随着汽车技术的迅猛发展,智能网联、自动驾驶等先进技术,如GPS、Wi-Fi、蓝牙等,被广泛应用于现代车辆中,极大地提升了驾驶体验和安全性。然而,这些技术的引入也增加了车辆面临网络威胁的风险。为了有效应对这些新兴的网络安全挑战,并确保全球汽车市场在安全标准上达成统一,国际社会亟需一套专门的汽车网络安全法规。在此背景下,UNRegulationNo.155-Cybersecurityandcybersecuritymanagementsystem(R155)法规应运而生,该法规由联合国欧洲经济委员会(UNECE)发布,为全球汽车制造商和消费者提供了明确的网络安全指导和坚实保障。
01
适用范围
R155法规适用于特定类型的车辆及其网络和系统,包括但不限于:
M类和N类车辆:这些类别通常指的是乘用车和轻型商用车,包括轿车、多用途车(MPV)、小型卡车等。
O类车辆:如果O类别车辆(如大型卡车和巴士)至少装有一个电子控制单元(ECU),则也需要符合该规范的要求。
L6和L7类车辆:这些类别代表装有自动化驾驶功能的车辆,如果具备L3级或更高级别的自动驾驶功能,也需要遵守R155法规的规定。
02
核心要求
01网络安全管理系统(CSMS)
CSMS的基础框架主要由四部分组成,分别是安全策略和目标、风险管理过程、安全开发生命周期、安全运维,以下简要概括这四方面的内容。
风险管理过程:风险管理是网络安全的核心环节。制造商必须实施一套完备的风险管理过程,通过深入识别并评估潜在的网络安全风险,进而采取有效的风险降低措施。这样做不仅可以及时预防安全漏洞,还能在面临威胁时迅速作出反应,确保车辆网络的持续安全。
安全开发生命周期:将网络安全融入车辆的开发生命周期是至关重要的。这意味着从项目伊始,就必须将网络安全作为考量因素,贯穿于需求分析、设计、开发和测试等各个阶段。这样做能够确保车辆在整个开发过程中都具备强大的安全防护能力,从根本上提升产品的安全性。
安全运维:安全运维是保障车辆网络安全持续有效的关键环节。通过制定全面的安全运维计划,包括定期发布安全更新、为用户提供安全培训以及建立快速响应机制等,制造商可以确保车辆在整个使用周期内都能得到及时、专业的网络安全保障,从而为用户提供更加安全、可靠的驾驶体验。
02车辆型式认证(VTA)
要通过VTA主要需满足两个条件:一是具备CSMS合格证书,通过CSMS的严格审核,企业能够建立起完善的流程和体系,从而在车辆的全生命周期内实施精准的风险控制。二是开展能够映射到R155法规车型要求的网络安全活动,并保留记录。对于车辆网络安全可能面临的威胁,法规在附录5中的A部分列举了67项。附录5中B部分或C部分中提及了一些对于威胁的缓解措施。
对于R155法规的VTA认证,认证机构将对车辆进行严格的审核和评估,包括车辆的信息安全策略、风险管理过程、安全开发生命周期等方面。审核过程中,认证机构将检查车辆是否已将网络安全考虑因素纳入整个开发生命周期,并确保车辆在网络安全方面的完备性。在最终的VTA目击测试阶段,认证机构将以R155法规附录5中的A部分为依据,确定目击测试范围,由检测机构生成测试用例并在样车执行测试,要求全部测试通过。附录5中A部分列举出的威胁包括但不限于内部攻击、软件漏洞利用、物理访问攻击以及针对通信信道的各种攻击手段。这些基线的确立为车辆制造商提供了一个明确的参考框架,以便他们能够更好地理解和应对潜在的网络安全风险,以下仅挑出部分威胁进行分析。
A.车辆服务器威胁
B.对车辆通信通道的威胁
现代车辆内部包含多个相互连接的电子控制单元(ECU),这些单元之间的通信如果没有得到妥善保护,也可能受到攻击。攻击者可能会尝试篡改这些通信,以影响车辆的性能或安全性。
C.车辆升级过程威胁
在车辆软件或固件升级过程中,升级包可能在传输或存储过程中被篡改,导致车辆系统被注入恶意代码或遭受其他形式的安全威胁。恶意软件可能会被植入到车辆系统中,窃取数据、破坏系统功能或者进行勒索。这类威胁通常通过伪装成合法的软件更新或者利用已知的软件漏洞进行传播。
D.无意识行为威胁
驾驶员或乘客在车辆系统上的无意识误操作,如错误设置一些车辆运行途中的关键参数,可能导致车辆系统异常或安全事故。非专业人员对车辆关键文件的无意识篡改,也有可能对车辆造成潜在的安全风险。
E.车辆外部连接威胁
通过USB、蓝牙等外部连接方式,恶意设备可能被接入车辆系统,进而对车辆进行非法控制或数据窃取。
虽然大多数讨论集中在远程攻击上,但物理访问车辆的接口(如OBD端口)也可能被恶意利用,以篡改车辆数据或注入恶意代码。
当车辆与外部网络进行连接时,如使用车载WiFi或移动数据网络,可能面临来自网络的攻击,如DDoS攻击、中间人攻击等。
F.车辆数据威胁
智能网联汽车收集了大量用户数据,包括行驶习惯、位置信息等。如果这些数据没有得到妥善保护,可能会因系统漏洞或恶意攻击而泄露,用户的隐私可能会受到侵犯。
攻击者可能篡改车辆数据,以影响车辆的正常运行或用于欺诈等非法目的。
如果车辆数据没有得到妥善存储和备份,可能因硬件故障或人为失误而导致数据丢失,对车辆的正常使用和维护造成影响。
G.因未能有效防护或加固导致的潜在威胁
如果加密算法的应用不充分,可能会导致车辆通信和数据存储的安全性受到威胁。攻击者可能利用加密算法的弱点,窃取或篡改车辆数据,进而对车辆进行非法控制或获取敏感信息。
软硬件开发过程中的漏洞可能会导致系统的不稳定或被攻击者利用。这些漏洞可能源于设计缺陷或编码错误等问题。
在CSMS的基础上,VTA认证进一步深入到具体车型的网络安全技术层面,进行严格的审查和批准工作,以确保每一款车型都具备坚实的网络安全防护能力,有效应对各种网络安全挑战。从CSMS到VTA,这一系列认证流程不仅提升了车辆的网络安全标准,也为消费者提供了更加安全可靠的汽车产品。
03网络安全目标与网络安全需求
根据风险评估的结果进而制订相应的网络安全目标,与威胁场景相对应,并考虑攻击路径。每个威胁场景,可能对应多个网络安全目标。网络安全目标应进行核查以确认完整性、正确性和一致性。
对于网络安全而言,需要针对即将开发的车型,通过全面的威胁分析和风险评估(TARA)来识别潜在的网络安全问题,并制定有效的应对策略和具体的处置措施。这一系列的流程旨在精确地明确整车开发的网络安全需求,确保车型能够有效抵御网络威胁。安全需求一般会分配到具体的组件或者环境中。
网络安全目标体现在网络安全需求上,但往往不能直接形成完整的网络安全需求,还需要考虑标准法规、业界认可的最佳实践、企业以往项目的经验等方面的内容。因此,通过网络安全目标的确认测试、网络安全需求的验证测试,可帮助企业确认安全目标的有效性,并验证是否100%实现了产品设计时的网络安全需求。
03
法规生效日期:R155法规于2021年1月正式生效,开放申请CSMS和VTA证书。
过渡期结束:2025年1月过渡期结束,要求所有架构所有车型必须符合R155法规的要求。
04
影响与意义
R155法规的实施对汽车制造商和整个汽车行业产生了深远影响。它标志着车辆网络安全从自愿性标准转变为强制遵循的时代,强调了汽车网络安全的重要性。制造商必须加强网络安全管理,提升产品的安全性,以符合法规要求并保护消费者免受网络攻击和数据泄露的风险。
此外,该法规还促进了全球汽车行业的标准化和协作,为建立更安全的联网汽车生态系统奠定了基础。通过要求制造商建立和实施网络安全管理系统,R155有助于确保车辆在整个生命周期内能够抵御网络攻击,从而增强消费者对智能网联汽车的信心。