作者:安博体育官网入口网址 来源:安博体育官网入口网址 时间:2024-11-11 12:25:58 点击:次
联合国车辆安全法规UN R155是联合国欧洲经济委员会(UNECE)可持续交通系统部门的工作组,即“世界车辆法规协调论坛”(WP.29)发布的第155号规范的简称。要求汽车制造商和相关供应商在设计和生产车辆时实施严格的网络安全措施,以保护车辆免受网络攻击和数据泄露的威胁。是全球第一个汽车信息安全强制法规。
UN R156是联合国世界车辆法规协调论坛(UN/WP.29)发布的《关于批准车辆的软件升级和软件升级管理体系统一规定的法规》的简称。它规定了汽车制造商在设计和生产阶段需要遵循的安全标准,以确保车辆的电子系统和数据传输的安全性。
UN R155和UN R156在加入1958年UNECE运输协定及公约的54个成员国中具有强制性,这些国家包括欧盟、日本、韩国等重要的汽车生产和销售市场。对中国并不是强制性的,但对中国汽车制造商在国际市场的竞争力和市场准入条件产生了重要影响。
R155规范有12个章节 :1.范围 ;2.定义; 3.审批申请 ;4.标记 ;5.审批; 6.CSMS合规证书; 7.规范要求; 8.车型修改和延期; 9.产品符合性; 10.产品不符合惩罚; 11.产品停产; 12.负责审批测试的技术服务方和车型审批机构的联系方式;以及五个附件。
R155合规认证大致上可以分为两部分,一是网络安全管理体系认证(CSMS),即7.2 网络安全管理体系要求”的内容,其中7.2.2章节具体阐述了CSMS认证应涵盖的具体方面;二是车辆网络安全型式认证(VTA),即7.3车辆型式要求”的内容。
1、建设自身的网络安全管理体系,以符合R155/R156法规中关于网络安全管理体系( CSMS ) /软件更新管理体系( SUMS)的要求;
2、加强网络安全技术能力建设,以使其正常产品符合R155附录5中的技术方面的要求;
3、要求其供应商落实网络安全管理体系,以保证技术方面的要求的落实,最终通过车辆型式审批认证( VTA :Vehicle Type Approval )
中国汽车网络安全标准GB 44495:2024,全称为《汽车整车信息安全技术要求》,是中华人民共和国工业与信息化部提出并归口,委托全国汽车标准化技术委员会智能网联汽车分会执行的一项国家强制性标准。该标准已于2024年8月23日发布,并将于2026年1月1日起正式实施。
该标准规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术方面的要求、审核评估及测试验证方法。
适用于M类、N类及至少装有1个电子控制单元的O类车辆,别的类型车辆可参考执行。
三、UN R155和GB 44495对汽车供应链网络安全标准体系的强制要求←
1、汽车网络安全标准GB 44495:2024(国内称为汽车整车信息安全技术方面的要求)和 R155异同点
UN R155法规与GB 44495标准均从企业网络安全管理体系CSMS、车辆技术方面的要求两个维度提出了要求。
不同的是, UN R155要求企业在申请单车认证之前应先获得CSMS合格证书(有效期3年) , GB 44495标准则要求开展车辆信息安全评估和测试前,先通过汽车信息安全管理体系审核。
UN R155 法规提出了网络安全威胁和相应缓解措施清单,涉及共计32项威胁、漏洞和攻击方法基准,以及相对应的车端、非车端缓解措施。
GB 44495标准则重点对车端外部连接、通信安全、软件升级、数据代码等4个方面提出要求。
UN R155法规并未针对.上述32项威胁和措施清单提出具体的测试方法。
GB 44495标准则对上述车端4个方面的安全要求提出了测试验证方法,包括测试条件、测试输入信息、具体测试方法等。
以车辆外部连接安全测试为例,对于具备远程操控功能的系统,通过尝试伪造、篡改并发送远程车辆控制指令,检查车辆是否响应该指令,是否按照企业设定的验证失败处理机制做处理,并记录测试结果,应不响应该指令。
GB 44495标准提出,车辆应参照GB/T 44464-2024《智能网联汽车数据通用要求》来满足车辆数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知等要求。
GB/T 44464-2024 《智能网联汽车数据通用要求》已于2022年底公开征求意见,此次被GB 44495标准引用,意味着其中涉及个人信息处理的章节要求,也将变为强制性法规,企业需同步关注该标准的制修订动向。
UN R155法规已于2022年7月对新认证车型实施,已于2024年7月对新生产车型实施。
而根据强制性国家标准的制修订流程推测,GB 44495在发布1年后对新认证车型实施,发布3年后对新生产车型实施。
GB 44495标准在测试方法上对更多的技术细节有明确的要求:如要求应不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞;应使用TLS V1.2同等安全级别或以上要求的安全通信层协议等。
要求:汽车制造商需管理与合同供应商、服务提供商或制造商子组织在需求方面有几率存在的依赖关系,确保供应链中的网络安全风险得到一定效果控制。
证明方法:与供应商签订网络安全协议,明确双方在网络安全方面的责任和义务。同时,要求供应商提供相关的网络安全认证证书或评估报告CSMS作为证明。此外,定期对供应商进行网络安全审计和评估,确保其符合R155的要求。
GB 44495补充和细化了R155的要求。它涵盖了汽车网络安全的技术标准、管理流程、以及供应链各环节的安全保障措施。GB 44495强调了供应链中所有参与者一定要遵循的安全标准,包括供应商的网络安全能力评估和信息安全管理体系的建立。
这两个标准共同要求汽车制造商和供应链合作伙伴在网络安全方面采取严格的措施,确保汽车产品在设计、生产、服务等各阶段的安全性,从而提升整体供应链的安全水平。
华菱咨询提供ISO26262汽车功能安全、ISO 21434网络安全、ASPICE汽车软件开发成熟度评估、TISAX汽车行业信息安全评估、ISO27001信息安全、数字化转型、DCMM数据管理能力成熟度评估、SBTi碳科学目标、碳中和、能源审计、实验室能力认可服务、IE工业工程、DOE设计验证、精益生产、汽车行业5大工具的培训与咨询等。
声明:本文由入驻搜狐公众平台的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。