(shù)據(jù)時，測試車輛能否鑒別并拒絕響應(yīng)，

并記錄測試結(jié)果，應(yīng)拒絕響應(yīng)；

b）依據(jù)診斷通信規(guī)則，構(gòu)建并向車輛發(fā)送惡意的診斷消息數(shù)據(jù)時，測試車輛能否鑒別并拒絕響應(yīng)，

并記錄測試結(jié)果，應(yīng)拒絕響應(yīng)；

c）依據(jù)專有消息通信規(guī)則，構(gòu)建并向車輛發(fā)送惡意的專有消息數(shù)據(jù)時，測試車輛能否鑒別并拒絕

響應(yīng)，并記錄測試結(jié)果，應(yīng)拒絕響應(yīng)。

A.5.12通信信息安全日志測試方法

12

DB4403/TXXXX—XXXX

測試人員應(yīng)依據(jù)車輛通信信息安全日志記錄機(jī)制，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正

文8.12的要求：

a）構(gòu)建并觸發(fā)車輛通信信息安全事件；

b）測試車輛是否會按照通信信息安全日志記錄機(jī)制記錄該事件，并記錄測試結(jié)果，應(yīng)按照機(jī)制要

求記錄該安全事件。

A.6車輛軟件升級安全測試方法

A.6.1通用安全要求測試方法

A.6.1.1車載軟件升級系統(tǒng)安全啟動測試方法

測試人員應(yīng)依據(jù)附錄A.3k)測試車輛車載軟件升級系統(tǒng)可信根、引導(dǎo)加載程序、系統(tǒng)固件的訪問

方式和地址，按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文9.1.1的要求：

a）獲取安全啟動信任根存儲區(qū)域的訪問方法和地址，使用軟件調(diào)試工具寫入數(shù)據(jù)，重復(fù)測試不少

于三次，測試是否可將數(shù)據(jù)寫入該存儲區(qū)域，并記錄測試結(jié)果，應(yīng)無法將數(shù)據(jù)寫入該存儲區(qū)域；

b）獲取正常運(yùn)行的引導(dǎo)加載程序，使用軟件調(diào)試工具修改該引導(dǎo)加載程序的簽名信息，將修改后

的引導(dǎo)加載程序?qū)懭氲街付▍^(qū)域，檢查是否正常加載引導(dǎo)加載程序，并記錄測試結(jié)果，應(yīng)不正

常加載引導(dǎo)加載程序；

c）獲取升級程序的系統(tǒng)固件，使用軟件調(diào)試工具對其進(jìn)行篡改，將修改后的系統(tǒng)固件寫入到指定

區(qū)域，檢查升級程序是否正常工作，并記錄測試結(jié)果，升級程序應(yīng)不工作。

A.6.1.2車載軟件升級系統(tǒng)安全漏洞掃描測試方法

測試人員應(yīng)照如下測試方法，檢驗(yàn)測試車輛是否滿足正文9.1.2的要求：

a）使用漏洞掃描工具對車載軟件升級系統(tǒng)進(jìn)行漏洞掃描測試，測試是否存在權(quán)威漏洞平臺6個月

前公布的高危及以上的安全漏洞，并記錄測試結(jié)果；

b）如存在權(quán)威漏洞平臺6個月前公布的高危及以上的安全漏洞，對照企業(yè)提交的漏洞處置方案清

單，確認(rèn)企業(yè)提交的漏洞處置方案清單中是否覆蓋該漏洞，并記錄測試結(jié)果，應(yīng)不存在由權(quán)威

漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞。

A.6.2在線升級安全測試方法

A.6.2.1軟件升級服務(wù)器身份認(rèn)證測試方法

測試人員應(yīng)按照附錄A.5.1云平臺通信身份真實(shí)性驗(yàn)證測試方法，檢測測試車輛是否滿足正文

9.2.1的要求。

A.6.2.2升級包真實(shí)性和完整性校驗(yàn)測試方法

測試人員應(yīng)確認(rèn)在線升級功能正常執(zhí)行，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文9.2.2

的要求：

a）構(gòu)造被篡改破壞的在線升級包；

b）將該升級包下載或傳輸?shù)杰囕d端，執(zhí)行軟件升級，測試并記錄升級結(jié)果，應(yīng)不執(zhí)行升級。

A.6.2.3失敗事件日志記錄測試方法

測試人員應(yīng)按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文9.2.3的要求：

a）構(gòu)造完整性或真實(shí)性被破壞的在線升級包；

13

DB4403/TXXXX—XXXX

b）觸發(fā)車輛軟件升級，檢查升級事件日志，并記錄測試結(jié)果，應(yīng)記錄本次升級失敗事件。

A.6.3離線升級安全要求測試方法

A.6.3.1使用車載軟件升級系統(tǒng)的離線升級安全測試方法

若車輛使用車載軟件升級系統(tǒng)進(jìn)行離線升級，測試人員應(yīng)依據(jù)附錄A.3l)實(shí)現(xiàn)離線軟件升級的方式

及工具，并按照如下測試方法，檢驗(yàn)測試車輛是否滿足正文9.3.1的要求：

a）構(gòu)造被篡改破壞的離線升級包；

b）使用離線升級工具將該升級包下載或傳輸?shù)杰囕d端，執(zhí)行軟件升級，測試并記錄升級結(jié)果，應(yīng)

不執(zhí)行升級。

A.6.3.2不使用車載軟件升級系統(tǒng)的離線升級安全測試方法

若車輛不使用車載軟件升級系統(tǒng)進(jìn)行離線升級，測試人員應(yīng)依據(jù)附錄A.3l)實(shí)現(xiàn)離線軟件升級的方

式及工具，并選擇以下兩種方法中適用的一種開展測試并記錄測試結(jié)果，檢驗(yàn)測試車輛是否滿足正文

9.3.2的要求：

a）測試人員將非認(rèn)證的刷寫接入端接入車輛刷寫接口，查看車輛是否能檢出接入了