智能网联汽车安全渗透白皮书（2020）

技术白皮书 智能网联汽车安全渗透 白皮书 （2020年） 中国软件评测中心·智能网联汽车测评工程技术中心 2020年12月 序 言 随着汽车智能化、网联化和电动化程度的不断提高，智能网联汽车信息安全问题日益严峻，产业链的各个环节对信息安全的重视程度还远没有达到要求，甚至存在多个环节并没有考虑信息安全需求的情况。因此全面推进智能网联汽车信息安全发展，定期进行安全渗透测试，积极探索信息安全关键技术和产品创新，进一步建立健全智能网联汽车信息安全防护体系至关重要。 为此，我们组织撰写了《智能网联汽车安全渗透白皮书（2020年）》，从产业发展、安全态势、攻击场景、渗透指标、渗透实践等切入点对智能网联汽车安全总体形势进行分析，提出安全渗透测试指标并基于此进行渗透实践，针对性剖析安全漏洞，提出安全保障建议。 本白皮书由智能网联汽车测评工程技术中心（赛迪汽车）团队撰写，参与人员包括邹博松、朱科屹、王卉捷、郭盈、王荣，在此特别感谢中国电子信息产业发展研究院副院长黄子河、副总工程师安晖、中国软件评测中心总工程师陈渌萍对本白皮书的撰写指导，中心品牌宣传推广部刘喜喜、闫晓丽的编辑及排版支持。 本白皮书的主要观点和内容仅代表编写组的研判和思考，部分内容难免存在纰漏，欢迎业界同仁提出宝贵意见，批评指正。 中国软件评测中心 宋娟 2020年12月1日 版权声明 本白皮书版权属于中国软件评测中心，并受法律保护，转载、摘编或利用其他方式使用本白皮书文字或观点的，应注明“来源：中国软件评测中心”，违反上述说明的，本单位将追究其相关法律责任。 指导组：黄子河 安 晖 陈渌萍 宋 娟 编写组：邹博松 朱科屹 王卉捷 郭 盈 王 荣 目 录 前 言 .................................................................................................... - 1 - 一、 智能网联汽车安全产业概述 ..................................................... - 3 - (一) 产业生态总体趋势 .............................................................. - 3 - (二) 安全技术研究现状 .............................................................. - 4 - (三) 标准政策法规动态 .............................................................. - 5 - 二、 智能网联汽车信息安全态势 ..................................................... - 7 - (一) 网络安全技术领域扩展，智能网联汽车成为新目标 ...... - 7 - (二) 产业价值体系正在构建，外部环境安全隐患突出 .......... - 8 - (三) 数据信息泄露风险加剧，个人信息保护不断加强 .......... - 8 - (四) 安全建设能力仍需完善，渗透测试服务不可或缺 ........ - 10 - 三、 智能网联汽车攻击场景分析 ................................................... - 11 - (一) 工程模式入侵 .................................................................... - 11 - (二) 无线通信安全威胁 ............................................................ - 12 - 四、 智能网联汽车安全渗透指标 ................................................... - 12 - (一) 车载信息交互系统安全 .................................................... - 13 - (二) 车内外通信安全 ................................................................ - 14 - (三) 接口安全 ............................................................................ - 15 - (四) App安全 ............................................................................ - 15 - 五、 智能网联汽车渗透实践聚焦 ................................................... - 16 - (一) 系统调试模式开启 ............................................................ - 17 - (二) 敏感数据明文存储 ............................................................ - 18 - (三) 应用软件通信内容劫持 .................................................... - 21 - (四) 车内外通信未加密 ............................................................ - 23 - (五) 蓝牙连接认证机制薄弱 .................................................... - 25 - (六) OBD数据监听 ................................................................... - 26 - (七) USB外接设备及调试模式 ............................................... - 27 - 六、 永不过时的安全建议 ............................................................... - 28 - - 1 - 前 言 近年来，智能网联汽车作为关联众多重点领域协同创新、构建新型交通运输体系的重要载体，已经上升到国家战略高度。发改委、工信部、交通运输部、科技部、公安部等部委加快出台一系列政策法规推动我国智能网联汽车产业发展，加强顶层设计和战略谋划。 本白皮书聚焦智能网联汽车信息安全问题，首先从安全产业的总体趋势、技术研究及政策法规等方面阐述智能网联汽车信息安全的发展现状；其次，对当前智能网联汽车信息安全总体态势进行分析；然后，从攻击场景入手，基于安全渗透指标进行渗透测试实践，进行重点问题分析；最后，提出智能网联汽车信息安全能力提升的相关建议。 中国软件评测中心（工业和信息化部软件与集成电路促进中心），是工业和信息化部的直属单位。长期服务和支撑国家部委、地方政府以及电信和互联网、汽车、教育、卫生、广电、交通、能源、银行、证券、保险、航空等各大行业，业务范围覆盖全国31个省、自治区、直辖市，业务网络覆盖全国500多个城市，构建了基于第三方服务的科技产业链。 智能网联汽车测评工程技术中心（赛迪汽车）是中国软件评测中心核心业务板块，依托于智能网联驾驶测试与评价工业和信息化部重点实验室及智能网联汽车软件检测中心，开展整车信息安全、V2X安全、车载终端信息安全、电动汽车通信协议及数据格式一致性及安全、源代码安全等测评服务，以及标准政策解 - 2 - 读、共性技术研究、产业发展规划等专业咨询服务。具备整车及零部件的功能、性能、可靠性、信息安全的综合测试与评价能力，致力于为政府部门、企业、科研院所等提供专业、安全、可靠的第三方咨询、测试、评估服务。 - 3 - 一、智能网联汽车安全产业概述 (一) 产业生态总体趋势 智能网联汽车市场规模预计将持续增长。在互联网多模式发展和工业智能化趋势的背景下，智能网联汽车作为创新发展的新方向，将汽车产业带入到多领域、大系统融合的高速发展时期，产业链各主体都在积极开展相关产业布局，汽车产业正在发生革命性变化。工业和信息化部部长肖亚庆在2020世界智能