对比解读国际R155法规和GB整车强标要求的差异性

附:汽车整车信息安全技术要求和R155法规文档,文末下载

在早期的汽车软件设计中,汽车本身很少与外界互联,并没有考虑太多的安全性。而随着电子电气架构的发展,大量的软件控制取代了机械控制,带来了ADAS、OTA等智能网联功能,汽车不再是单纯的机械物件,开启了万物互联的时代。然而智能网联为我们带来便利的同时,也带来潜在的信息安全风险。

当汽车进入新能源时代,车载T-BOX、IVI系统,OBU车载设备等外连端口的增加带来更多潜在的入侵途径,黑客可以通过射频系统、3G/4G、蓝牙,wifi等入侵窜改数据,破坏安全。

2015年,Jeep切诺基车载娱乐系统被曝存在漏洞,黑客可以通过这些漏洞远程控制刹车与转向系统,直接导致Jeep公司召回150万辆汽车。

2019年,有研究人员在特斯拉 Model S的电子钥匙中发现了一处安全漏洞,或允许攻击者快速克隆电子钥匙并偷走汽车,且全程无需直接接触车主的电子钥匙。

此后,特斯拉Model X又被爆出无钥匙进入系统中的漏洞允许进行不同类型的更新,黑客可以通过蓝牙连接重写密钥卡的固件,从密钥卡上解锁代码,据称,只需要90秒,300美元成本就能偷走一辆Model X。

2022年汽车行业网络安全事件中,远程通信和应用服务器遭受攻击占比达到35%,无钥匙远程进入系统占比18%。

汽车领域的安全问题,不仅可能损害个人隐私、财产,甚至造成驾驶生命安全威胁。

为应对汽车网络安全问题,建立健全车联网网络安全和数据安全保障体系,第一步就是相关标准法规的建设。

今年5月初,工信部开展了《汽车整车信息安全技术要求》等四项强制性国家标准的修订,并形成了征求意见稿,公开征求社会各界意见,汽车产业链上下游必须直面汽车网络安全问题。这份标准被业界称为史上最详细的汽车信息安全强制标准。

在国际上2021年颁布了R155法规,是全球第一个汽车信息安全强制法规,法规规定了车辆制造商需要满足的信息安全强制要求。但是R155法规只适用于1958协议下成员国,中国1958协议国中(如果是生产的汽车要销售到这些成员国家中还是需要通过R155相关认证)

本文对比分析国内的汽车整车信息安全技术要求强标和国际R155法规的区别不同。

法规初步介绍

1.国际法规——R155

当前信息安全国际法规主要是联合国车辆法规协调论坛(WP29)发布的《关于网络安全和网络安全管理系统车辆审批的统一规定》(简称R155)。

R155在2021年1月份生效,规定了在2024年7月之前所有的车型都必须通过法规要求,2021-2024年是过渡期。R155法规对汽车网络安全强制要求划分为两部分内容:

一是针对汽车制造商的网络安全管理体系要求,对应网络安全管理体系认证(CSMS)。

二是针对车辆产品的网络安全能力要求,对应车联网络安全型式认证(VTA)

CSMS:信息安全管理系统,包含有管理、流程、开发等多个方面的要求。

VTA:车型认证,即基于CSMS进行开发车型的认证。

这两部分各自需要进行认证并获得证书,认证的主体是主机厂,但是主机厂可能将具体的信息安全需求进一步传递给Tier1,Tier2供应商。

2.国内法规——《汽车整车信息安全技术要求》强标意见稿

强标意见稿结合网络安全法、《GB/T 40861-2021 信息安全技术 汽车信息安全通用技术要求》,以及RI55《关于信息安全和信息安全管理体系的汽车型式批准统一规定》制定。

从文件来看,《汽车整车信息安全技术要求(征求意见稿)》提出,应建立车辆的开发阶段、生产阶段及后生产阶段在内的车辆全生命周期的汽车信息安全管理体系,涉及企业内部信息安全管理,车辆信息安全风险识别与处理,车辆信息安全测试,检测、响应、上报针对车辆的网络攻击和威胁,以及相关主题之间信息安全以来关系五个方面的流程。

一方面,作为强制性国家标准,待未来《汽车整车信息安全技术要求》正式颁布施行后,主机厂需要严格遵守该标准,因此其具有更高的效力。在一定程度上,或将提高汽车产品的安全门槛。

另一方面,征求意见的《汽车整车信息安全技术要求》也更加细致,针对OTA、V2X等整车网络安全相关细分技术领域,提出了更为详细的规范要求,未来可能与车辆段准入挂钩。

国内法规与国际法规要求区别介绍

在CSMS系统要求上基本保持一致,但在技术要求、审核方式上有差异。

1.汽车信息安全管理体系要求

R155针对所有UN1958缔约国生效,GB整车强标只针对中国生效。

R155是基于联合国《1958协定书》的,在汽车工业中,主要有2个协定:《1958协定书》和《1998协定书》。中国没有加入1958协定,只加入了1998协定,因此R155并没有直接影响到中国的企业。

2.VTA对象不同

R155可以针对E/E架构平台开展,一次认证可以应用于多个具体车型,而GB整车强标是针对每个具体车型开展认证,以及对同一形式判定方式有部分内容不同。

3.信息安全技术要求

R155强调过程,GB整车强标强调具体要求R155的具体要求完全依赖TARA分析产生,范围至少需要覆盖附录5中的内容,R155的VTA测试内容不是固定的,而GB整车强标则明确了具体的技术要求及测试方法,测试内容、测试方法是基本固定的。

总体来看,GB整车强标和R155在多数方面都保持了一致。但R155在识别和处置安全风险时提供了更具体的指导,而GB则在漏洞上报方面有更严格的要求。这些差别突显了两者在保证汽车信息安全方面的拥有不同焦点和方法论,也为企业提供了一个更全面和多元的视角来建立和维护汽车信息安全管理体系。

车辆信息安全一般要求的区别

  • 一致点:

1.都强调了需要遵循汽车信息安全管理体系要求,都要求在VTA之前获得CSMS认证。车辆制造商应识别车辆的关键要素,对车辆进行风险评估,并管理已识别的风险。

2.都要求车辆制造商识别和管理与供应商相关的风险。

3.如有专用环境,车辆制造商应采取措施,以保护车辆用于存储和执行后装软件、服务、应用程序或数据的专用环境。

4.车辆制造商应通过测试来验证所实施的信息安全措施的有效性。

5.检测和预防网络攻击的措施,都有对应的条目要求。

6.为分析网络攻击、网络威胁和漏洞提供数据取证能力。

  • 不同点:

1.车辆制造商应采取处置措施保护车辆不受风险评估中已识别的风险影响

尽管两者都有相关要求,但基于不同的引用和方法来制定保护措施。GB整车强标是基于第七章的要求进行保护,而R155则是基于TARA分析结果并主要参考Annex 5, Part B和Part C来开展保护。

2.密码安全要求

GB整车强标和R155在这方面有不同的要求。GB整车强标规定需要采用符合国际、国家或行业标准的密码模块,而R155没有强制要求加密方式。

3.车辆应采用默认安全设置

GB整车强标有明确的要求,而R155没有独立的条目来要求这一点,它是依赖于TARA分析结果来决定的。

4.汽车数据处理活动中的数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知等要求

GB整车强标有具体的要求,需符合特定的规定,而R155没有特定的条目来规定这些要求。

技术要求区别

1.系统完整性和漏洞管理

GB整车强标技术要求中,强调了需要确保系统的可信根、引导加载程序和系统固件不被篡改,并在受到篡改时可以通过安全机制确保其无法正常启动。此外,要求车辆软件系统不应存在任何已知的高危安全漏洞。

UNECE R155也要求车辆制造商实施风险评估和缓解措施,包括注意到可能的高级漏洞和攻击手段,并考虑可能的攻击影响,来确定风险的严重程度。

2.身份验证和数据验证

GB整车强标要求,明确规定车辆和在线升级服务器需要进行身份验证以保证其身份的真实性,同时要验证升级包的真实性和完整性。

UN155不直接讨论身份验证和数据验证问题,它强调了通过对潜在的威胁、漏洞和攻击手段进行全面分析来实现安全性。

3.数据保护和个人信息

GB整车强标要求,对数据保护和个人信息进行了全面保护,包括对存储在车内的关键数据、安全日志和个人信息的保护,以及对数据的安全存储和传输的规定。在UN155中,也明确提及了要考虑数据的完整性、保密性和保护措施,确保数据不会被非授权访问或丢失。

4.日志记录和实践追踪

GB整车强标要求,强调了需要记录在线升级过程中的失败事件,并保证日志存储时间不少于6个月。

在UN155规定制造商应进行全面的威胁分析,其中可能包含可能发生的不同攻击影响的记录和评估,没有具体提及日志存储的时间要求。

GB整车强标在R155的基础上针对国内国情进行了更为细致和有针对性的调整优化。它们共同构筑了一个多元化且层次丰富的指导体系,旨在协助车辆制造商筑牢车辆的网络安全防线。

在近两年接触到的爆发式增长的信息安全需求,建议国内主机厂、涉及到电子电气架构零部件的供应商,都应该开始对信息安全进行治理,主要原因是:

1.汽车网络攻击的威胁将会进一步加剧:一方面汽车软件化将会进一步提升,另外一方面传统IT出生的黑客对汽车系统的了解将会快速加深,上文中已有的被攻击的案例就能说明攻击汽车的可行性。

2.信息安全将会被法律法规强制化:国际国内法规在近两年发展非常快速,信息安全马上将会强制化。

3.信息安全实施需要时间:就以当前R155中要求的CSMS认证来说,其中涉及到了管理、流程、开发、验证、持续管理、供应商管理等,根据不同的企业和项目需要的时间不同。实际上在R155颁布(2021年初)以来,当前几乎还没有车企获得相应的证书。因此为了避免临时转型阵痛,信息安全需要及早投入。

信息安全法规资料获取:信息安全法规

文章来源:汽车学堂Automooc

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/13868.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

VSCODE调试C++(本人是openfoam求解器)时无法显示Vector,map等容器的值

一维数组&#xff1a; 可以在watch内添加表达式&#xff1a;*(type(*)[size])vectorName 例如&#xff1a;想查看vector<int> nums(6), 可以添加*(int(*)[6])nums。 上面是一维数组情况&#xff1a; ((double (*)[1000])&U[1000]) 表示从下标1000开始访问1000-200…

C++实现童年游戏

其中多处坐标的代码是经过运算移项推导出的 #include<easyx.h> #include<conio.h> #include<time.h> #include<stdio.h> bool Timer(int id, int ms)//计时器&#xff0c;过了多少毫秒就会返回真 {static long start[3] { 0 };long last clock();if…

关于linux的防护,以及群集你要知道的有哪些11-搭建Zabbix监控系统

1、zabbix具备功能 主机的性能监控、网络设备性能监控、数据库性能监控、多种警告方式、详细报表图表绘制 2、zabbix的监测对象 Linux服务器、Windows服务器、路由器、交换机等网络设备 3、zabbix的监控架构 server-client架构&#xff1a;适用于网络比较简单&#xff0c…

Qt 科目一考试系统(有源码)

项目源码和资源&#xff1a;科目一考试系统: qt实现科目一考试系统 一.项目概述 该项目是一个基于Qt框架开发的在线考试系统&#xff0c;主要实现了考试题目的随机抽取、考试时间限制、成绩统计等功能。用户可以通过界面操作进行考试&#xff0c;并查看自己的考试成绩。 二.技…

threejs的基本属性

1.创建场景,摄像机,渲染器,几何体,材质,网格 网格 物体材质 场景.add(网格),网格加入场景中 场景.add(坐标辅助器) 渲染 场景摄像机 相机的轨道控制器是个单独的对象 import ./style.css import * as THREE from three import { OrbitControls } from three/examples/j…

利用element实现简单右键

利用element-plus中的el-menu实现简单右键 实现如下 <template><main class"mainClass" contextmenu"showMenu($event)"> </main><el-menu:default-active"1"class"el-menu-demo"mode"vertical":col…

操作系统入门系列-MIT6.828(操作系统工程)学习笔记(一)---- 操作系统介绍与接口示例

MIT6.S081&#xff08;操作系统&#xff09;学习笔记 操作系统入门系列-MIT6.S081&#xff08;操作系统&#xff09;学习笔记&#xff08;一&#xff09;---- 操作系统介绍与接口示例 操作系统入门系列-MIT6.828&#xff08;操作系统工程&#xff09;学习笔记&#xff08;二&a…

8.11 矢量图层线要素单一符号使用三(插值线)

文章目录 前言插值线&#xff08;Interpolated Line&#xff09;QGis设置线符号为插值线&#xff08;Interpolated Line&#xff09;二次开发代码实现插值线&#xff08;Interpolated Line&#xff09; 总结 前言 本章介绍矢量图层线要素单一符号中插值线&#xff08;Interpol…

基于地理坐标的高阶几何编辑工具算法(4)——线分割面

文章目录 工具步骤应用场景算法输入算法输出算法示意图算法原理 工具步骤 选中待分割面&#xff0c;点击“线分割面”工具&#xff0c;绘制和面至少两个交点的线&#xff0c;双击结束&#xff0c;执行分割操作 应用场景 快速切分大型几何面&#xff0c;以降低面的复杂度&…

496.下一个更大的元素

刷算法题&#xff1a; 第一遍&#xff1a;1.看5分钟&#xff0c;没思路看题解 2.通过题解改进自己的解法&#xff0c;并且要写每行的注释以及自己的思路。 3.思考自己做到了题解的哪一步&#xff0c;下次怎么才能做对(总结方法) 4.整理到自己的自媒体平台。 5.再刷重复的类…

【Makefile】Makefile 编译 Keil 工程(Linux 环境)

本文使用的开发板为 stm32f103C8T6&#xff0c;使用的驱动库为stm32标准库。 目录 一、软件下载 1、stm32 标准库 2、arm-none-eabi 工具链 3、烧录器 二、Keil 工程改造 1、Keil 工程 2、基本 Makefile 工程 3、添加启动文件 4、添加链接脚本 5、去掉 core_cm3.c 三…

05Django项目--前端公共文件和其他html文件的适配

对应视频链接点击直达 Django项目--前端公共文件和其他html文件的适配 对应视频链接点击直达前端页面准备Pubilc页面设置 OVER&#xff0c;不会有人不会吧不会的加Q1394006513结语 接着上一节 前端页面准备 为了方便大家更好的复制&#xff0c;我把整个项目及templates文件夹和…

Buffer Pool中是如何管理Page页

Page页分类:在BP的底层采用的是链表数据结构管理Page。Page根据状态可以分为3中类型 1)free Page:空闲Page&#xff0c;未被使用的Page。 2)clean Page:被使用的Page&#xff0c;但是数据没有修改过。 3)dirty Page:脏页&#xff0c;被使用过的Page&#xff0c;并且数据被修…

FastDfs快速安装和数据迁移同步。Ubuntu环境

一&#xff1a;防火墙 ufw status 二&#xff1a;下载 分别是&#xff08;环境依赖&#xff0c;网络模块依赖&#xff0c;安装包&#xff09; git clone https://github.com/happyfish100/libfastcommon.git git clone https://github.com/happyfish100/libserverframe.git …

nginx服务器执行的过程

一:打包 1.打包前的分析 文件路径下npm run preview -- --report 生成打包之后的内容 2.解决有些内容体积过大的问题 1.删除有些不使用但是占用较多的,将main.js上import删除,打包时不会有 2.不能删除但是内容较大的 vue.config.js文件夹下 externals: { vue: Vue,…

Jenkins动态slave

目录 所需环境 安装nfs 部署Jenkins 安装插件 ​编辑添加凭据 配置动态slave 连接kubernetes集群 ​编辑配置Jenkins地址 ​编辑配置Pod模板 ​编辑确认代理端口 创建任务测试 在当今软件开发生命周期中&#xff0c;持续集成/持续部署&#xff08;CI/CD&#xff09;已…

Selenium 异常类详解

在使用 Selenium 进行 Web 自动化测试时&#xff0c;经常会遇到各种异常情况。了解这些异常并掌握如何处理它们对于编写稳定可靠的测试脚本至关重要。本文将详细介绍 Selenium 中常见和不常见的异常类及其使用场景。 Selenium 常见异常类列表 序号异常类基类描述1selenium.co…

告别死记硬背!这一AI学习法让你和别人的差距越拉越大

文章目录 一、初步提问二、需求分析三、提示词初步设计四、提示词迭代五、需求扩展 今天我要分享的是如何利用GPT来辅助学习和理解各种繁琐、复杂、抽象的教材内容或者冗长的片段。 今天将以《操作系统教程》中的内存管理章节为例进行讲解。 本次采用的大模型是通义千问2.5&am…

STM32---蓝牙模块ECB02(从机模式_与手机通信)

目录 1、ECB02 重点 参数 2、引脚说明 3、AT指令使用重点 4、使用USB转TTL模块测试 5、STM32开发板的接线 6、STM32通信代码 7、手机小程序 连接ECB02 1、ECB02 重点 参数 蓝牙协议&#xff1a; 5.2主从模式&#xff1a;主、从一体&#xff0c;可设置睡眠模式&#xff…

职业规划与指导

文章目录 职业规划与指导2024心得2405架构师的必经之路 职业规划与指导2024 心得 但凡工作中&#xff0c;能够搞明白的就在工作中把原理使用等等搞明白&#xff0c;但凡工作中搞不明白的&#xff0c;业余也不用花时间在去搞明白&#xff0c;因为工作中都搞不明白的事&#xf…