【AutoCS】认检科普|强标出台!解读国内智能网联汽车信息安全标准法规新动态

文摘   2024-10-14 17:14   上海  




认检科普













在数字化浪潮的推动下,汽车行业正经历着前所未有的变革。智能网联汽车作为这一变革的前沿产物,不仅极大地提升了驾驶的便捷性和舒适性,也引入了全新的信息安全挑战。随着车辆越来越依赖于复杂的软件系统和网络连接,确保汽车信息安全从而保障智能网联汽车的安全运行变得至关重要。作为中央企业及国检机构,中机认检智能网联汽车信息安全实验室紧跟标准法规及行业趋势,本文将介绍智能网联汽车信息安全最新的法规、标准化进展及测试技术,帮助行业同仁快速了解标准法规动态并做出有效应对。


Science Technology


国外有哪些相关的信息安全法规?


国外智能网联汽车信息安全法规主要有UNECE(联合国欧洲经济委员会)发布的法规如UN R155(信息安全)和UN R156(软件更新),还有GDPR(一般数据保护条例)等;标准主要有ISO/SAE 21434(道路车辆-信息安全工程)、ISO/PAS 5112(道路车辆信息安全工程审计)、ISO 24089(道路车辆软件更新工程)、ITU-T Q13/17 X.1376(基于大数据的联网汽车安全异常行为检测机制)、ITU-T Q13/17 X.idse(车辆入侵检测系统评价方法)、ISO/IEC 27000(信息安全管理系列标准)等。这些国际法规和标准主要专注信息安全管理和风险管理两个大方面,其中信息安全管理覆盖了产品的全生命周期、安全工程不同阶段,以及组织层面;风险管理包括漏洞分析和攻击分析,然后进行风险评估。


其中,R155和R156作为网联汽车信息安全领域最重要的两项标杆法规,于2020年6月发布。R155专注于车辆在信息安全和信息安全管理系统方面的规定,而R156则聚焦于车辆软件更新和软件更新管理系统。以上法规并不要求特定的车辆设计或技术,也不保证车辆无法被入侵,其目标是确保主机厂采取了合理的措施以及最小化信息安全风险。当前,汽车产品销售到欧盟区域,必须获得R155和R156认证。可以说,他们是我国汽车产品出海欧洲的一张“入场券”。


R155及R156实施时间要求: 

R155及R156的合规认证包含两部分:一是管理体系认证,二是整车型式认证。法规的最终目标不仅仅是构建一个有效的体系,而是在体系保障下研发车辆,最终获得VTA车型认证,并确保在道路上行驶的车辆得到安全保障。为了获得VTA车型认证,主机厂必须先完成体系认证。

 

R155/156认证流程:

国内智能网联汽车信息安全标准法规新动态


作为汽车产业转型升级的重要战略方向,智能网联汽车信息安全和数据安全也受到了我国政府的高度重视。从工信部和国家标委会联合修订的《国家车联网产业标准体系建设指南(智能网联汽车)(2023版)》中可知,到2025年,我国将制修订100项以上智能网联汽车相关标准,涵盖组合驾驶辅助、自动驾驶关键系统、网联基础功能及操作系统、高性能计算芯片及数据应用等标准,并贯穿功能安全、预期功能安全、网络安全和数据安全等安全标准。


常说的“强标”是什么?


2024年8月23日,国家正式发布了包括GB 44495-2024《汽车整车信息安全技术要求》、GB 44496-2024《汽车软件升级通用技术要求》以及GB/T 44464-2024《汽车数据通用要求》等在内的多项国家强制性标准。其中GB 44495-2024、GB 44496-2024就是常说的信息安全“强标”,并将于2026年1月起正式实施。强标的制定大体参考了R155、R156法规,但在内容格式、执行方式等方面有部分差异。强标的合规判定参考国际法规R155、R156主要分为两部分,一是体系(CSMS/SUMS),二是车辆型式试验(VTA)。

强标与R155/R156在结构上有什么不同?




综合来看,强标和R155、R156在确保汽车系统的安全性和数据保护方面有很多共通之处。它们都强调了对系统完整性的保护,确保整体安全和对潜在威胁的缓解措施。同时,二者存在着一些差异,例如R155、R156没有给出具体的技术要求和试验方法,而强标则都提供了,并且体系审核方式和管理能力的检验方式均有区别。总的来说,强标在R155、R156的基础上针对国内国情进行了更为细致和有针对性的调整优化,强标更符合中国国情。

强标的测试要求和传统汽车测试要求有何不同?


R155/156 测试实施流程:


信息安全测试与传统测试的比较:


总的来说,传统测试对测试环境及测试设备的要求更高,而信息安全测试在测试人员自身经验以及对测试工具的使用熟练程度有更高要求。


针对强标,中机认检能为您带来哪些服务?



在资质方面,中机认检现已具备UN R155、UN R156、GB/T 40855、GB/T 40856、GB/T 40857在内的全项CMA资质认定及CNAS认可,GB 44495、GB 44496、GB/T 44464资质正在扩项中,预计2024年获得全项CMA资质认定及CNAS认可。


在能力方面,中机认检可提供一站式信息安全服务能力:

·针对R155/R156法规的一站式服务:一站式完成CSMS/SUMS体系咨询辅导及VTA咨询验证服务。解决体系搭建及车型VTA过程中各项信息安全标准法规及攻击防范措施在产品设计、开发、运维过程中的各类技术问题,帮助客户筹备认证活动,助力企业满足合规要求。


·针对强标法规测试的一站式服务:一站式完成强标体系咨询、辅导、审核及测试验证服务,出具相应法规报告。


·针对研发需求的一站式渗透测试服务:针对信息安全“云-管-端”开展全方位的智能网联汽车渗透测试,针对整车及零部件进行测试,实施网络攻击、软件及数据篡改、发现漏洞、敏感数据加密等测试,验证所采用安全策略及措施,完成风险点的分析及评估等工作,针对存在的整车信息安全问题,提出合理有效的建议。待修复方案完成后,再进行整车系统全面的回归测评,以确保车联网系统整体的信息安全性。


·针对安全功能开发的一站式服务:可以基于测试结果,从法规合规的角度帮助OEM及零部件厂商开展架构建设技术支撑。基于团队大量的测试经验及技术总结提炼,帮助客户进行安全方案设计、安全组件开发、整车安全架构优化,助力客户从设计开发端满足合规要求。


·全生命周期赋能OEM:基于全流程信息安全技术服务,帮助客户赋能管理、研发、运营贯穿式的整车全生命周期信息安全能力。


·工程师培训:通过“理论与实践”的培训模式,开展内容涵盖国内外法规标准解读、车联网硬件安全、总线安全、车机安全、车载固件安全等多方面的培训,既注重理论知识的学习,又确保实操技术的提升。

 中机认检已建成的智能网联汽车信息安全实验室,作为开放的信息安全技术研究和创新平台,将持续为探索信息安全前沿技术赋能、为培养信息安全人才助力、为解决信息安全风险提供保障、为智能网联汽车产业安全、健康、高质量发展保驾护航。













业务联系方式:

张松涛:18911597837

贾金山:13718169324

朱桂昌:13426289589

杨智博:18618363450













撰稿:冯献(中机博也)

主编:吉扬





ArtiAuto 匠歆汽车
匠歆会展是一家全球性的活动公司,通过会议和培训向汽车制造、出行、教育、生命科学等行业的领先商业、学术、政府和研究机构提供前沿信息。旗下品牌包括匠歆汽车(ArtiAuto)、匠歆出行(ArtiMobi)、匠歆教育(ArtiEdu)等。
 最新文章