近日,由中汽研科技有限公司(以下简称“中汽科技(深圳)”)与深圳市汽车产业联合会携手主办的“汽车产业热点法规解读与研讨会(第4期)”在深圳顺利举行。本期研讨会以“解读热点法规、协同标准体系、赋能产业升级”为主题,吸引汽车整车、零部件等领域的众多专家及企业代表参与。
研讨会上,中汽科技(深圳)的技术专家就智能网联汽车领域的法规政策与标准实践前沿议题带来了系列实践分享。今天我们邀请到网联通信测试技术专家雷皓凌,分享国内外信息安全检测认证实践。
01
引言
随着汽车智能化和网联化程度不断加深,汽车逐渐从传统的交通工具演变成具备复杂功能的移动智能终端,信息交互更加便捷的同时,也面临着更复杂的信息安全、数据安全问题。汽车产业作为国民经济的支柱产业,其网络安全会影响人身安全、社会安全甚至国家安全,危及企业品牌。面对日益严峻的汽车网络安全挑战,国际社会和各国政府都在积极推动汽车网络安全标准和法规体系的建设,以确保车辆在整个生命周期内的网络安全。
02
国内外监管环境概述
目前,遵循R155法规已成为汽车出口日、韩、欧洲等58协定国的必要条件。汽车制造商需要确保车辆符合这一国际标准,以保护消费者的权益,并在全球市场中保持竞争力。GB 44495-2024《汽车整车信息安全技术要求》也将作为国内智能网联汽车准入的强检项之一,与GB 44496《汽车软件升级通用技术要求》及 GB/T 44464《汽车数据通用要求》等法规共同构建汽车信息安全标准体系。
03
信息安全合规检测流程
信息安全保障要求检验方面,信息安全合规检测流程中,首次开展检查前,企业需确定保障要求的适用范围,对保障要求相关的制度流程和附件表单开展检验,确保流程的完整性和符合性。其次需要针对保障要求覆盖的车型,开展基本要求检查以及技术要求检测,在3个部分均检查通过之后,出具合格的检测报告。而针对后续车型,首先需要确认保障要求是否在三年的有效期内,以及能否覆盖新车型。如否,则需要针对新的一套流程开展检验。如果有效且覆盖,则只需要进一步开展技术要求检查,并引用对应保障要求的报告编号。
信息安全基本要求检验是针对具体车型的开发过程材料进行检查。重点有三个部分:
•是否按照信息安全保障要求进行车型开发?
•是否对车辆进行风险评估,管理已识别的风险?
•是否通过测试来验证安全措施的有效性?
信息安全技术要求检测方面,被测车辆需基于车辆所识别的风险以及第7章车辆技术要求处置措施的相关性,依据基本要求检验结果以及8.3确认车辆信息安全技术要求的测试范围,并依据测试范围开展测试,以确认车辆满足第7章的要求。
04
检测认证实践分享
安全需求与安全目标方面,车辆制造商应识别车辆的关键要素,对车辆进行风险评估,并管理已识别的风险,制定信息安全声明、安全目标和安全需求。整个过程需要满足的关键要素包括但不限于:
•企业风险评估中的资产类别对应的安全属性合理;
•企业风险评估中的安全属性对应的威胁类型合理;
•风险评估需要覆盖全部存储GB7.4章节中所列数据的功能/组件;
•信息安全需求应下沉到可执行的颗粒度;
•信息安全需求应有明确的需求验收标准;
R155的VTA车辆型式认证方面,VTA车辆型式认证是指针对原始设备制造商的网络安全开发中的具体工作执行情况进行审查,旨在确保车辆的网络安全防护技术能覆盖各生命周期的安全需求,且保证实施网络安全防护能有效防控特定车型面临的网络安全风险。
VTA车辆型式认证通过提取多个来源的用例,确保车辆系统的安全性和可靠性。首先,基于TARA分析确定安全目标和需求,认证机构审查相关报告并确认测试范围。随后,测试机构依据该范围制定测试方案,认证机构进行目击测试,并对验证测试、确认测试用例及R155附录5中的部分进行抽样测试。测试过程要求全程可追溯,并确保测试结果具备较高的一致性和可复现性。
目前,中汽科技(深圳)围绕汽车信息安全和数据安全,可开展整车及关键零部件的渗透测试、GB 44495等标准法规合规/摸底测试以及面向企业提供出口认证的R155认证试验、差距分析以及车载网络关键设备的检测。
本次研讨会充分体现了中汽科技(深圳)在汽车法规与标准领域的专业积累。展望未来,中汽科技(深圳)将继续秉持开放合作理念,聚焦技术创新与标准落地,为智能网联汽车产业的持续繁荣贡献更多力量。