什么是车辆网络安全法规WP.29,R155,ISO21434-Munik知识普及课堂
—原创文章,文章内所有内容文字资料,版权均属本公众号所有,任何媒体、网站、公众号或个人未经Munik公司授权不得转载、转贴、引用或以其他方式复制发布 、发表。已经被Munik公司授权的媒体、网站、公众号、个人,在下载使用时必须注明来源,违者Munik公司将依法追究相关责任.
回到知识分享,请点击链接:MUNIK中国-技术分享
回到本文的源头文章,请点击链接: ISO 21434 Automobile Cyber Security汽车网络安全服务
随着网联化和自动驾驶的快速发展,汽车网络安全显得尤为重要。汽车在行驶过程中会产生大量的用户数据,比如:日常行驶的路线,手机与汽车交互的一些重要信息等。黑客可通过远程入侵、近距离攻击、用户侧攻击三大类场景对智能汽车安全造成危害,例如:攻破云端服务器,下发恶意固件,窃取数据;通过WiFi、蓝牙等通信方式,控制车钥匙指令重放方式威胁车辆安全;攻入IVI工程模式,捕获控车报文等。从目前的国内外车辆网络安全现状来说,针对汽车的网络攻击事件正在激增,网络安全威胁在不断增加,车辆有85%的关键部件都存在安全漏洞,汽车行业造成巨额损失。
为了改变目前的现状,汽车行业制定了相关的标准法规,由联合国欧洲经济委员(UNECE)世界汽车标准化论坛(WP.29)制定和推广全球统一的汽车技术法规,以促进国际贸易并提高汽车的安全性和环保性,涉及的标准范围广泛,包括车辆的安全、环保以及能效等多个方面。
注:UNECE:联合国欧洲经济委员会(United Nations Economic Commission for Europe,简称UNECE),是一个跨地区合作的平台,促进了不同国家和地区之间的经济与环境合作,活动范围很广,包括环境与可持续发展、经济分析、能源、林业、住房与土地管理、人口、统计、贸易、运输等多个领域。
WP.29:联合国欧洲经济委员会世界汽车标准化论坛(World Forum for Harmonization of Vehicle Regulations),是一个国际性的汽车规则制定机构。WP.29有提供一种结构化的方式来指导各方参考和应用其下制定的各项规定。包括车辆安全、排放控制、网络安全(如R155)、软件更新(如R156)、自动驾驶技术(如R157)等特定规定,WP.29提供了详细的指导和解释,明确指出了各项规定的适用范围、目的和要求。
本文从以下5点分别介绍:
1. 什么是车辆网络安全法规 R155?怎么引入的?
2020年11月UNECE WP.29发布了两项规定:WP.29-182-05 和 WP.29-182-07。
- WP.29-182-05:《关于统一规定有关汽车网络安全和网络安全管理系统审批的联合国法规第[155]号的解释文件提案》,旨在帮助制造商、监管机构以及其他相关方明确理解法规的具体要求,包括如何证明汽车及其网络安全管理系统符合这些规定的标准,侧重于对法规的理解和实施指导。
- WP.29-182-07:《关于使用DETA交换网络安全信息的指南(根据联合国法规第[155]号)》。侧重于具体的信息交换机制,特别是关于网络安全信息的安全和高效传递。
WP.29引入R155的要求是通过UN R155条例实现的,UN R155的引入标志着WP.29在全球汽车安全和环保标准制定中的作用扩展到了网络安全领域。
这个条例专门针对汽车网络安全管理系统提出了要求,旨在确保汽车制造商采取必要措施,保护汽车免受网络攻击、非法数据访问和其他形式的网络安全威胁。规定了汽车制造商在整个汽车生命周期内(从设计、生产到废弃)必须实施的网络安全管理措施,以确保汽车的网络安全。
R155的制定是基于对现代汽车日益增加的网络连接功能和智能化水平所带来的安全挑战的认识。这些功能虽然为用户提供了便利和新的服务,但也增加了汽车系统遭受网络攻击的风险。因此,R155规定了汽车制造商在整个汽车生命周期内(从设计、生产到废弃)必须实施的网络安全管理措施,以确保汽车的网络安全。
R155法规章节及内容如下:
2. R155的CSMS规则怎么实现?
CSMS是一套全面的流程和措施,网络安全管理系统(CSMS, Cyber Security Management System)的概念本身不是R155独有的,但是它在R155中被特别强调并作为一项关键要求进行了详细的规定。CSMS的概念和实践在其他行业,尤其是那些高度依赖信息技术和网络通信的领域(例如信息技术、金融服务、能源等),也有应用。旨在要求车辆制造商实施和维护,免受网络威胁和漏洞的影响,以持续保证车辆的网络安全。
CSMS包括了一系列的流程和措施,用于识别、评估、减轻和报告网络安全风险,以及对安全事件的响应。它针对的是汽车行业的特定需求,涵盖了从车辆设计、生产、运营到维修等整个生命周期中的网络安全管理。这反映了随着车辆越来越多地连接到网络环境和彼此之间,对汽车行业网络安全管理体系的需求日益增加。
以下是实现CSMS的关键规则和步骤:
n 风险评估与管理:制造商必须定期进行网络安全风险评估,识别潜在的网络安全威胁和漏洞,并制定相应的管理措施来缓解这些风险。
n 安全设计与工程:车辆在设计和开发阶段必须纳入网络安全措施,确保网络安全原则从一开始就被集成到车辆的生命周期中。
n 事件检测与响应:制造商必须建立和维护一个用于检测、记录和分析网络安全事件的系统,并能够迅速响应这些事件,采取措施限制损害并防止未来发生。
n 更新与补丁管理:必须制定一个过程,以确保车辆软件和系统能够及时更新和打补丁,以对抗新出现的威胁和漏洞。
n 信息共享与合作:鼓励制造商与其他制造商、供应商、安全研究人员和政府机构共享网络安全信息和最佳实践,以提高整个行业的网络安全水平。
n 合规性证明和审查:制造商需要证明其网络安全管理系统符合UN R155的要求,并接受第三方或相关监管机构的审查和认证。
通过实施CSMS,确保车辆在其整个生命周期内具有持续的网络安全防护,从而保护消费者和公众的安全与隐私。
3. ISO21434怎么和R155的CSMS关联?
ISO/SAE 21434《道路车辆—网络安全工程》是一项国际标准,ISO/SAE 21434的发布标志着汽车网络安全领域国际共识的形成,对汽车制造商和供应链中的其他参与者来说,它提供了一个共同的网络安全实践参考框架。
ISO/SAE 21434与CSMS的关联主要体现在以下几个方面:
简而言之,ISO/SAE 21434为汽车行业提供了实施网络安全管理系统(CSMS)的国际认可的方法和最佳实践,这与R155中的CSMS要求高度相关。通过遵循ISO/SAE 21434的指导,车辆制造商可以更有效地满足或超越R155对网络安全管理的要求。
4. 如果通过CSMS将R155与ISO21434串起来?
R155与ISO/SAE 21434串起来,意味着要建立一个全面、系统的网络安全管理体系(CSMS),以确保自动化驾驶系统在设计、开发、生产、运行和维护等全生命周期中的网络安全。
以下是几个关键步骤:
通过这样一个综合性的方法,将R155的CSMS要求与ISO/SAE 21434的网络安全原则相结合,为自动化驾驶技术提供坚实的网络安全基础。这不仅有助于保护自动化驾驶系统免受网络攻击,还能增强消费者和监管机构对自动化驾驶技术的信心。
5.什么是车辆网络安全标准ISO21434?
ISO21434是应用于车辆制造商、工程服务供应商、软硬件组件和系统供应商、软件和信息和通信技术基础设施提供商落地实践的一套强制性标准,能够帮助甲方从体系上进行设计,避免或降低安全风险。
建立符合ISO21434标准的开发体系重点章节如下:
通过ISO21434,我们MUNIK可以为客户在网络安全领域提前布局,帮助客户在付出较小的经历与代价的同时满足或达到更多的安全标准及要求。
6. 如何融合ISO26262和ISO21434开发流程体系(请点击链接查看)
希望MUNIK的话题可以抛砖引玉,共同促进行业技术的发展。专业的MUNIK技术团队,基于在全球各个主要国家十多年的近百个功能安全项目经验,为您工程化的阐述和介绍。
