隨著國際機(jī)構(gòu)進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域,制定法規(guī)、標(biāo)準(zhǔn)和指南,公眾在其使用的車輛中享受更好的網(wǎng)絡(luò)安全保護(hù)指日可待。隨著時(shí)間的推移,車輛網(wǎng)絡(luò)安全將不斷發(fā)展以應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)威脅。
歐洲經(jīng)濟(jì)委員會(huì) (ECE) 的 R155 和 R156 法規(guī)旨在應(yīng)對(duì)聯(lián)網(wǎng)車輛面臨的日益增長的網(wǎng)絡(luò)安全威脅。這些法規(guī)為聯(lián)合國歐洲經(jīng)濟(jì)委員會(huì) (UNECE) 區(qū)域內(nèi)銷售的所有車輛設(shè)定了最低的網(wǎng)絡(luò)安全標(biāo)準(zhǔn),旨在提高聯(lián)網(wǎng)汽車的網(wǎng)絡(luò)安全,該區(qū)域涵蓋 64 個(gè)國家。
該法規(guī)于 2021 年 3 月 1 日發(fā)布,并于 2022 年 7 月 1 日起對(duì)所有在歐盟經(jīng)濟(jì)區(qū) (EEA) 上市的新車型強(qiáng)制實(shí)施。
R155/R156 涵蓋哪些內(nèi)容?
R155:?設(shè)置了車輛網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS) 的一般要求。要求車輛制造商建立一個(gè)網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS),以識(shí)別、評(píng)估和降低車輛網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
CSMS 必須包括以下要素:
1. 安全策略和目標(biāo):車輛制造商必須制定書面安全策略和目標(biāo),明確其網(wǎng)絡(luò)安全責(zé)任和目標(biāo)
2.風(fēng)險(xiǎn)管理過程:車輛制造商必須建立一個(gè)風(fēng)險(xiǎn)管理過程,以識(shí)別、評(píng)估和降低車輛網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該過程應(yīng)包括以下步驟:
風(fēng)險(xiǎn)識(shí)別:識(shí)別車輛中可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估:評(píng)估風(fēng)險(xiǎn)的嚴(yán)重性和發(fā)生可能性。風(fēng)險(xiǎn)降低:采取措施降低風(fēng)險(xiǎn)。
3. 安全開發(fā)生命周期:車輛制造商必須將網(wǎng)絡(luò)安全考慮因素納入車輛的整個(gè)開發(fā)生命周期。該過程應(yīng)包括以下步驟:
需求分析:在需求分析階段識(shí)別網(wǎng)絡(luò)安全需求。
設(shè)計(jì):在設(shè)計(jì)階段考慮網(wǎng)絡(luò)安全。
開發(fā):在開發(fā)階段實(shí)施網(wǎng)絡(luò)安全措施。
測(cè)試:在測(cè)試階段測(cè)試網(wǎng)絡(luò)安全措施。
4 安全運(yùn)維:車輛制造商必須制定安全運(yùn)維計(jì)劃,以確保車輛的網(wǎng)絡(luò)安全在整個(gè)生命周期內(nèi)得到維護(hù)。該計(jì)劃應(yīng)包括以下內(nèi)容:
- 安全更新:及時(shí)發(fā)布安全更新,修復(fù)已知漏洞。安全培訓(xùn):為車輛所有者和用戶提供安全培訓(xùn)。安全事件響應(yīng):制定安全事件響應(yīng)計(jì)劃,以應(yīng)對(duì)網(wǎng)絡(luò)安全事件。
R156:?聯(lián)合國法規(guī)第 156 號(hào)是聯(lián)合國制定的一項(xiàng)法規(guī),專門處理車輛的軟件更新和軟件更新管理系統(tǒng)。該法規(guī)于 2021 年頒布,旨在提高車輛軟件更新的安全性、可靠性和穩(wěn)定性,同時(shí)確保制造商擁有一個(gè)健全的流程來管理更新過程。
目標(biāo):提高車輛軟件更新的安全性和可靠性。降低與軟件更新相關(guān)的網(wǎng)絡(luò)攻擊和其他漏洞風(fēng)險(xiǎn)。確保制造商在整個(gè)車輛生命周期內(nèi)擁有一個(gè)結(jié)構(gòu)化的軟件更新管理方法。
范圍:涵蓋所有軟件更新,包括通過空中下載 (OTA) 和傳統(tǒng)方式提供的更新。適用于車輛的所有電子控制單元 (ECU) 和軟件組件。
要求:制造商必須建立一個(gè)?軟件更新管理系統(tǒng) (SUMS)?來監(jiān)督更新過程。SUMS 必須包含風(fēng)險(xiǎn)評(píng)估、漏洞識(shí)別、更新測(cè)試和部署等程序。制造商必須實(shí)施安全措施,以防止未經(jīng)授權(quán)的訪問和篡改軟件更新。他們還必須向車主提供有關(guān)軟件更新的清晰透明的信息,包括潛在的風(fēng)險(xiǎn)和好處。
UN 法規(guī)第 156 號(hào)的影響:
增強(qiáng)安全性:?該法規(guī)預(yù)計(jì)將導(dǎo)致更安全的軟件更新和更好的網(wǎng)絡(luò)攻擊防護(hù)。
提高可靠性:?強(qiáng)大的更新管理程序應(yīng)該可以減少更新失敗和其他軟件問題。
增加透明度:?車主將獲得更多有關(guān)軟件更新的信息,并能夠做出是否安裝更新的明智決定。
R155/R156 的主要優(yōu)勢(shì):增強(qiáng)車輛安全性:?降低網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn),防止攻擊者入侵車輛系統(tǒng)并危及駕駛員和乘客安全。標(biāo)準(zhǔn)化方法:?為 UNECE 區(qū)域內(nèi)的所有汽車制造商創(chuàng)造公平競爭環(huán)境,促進(jìn)公平競爭和創(chuàng)新。增強(qiáng)消費(fèi)者信心:?讓消費(fèi)者對(duì)車輛的安全性更有信心。
實(shí)施時(shí)間表:R155 于 2022 年 7 月 1 日對(duì) UNECE 區(qū)域內(nèi)所有新車型生效。R156 將于 2024 年 7 月 1 日對(duì) UNECE 區(qū)域內(nèi)所有新車型生效。
挑戰(zhàn)和機(jī)遇:實(shí)施 R155/R156 對(duì)汽車制造商而言存在挑戰(zhàn),需要投資網(wǎng)絡(luò)安全專業(yè)知識(shí)和基礎(chǔ)設(shè)施。然而,它也帶來了開發(fā)創(chuàng)新和安全聯(lián)網(wǎng)車輛技術(shù)的機(jī)遇。R155/R156 是提高聯(lián)網(wǎng)車輛網(wǎng)絡(luò)安全的重要舉措。通過設(shè)定最低標(biāo)準(zhǔn)和推廣最佳實(shí)踐,這些法規(guī)將有助于使我們的道路更加安全。