為應(yīng)對汽車行業(yè)所面臨的網(wǎng)絡(luò)安全風(fēng)險,世界各國和地區(qū)的監(jiān)管機構(gòu)紛紛出臺了一系列法規(guī)和配套標(biāo)準(zhǔn),如聯(lián)合國歐洲經(jīng)濟委員會(UNECE)的世界車輛法規(guī)協(xié)調(diào)論壇(UN WP.29)發(fā)布的UN R155是全球首個關(guān)于汽車信息安全的強制法規(guī)。
我國的汽車網(wǎng)絡(luò)安全強制性國家標(biāo)準(zhǔn)《汽車整車信息安全技術(shù)要求》(以下簡稱強標(biāo))也即將迎來正式發(fā)布。強標(biāo)的制定過程和內(nèi)容參考了R155法規(guī),但在內(nèi)容格式、執(zhí)行方式等方面有較大差異。
強標(biāo)的發(fā)布既對智能網(wǎng)聯(lián)汽車產(chǎn)品的信息安全能力提出了強制性要求,同時也為車企開展網(wǎng)絡(luò)安全建設(shè)提供了有效的指導(dǎo)。
云馳未來將在未來的一段時期內(nèi),依據(jù)強標(biāo)的公開征求意見稿對強標(biāo)開展一系列的解讀,幫助智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和供應(yīng)商全面細(xì)致地了解強標(biāo)內(nèi)容。
標(biāo)準(zhǔn)發(fā)布與實施時間
強標(biāo)的實施步驟參考WP.29 R155進行,實施步驟大致如下:
公開征求意見稿發(fā)布:2023年5月
標(biāo)準(zhǔn)完成終審:預(yù)計2023年底
標(biāo)準(zhǔn)正式發(fā)布:預(yù)計2024年上半年
標(biāo)準(zhǔn)正式實施:
對于新申請型式批準(zhǔn)(VTA)的車型:自強標(biāo)實施之日起開始執(zhí)行。
對于已獲得型式批準(zhǔn)的車型:自強標(biāo)實施之日起第 25 個月開始執(zhí)行。
根據(jù)意見稿來看,強標(biāo)自發(fā)布日期至實施日期之間給予12個月過渡期。
強標(biāo)認(rèn)證內(nèi)容
強標(biāo)的合規(guī)認(rèn)證也會參考R155,其合規(guī)認(rèn)證主要分為兩部分,一是網(wǎng)絡(luò)安全管理體系認(rèn)證(CSMS,Cyber Security Management System);二是車輛網(wǎng)絡(luò)安全型式認(rèn)證(VTA,Vehicle Type Approval)。
CSMS認(rèn)證:主要是對企業(yè)網(wǎng)絡(luò)安全管理策略、流程、規(guī)范等方面開展審核和認(rèn)證,確保汽車生產(chǎn)企業(yè)有合適的流程能保障汽車網(wǎng)絡(luò)安全活動的開展。
VTA認(rèn)證:依據(jù)強標(biāo)的內(nèi)容對車輛開展技術(shù)性測試,確保車輛能夠在各個技術(shù)方面均滿足強標(biāo)中的要求。
強標(biāo)技術(shù)框架
根據(jù)最新的強標(biāo)征求意見稿版本,整個的技術(shù)要求框架如下圖所示:
關(guān)鍵技術(shù)要求相關(guān)章節(jié)的內(nèi)容歸納如下:
第五章 信息安全管理體系要求 (CSMS)
本章節(jié)的內(nèi)容是對企業(yè)級網(wǎng)絡(luò)安全管理體系的要求,具體包括:
·全生命周期信息安全管理體系要求
·風(fēng)險處置流程要求
·安全漏洞管理要求
·安全事件管理要求
·供應(yīng)商安全管理要求
第六章 車輛信息安全一般要求
本章節(jié)的內(nèi)容是對車輛級網(wǎng)絡(luò)安全管理體系的要求,具體包括:
·車輛級網(wǎng)絡(luò)安全管理體系要求
·車輛風(fēng)險管理要求
·車輛網(wǎng)絡(luò)安全測試管理要求
·車輛漏洞管理要求
·車輛網(wǎng)絡(luò)安全事件管理要求
·密碼安全要求
·車內(nèi)數(shù)據(jù)處理安全要求,部分內(nèi)容引用了《GB/T 智能網(wǎng)聯(lián)汽車 數(shù)據(jù)通用要求》
第七章 車輛外部連接安全要求
·一般安全要求
·遠(yuǎn)程控制相關(guān)安全要求
·三方應(yīng)用安全要求
·外部接口安全要求
第八章 車輛通信安全要求
·車云通信安全要求
·V2X通信安全要求
·無線通信安全要求
·通信內(nèi)容安全要求
·通信組件安全要求
·網(wǎng)絡(luò)安全攻擊檢測與防御
·網(wǎng)絡(luò)安全日志要求
第九章 車輛軟件升級安全要求
·一般安全要求
·在線升級安全要求
·離線升級安全要求
第十章 車輛數(shù)據(jù)代碼安全要求
·密鑰數(shù)據(jù)保護要求
·敏感個人信息保護要求
·車輛識別信息保護要求
·車輛關(guān)鍵數(shù)據(jù)保護要求
·安全日志保護安全要求
·個人信息刪除安全要求
·數(shù)據(jù)跨境安全要求
附錄A 車輛信息安全要求測試驗證方法
附錄A是針對第七章至第十章要求的安全試驗及測試方法。
在未來的一段時間內(nèi),云馳未來智能網(wǎng)聯(lián)汽車合規(guī)課堂將持續(xù)更新,對強標(biāo)展開全面細(xì)致的解讀,請關(guān)注云馳未來公眾號,了解更多內(nèi)容。
關(guān)于INCHTEK·云馳未來
云馳未來專注于智能汽車信息安全產(chǎn)品與技術(shù)研發(fā),是國內(nèi)領(lǐng)先的智能汽車信息安全供應(yīng)商,可為自動駕駛和智能網(wǎng)聯(lián)汽車廠商提供軟硬結(jié)合、車云一體的信息安全產(chǎn)品和全生命周期信息安全解決方案。
公司已服務(wù)全國約60%的L4無人駕駛車輛;落地RoboTaxi、RoboBus、RobTrunk、無人駕駛物流車、礦卡、環(huán)衛(wèi)車、觀光車等12種車型、23個省,42個城市、20種應(yīng)用場景;是百度Apollo、京東物流、圖森未來、阿里達(dá)摩院、三一智礦、文遠(yuǎn)知行、輕舟智航、希迪智駕、馭勢科技等16家頭部自動駕駛企業(yè)的信息安全合作伙伴;是寶馬、東風(fēng)、賽力斯、金龍等OEM主機廠信息安全合規(guī)咨詢服務(wù)和技術(shù)解決方案供應(yīng)商。
