汽车网联安全 R155：环球首个汽车网络安全逼迫性法规 ...

美丽的神话 · 2024-7-25 23:05:01

门路车辆领域是管控最严酷的垂直领域之一。思量到行驶在我們街道上的车辆数目不断增长，以及与车辆滥用相關的风险（尤其是财务和生命损失），严酷监管的存在非常容易明白。与此同时，监管环境在天下各地并不统一。
固然天下各地的监管环境有所差别，但很多国家都签订了国际公约，例如联合国欧洲经济委员会（UNECE）天下车辆法规和谐论坛（WP.29）订定的法规。这些法规有助于确保在环球范围内对门路车辆实行最低程度的监管。
联合国欧洲经济委员会 (UNECE) 是一个负责促进欧洲经济相助和发展的主要联合国机构。它建立于 1947 年，目前有 56 个成员国，包罗欧洲大部分地区、俄罗斯、日本、韩国、澳大利亚、美国和加拿大。
UNECE 在多个领域开展工作，包罗商业、投资、环境、能源和交通。在交通领域，UNECE 负责订定和实行环球承认和应用的门路车辆法规。
车辆法规和谐论坛 (WP29) 是 UNECE 部属的一个工作组，负责开辟、发布和维护车辆法规。WP29 由 56 个 UNECE 成员国组成，包罗欧洲大部分地区、俄罗斯、日本、韩国、澳大利亚、美国和加拿大。
WP29 订定的车辆法规涉及门路车辆的安全、环境、燃油经济性、噪音和其他方面。这些法规直接得到 UNECE 1958 年协议成员国的承认和应用。
1958 年协议是 UNECE 订定的关于门路车辆认证的国际公约。该协议目前有 62 个成员国，涵盖欧洲大部分地区、俄罗斯、日本、韩国、澳大利亚、英国、非洲部分地区和美洲部分地区。
根据 1958 年协议，汽车制造商将新车投放协议成员国市场时，只需证明符合此中一个成员国的法规。车辆类型认证通常由协议成员国之一的国家车辆认证机构通过审核情势举行。
车辆类型认证是指汽车制造商向国家车辆认证机构证明其车辆符合相关法规的要求。车辆类型认证通过后，制造商将获得类型认证证书。
UNECE 和 WP29 通过订定和实行统一的车辆法规，简化了汽车制造商进入环球市场的流程，并提高了门路车辆的安全性和环保性能。
已往，门路车辆仅仅是为了安全地将人员或货品从一个地方运送到另一个地方而设计。然而，近年来，物联网 (IoT) 的兴起稍微改变了人们对汽车生态体系的见解。诸如 GPS、Wi-Fi、蓝牙、V2V、无钥匙进入、ADAS等智能网联和自动驾驶技术被大量引入车辆，旨在提升驾驶体验和驾驶安全。从这个角度来看，现代车辆已经成为我们界说的物联网中的终端。此外，它们现在不仅连接到用户的移动设备，而且还通过智能应用程序直接连接到广阔的云体系，间接地相互连接，实现车辆与万物的互联。
从风险分析的角度来看，这一方面既令人惊叹，也令人担心。主要原因是针对此类车辆的网络攻击相关的发展速度很快。由于OEM 的关注点主要在于安全性和性能方面（符合现行法规），因此近年来可用智能网联功能引入的安全漏洞导致了一系列公开的攻击，包罗臭名昭著的 Jeep 切诺基攻击。此类攻击极大地提高了汽车制造商、用户以及联合国欧洲经济委员会 (UNECE) 认识到订定适当网络安全监管要求的必要性。这种需求促成了订定新法规的努力，该法规专门针对这一主题。
在起草过程中，思量了多个汽车制造商、国家认证机构和专门测试设施的反馈和意见。颠末几轮创建中间文件和验证试点项目后，新法规《关于车辆网络安全和网络安全管理体系的统一规定》（UN Regulation No. 155）于 2020 年 6 月尾正式颁布。该规定于2024年1月31日起施行，是环球首个汽车网络安全逼迫性法规。
根据这项新法规，车辆制造商在将车辆投放公共门路之前，需要展示车辆已经嵌入足够控制措施来保护网络安全方面。因此，可以说网络安全合规的竞赛已经开始，最终的赢家将是整个汽车生态体系。
1. R155的适用范围

R155适用于以下车辆：

M类和N类车辆（四轮或四轮以上的车辆）；
O类车辆（配备至少一个电子控制单元的车辆）；
L6和L7类车辆（配备L3级以上自动驾驶功能的车辆）。

2. R155的要求

R155对车辆网络安全提出了以下要求：

车辆应具有识别和阻止网络攻击的能力。
车辆应具有防止未经授权访问的能力。
车辆应具有保护数据完备性和机密性的能力。
车辆应具有安全地举行软件更新的能力。

为了满足上述要求，车辆制造商应采取以下措施：

创建并实行网络安全管理体系。
对车辆举行网络安全测试。
采取措施低就逮络安全风险。

3. R155的意义

R155的订定和实行，对于保障汽车网络安全具有紧张意义。该规定为车辆制造商提供了明确的网络安全要求，并为环球汽车市场提供了统一的网络安全标准。R155的实行将有助于提高汽车网络安全程度，保护车辆和人员的安全。
R155的实行面临的寻衅
R155的实行面临以下寻衅：

汽车网络安全技术复杂，需要车辆制造商和零部件供应商举行大量的研发投入。
汽车网络安全标准更新频率快，需要车辆制造商实时举行更新升级。
汽车网络安全人才短缺，需要车辆制造商加强网络安全人才造就。

4.R155的将来发展

随着汽车智能化、网联化程度的不断提升，汽车网络安全风险将进一步加大。R155的实行只是一个开始，将来还需要进一步完善和强化汽车网络安全标准，提高汽车网络安全程度。
5. R155的具体应用

R155的具体应用主要包罗以下几个方面：

网络安全管理体系：车辆制造商应创建并实行网络安全管理体系，以确保车辆网络安全。网络安全管理体系应包罗以下内容：
- 风险管理流程：识别和评估车辆网络安全风险。
- 安全设计和开辟流程：在车辆设计和开辟过程中，思量网络安全因素。
- 安全测试和验证流程：对车辆举行网络安全测试和验证。
- 安全漏洞管理流程：实时发现和修复车辆的安全漏洞。
- 软件更新管理流程：安全地举行车辆软件更新。
车辆网络安全测试：车辆制造商应按照R155的要求，对车辆举行网络安全测试，以证明车辆符合网络安全要求。车辆网络安全测试应包罗以下内容：
- 识别和检测网络攻击的能力。
- 防止未经授权访问的能力。
- 保护数据完备性和机密性的能力。
- 安全地举行软件更新的能力。
网络安全风险低落措施：车辆制造商应采取措施低落车辆的网络安全风险，包罗：
- 利用安全的软件和硬件。
- 采取安全的网络通讯措施。
- 加强车辆安全漏洞的管理。
- 提供安全的软件更新服务。

R155的实行，将有助于提高汽车网络安全程度，保护车辆和人员的安全。
6. R155 和 ISO/SAE 21434 的关系

R155 和 ISO/SAE 21434 的关系：互补而非辩论

标准 vs. 法规：ISO/SAE 21434 是行业标准，提供最佳实践和框架，但非逼迫。UNECE R155 是逼迫性法规，要求车辆制造商遵守网络安全和 CSMS 要求，否则将无法获得市场准入。
互补性：R155 并未提供详细的技术指南，而是引用了 ISO/SAE 21434 作为参考标准。遵循 ISO/SAE 21434 可以资助制造商满足 R155 的要求。
雷同关系：您可以将 R155 和 ISO/SAE 21434 的关系与信息安全领域的 ISO 27000 系列和 GDPR/DSGVO 法规举行比较。

R155 设定了最低网络安全要求，涵盖车辆生命周期各个阶段，例如设计、开辟、生产、运营和报废。ISO/SAE 21434 提供了更详细的指导，资助制造商实行 R155 要求，包罗风险管理、安全工程、测试和评估等方面。遵循 ISO/SAE 21434 不仅可以满足 R155 的要求，还可以资助制造商构建更 robust 的网络安全体系，低落车辆网络攻击风险。