GB 44495和GB 44496是两项即将生效的强制性国家标准,它们将对在中国生产、销售的所有智能网联汽车产生深远影响。
标准号 标准名称 性质 实施日期 核心目标
GB 44495-2024 《汽车整车信息安全技术要求》 强制性国家标准 2026年1月1日 确保汽车整车及其关键部件的网络安全,抵御外部攻击
GB 44496-2024 《汽车软件升级通用技术要求》 强制性国家标准 2026年1月1日 规范汽车的远程软件升级(OTA)过程,确保升级安全、可靠
一、GB 44495-2024 《汽车整车信息安全技术要求》:
这项标准是中国首个针对汽车整车的强制性信息安全标准,其地位类似于中国的“UN R155法规”。
核心要求:
1.管理体系要求:
汽车制造商必须建立汽车网络安全管理制度(CSMS),这与UN R155的要求高度一致。它要求企业有系统化的流程来管理产品全生命周期的网络安全风险。
2.车辆技术要求:
*外部连接安全:保障蜂窝网络、Wi-Fi、蓝牙等外部接口的安全。
*内部通信安全:确保车内网络(如CAN、以太网)通信的机密性和完整性,防止被**或篡改。
*系统安全:要求系统的安全启动、安全通信、安全存储等。
*数据安全:对车辆处理、存储和传输的个人信息和重要数据提供保护,符合《数据安全法》和《个人信息保**》。
*漏洞管理:要求建立漏洞的发现、修复和披露流程。
*应急响应:要求建立事件应急响应机制,在发生网络安全事件时能够及时处置和报告。
适用范围:
*适用于M类、N类及至少装有一个电子控制单元的O类车辆(即乘用车、货车、挂车等)。
*新申请型式批准的车型自2026年1月1日起执行。
*已获得型式批准的车型自2027年7月1日起执行。
二、GB 44496-2024 《汽车软件升级通用技术要求》
这项标准强制规定了如何进行安全的汽车软件升级(包括OTA),其地位类似于中国的“UN R156法规”。
核心要求:
1.管理体系要求:汽车制造商必须建立软件升级管理体系(SUMS),确保升级活动有章可循,流程规范。
2.升级过程要求:
*升级前:需对升级包进行全面的测试和验证,评估升级可能带来的风险,并告知用户升级内容、所需时间和注意事项。
*升级中:确保升级过程可靠,如果升级中断(如断电),车辆应能回退到原始版本而不变砖。
*升级后:需确认升级成功,并记录升级状态和版本信息。
*安全要求:全程保障升级包的数字**、加密传输和验证,防止被恶意篡改。
3.升级备案要求:根据工信部此前的要求,企业实施OTA升级活动需要向工信部备案。此标准为备案提供了技术依据。
适用范围:与GB 44495的适用范围保持一致。
重要性及影响:
1.市场准入的必要条件:自2026年1月1日起,不符合这两项标准的新车将无法获得中国市场的型式认证(即“公告”),无法上市销售。这是绝对的强制性门槛。
2.与国际接轨,兼具中国特色:这两项标准充分吸收了国际先进经验(如WP.29 R155/R156),同时又紧密结合了中国的法律法规(如数据安全、个人信息保护),形成了具有中国特色的汽车网络安全强制体系。
3.推动全行业升级:标准不仅约束整车厂(OEM),也对整个供应链(Tier1, Tier2供应商)提出了明确要求。所有相关企业都必须提升自身的产品安全开发流程(Security-by-Design)和管理水平。
4.保护消费者权益和公共安全:从国家层面强制保障智能网联汽车的安全底线,有效降低车辆被网络攻击、用户数据被泄露的风险,保障人身安全和公共安全。
给企业的建议:
对于汽车制造商和供应链企业而言,现在就必须立即行动:
1.深入解读标准:组织团队仔细研究两项标准的详细条款和要求。
2.建立和完善体系:
*按照GB 44495要求,建立或完善网络安全管理制度(CSMS),并考虑获取认证。
*按照GB 44496要求,建立规范的软件升级管理体系(SUMS)。
3.技术整改与产品规划:
*对在研和新规划的产品,从架构设计阶段就融入标准要求(Security-by-Design)。
*对现有已上市车型进行评估,制定技术整改方案以应对2027年7月的截止日期。
4.寻求专业支持:与专业的检测认证机构合作,进行差距分析、测试验证和申请认证,确保顺利通过型式批准。
GB 44495和GB 44496的实施标志着中国汽车行业进入了 “强监管”时代。信息安全和不安全的软件升级不再只是“功能问题”,而是关乎产品能否合法上路的 “合规问题”。所有市场参与者都必须高度重视,提前布局。建议你向咨询(蓝亚技术13632500972)可以获得更准确的方案和报价。
