法规解读 | 汽车信息安全UN/WP.29 R155法规解读
随着汽车技术的迅猛发展,智能网联、自动驾驶等先进技术,如GPS、Wi-Fi、蓝牙等,被广泛应用于现代车辆中,极大地提升了驾驶体验和安全性。然而,这些技术的引入也增加了车辆面临网络威胁的风险。为了有效应对这些新兴的网络安全挑战,并确保全球汽车市场在安全标准上达成统一,国际社会亟需一套专门的汽车网络安全法规。在此背景下,UN Regulation No.155 - Cyber security and cyber security management system(R155)法规应运而生,该法规由联合国欧洲经济委员会(UNECE)发布,为全球汽车制造商和消费者提供了明确的网络安全指导和坚实保障。
01
适用范围
R155法规适用于特定类型的车辆及其网络和系统,包括但不限于:
M类和N类车辆:这些类别通常指的是乘用车和轻型商用车,包括轿车、多用途车(MPV)、小型卡车等。
O类车辆:如果O类别车辆(如大型卡车和巴士)至少装有一个电子控制单元(ECU),则也需要符合该规范的要求。
L6和L7类车辆:这些类别代表装有自动化驾驶功能的车辆,如果具备L3级或更高级别的自动驾驶功能,也需要遵守R155法规的规定。
02
核心要求
01 网络安全管理系统(CSMS)
R155法规要求车辆制造商必须建立和实施网络安全管理系统(CSMS),这是一套定义组织流程、责任和治理的系统,旨在处理与网络威胁相关的风险,并保护车辆免受网络攻击。
CSMS的基础框架主要由四部分组成,分别是安全策略和目标、风险管理过程、安全开发生命周期、安全运维,以下简要概括这四方面的内容。
安全策略和目标:车辆制造商首要任务是确立明确、全面的网络安全策略和目标。这为企业的网络安全实践提供了方向,同时确保了所有相关人员都能明确理解并遵循统一的网络安全标准,从而奠定坚实的网络安全基础。
风险管理过程:风险管理是网络安全的核心环节。制造商必须实施一套完备的风险管理过程,通过深入识别并评估潜在的网络安全风险,进而采取有效的风险降低措施。这样做不仅可以及时预防安全漏洞,还能在面临威胁时迅速作出反应,确保车辆网络的持续安全。
安全开发生命周期:将网络安全融入车辆的开发生命周期是至关重要的。这意味着从项目伊始,就必须将网络安全作为考量因素,贯穿于需求分析、设计、开发和测试等各个阶段。这样做能够确保车辆在整个开发过程中都具备强大的安全防护能力,从根本上提升产品的安全性。
安全运维:安全运维是保障车辆网络安全持续有效的关键环节。通过制定全面的安全运维计划,包括定期发布安全更新、为用户提供安全培训以及建立快速响应机制等,制造商可以确保车辆在整个使用周期内都能得到及时、专业的网络安全保障,从而为用户提供更加安全、可靠的驾驶体验。
02 车辆型式认证(VTA)
要通过VTA主要需满足两个条件:一是具备CSMS合格证书,通过CSMS的严格审核,企业能够建立起完善的流程和体系,从而在车辆的全生命周期内实施精准的风险控制。二是开展能够映射到R155法规车型要求的网络安全活动,并保留记录。对于车辆网络安全可能面临的威胁,法规在附录5中的A部分列举了67项。附录5中B部分或C部分中提及了一些对于威胁的缓解措施。
对于R155法规的VTA认证,认证机构将对车辆进行严格的审核和评估,包括车辆的信息安全策略、风险管理过程、安全开发生命周期等方面。审核过程中,认证机构将检查车辆是否已将网络安全考虑因素纳入整个开发生命周期,并确保车辆在网络安全方面的完备性。在最终的VTA目击测试阶段,认证机构将以R155法规附录5中的A部分为依据,确定目击测试范围,由检测机构生成测试用例并在样车执行测试,要求全部测试通过。附录5中A部分列举出的威胁包括但不限于内部攻击、软件漏洞利用、物理访问攻击以及针对通信信道的各种攻击手段。这些基线的确立为车辆制造商提供了一个明确的参考框架,以便他们能够更好地理解和应对潜在的网络安全风险,以下仅挑出部分威胁进行分析。
与车辆网络安全相关的威胁
A.车辆服务器威胁
后端服务器可能被用作攻击车辆或提取数据的手段。这包括但不限于工作人员滥用权限(内部攻击)、通过未修补的系统软件漏洞、SQL攻击等其他手段进行的攻击。对服务器的未经授权的物理访问也是一个潜在的威胁,例如通过U盘或其他连接到服务器的媒体进行访问。后端服务器的业务中断也可能影响车辆的正常运行,例如使其无法与车辆互动并提供依赖的服务。
后端服务器上的车辆相关数据存在泄露或丢失的风险,这可能是由于工作人员的滥用权限、云中的信息丢失、或攻击导致的。当数据由第三方云服务提供商存储时,敏感数据可能因攻击或事故而丢失。
B.对车辆通信通道的威胁
车辆可能受到接收到的信息或数据的欺骗,例如冒名顶替的信息欺骗(如车辆GNSS信号等)。存在利用通信信道对车辆持有的代码/数据进行未经授权的操作、删除或其他修改的风险。这包括通信渠道允许代码注入、操纵或覆盖车辆持有的数据/代码等。车辆还可能遭受中间人攻击、会话劫持、重放攻击等,导致信息容易泄露或车辆功能受到破坏。
现代车辆内部包含多个相互连接的电子控制单元(ECU),这些单元之间的通信如果没有得到妥善保护,也可能受到攻击。攻击者可能会尝试篡改这些通信,以影响车辆的性能或安全性。
C.车辆升级过程威胁
在车辆软件或固件升级过程中,升级包可能在传输或存储过程中被篡改,导致车辆系统被注入恶意代码或遭受其他形式的安全威胁。恶意软件可能会被植入到车辆系统中,窃取数据、破坏系统功能或者进行勒索。这类威胁通常通过伪装成合法的软件更新或者利用已知的软件漏洞进行传播。
如果升级过程没有经过严格的验证和测试,可能会引入新的漏洞或不稳定因素,影响车辆的安全性和稳定性。针对车辆或车辆相关服务的拒绝服务攻击可能导致关键服务不可用,从而影响车辆的正常运行。
D.无意识行为威胁
驾驶员或乘客在车辆系统上的无意识误操作,如错误设置一些车辆运行途中的关键参数,可能导致车辆系统异常或安全事故。非专业人员对车辆关键文件的无意识篡改,也有可能对车辆造成潜在的安全风险。
E.车辆外部连接威胁
通过USB、蓝牙等外部连接方式,恶意设备可能被接入车辆系统,进而对车辆进行非法控制或数据窃取。
虽然大多数讨论集中在远程攻击上,但物理访问车辆的接口(如OBD端口)也可能被恶意利用,以篡改车辆数据或注入恶意代码。
当车辆与外部网络进行连接时,如使用车载WiFi或移动数据网络,可能面临来自网络的攻击,如DDoS攻击、中间人攻击等。
F.车辆数据威胁
智能网联汽车收集了大量用户数据,包括行驶习惯、位置信息等。如果这些数据没有得到妥善保护,可能会因系统漏洞或恶意攻击而泄露,用户的隐私可能会受到侵犯。
攻击者可能篡改车辆数据,以影响车辆的正常运行或用于欺诈等非法目的。
如果车辆数据没有得到妥善存储和备份,可能因硬件故障或人为失误而导致数据丢失,对车辆的正常使用和维护造成影响。
G.因未能有效防护或加固导致的潜在威胁
如果加密算法的应用不充分,可能会导致车辆通信和数据存储的安全性受到威胁。攻击者可能利用加密算法的弱点,窃取或篡改车辆数据,进而对车辆进行非法控制或获取敏感信息。
零件受损可能会导致车辆系统功能障碍,进而影响行车安全。如果受损的零件与安全系统相关,还可能直接导致安全漏洞,使车辆易受攻击。
软硬件开发过程中的漏洞可能会导致系统的不稳定或被攻击者利用。这些漏洞可能源于设计缺陷或编码错误等问题。
在CSMS的基础上,VTA认证进一步深入到具体车型的网络安全技术层面,进行严格的审查和批准工作,以确保每一款车型都具备坚实的网络安全防护能力,有效应对各种网络安全挑战。从CSMS到VTA,这一系列认证流程不仅提升了车辆的网络安全标准,也为消费者提供了更加安全可靠的汽车产品。
03 网络安全目标与网络安全需求
R155规定车辆制造商应明确其车型的核心要素,并针对每种车型进行全面深入的风险评估。在评估过程中,制造商需妥善应对和管理所有已识别的风险。风险评估必须综合考虑车型的各个要素以及它们之间的相互影响。此外,评估还应进一步涵盖车辆与外部系统的交互作用。车辆制造商需将附件5中A部分提及的所有威胁纳入考量,同时不忽视任何其他可能存在的相关风险因素。
根据风险评估的结果进而制订相应的网络安全目标,与威胁场景相对应,并考虑攻击路径。每个威胁场景,可能对应多个网络安全目标。网络安全目标应进行核查以确认完整性、正确性和一致性。
对于网络安全而言,需要针对即将开发的车型,通过全面的威胁分析和风险评估(TARA)来识别潜在的网络安全问题,并制定有效的应对策略和具体的处置措施。这一系列的流程旨在精确地明确整车开发的网络安全需求,确保车型能够有效抵御网络威胁。安全需求一般会分配到具体的组件或者环境中。
网络安全目标体现在网络安全需求上,但往往不能直接形成完整的网络安全需求,还需要考虑标准法规、业界认可的最佳实践、企业以往项目的经验等方面的内容。因此,通过网络安全目标的确认测试、网络安全需求的验证测试,可帮助企业确认安全目标的有效性,并验证是否100%实现了产品设计时的网络安全需求。
03
时间规划与实施
法规生效日期:R155法规于2021年1月正式生效,开放申请CSMS和VTA证书。
适用车型与时间:该法规自2022年7月起适用于新车型,自2024年7月起适用于所有车型。在2022年至2024年期间,对于现有架构的新车型上市,若无法按照CSMS开发,则VTA必须证明在开发阶段已充分考虑网络安全。
过渡期结束:2025年1月过渡期结束,要求所有架构所有车型必须符合R155法规的要求。
04
影响与意义
R155法规的实施对汽车制造商和整个汽车行业产生了深远影响。它标志着车辆网络安全从自愿性标准转变为强制遵循的时代,强调了汽车网络安全的重要性。制造商必须加强网络安全管理,提升产品的安全性,以符合法规要求并保护消费者免受网络攻击和数据泄露的风险。
此外,该法规还促进了全球汽车行业的标准化和协作,为建立更安全的联网汽车生态系统奠定了基础。通过要求制造商建立和实施网络安全管理系统,R155有助于确保车辆在整个生命周期内能够抵御网络攻击,从而增强消费者对智能网联汽车的信心。
总的来说,R155法规的实施,对车辆网络安全的提升起到了重要的作用。中汽研科技已构建了满足R155附录5中A部分所有测试项目的检验能力,可面向企业提供R155法规相关的研发验证测试、确认测试及VTA目击测试等检测服务,助力企业出海。未来,中汽研科技将持续开展能力建设,为企业提供满足国内外网络安全要求的整体合规解决方案,助力企业提升车辆网络安全防护能力,为消费者提供更加安全可靠的汽车产品。