為應對汽車行業所面臨的網絡安全風險,世界各國和地區的監管機構紛紛出臺了一系列法規和配套標準,如聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(UN WP.29)發布的UN R155是全球首個關于汽車信息安全的強制法規。
我國的汽車網絡安全強制性國家標準《汽車整車信息安全技術要求》(以下簡稱強標)也即將迎來正式發布。強標的制定過程和內容參考了R155法規,但在內容格式、執行方式等方面有較大差異。
強標的發布既對智能網聯汽車產品的信息安全能力提出了強制性要求,同時也為車企開展網絡安全建設提供了有效的指導。
云馳未來將在未來的一段時期內,依據強標的公開征求意見稿對強標開展一系列的解讀,幫助智能網聯汽車生產企業和供應商全面細致地了解強標內容。
標準發布與實施時間
強標的實施步驟參考WP.29 R155進行,實施步驟大致如下:
公開征求意見稿發布:2023年5月
標準完成終審:預計2023年底
標準正式發布:預計2024年上半年
標準正式實施:
對于新申請型式批準(VTA)的車型:自強標實施之日起開始執行。
對于已獲得型式批準的車型:自強標實施之日起第 25 個月開始執行。
根據意見稿來看,強標自發布日期至實施日期之間給予12個月過渡期。
強標認證內容
強標的合規認證也會參考R155,其合規認證主要分為兩部分,一是網絡安全管理體系認證(CSMS,Cyber Security Management System);二是車輛網絡安全型式認證(VTA,Vehicle Type Approval)。
CSMS認證:主要是對企業網絡安全管理策略、流程、規范等方面開展審核和認證,確保汽車生產企業有合適的流程能保障汽車網絡安全活動的開展。
VTA認證:依據強標的內容對車輛開展技術性測試,確保車輛能夠在各個技術方面均滿足強標中的要求。
強標技術框架
根據最新的強標征求意見稿版本,整個的技術要求框架如下圖所示:
關鍵技術要求相關章節的內容歸納如下:
第五章 信息安全管理體系要求 (CSMS)
本章節的內容是對企業級網絡安全管理體系的要求,具體包括:
·全生命周期信息安全管理體系要求
·風險處置流程要求
·安全漏洞管理要求
·安全事件管理要求
·供應商安全管理要求
第六章 車輛信息安全一般要求
本章節的內容是對車輛級網絡安全管理體系的要求,具體包括:
·車輛級網絡安全管理體系要求
·車輛風險管理要求
·車輛網絡安全測試管理要求
·車輛漏洞管理要求
·車輛網絡安全事件管理要求
·密碼安全要求
·車內數據處理安全要求,部分內容引用了《GB/T 智能網聯汽車 數據通用要求》
第七章 車輛外部連接安全要求
·一般安全要求
·遠程控制相關安全要求
·三方應用安全要求
·外部接口安全要求
第八章 車輛通信安全要求
·車云通信安全要求
·V2X通信安全要求
·無線通信安全要求
·通信內容安全要求
·通信組件安全要求
·網絡安全攻擊檢測與防御
·網絡安全日志要求
第九章 車輛軟件升級安全要求
·一般安全要求
·在線升級安全要求
·離線升級安全要求
第十章 車輛數據代碼安全要求
·密鑰數據保護要求
·敏感個人信息保護要求
·車輛識別信息保護要求
·車輛關鍵數據保護要求
·安全日志保護安全要求
·個人信息刪除安全要求
·數據跨境安全要求
附錄A 車輛信息安全要求測試驗證方法
附錄A是針對第七章至第十章要求的安全試驗及測試方法。
在未來的一段時間內,云馳未來智能網聯汽車合規課堂將持續更新,對強標展開全面細致的解讀,請關注云馳未來公眾號,了解更多內容。
關于INCHTEK·云馳未來
云馳未來專注于智能汽車信息安全產品與技術研發,是國內領先的智能汽車信息安全供應商,可為自動駕駛和智能網聯汽車廠商提供軟硬結合、車云一體的信息安全產品和全生命周期信息安全解決方案。
公司已服務全國約60%的L4無人駕駛車輛;落地RoboTaxi、RoboBus、RobTrunk、無人駕駛物流車、礦卡、環衛車、觀光車等12種車型、23個省,42個城市、20種應用場景;是百度Apollo、京東物流、圖森未來、阿里達摩院、三一智礦、文遠知行、輕舟智航、希迪智駕、馭勢科技等16家頭部自動駕駛企業的信息安全合作伙伴;是寶馬、東風、賽力斯、金龍等OEM主機廠信息安全合規咨詢服務和技術解決方案供應商。
