随着汽车智能化和网联化程度不断加深，汽车逐渐从传统的交通工具演变成具备复杂功能的移动智能终端，信息交互更加便捷的同时，也面临着更复杂的信息安全、数据安全问题。中汽科技（深圳）网联通信测试技术专家雷皓凌，围绕技术背景与行业现状，分享当前国内外信息安全检测认证实践案例。

专家简介：

雷皓凌，中汽研科技网联通信技术专家，从事智能网联汽车信息安全、软件升级、数据安全等方面的测试及标准研究工作，支撑深圳市智能网联汽车10项地方标准制定发布。负责 R155、R156、《汽车整车信息安全技术要求》《汽车软件升级通用技术要求》《汽车数据通用要求》等国内外法规检测工作。

面对汽车网络安全挑战，国际社会和各国政府都在积极推动汽车网络安全标准和法规体系的建设，以确保车辆在整个生命周期内的网络安全。

目前，遵循R155法规已成为汽车出口日、韩、欧洲等58协定国的必要条件。汽车制造商需要确保车辆符合这一国际标准，以保护消费者的权益，并在全球市场中保持竞争力。雷皓凌介绍，“GB 44495-2024《汽车整车信息安全技术要求》也将作为国内智能网联汽车准入的强检项之一，与GB 44496《汽车软件升级通用技术要求》及 GB/T 44464《汽车数据通用要求》等法规共同构建汽车信息安全标准体系。”

雷皓凌分享了信息安全合规检测流程。

信息安全保障要求检验方面，“首次开展检查前，企业需确定保障要求的适用范围，对保障要求相关的制度流程和附件表单开展检验，确保流程的完整性和符合性。其次需要针对保障要求覆盖的车型，开展基本要求检查以及技术要求检测，在3个部分均检查通过之后，出具合格的检测报告。而针对后续车型，首先需要确认保障要求是否在三年的有效期内，以及能否覆盖新车型。如否，则需要针对新的一套流程开展检验。如果有效且覆盖，则只需要进一步开展技术要求检查，并引用对应保障要求的报告编号。”

信息安全基本要求检验是针对具体车型的开发过程材料进行检查。重点有三个部分：

•是否按照信息安全保障要求要求进行车型开发？

•是否对车辆进行风险评估，管理已识别的风险?

•是否通过测试来验证安全措施的有效性?

信息安全技术要求检测方面，被测车辆需基于车辆所识别的风险以及第7章车辆技术要求处置措施的相关性，依据基本要求检验结果以及8.3确认车辆信息安全技术要求的测试范围，并依据测试范围开展测试，以确认车辆满足第7章的要求。

基于当前检测认证实践，雷皓凌建议：安全需求与安全目标方面，车辆制造商应识别车辆的关键要素，对车辆进行风险评估，并管理已识别的风险，制定信息安全声明、安全目标和安全需求。整个过程需要满足的关键要素包括但不限于：

•企业风险评估中的资产类别对应的安全属性合理；

•企业风险评估中的安全属性对应的威胁类型合理；

•风险评估需要覆盖全部存储GB7.4章节中所列数据的功能/组件；

•信息安全需求应下沉到可执行的颗粒度；

•信息安全需求应有明确的需求验收标准；

R155的VTA车辆型式认证方面，VTA车辆型式认证是指针对原始设备制造商的网络安全开发中的具体工作执行情况进行审查，旨在确保车辆的网络安全防护技术能覆盖各生命周期的安全需求，且保证实施网络安全防护能有效防控特定车型面临的网络安全风险。

雷皓凌介绍，“VTA车辆型式认证通过提取多个来源的用例，确保车辆系统的安全性和可靠性。首先，基于TARA分析确定安全目标和需求，认证机构审查相关报告并确认测试范围。随后，测试机构依据该范围制定测试方案，认证机构进行目击测试，并对验证测试、确认测试用例及R155附录5中的部分进行抽样测试。测试过程要求全程可追溯，并确保测试结果具备较高的一致性和可复现性。”

目前，中汽科技（深圳）围绕汽车信息安全和数据安全，可开展整车及关键零部件的渗透测试、GB 44495等标准法规合规/摸底测试以及面向企业提供出口认证的R155认证试验、差距分析以及车载网络关键设备的检测。