道路車輛網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)研究報(bào)告《道路車輛網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)》重點(diǎn)研究了汽車網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)的明確了網(wǎng)絡(luò)安全相關(guān)性判定和相關(guān)項(xiàng)定義的質(zhì)量評(píng)估方法，對(duì)企業(yè)開(kāi)展TARA劉健皓、趙燕、朱俊、劉鵬、劉祎、孫占朋、 2 5 7 11網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)背景及意義1.1背景及發(fā)展現(xiàn)狀造商（OEM）所披露的網(wǎng)絡(luò)安全事件和風(fēng)在國(guó)際層面，國(guó)際標(biāo)準(zhǔn)化組織（ISO）、國(guó)際汽車工程合國(guó)歐洲經(jīng)濟(jì)委員會(huì)（UNECE）等機(jī)構(gòu)相“ISO/SAE21434”）、UNR155《關(guān)于就網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全管理體系方面批準(zhǔn)規(guī)或強(qiáng)制性法規(guī)。GB44496—2024《汽車軟件升級(jí)通用技術(shù)要求》兩項(xiàng)強(qiáng)2WP.29）發(fā)布了UNR155《關(guān)于就網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全管等60多個(gè)國(guó)家和地區(qū)列為車輛市場(chǎng)準(zhǔn)入的強(qiáng)制性R155法規(guī)針對(duì)汽車網(wǎng)絡(luò)安全的強(qiáng)制要求分為兩部分：其一，是盡管R155為機(jī)動(dòng)車輛的網(wǎng)絡(luò)安全搭建了基本框架其一，對(duì)于在R155規(guī)范無(wú)強(qiáng)制要求的地區(qū)銷售的車輛，3通過(guò)實(shí)施ISO/SAE21434標(biāo)準(zhǔn)，車輛制造商和供應(yīng)商2）技術(shù)體系的互補(bǔ)性：該標(biāo)準(zhǔn)旨在構(gòu)建一個(gè)穩(wěn)定且持久的風(fēng)險(xiǎn)管理框架。為解決上述對(duì)汽車網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)未詳細(xì)說(shuō)明和確認(rèn)的整體策略、可用于驗(yàn)證和確認(rèn)的方法列表、ISO/SAE8477在ISO/SAE21434網(wǎng)絡(luò)安全工程的框架下，對(duì)4均可基于ISO/SAE21434規(guī)定的TARA（威脅分析和風(fēng)驗(yàn)證和確認(rèn)的相似之處在于，二者均為ISO/SAE21434構(gòu)設(shè)計(jì)定義中與功能相關(guān)的集成驗(yàn)證，以及對(duì)照既定計(jì)劃來(lái)執(zhí)行。一旦發(fā)現(xiàn)風(fēng)險(xiǎn)和漏洞，應(yīng)依照ISO/SAE215程參考與評(píng)估模型》。該模型可與ISO/SAE21434等標(biāo)準(zhǔn)結(jié)安全相關(guān)開(kāi)發(fā)過(guò)程進(jìn)行評(píng)價(jià)，同時(shí)對(duì)ASPICE標(biāo)準(zhǔn)和V模型圖1ASPICE和ASPICE網(wǎng)絡(luò)安全過(guò)程參考模型-概述軟件開(kāi)發(fā)過(guò)程，旨在評(píng)估并提升其效率和有效性。A降低安全風(fēng)險(xiǎn)。這是因?yàn)樗鼈兎謩e解決了汽車行6其中，GB44495—2024《汽車整車信息安全技“6.6車輛制造商應(yīng)通過(guò)測(cè)試來(lái)驗(yàn)證所實(shí)施的信息安全措施的有效性”。于標(biāo)準(zhǔn)不宜對(duì)技術(shù)路線加以限定等因素，不便對(duì)研發(fā)過(guò)程提出強(qiáng)制性要求。GB/T46194—2025《道路車輛信息安全工程》標(biāo)準(zhǔn)等表1國(guó)內(nèi)標(biāo)準(zhǔn)進(jìn)展12GB/T40855—2021《電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技3GB/T40856—2021《車載信息交互系統(tǒng)信息安全技術(shù)要求及試4GB/T40857—2021《汽車網(wǎng)關(guān)信息5GB/T40861—2021《汽6GB/T41578—2022《電動(dòng)汽車充電系統(tǒng)信息安全技術(shù)要求及試78GB/TXXXX—20XX《汽車網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)要求及試驗(yàn)97特斯拉、百度、一汽大眾、吉利、一汽紅旗、長(zhǎng)城21434CSMS體系搭建情況為：1家未搭建，其余11家均8圖2調(diào)研企業(yè)現(xiàn)狀與報(bào)告結(jié)合（2家）。補(bǔ)充說(shuō)明：部分企業(yè)提及“功能開(kāi)發(fā)參結(jié)：所有企業(yè)均開(kāi)展了TARA結(jié)果評(píng)估，但流程的總結(jié)：大部分企業(yè)（91.6%）會(huì)對(duì)設(shè)計(jì)方案開(kāi)展質(zhì)盒滲透測(cè)試（9家）、模糊測(cè)試（7家）、漏洞掃描（11圖3集成和測(cè)試階段，網(wǎng)絡(luò)安全驗(yàn)證活動(dòng)的開(kāi)展方式9測(cè)試的角色分工情況如下：在整車層面，有5家由配合完成；在零件層面，有6家由OEM完成，6家由供應(yīng)在集成與測(cè)試的角色分工上差異較大，在零部件層級(jí)的確全由零部件供應(yīng)商完成；10家為OEM完成，零部件供應(yīng)集成測(cè)試階段的時(shí)間界限情況如下：8家企業(yè)明確采用式；4家企業(yè)存在“零件與整車同步進(jìn)行”的情況；在整車和劃分了時(shí)間界限，但部分自主企業(yè)仍存在并行或界限模糊的階段.PT（生產(chǎn)驗(yàn)證）階段，確認(rèn)是在SOP（安全驗(yàn)證后，OEM再行開(kāi)展確認(rèn)活動(dòng)、以零），結(jié)論：多數(shù)企業(yè)（58.33%）采用模糊或無(wú)時(shí)間界限，剩了ISO/SAE21434的V模型，行業(yè)內(nèi)對(duì)于網(wǎng)絡(luò)安全驗(yàn)證和圖4網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)活動(dòng)的時(shí)間界限行業(yè)現(xiàn)狀，故在在2024年4-5月開(kāi)展了第二次行業(yè)調(diào)研，動(dòng)分布、V&V最佳實(shí)踐方法兩個(gè)板塊。共15家單位第一次調(diào)研大致相同，但是更加詳實(shí)，新增了較多具體的各家OEM均有針對(duì)網(wǎng)絡(luò)安全聲明和假設(shè)進(jìn)行正確性、合V&V最佳實(shí)踐方法的調(diào)研旨在收集、提煉行業(yè)常用的實(shí)踐方法，圖5V&V最佳實(shí)踐方法調(diào)研圖6行業(yè)采用的共性測(cè)試方法能開(kāi)發(fā)參與評(píng)審”等方式對(duì)TARA結(jié)果進(jìn)行評(píng)估，2)流程標(biāo)準(zhǔn)化程度不足：部分企業(yè)并未完整的定義體系流3)層次界限模糊：不同企業(yè)在零部件與整車開(kāi)4)時(shí)間界限模糊：58%的企業(yè)采用模糊或無(wú)界限的非結(jié)構(gòu)1.2意義及重要性作，有助于OEM更精準(zhǔn)地識(shí)別產(chǎn)品的網(wǎng)絡(luò)安全防護(hù)能力全問(wèn)題出現(xiàn)時(shí)能夠追溯責(zé)任。此外，軟件供應(yīng)商和OE在國(guó)際方面，ISO已率先采取行動(dòng)，ISO/SAE8477以TR的形21434進(jìn)行補(bǔ)充支持，明確了汽車網(wǎng)絡(luò)安全的合理性與充分性。分配原則進(jìn)行調(diào)研，并結(jié)合對(duì)V&V測(cè)試執(zhí)行情測(cè)試技術(shù)與行業(yè)標(biāo)準(zhǔn)研究的重要意義。該研究不僅為2網(wǎng)絡(luò)安全驗(yàn)證和與確認(rèn)2.1網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)總述開(kāi)發(fā)、生產(chǎn)、運(yùn)維、報(bào)廢等所有環(huán)節(jié)。當(dāng)前可依據(jù)ISO/SAE道路車輛網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的全生命周期管理過(guò)程，表示。不過(guò)，ISO/SAE21434既未規(guī)定具體的網(wǎng)絡(luò)安全技術(shù)確給出補(bǔ)救方法的相關(guān)規(guī)定。本研究標(biāo)準(zhǔn)《道路車輛網(wǎng)圖7道路車輛網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的全生命周期管理過(guò)程要活動(dòng)。涉及車輛網(wǎng)絡(luò)安全的整車開(kāi)發(fā)流程，可參考圖8所示圖8網(wǎng)絡(luò)安全的開(kāi)發(fā)V字模型）；這就是為什么驗(yàn)證和確認(rèn)活動(dòng)應(yīng)在依賴的信息輸入完根據(jù)網(wǎng)絡(luò)安全接口協(xié)議，驗(yàn)證和確認(rèn)活動(dòng)可以由車輛和網(wǎng)絡(luò)安全聲明的充分性和實(shí)現(xiàn)情況，可以定義如下構(gòu)建了一個(gè)適當(dāng)且足夠安全的網(wǎng)絡(luò)安全項(xiàng)目或組件？通用啟發(fā)式方法“我們是否在構(gòu)建正確的產(chǎn)品？”在道路從1）可以看出，分配給項(xiàng)目級(jí)別的網(wǎng)絡(luò)安指分配給項(xiàng)目（整體）的網(wǎng)絡(luò)安全需求，則本文檔使圖9驗(yàn)證和確認(rèn)之間差異圖10V&V活動(dòng)與ISO/SAE21434:2021活動(dòng)及工作成果之間的關(guān)系此相應(yīng)確定。因此，圖10中的虛線代表子組件這是對(duì)ISO/SAE21434:2021第3.1.36節(jié)的詳細(xì)闡釋工作成果“網(wǎng)絡(luò)安全規(guī)范”（參見(jiàn)ISO/SAE在對(duì)現(xiàn)有項(xiàng)目或組件進(jìn)行重用時(shí)，需要對(duì)其適用性若現(xiàn)有的工作產(chǎn)品未按照ISO/SAE21434標(biāo)準(zhǔn)開(kāi)1)采用黑盒方法指定測(cè)試用例和測(cè)試方法，以確認(rèn)威脅場(chǎng)景已得到解決；）；3)檢查被重用組件的指定配置，以確認(rèn)其按照威脅場(chǎng)景的預(yù)期運(yùn)行。對(duì)重用的分析還包括分析對(duì)項(xiàng)目、組件或運(yùn)行環(huán)境所做的任何更改的影響，獨(dú)立于環(huán)境的開(kāi)發(fā)是基于與供應(yīng)商期望從潛在OE確認(rèn)包括確認(rèn)相應(yīng)的假設(shè)。如果假設(shè)不成立，OEM和致、關(guān)于互信交流的協(xié)議、如何處理車輛制造2.2驗(yàn)證和確認(rèn)活動(dòng)示例[1]：風(fēng)險(xiǎn)評(píng)估依賴于設(shè)計(jì)實(shí)施的網(wǎng)絡(luò)安示例[2]：風(fēng)險(xiǎn)評(píng)估依賴于通過(guò)流程措施實(shí)施），一直持續(xù)到可以接受剩余風(fēng)險(xiǎn)為止。如圖1圖11網(wǎng)絡(luò)安全活動(dòng)的迭代性質(zhì)如上所述，由于TARA可以依賴該設(shè)計(jì)，因），2)TARA所依賴的網(wǎng)絡(luò)安全控制滿足預(yù)期此外，驗(yàn)證還包括提供證據(jù)，證明所識(shí)別的威驗(yàn)證還包括檢查TARA是否與項(xiàng)目定義一致，即TA應(yīng)審查的專有技術(shù)。審查結(jié)果被合并為車輛性，組織可運(yùn)用零部件級(jí)的證據(jù)，合理確定整驗(yàn)證包括檢查指定的網(wǎng)絡(luò)安全控制是否滿足項(xiàng)目示例[2]：研究最先進(jìn)的攻擊項(xiàng)目。然后對(duì)網(wǎng)示例[3]：對(duì)項(xiàng)目設(shè)計(jì)之前的迭代進(jìn)行審查，示例[5]：基于審查的方法可用于驗(yàn)證網(wǎng)絡(luò)安2.3驗(yàn)證和確認(rèn)方法汽車網(wǎng)絡(luò)安全的驗(yàn)證與確認(rèn)（V&V）需要采用多車網(wǎng)絡(luò)安全相關(guān)工作”指的是作為開(kāi)發(fā)活動(dòng)可交付成果代碼依賴與供應(yīng)鏈分析：分析項(xiàng)目代碼對(duì)內(nèi)部模塊和外汽車功能網(wǎng)絡(luò)安全測(cè)試是一種符合性/一致性測(cè)試，正面測(cè)試(PositiveTesting)：驗(yàn)證系統(tǒng)在負(fù)面測(cè)試(NegativeTesting)預(yù)期防御行為（如拒絕未授權(quán)訪問(wèn)、正確處理畸知的安全漏洞、弱點(diǎn)或錯(cuò)誤配置，常用于掃描車載信），地發(fā)現(xiàn)潛在安全漏洞，廣泛應(yīng)用于汽車ECU等安全關(guān)鍵系場(chǎng)景中，模糊測(cè)試在“云-管-端”三個(gè)威脅面的風(fēng)險(xiǎn)發(fā)現(xiàn)中），根據(jù)測(cè)試對(duì)象的類型來(lái)劃分，模糊測(cè)試可分為重放、隨機(jī)化、偽造等。模糊器可以在測(cè)試期間充當(dāng)Mit在黑盒測(cè)試中，滲透測(cè)試人員不會(huì)獲得任何器控制塊、TCP套接字、TLS連接、到MySQ有兩個(gè)方面需要處理：一方面，DoS測(cè)試對(duì)象的總是需要發(fā)送大量的數(shù)據(jù)包。例如，Slow），3網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)活動(dòng)質(zhì)量評(píng)估方法3.1TARA活動(dòng)質(zhì)量評(píng)估方法b.相關(guān)項(xiàng)可實(shí)現(xiàn)的車輛功能描述2）應(yīng)對(duì)TARA方法論、分析過(guò)程中使用的運(yùn)行表單，以及可采取攻擊潛力的方法、基于CVSS的方法或風(fēng)險(xiǎn)。對(duì)于不可接受的風(fēng)險(xiǎn)，應(yīng)制定具體的緩3.2網(wǎng)絡(luò)安全概念活動(dòng)質(zhì)量評(píng)估方法2）應(yīng)對(duì)網(wǎng)絡(luò)安全需求的制定和評(píng)審流程，以及開(kāi)展相應(yīng)活和測(cè)試方法，以確認(rèn)網(wǎng)絡(luò)安全需求在生產(chǎn)階段得到了3.3V&V活動(dòng)質(zhì)量評(píng)估方法4）設(shè)計(jì)方案是否有簽署審批記錄保證文檔5）安全需求方案更新升版時(shí)，審查對(duì)象還應(yīng)6）審查對(duì)象覆蓋了關(guān)鍵的安全領(lǐng)域，例如網(wǎng)絡(luò)2)審查的形式可以為會(huì)議、郵件、文檔簽批，均需有4)檢查審查過(guò)程中使用的方法、技術(shù)和工具是否能夠滿2)檢查審查報(bào)告中對(duì)系統(tǒng)安全問(wèn)題的描述和分析是否清晰2)代碼分析審計(jì)人員必須具有代碼分析的能力及3)應(yīng)制定詳細(xì)的測(cè)試計(jì)劃，包括測(cè)試目標(biāo)、測(cè)4)測(cè)試用例應(yīng)定期更新和維護(hù)，確保與需求和代碼的變2)報(bào)告應(yīng)包括代碼分析的統(tǒng)計(jì)以及代碼分析存在問(wèn)題的函3)報(bào)告應(yīng)對(duì)檢查出的問(wèn)題嚴(yán)重性進(jìn)行分類，例2)應(yīng)定期評(píng)估測(cè)試工具的性能和功能，確保其4)測(cè)試人員應(yīng)具備相關(guān)經(jīng)驗(yàn)和技能，或經(jīng)過(guò)必要的專業(yè)培訓(xùn)5)應(yīng)考慮測(cè)試工具錯(cuò)誤地將正常行為標(biāo)6)應(yīng)考慮測(cè)試工具未能檢測(cè)到實(shí)際存在的問(wèn)7)確保測(cè)試活動(dòng)的獨(dú)立性，避免利益相關(guān)者的干考慮組合測(cè)試、隨機(jī)測(cè)試、邊界值/特殊值、等價(jià)類劃分2)功能網(wǎng)絡(luò)安全測(cè)試應(yīng)制定詳細(xì)的測(cè)試方3)測(cè)試方案中至少應(yīng)明確測(cè)試對(duì)象、測(cè)試范圍試輸入、測(cè)試人員及資質(zhì)、測(cè)試計(jì)劃、測(cè)試4)測(cè)試方案中對(duì)測(cè)試需求的覆蓋率需達(dá)5)測(cè)試用例中至少包括：用例編號(hào)、需求6)功能網(wǎng)絡(luò)安全測(cè)試應(yīng)按照測(cè)試方案執(zhí)行，必須有生成時(shí)間、責(zé)任人、版本變更的記錄，有明確的連接引腳或訪問(wèn)方式，調(diào)試接口劃分，2)功能網(wǎng)絡(luò)安全測(cè)試報(bào)告中的測(cè)試步驟應(yīng)嚴(yán)格按照測(cè)試方3)功能網(wǎng)絡(luò)安全測(cè)試報(bào)告應(yīng)至少包含測(cè)試編號(hào)4)功能網(wǎng)絡(luò)安全測(cè)試報(bào)告應(yīng)體現(xiàn)對(duì)需求不通過(guò)項(xiàng)的一次或多5)功能檢測(cè)報(bào)告應(yīng)有測(cè)試結(jié)果匯總的數(shù)據(jù)7)功能網(wǎng)絡(luò)安全測(cè)試報(bào)告應(yīng)明確其對(duì)于測(cè)試結(jié)果9)功能網(wǎng)絡(luò)安全測(cè)試報(bào)告應(yīng)由團(tuán)隊(duì)專2)功能網(wǎng)絡(luò)安全測(cè)試開(kāi)展前應(yīng)對(duì)測(cè)試工具的運(yùn)行安全、版3)功能網(wǎng)絡(luò)安全測(cè)試應(yīng)隨著測(cè)試活動(dòng)4)確保樣品當(dāng)前測(cè)試版本符合功能設(shè)計(jì)需求的最新開(kāi)發(fā)版本5)確保樣品狀態(tài)可用于繼續(xù)執(zhí)行測(cè)試活動(dòng)6)功能網(wǎng)絡(luò)安全測(cè)試應(yīng)保證結(jié)果在當(dāng)前環(huán)境7)功能網(wǎng)絡(luò)安全測(cè)試環(huán)境應(yīng)穩(wěn)定可用，若涉及到測(cè)試環(huán)境要求的測(cè)試活動(dòng)時(shí)，應(yīng)保證測(cè)試環(huán)境9)在功能網(wǎng)絡(luò)安全測(cè)試準(zhǔn)備階段，測(cè)試相關(guān)的2)漏洞掃描應(yīng)制定詳細(xì)的掃描方案，方案中應(yīng)至少包括掃3)漏洞掃描活動(dòng)應(yīng)至少包含待掃描項(xiàng)目源代碼2)定期對(duì)新的軟件版本執(zhí)行漏洞掃描，確保軟件代碼中上3)漏洞掃描開(kāi)展前應(yīng)對(duì)掃描工具的運(yùn)行安全、2)漏洞掃描報(bào)告中的風(fēng)險(xiǎn)點(diǎn)應(yīng)給出詳3)漏洞掃描報(bào)告應(yīng)對(duì)檢查出的風(fēng)險(xiǎn)進(jìn)行定級(jí)，4)漏洞掃描報(bào)告應(yīng)給出具體的漏洞驗(yàn)證方法和提供漏洞的修5)漏洞掃描報(bào)告中應(yīng)有測(cè)試結(jié)果匯總的數(shù)2)模糊測(cè)試方案應(yīng)包括測(cè)試計(jì)劃、測(cè)試用例（評(píng)估模糊測(cè)3)模糊測(cè)試應(yīng)按照測(cè)試方案進(jìn)行，當(dāng)測(cè)試執(zhí)行2)模糊測(cè)試報(bào)告應(yīng)至少包含對(duì)測(cè)試目標(biāo)的信息描述（例如4)漏洞生命周期方面：模糊測(cè)試報(bào)告應(yīng)體現(xiàn)對(duì)漏洞的一次或2)模糊測(cè)試對(duì)象應(yīng)包括協(xié)議棧/軟件/系統(tǒng)組件/操作系統(tǒng)4)模糊測(cè)試結(jié)果應(yīng)保證模糊測(cè)試任務(wù)配置的參數(shù)均全部正確5)模糊測(cè)試數(shù)據(jù)集應(yīng)足夠大，執(zhí)行周期至6)模糊測(cè)試應(yīng)覆蓋既定網(wǎng)絡(luò)安全目標(biāo)或需求2)滲透測(cè)試應(yīng)制定詳細(xì)的測(cè)試方案，方案中應(yīng)至少包括測(cè)3)滲透測(cè)試應(yīng)按照測(cè)試方案執(zhí)行，當(dāng)測(cè)試執(zhí)行4)測(cè)試方案、測(cè)試用例、測(cè)試報(bào)告需經(jīng)過(guò)至少一輪評(píng)審，并2)測(cè)試報(bào)告結(jié)果應(yīng)證實(shí)已按測(cè)試計(jì)劃執(zhí)行了全部的滲透測(cè)3)滲透測(cè)試報(bào)告應(yīng)至少包含對(duì)測(cè)試樣品的信息描述（例如版本等信息）、），2)滲透測(cè)試活動(dòng)應(yīng)保證團(tuán)隊(duì)成員的獨(dú)立性，不應(yīng)為滲透測(cè)3)滲透測(cè)試開(kāi)展前應(yīng)對(duì)測(cè)試工具的運(yùn)行安全、4)滲透測(cè)試應(yīng)隨著測(cè)試活動(dòng)的進(jìn)行，