汽車(chē)智能網(wǎng)聯(lián)化近年來(lái)一直是汽車(chē)行業(yè)的主要議題。這些創(chuàng )新建立在車(chē)載系統數字化、汽車(chē)IT系統向后端延伸以及軟件傳播的基礎上。而隨著(zhù)越來(lái)越多的關(guān)于黑客攻擊汽車(chē)登上頭條新聞,人們對汽車(chē)網(wǎng)絡(luò )信息安全的擔憂(yōu)也成為了現實(shí)。UNR155正是監管機構正在增加壓力,以加強汽車(chē)行業(yè)應對網(wǎng)絡(luò )安全的能力。

背景介紹


什么是UNR155?

如果您從事的汽車(chē)工作涉及到歐洲進(jìn)出口,那么您大概率會(huì )聽(tīng)過(guò)“UNECE”。UNECE是the United Nations Economic Commission for Europe的縮寫(xiě),有時(shí)也簡(jiǎn)稱(chēng)ECE。UNECE管的范圍很廣,它下屬有一個(gè)世界車(chē)輛法規協(xié)調論壇(簡(jiǎn)稱(chēng) WP.29),專(zhuān)注于汽車(chē)領(lǐng)域。2020年6月,WP29發(fā)布了3項跟智能網(wǎng)聯(lián)汽車(chē)息息相關(guān)的重要法規:

  • lR155:Cyber Security,主要針對汽車(chē)網(wǎng)絡(luò )信息安全

  • lR156:Software Update,主要針對軟件升級,包括近端刷寫(xiě)和OTA

  • lR157:Automated Lane-Keeping Systems (ALKS),主要針對自動(dòng)車(chē)道保持系統


其中R155就是從2022年7月起開(kāi)始強制參與型式認證的一條Cyber Security法規,簡(jiǎn)稱(chēng)UNR155,也是本文重點(diǎn)探討的部分。

那什么是型式認證?

汽車(chē)產(chǎn)品型式認證是指通過(guò)官方確認和批準證明車(chē)輛產(chǎn)品能夠達到法律法規要求的過(guò)程。直白一點(diǎn),這就相當于汽車(chē)進(jìn)入市場(chǎng)的“準生證”。汽車(chē)要想上市銷(xiāo)售,就必須通過(guò)當地(或當地所在聯(lián)盟)的型式認證。我們常聽(tīng)到的“國五”、“國六”、“歐五”“歐六”就是型式認證中關(guān)于排放標準的部分。涉及到“法規”,一般少不了政府的介入。所以不同地方市場(chǎng)準入的型式認證要求也不同。而UNECE顧名思義,主要就是針對歐洲,其具體的協(xié)議成員國如下圖所示。


既然UNECE針對歐洲等協(xié)議成員國,那么對我們有什么影響?主要有以下幾點(diǎn):

1. 相信我國也將會(huì )把網(wǎng)絡(luò )信息安全加入國家型式認證,比如說(shuō)3C認證(China Compulsory Certification,強制性產(chǎn)品認證制度)。目前歐洲仍然是汽車(chē)領(lǐng)域的佼佼者,制定相關(guān)法規和準入標準的時(shí)候,相信也會(huì )適當參考UNECE的內容。

2. 我國汽車(chē)也正在走出去,基本各大COEM,尤其是新能源汽車(chē)都有出口歐洲。

3. 汽車(chē)產(chǎn)業(yè)鏈的全球化。雖然各地有不同的準入標準,但是上游的一級供應商、芯片供應商都是全球化協(xié)同的,實(shí)際上這些供應商都會(huì )考慮各地標準取一個(gè)“最大公約數”,最后反過(guò)來(lái)影響整車(chē)生產(chǎn)商的方案選擇。

那么這個(gè)法規什么時(shí)候開(kāi)始生效呢?

UNR155有兩個(gè)關(guān)鍵的時(shí)間節點(diǎn):

  • 2022年7月1日:新車(chē)必須滿(mǎn)足。


從現有電子架構推出的新車(chē)系(即車(chē)輛類(lèi)型)將需要獲得網(wǎng)絡(luò )安全系統型式認證,作為整車(chē)型式認證(WVTA,Whole Vehicle Type Approval)過(guò)程的一部分。例如對于“換前臉”等小改款,如果電子電器沒(méi)有變化,可以不用在這個(gè)時(shí)間點(diǎn)完成型式認證。但如果涉及車(chē)機、輔助駕駛等變化,則相當于是“新車(chē)系”,需要滿(mǎn)足UNR155。

  • 2024年7月1日:舊車(chē)不滿(mǎn)足的也要改成滿(mǎn)足。


尚未停產(chǎn)的車(chē)型必須獲得網(wǎng)絡(luò )安全系統的型式認證,才可以在相關(guān)市場(chǎng)銷(xiāo)售。這意味著(zhù),之前車(chē)型可能需要通過(guò)修改或升級方案,滿(mǎn)足UNR155。


UNR155與ISO21434的關(guān)系

為了確?,F有標準和監管要求的協(xié)調,實(shí)際上UNR155和ISO/SAE 21434(道路車(chē)輛--網(wǎng)絡(luò )安全工程)是并行討論和開(kāi)發(fā)釋放的。那么作為標準的ISO/SAE 21434與UNR155之間的整體關(guān)系又是怎樣呢?

首先,要區分標準和法規這兩個(gè)術(shù)語(yǔ)。


標準通常是在ISO等權威機構的控制下,由行業(yè)本身設計的先進(jìn)的參考性文件。例如ISO/SAE 21434為開(kāi)發(fā)汽車(chē)行業(yè)的網(wǎng)絡(luò )安全產(chǎn)品提供了要求和建議的框架。但它沒(méi)有提供任何固定的解決方案建議,只是提供了一個(gè)特定的抽象框架和方法論。國際標準(如ISO xxxx)一般都是非強制要求的。但是國內的標準不一樣,GB都是強制要求的,GB/T才是推薦(非強制)執行的。

相比之下,法規是由一個(gè)官方機構(如政府)發(fā)布的具有法律約束力的指令。就UNR155而言,這是必須遵守的約束性要求,以獲得型式認證,從而獲得市場(chǎng)準入。如果不符合規定,就會(huì )在相應的市場(chǎng)禁止銷(xiāo)售。而法規也往往會(huì )引用相關(guān)標準來(lái)作為參考。

實(shí)際上,UNR155中引用到了ISO/SAE 21434這一標準。這一點(diǎn)在UNECE公布的官方解釋文件中說(shuō)得特別清楚,該文件大量地將法規的要求與ISO/SAE 21434的各種要求聯(lián)系了起來(lái)。換句話(huà)說(shuō),ISO/SAE 21434可以作為具體方法論,按其指導就很容易滿(mǎn)足UNR155的法規要求。當然如果企業(yè)有另外成熟的最佳實(shí)踐,同樣可以滿(mǎn)足UNR155也行,所以ISO/SAE 21434并非必要條件。

而在責任相關(guān)方的角度來(lái)看,ISO/SAE 21434描述的是汽車(chē)網(wǎng)絡(luò )安全的工程框架和方法論,所以不管在OEM還是各級供應商,都可以按照該標準開(kāi)發(fā)功能和產(chǎn)品,OEM也可以基于ISO/SAE 21434來(lái)給供應商提需求。而UNR155法規是針對整車(chē)的型式認證,真正要進(jìn)行公告和型式認證申請的只有OEM。



UNR155內容簡(jiǎn)介

如下UNR155的框架示意圖,該法規主要分為主體的內容部分和附錄。內容部分詳述了例如認證主體、標識、證書(shū)等法規要求。附錄中則包含了模板、信息文件和威脅及緩解措施列表。對于一般汽車(chē)研發(fā)工程師而言,其中內容的第7章以及附錄5(即下圖標黃部分)是最值得細讀的。



圖3:UNR155的框架

標黃的兩個(gè)章節也集中體現了該法規最核心的兩個(gè)要求:

  • 每個(gè)OEM必須建立和維護一個(gè)網(wǎng)絡(luò )安全管理體系(亦即Cybersecurity Management System,CSMS)。這是對于組織本身的要求,不依托于車(chē)型和項目。


  • 每個(gè)OEM必須識別與車(chē)輛技術(shù)有關(guān)的網(wǎng)絡(luò )安全風(fēng)險。這是對每個(gè)車(chē)型或者每個(gè)項目都有的實(shí)施要求,也需要OEM在車(chē)型的型式認證時(shí)提供證明。

汽車(chē)信息安全UN WP.29 R155法規解讀


與ISO/SAE 21434不同的是,UN R155沒(méi)有明確規定特定的流程(但要求遵守流程和建立工作產(chǎn)品以確保遵守流程),它要求建立和實(shí)施一個(gè)管理系統,該系統專(zhuān)注于車(chē)輛的網(wǎng)絡(luò )安全。CSMS是拿到合格證書(shū)的基礎,即必須要通過(guò)審計和相應的官方認證。CSMS需要定義組織流程、職責和治理過(guò)程,同時(shí)需要處理車(chē)輛受到的網(wǎng)絡(luò )威脅風(fēng)險,保護車(chē)輛免受網(wǎng)絡(luò )攻擊。它需要覆蓋車(chē)輛完整的生命周期。
每款車(chē)型做型式認證時(shí),除了必須具有有效的CSMS認證,還應針對該車(chē)型進(jìn)行詳盡的風(fēng)險評估,并且適當地管理所有確定的風(fēng)險。UNR155的附件5就提供了一份已知威脅和對應的緩解措施清單。清單附件分為A、B兩部分。做型式認證時(shí),也需要提供相關(guān)證據,展現這些通用的威脅和緩解措施都在該車(chē)型上做了相關(guān)分析和管理。

A部分是威脅的漏洞和攻擊向量。如下圖節選部分是關(guān)于云端自身的威脅,其攻擊向量或者漏洞也舉了3個(gè)例子,例如內部特權員工濫用職權、非授權的網(wǎng)絡(luò )訪(fǎng)問(wèn)遠程接入了服務(wù)器(后門(mén)、SQL攻擊等)或者非授權的物理接入服務(wù)器(插個(gè)U盤(pán)或者連上數據線(xiàn)等。)


圖4:UNR155節選的威脅清單

而B(niǎo)部分則針對A中出現的一些威脅和漏洞,提供了緩解措施的參考。如下圖節選,車(chē)輛通信通道其中一種威脅來(lái)自于攻擊者假冒通訊節點(diǎn),篡改信息內容,例如攻擊者假冒V2X設備、GNSS等發(fā)送欺詐信息。該威脅可以通過(guò)驗證通訊節點(diǎn)的真實(shí)性和信息完整性來(lái)緩解。再具體分解的詳細功能需求(例如通過(guò)TLS和CA證書(shū)等技術(shù)手段)則不在這份列表中體現。


圖5:UNR155節選的緩解措施清單


具體怎么做?

討論完UNR155的法規內容,希望您已經(jīng)能對它有了框架性的理解。那企業(yè)又應該具體怎么做才能獲得型式認證呢?這與上文提到的UNR155兩個(gè)關(guān)鍵要求有關(guān):

  • 針對CSMS

這本質(zhì)上是對組織過(guò)程能力的要求,說(shuō)白了就是通過(guò)官方批準機構的審計。這個(gè)審計或者申請對組織來(lái)說(shuō)是一次性的。當然一般OEM都或多或少有了自己的網(wǎng)絡(luò )安全管理流程和系統,只需要根據UNR155作評審,取長(cháng)補短,完善管理體系。這種專(zhuān)業(yè)要求高且一次性的活動(dòng)很多時(shí)候OEM也會(huì )通過(guò)第三方咨詢(xún)公司來(lái)幫助自己完善和通過(guò)審計,獲得CSMS合格證書(shū)。

  • 針對車(chē)型

這更多是對每個(gè)車(chē)型的技術(shù)要求?;贑SMS,每款車(chē)型的開(kāi)發(fā)都需要針對車(chē)型作廣泛的風(fēng)險評估,針對常見(jiàn)的攻擊向量作適當控制,同時(shí)對安全措施的有效性進(jìn)行充分的測試和驗證。而且這個(gè)要求是貫穿車(chē)輛生命周期的,即使是已經(jīng)獲得車(chē)型型式認可的,也需要持續管理其風(fēng)險,持續檢測和報告。否則即使已經(jīng)獲得型式認可了,也可能會(huì )在之后幾年被取消認證和懲罰。


寫(xiě)在最后

汽車(chē)智能網(wǎng)聯(lián)化近年來(lái)一直是汽車(chē)行業(yè)的主要議題。這些創(chuàng )新建立在車(chē)載系統數字化、汽車(chē)IT系統向后端延伸以及軟件傳播的基礎上。而隨著(zhù)越來(lái)越多的關(guān)于黑客攻擊汽車(chē)登上頭條新聞,人們對汽車(chē)網(wǎng)絡(luò )信息安全的擔憂(yōu)也成為了現實(shí)。UNR155正是監管機構正在增加壓力,以加強汽車(chē)行業(yè)應對網(wǎng)絡(luò )安全的能力。

雖然我國尚未正式發(fā)布公告或者型式認證中關(guān)于網(wǎng)絡(luò )信息安全的法規要求,但相關(guān)機構已經(jīng)討論多時(shí),草稿多版。預計我國的法規要求在參考UNR155的基礎上亦會(huì )提出更加具體的要求或者技術(shù)方案指導。而除了框架性法規要求,多個(gè)關(guān)于智能網(wǎng)聯(lián)汽車(chē)網(wǎng)絡(luò )信息安全的國家標準(例如V2X、智能網(wǎng)關(guān)等)都已經(jīng)發(fā)布或者正在發(fā)布,估計未來(lái)也會(huì )完成整個(gè)標準體系的發(fā)布,呈現“網(wǎng)絡(luò )信息安全國標矩陣”。相信這將是一個(gè)復雜的新局面,但同時(shí)也會(huì )吸引更多資金到這個(gè)賽道上,企業(yè)也會(huì )更加重視。這對于我們相關(guān)從業(yè)人員來(lái)說(shuō),無(wú)疑既是挑戰,也是機會(huì )。

R155證書(shū)樣本

1675999304092