在汽車日益網(wǎng)聯(lián)化、智能化的現(xiàn)在，汽車網(wǎng)絡(luò)安全正凸顯出越來(lái)越重的戰(zhàn)略地位。并且隨著汽車從傳統(tǒng)交通工具轉(zhuǎn)變?yōu)榭梢苿?dòng)的智能終端，監(jiān)管機(jī)構(gòu)和消費(fèi)者對(duì)汽車及服務(wù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱私數(shù)據(jù)泄漏的擔(dān)憂也是與日俱增。由此國(guó)內(nèi)外汽車網(wǎng)絡(luò)安全相關(guān)的標(biāo)準(zhǔn)與法規(guī)也就應(yīng)運(yùn)而生。

2020年6月，聯(lián)合國(guó)世界車輛法規(guī)協(xié)調(diào)論壇（WP.29)發(fā)布了關(guān)于智能網(wǎng)聯(lián)汽車的重要法規(guī)R155（Cybersecurity），并于2021年1月下旬開(kāi)始實(shí)施。根據(jù)歐盟要求，從2022年7月起所有新車型必須滿足該法規(guī)獲取了WVTA（Whole Vehicle Type Approval）證書(shū)，才能歐盟上市銷售。

2024年7月起制造的車輛必須滿足該法規(guī)要求方可出廠銷售。此法規(guī)適用范圍覆蓋了乘用車及商用車，適用于M類，N類車型，裝備了至少一個(gè)ECU的O類車型，以及具備L3及以上自動(dòng)駕駛功能的L6和L7類車型。

R155規(guī)定車輛在特定國(guó)家范圍內(nèi)獲得認(rèn)證并批準(zhǔn)上市銷售的前提條件即強(qiáng)制要求。其合規(guī)認(rèn)證主要分為兩部分，一是網(wǎng)絡(luò)安全管理體系認(rèn)證CSMS，二是車輛網(wǎng)絡(luò)安全型式認(rèn)證VTA。

CSMS認(rèn)證審查車輛制造商是否在車輛完整生命周期的各個(gè)階段均制訂了網(wǎng)絡(luò)安全管理流程，以確保汽車全生命周期中都有對(duì)應(yīng)的流程措施，保證信息安全設(shè)計(jì)、實(shí)施以及響應(yīng)均有流程體系指導(dǎo)。

R155法規(guī)中“7.2 網(wǎng)絡(luò)安全管理體系要求”具體闡述了OEM應(yīng)該滿足的CSMS認(rèn)證的內(nèi)容要求。7.2.2明確規(guī)定OEM需要提供證據(jù)證明在車輛整個(gè)生命周期中各個(gè)階段都制訂了網(wǎng)絡(luò)安全管理體系要求，同時(shí)充分考慮了安全性以及風(fēng)險(xiǎn)和減緩措施。CSMS要求OEM對(duì)網(wǎng)絡(luò)攻擊、威脅以及漏洞進(jìn)行持續(xù)監(jiān)測(cè)，并對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)威脅和漏洞要在合理時(shí)間范圍內(nèi)響應(yīng)并得到緩解。

此外還要求OEM證明對(duì)供應(yīng)商、服務(wù)提供商、子公司的管理均符合7.2.2要求，以保證車輛網(wǎng)絡(luò)安全開(kāi)發(fā)的一致性。

VTA認(rèn)證則是進(jìn)一步針對(duì)在車型開(kāi)發(fā)過(guò)程中具體工作進(jìn)行網(wǎng)絡(luò)安全審查，保證在進(jìn)行審查認(rèn)證時(shí)車輛的網(wǎng)絡(luò)安全技術(shù)已足夠完備。關(guān)于VTA認(rèn)證的要求內(nèi)容在R155法規(guī)中“7.3車輛型式需求”具體闡述。

首先第一條就是OEM須持有與認(rèn)證車型相關(guān)的CSMS證書(shū)。此外還提出了OEM在車型開(kāi)發(fā)過(guò)程中需進(jìn)行車型要素識(shí)別，做到詳盡的風(fēng)險(xiǎn)評(píng)估，管理并實(shí)施對(duì)應(yīng)緩解措施來(lái)應(yīng)對(duì)評(píng)估出的風(fēng)險(xiǎn)。同時(shí)在車輛認(rèn)證之前OEM應(yīng)對(duì)這些安全措施進(jìn)行驗(yàn)證來(lái)確保其有效性。

車輛必須同時(shí)滿足CSMS認(rèn)證及VTA認(rèn)證，才具備市場(chǎng)的準(zhǔn)入資格。

2021年8月31日，由SAE和ISO共同制訂的，汽車網(wǎng)絡(luò)安全領(lǐng)域首個(gè)國(guó)際標(biāo)準(zhǔn)ISO/SAE 21434"Road Vehicles-Cybersecurity engineering"正式發(fā)布。

作為道路車輛網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，ISO/SAE 21434要求覆蓋了車輛所有的生命周期，包括概念階段，開(kāi)發(fā)，生產(chǎn)，運(yùn)維，報(bào)廢等所有過(guò)程，為開(kāi)發(fā)人員提供了全面的方法來(lái)實(shí)施整個(gè)供應(yīng)鏈（開(kāi)發(fā)商，供應(yīng)商，制造商）的安全保障措施。所以總的來(lái)說(shuō)ISO/SAE 21434是標(biāo)準(zhǔn)，也是方法論，對(duì)R155法規(guī)的落地起到了支撐作用。

ISO/SAE 21434的整體介紹如下圖所示

ISO/SAE 21434由15章組成，主題部分為4~15章，包括組織及項(xiàng)目層級(jí)的網(wǎng)絡(luò)安全管理，客戶與供應(yīng)商之間的職責(zé)分配，對(duì)量產(chǎn)后網(wǎng)絡(luò)安全的持續(xù)監(jiān)測(cè)分析，第9~14章描述了從概念設(shè)計(jì)階段到產(chǎn)品開(kāi)發(fā)，驗(yàn)證，生產(chǎn)及運(yùn)維和報(bào)廢的全生命周期的網(wǎng)絡(luò)活動(dòng)和相關(guān)要求。在最后一章，標(biāo)準(zhǔn)提供了一套網(wǎng)絡(luò)安全威脅分析，風(fēng)險(xiǎn)評(píng)估的方法論(TARA)。

可以看出風(fēng)險(xiǎn)管理作為ISO/SAE 21434的核心思想，該標(biāo)準(zhǔn)在各階段均有相關(guān)風(fēng)險(xiǎn)應(yīng)對(duì)，如開(kāi)發(fā)階段通過(guò)TARA分析制訂策略來(lái)緩解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，在運(yùn)維階段，通過(guò)安全監(jiān)測(cè)，安全事件響應(yīng)，漏洞管理等持續(xù)活動(dòng)，來(lái)應(yīng)對(duì)出現(xiàn)的各種安全風(fēng)險(xiǎn)。

綜上可以了解到R155和ISO/SAE 21434之間的相同點(diǎn)與不同點(diǎn)。相同點(diǎn)就是二者都要求在車輛整個(gè)生命周期均實(shí)施網(wǎng)絡(luò)安全。

其次，二者對(duì)組織內(nèi)部建立網(wǎng)絡(luò)安全管理體系均提出相關(guān)要求。不同點(diǎn)是屬性方面，法規(guī)是具有地域限制的。R155適用于歐盟國(guó)家，ISO/SAE 21434則屬于行業(yè)內(nèi)標(biāo)準(zhǔn)，無(wú)地域限制及法律約束。

另一個(gè)不同點(diǎn)ISO/SAE 21434在具體操作層面上給出了更詳盡的指導(dǎo)，如標(biāo)準(zhǔn)中有專門(mén)對(duì)TARA分析以及參考模型的介紹等。

在中國(guó)，相關(guān)部門(mén)也在制訂針對(duì)車輛的網(wǎng)絡(luò)安全體系和車輛產(chǎn)品型式市場(chǎng)準(zhǔn)入的強(qiáng)制規(guī)范與標(biāo)準(zhǔn)。比如工信部組織編制了《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》，《關(guān)于加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》，提出了對(duì)網(wǎng)絡(luò)安全保護(hù)要求，明確企業(yè)在網(wǎng)絡(luò)安全防護(hù)中的義務(wù)和責(zé)任。類似于R155認(rèn)證的強(qiáng)制規(guī)范《汽車整車信息安全技術(shù)要求》目前也正在起草中。

目前極氪也有車型出口計(jì)劃，所以極氪已經(jīng)建立了相對(duì)完善的網(wǎng)絡(luò)安全開(kāi)發(fā)管理體系，CSMS認(rèn)證相關(guān)工作也有條不紊的開(kāi)展中。同時(shí)積極參與國(guó)內(nèi)強(qiáng)標(biāo)的制定及VTA認(rèn)證方法的探討，助力國(guó)內(nèi)網(wǎng)絡(luò)安全工作落地。

華菱咨詢介紹

華菱咨詢＆培訓(xùn)講師團(tuán)隊(duì)均具有大型跨國(guó)企業(yè)多年工作經(jīng)驗(yàn)，以及數(shù)百家企業(yè)服務(wù)經(jīng)驗(yàn)，能將客戶的需求轉(zhuǎn)變?yōu)榍袑?shí)可行的解決方案，并能夠?qū)?guó)際一流企業(yè)的最佳實(shí)踐傳遞給客戶。 根據(jù)客戶的實(shí)際情況，指出企業(yè)的不足以及要解決的問(wèn)題，以幫助企業(yè)持續(xù)改進(jìn)。 ?

快速優(yōu)質(zhì)的服務(wù)為每位客戶配備專業(yè)的技術(shù)支持人員，以解決客戶提出的疑惑，并通過(guò)培訓(xùn)確保服務(wù)標(biāo)準(zhǔn)的一致性。可提供多種形式的培訓(xùn)公開(kāi)課、定制化內(nèi)訓(xùn)、在線學(xué)習(xí)、項(xiàng)目解決方案。 跨越時(shí)間和空間的限制，滿足不同需求。

版權(quán)聲明：

1.本公眾號(hào)所發(fā)布內(nèi)容，凡未注明“原創(chuàng)”等字樣的均來(lái)源于網(wǎng)絡(luò)善意轉(zhuǎn)載，版權(quán)歸原作者所有！

2.除本平臺(tái)獨(dú)家和原創(chuàng)，其他內(nèi)容非本平臺(tái)立場(chǎng)，不構(gòu)成投資建議。

3.如千辛萬(wàn)苦未找到原作者或原始出處，請(qǐng)理解并聯(lián)系我們。

4.文中部分圖片源于網(wǎng)絡(luò)。

5.本公眾號(hào)發(fā)布此文出于傳播消息之目的，如有侵權(quán)，聯(lián)系刪除。

華菱咨詢深圳官網(wǎng)：http://www.hlemc-sz.com/

華菱咨詢蘇州官網(wǎng)：http://www.hlemc.com/

若還有其他問(wèn)題，可直接在平臺(tái)私信聯(lián)系我們，我們會(huì)第一時(shí)間與您取得聯(lián)系,感謝支持。