智能网联汽车信息安全发展报告（2021） 系列十：信息安全第三方检测机构发展动态

一、国外检测机构

1. TÜV南德

德国TÜV南德一家独立的第三方技术服务机构，在汽车工业安全领域有逾百年的经验。随着数字化技术在汽车行业的深度发展，TÜV南德专注于汽车信息安全领域，提供测试与认证、技术支持与顾问、知识服务等一站式解决方案。作为一家在车联网和自动驾驶车辆安全领域领先的国际化技术服务机构，TÜV南德正深度参与国际标准化组织有关汽车信息安全的标准制定工作，如ISO/SAE 21434、 ISO PAS 5112 和 ISO 24089。此外，TÜV南德还加入UNECE WP.29 GRVA工作组，参与制定有关信息安全和软件更新的国际法规。

2. TÜV莱茵

德国莱茵TÜV提供测试&评估、认证、审核、培训、咨询等方面服务，目前其在信息安全领域聚焦网络风险管理、智能设备和物联网的隐私和安全、功能安全及信息安全认证等方面；聚焦在物联网时代下，企业如何应对信息安全风险，建立规范安全的信息管理体系，实现有效的风险管控，并提供信息安全培训、ISO 27001、TISAX、GDPR等方向的技术服务。

3.通标标准技术服务有限公司SGS

通标标准技术服务有限公司（简称：SGS）是瑞士SGS集团和隶属于国家市场监督管理总局系统的中国标准科技集团共同于1991年成立，SGS是国际公认的检验、鉴定、测试和认证机构，并在信息安全方面提供云服务认证、EuroPrivacy数据保护认证、ISO/IEC 27001:2013培训与认证等多维度服务。

4.德凯集团

德凯集团作为多家国际组织的专家小组成员，积极参与国际标准化委员会标准制定工作，致力于保障信息安全，为客户提供定制化的安全评估解决方案，德凯集团有针对性地发展汽车电子电气、无线、通信和信息安全等方面的检测认证，并将其与传统机动车技术检测认证相融合。

二、国内检测机构

1.中汽院汽车技术有限公司

中汽院汽车技术有限公司（简称“北京分院”）是中国汽车工程研究院股份有限公司（简称“中国汽研”）的全资子公司。中国汽研是中国通用技术（集团）控股的国有上市公司(股票代码：601965)，是经国家科委批准成立的国家一类科研院所，是权威的第三方汽车研发与检测机构。北京分院拥有独特的区位优势、信息资源以及良好的政府、行业等关系，是中国汽研实施“华北战略”，加大前瞻技术研发落实“技术通用”理念的重要载体，也是中国汽研探索检测认证一体化，实践“创新通用”转型升级高质量发展的重要示范。

在汽车“新四化”发展趋势下，车联网信息安全成为中国汽研和北京分院发展战略方向，已开展重要布局如下：

2019年，北京分院与国家互联网应急中心联合组建“车联网安全联合实验室”，共同推进车联网关键技术和装备研发及产业化、车联网信息安全综合服务平台建设、车联网政府支撑和行业服务、标准规范、人才培养等多项合作。

2019-2020年，中国汽研作为牵头单位，先后承担了《车联网安全综合服务平台》、《智能网联汽车安全检测平台》、《车联网身份标识与密钥管理服务平台》、《智能网联汽车车载安全网关》等四项工信部汽车信息安全领域国家课题，总投资4.7亿元。北京分院作为课题执行团队，联合CNCERT、中国标准化研究院、中国工业互联网研究院、启明星辰、娜迦科技、长安、广汽、长城、江淮、合众、宇通、安恒、绿盟科技、北理工、北邮等近30余家单位，共同构建汽车数据安全体系、安全监测规范体系、安全技术服务能力、安全检测与防护工具的开发与应用。

2020年，北京分院成为工信部网络安全技术应用试点示范单位。

2021年，北京分院自研的智能网联汽车安全检测平台在西湖论剑·网络安全大会对外发布，行业首创性地打通了出厂前安全合规检测与售后动态安全防御。

2021年，北京分院参与起草《基于远程升级技术的汽车产品**实施要求》，为行业主管部门提供技术支撑。

在标准研究与制定方面，北京分院是汽标委分会“道路车辆功能安全标准研究制定工作组”委员单位、ISO TC204 WG1 国际标准工作组 专家成员单位、SAC/TC463 专家成员单位，正在牵头和参与《CAN网络信息安全技术要求》、《车联网数字身份认证技术要求》、《汽车电子产品加密算法规范》、《车载终端网络安全技术要求》以及《汽车固件升级信息安全防护要求》、《基于LTE的车联网无线通信技术 安全证书管理系统技术要求》等相关标准制定。

在行业活动方面，北京分院先后组织了2019车联网安全技术研讨会、2020 第三届汽车安全与召回技术论坛、2021 车联网信息安全专项技术研讨交流会等行业会议。此外，北京分院整合跨行业资源，面向行业统筹编制《智能网联汽车信息安全蓝皮书（2021）》，为行业管理提供有效可信的决策性参考，为行业主体提供指导性发展建议和风险规避性提示，为社会公众提供客观公正的行业画像和信息安全教育和舆论引导。

北京分院已拥有较强的汽车信息安全技术研发能力、一流的试验设备和较高的行业知名度，与北航、北理、北邮、重邮、华东师范大学等国内一流的科研院所、高等院校保持了良好的技术合作，先后与安恒、启明星辰、奇安信等单位签订战略合作协议。北京分院现已形成车联网信息安全咨询、车联网信息安全测评规程、车联网信息安全检测平台、车联网信息安全防护产品四大解决方案，已开展多款车型信息安全测试项目和面向Tier1智能汽车网络安全与隐私保护咨询服务。

2.中国软件评测中心

中国软件评测中心（工业和信息化部软件与集成电路促进中心），简称“中国评测”，是工业和信息化部一类科研事业单位，创立于1990年。成立30年来，中国评测先后承担了10万余款软硬件产品和1万余项信息系统工程的测试任务，已成为国内权威的第三方软、硬件产品及信息系统工程质量安全与可靠性检测机构。打造信息系统一体化工程服务、软件与信息安全全向度测试、链条化信创产业服务、智能制造综合服务、面向数据的咨询评估评测、新兴领域体系化服务等六大类专业能力和业务领域，构建基于第三方服务的科技产业链。

中国评测承担多个国家科研项目的研究以及国家产业技术服务平台和重点实验室的建设工作，开发了具有自主知识产权的30余种专业测试工具，拥有近百项专利和软件著作权，主持或参与了数十项信息技术领域国家标准和行业标准的制定。获得20余项国家级管理体系认证及资质证书，其中包括：国家认监委检验检测机构资质认定（CMA）、中国合格评定国家认可委（CNAS）实验室认可、GB/T 19001 质量管理体系认证、ISO/IEC 27001 信息安全管理体系认证、信息安全服务资质认证、国家信息安全等级保护测评机构、中国通信企业协会通信网络安全服务能力评定、国家信息安全测评信息安全服务资质（一级）等。目前，中国测评在智能网联汽车信息安全测评领域具备以下测评能力：

1）车载终端信息安全测评

以T-Box、IVI、OBU等车载终端为测评对象，测评内容包括硬件安全、通信协议与接口安全、操作系统安全、应用软件安全、数据安全等，使用Fortify、Wireshark、USRP、IDA Pro、Burp Suite、CANoe、CANpro、CANalyst、Nmap等测评工具，采用正向验证和渗透测试相结合的测试方法。已经具有基于deCORE STAR 的XX车机系统第三方技术鉴定测评、智能网联汽车车载终端（T-BOX）信息安全原型样机系统测评、自动泊车模块信息安全测评、智能座舱信息安全测评等成功案例。

2）整车信息安全测评

以《ISO SAE DIS 21434:2020 道路车辆 信息安全工程》和《20191065-T-339 汽车信息安全通用技术要求》两个技术标准为测试依据，对车内系统安全、车内网络安全和车外网络安全进行整车及系统性信息安全测评。

3）V2X安全测评

以云平台（PKI/CA、MEC）、终端设备（OBU、RSU）以及整车（紧急车辆、普通车辆）为测评对象，使用V2X通信安全监测平台，对通信安全标准符合性、协议鲁棒性等进行测评。

4）电动汽车通信协议及数据格式一致性及安全测评

以GB/T 32960.3《电动汽车远程服务与管理系统技术规范 第3部分：通讯协议及数据格式》为测评依据，通过电动汽车通信协议解析平台，分别对车载终端和车企客户端平台在行驶阶段和充电阶段信息传输的通信协议及数据格式一致性及安全性进行测评。

5）源代码测评

依据ISO26262等标准，对计算平台、ECU等提供注入攻击、身份认证有效性、安全配置错误、敏感数据保护等测评服务。采用Micro Focus Fortify、SYNOPSYS Coverity等主流扫描工具，支持C/C++、Python、C#、Go、Java等多种语言框架。

3.中国信息通信研究院

中国信息通信研究院（以下简称“中国信通院”）始建于1957年，是工业和信息化部直属科研事业单位，是工业和信息化部开展通信网络安全防护检查、互联网新技术新业务信息安全评估的重点支撑单位，具有国家信息安全认证的信息安全服务资质（安全工程类一级）、涉及国家秘密的计算机信息系统集成资质，是中国通信企业协会通信网络安全专业委员会的主任单位，建有通信网络安全防护评测实验室、信息安全实验室、电信网和互联网重要通信实验室，具有丰富的安全评估及评测经验，可提供安全定级、安全评测、风险评估、安全加固等网络信息安全服务，具体包括：

1）通信网网络单元定级备案，网络安全防护评测和风险评估检查；

2）安全风险评测评估服务，安全防护评测及验收；

3）国家信息安全监管配套支撑评测评估和实验验证服务，包括新技术新业务信息安全评估、IDC信息安全能力评测、信息安全专用设备测试等；

4）围绕软件和业务应用，提供功能、性能、安全性、可靠性等测评服务；

5）检测标准制定，重要通信领域专用设备的进网检测、委托检测、设备调试、设备选型、实验评估、试运行技术标准制定等。

此外，中国信通院打造集操作系统安全检测、应用软件安全检测、信息内容安全检测为一体的远程用户定制多引擎安全测试平台“泰尔安测云”，依托扩展灵活的云架构设计，面向智能终端提供信息安全检测服务，致力于帮助终端制造厂商提升移动智能终端信息安全等级，从而促进移动互联网用户的信息安全得到有效保障。

4.中汽研软件测评（天津）有限公司

软件测评中心隶属于中国汽车技术研究中心有限公司检测认证事业部，中国汽车技术研究中心有限公司是1985年根据国家对于汽车行业管理的需要，经国家批准成立的科研院所，现隶属于国务院国有资产监督管理委员会。中国汽车技术研究中心有限公司检测认证事业部业务全面覆盖检测认证两大业务板块，提供产品检测、产品及体系认证、产品研发、委托测试、场地服务、品牌推广等一站式综合技术服务。具备国家认监委检验检测机构资质认定（CMA）、中国合格评定国家认可委（CNAS）实验室认可资质。

软件测评中心目前软件测评中心组建了1000多平米专业的汽车软件及信息安全测试实验室，拥有600余款的软件及信息安全专用检测工具，累计完成70余款不同车型的软件及信息安全测试。深入开展汽车信息安全测试技术研究，具有较为完备的测试体系和测试能力，面向汽车行业开展信息安全测试服务。信息安全测试涵盖云、管、端三个维度，依托大量的实车测试经验，构建专业的汽车信息安全测试体系，涵盖APP、无线电、云平台、OTA、T-Box、IVI、CAN总线、网关、ECU、I-KEY等11个测试大类、465个测试项，共计4800条测试用例，支撑各类零部件级信息安全测试、整车级信息安全测试、信息安全标准符合性测试、信息安全认证测试、汽车商用密码应用测试等。能够提供从零部件到整车、从设计研发到产品验收的全流程信息安全测试。参考国内外汽车信息安全最佳实践，在信息安全测试全周期采用标准化管理，形成风险评估-需求分析-方案制定-测试执行-测试总结-回归测试的标准化测试流程，在评估汽车产品信息安全水平的同时，提供相应的修复和防护建议。

软件测评中心在大量测试数据基础上，从信息安全设计、智能化水平、整车信息安全应急响应能力等方面制定汽车产品信息安全测试评价体系，与同属中汽中心检测认证事业部的华诚认证中心，联合推出《汽车信息安全自愿性认证实施规则》，为汽车行业提供整车信息安全自愿性认证服务。

欢迎相关企业和专家交流咨询！

联系人：朱云尧（[email protected]）