全球联网汽车处在高速发展阶段,随着汽车的智能化、网联化的快速演进,汽车所面临的网络安全风险也日益突出。近年来,通过各类接口(比如远程信息处理、蜂窝、蓝牙等)从本地甚至远程入侵车辆的网络安全事件屡有发生。汽车网络安全、个人隐私与数据安全,不仅会直接影响到驾驶安全、财产、OEM声誉等方面,甚至会影响整个社会的安全。
为应对汽车行业所面临的网络安全风险,世界各国和地区的监管机构纷纷出台了一系列法规和配套标准,如联合国欧洲经济委员会(UNECE)的世界车辆法规协调论坛(UN WP.29)发布的UN R155是全球首个关于汽车信息安全的强制法规。
我国的汽车网络安全强制性国家标准《汽车整车信息安全技术要求》(以下简称强标)也即将迎来正式发布。强标的制定过程和内容参考了R155法规,但在内容格式、执行方式等方面有较大差异。
强标的发布既对智能网联汽车产品的信息安全能力提出了强制性要求,同时也为车企开展网络安全建设提供了有效的指导。
云驰未来将在未来的一段时期内,依据强标的公开征求意见稿对强标开展一系列的解读,帮助智能网联汽车生产企业和供应商全面细致地了解强标内容。
标准发布与实施时间
强标的实施步骤参考WP.29 R155进行,实施步骤大致如下:
公开征求意见稿发布:2023年5月
标准完成终审:预计2023年底
标准正式发布:预计2024年上半年
标准正式实施:对于新申请型式批准(VTA)的车型:自强标实施之日起开始执行。
对于已获得型式批准的车型:自强标实施之日起第 25 个月开始执行。
根据意见稿来看,强标自发布日期至实施日期之间给予12个月过渡期。
强标认证内容
强标的合规认证也会参考R155,其合规认证主要分为两部分,一是网络安全管理体系认证(CSMS,Cyber Security Management System);二是车辆网络安全型式认证(VTA,Vehicle Type Approval)。
CSMS认证:主要是对企业网络安全管理策略、流程、规范等方面开展审核和认证,确保汽车生产企业有合适的流程能保障汽车网络安全活动的开展。
VTA认证:依据强标的内容对车辆开展技术性测试,确保车辆能够在各个技术方面均满足强标中的要求。
强标技术框架
根据最新的强标征求意见稿版本,整个的技术要求框架如下图所示:
关键技术要求相关章节的内容归纳如下:
第五章 信息安全管理体系要求 (CSMS)
本章节的内容是对企业级网络安全管理体系的要求,具体包括:
·全生命周期信息安全管理体系要求
·风险处置流程要求
·安全漏洞管理要求
·安全事件管理要求
·供应商安全管理要求
第六章 车辆信息安全一般要求
本章节的内容是对车辆级网络安全管理体系的要求,具体包括:
·车辆级网络安全管理体系要求
·车辆风险管理要求
·车辆网络安全测试管理要求
·车辆漏洞管理要求
·车辆网络安全事件管理要求
·密码安全要求
·车内数据处理安全要求,部分内容引用了《GB/T 智能网联汽车 数据通用要求》
第七章 车辆外部连接安全要求
·一般安全要求
·远程控制相关安全要求
·三方应用安全要求
·外部接口安全要求
第八章 车辆通信安全要求
·车云通信安全要求
·V2X通信安全要求
·无线通信安全要求
·通信内容安全要求
·通信组件安全要求
·网络安全攻击检测与防御
·网络安全日志要求
第九章 车辆软件升级安全要求
·一般安全要求
·在线升级安全要求
·离线升级安全要求
第十章 车辆数据代码安全要求
·密钥数据保护要求
·敏感个人信息保护要求
·车辆识别信息保护要求
·车辆关键数据保护要求
·安全日志保护安全要求
·个人信息删除安全要求
·数据跨境安全要求
附录A 车辆信息安全要求测试验证方法
附录A是针对第七章至第十章要求的安全试验及测试方法。
在未来的一段时间内,云驰未来智能网联汽车合规课堂将持续更新,对强标展开全面细致的解读,请关注云驰未来公众号,了解更多内容。
INCHTEK·云驰未来
云驰未来专注于智能汽车信息安全产品与技术研发,是国内领先的智能汽车信息安全供应商,可为自动驾驶和智能网联汽车厂商提供软硬结合、车云一体的信息安全产品和全生命周期信息安全解决方案。
公司已服务全国约60%的L4无人驾驶车辆;落地RoboTaxi、RoboBus、RobTrunk、无人驾驶物流车、矿卡、环卫车、观光车等12种车型、23个省,42个城市、20种应用场景;是百度Apollo、京东物流、图森未来、阿里达摩院、三一智矿、文远知行、轻舟智航、希迪智驾、驭势科技等16家头部自动驾驶企业的信息安全合作伙伴;是宝马、东风、赛力斯、金龙等OEM主机厂信息安全合规咨询服务和技术解决方案供应商。