点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
随着汽车越来越智能,与之俱来的汽车网络风险也在不断增加,为此,世界各国和地区的监管机构纷纷出台了一系列法规和配套标准。
其中,由联合国欧洲经济委员会(UNECE)的世界车辆法规协调论坛(UN WP.29)发布的UN R155是全球首个关于汽车信息安全的强制法规,并于2021年1月22日生效,同时生效的,还有软件升级相关的强制法规R156。
R155法规有两个关键的时间节点:2022年7月1日起,从现有电子架构推出的新车系(即车辆类型)必须获得网络安全系统型式认证;2024年7月1日起,尚未停产的车型也必须获得网络安全系统的型式认证,才可以在欧盟、英国、日本和韩国市场销售。
这意味着,中国车企生产的汽车要想销售到这些地区,就必须通过R155认证。自从法规生效,国内不少自主品牌及造车新势力就开始行动起来,以确保拿到通往海外市场的通行证。
10家国内车企通过R155认证
截至6月16日,基于每家车企官方公布的信息,共有10家企业陆续通过了R155 CSMS认证,包括蔚来、长城、小鹏、吉利等。其中最早的要数蔚来,它是全球首批、亚洲首个获得此项认证的企业,这份从容或许源于它在2021年起就在R155法规覆盖国家展开业务;而今年4月通过认证的宇通客车,则是中国商用车行业首个获得此项认证的企业。
制表:谈思汽车
值得一提的是,在这些企业中,小鹏、吉利和奇瑞均已通过R155和R156双认证,这标志着这三家车企已成功建立起符合国际标准的网络安全与软件升级管理的“防护墙”,而上汽乘用车的R156法规认证项目也于去年10月份启动。
车企网络安全标配“防火墙”
R155的合规认证主要包含两部分:一是网络安全管理体系CSMS(cyber security management system),二是车辆网络安全型式认证VTA(vehicle type approval)
CSMS认证主要审查汽车制造商是否在车辆全生命周期内的各个阶段均制定了网络安全管理流程,以保证网络安全设计、实施及响应均有流程体系指导。
VTA认证则是针对信息安全开发中具体的工作项进行审查,旨在保证实施于车辆的信息安全防护技术在进行审查认证时足够完备。
在R155法规中,章节“7.2网络安全管理体系要求”详细阐述了CSMS认证应满足的具体内容;而关于VTA认证的要求内容则在“7.7车辆型式需求”中做了细致说明,首先第一条就是车企须持有与认证车型相关的CSMS证书。
需要注意的是,虽然这两项法规的认证主体是汽车制造商,但合规的压力是施加于整个汽车供应链的。如R155中的7.2.2章节中,就要求主机厂证明对供应商、服务提供商、子公司的管理均符合“7.2.2.2”的要求,并对他们携带的风险采取相应的措施。
可见,从一级供应商到所有次级零部件供应商等所有汽车供应链的参与者都需要了解潜在的风险,并提出解决方案。
中国版R155下半年报批
5月5日,GB《汽车整车信息安全技术要求》(简称“《要求》”)在工信部官网公开征求意见,截止日期为2023年7月5日,文件定位为强制性国家标准。
本质上,《汽车整车信息安全技术要求》可以说是UN R155的汉化版,其制定过程参考了R155法规,但在认证形式、风险识别和对应、测试方法等方面,还是有明显差异的。
制表:谈思汽车
据悉,《要求》最快将于今年下半年报批,它的推出将填补当前汽车信息安全要求领域的空白,并合理规避车辆信息安全与数据安全隐患,避免漏洞破解与群体性非法控车,保障车辆用户的人身及隐私安全。
车辆信息安全是全新且长远的工作,无论是政府层面强制性的法规标准,还是车企自发搭建的网络安全管理体系,对于车联网安全领域而言,都还只是起点,随着网络技术的不断迭代,汽车网络安全将面临更大的挑战。
文章参考:
1、中国汽车基础软件信息安全研究报告1.0
2、关于信息安全GB与UN R155的几个关注点
3、车企官微官博
文章版权归谈思汽车所有,内容建议、投稿、转载或商务合作,请联系17316577586。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...