R155/R156：汽車網(wǎng)絡(luò)安全新法規(guī)快速指南

隨著國(guó)際機(jī)構(gòu)進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域，制定法規(guī)、標(biāo)準(zhǔn)和指南，公眾在其使用的車輛中享受更好的網(wǎng)絡(luò)安全保護(hù)指日可待。隨著時(shí)間的推移，車輛網(wǎng)絡(luò)安全將不斷發(fā)展以應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)威脅。

歐洲經(jīng)濟(jì)委員會(huì) (ECE) 的 R155 和 R156 法規(guī)旨在應(yīng)對(duì)聯(lián)網(wǎng)車輛面臨的日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅。這些法規(guī)為聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì) (UNECE) 區(qū)域內(nèi)銷售的所有車輛設(shè)定了最低的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，旨在提高聯(lián)網(wǎng)汽車的網(wǎng)絡(luò)安全，該區(qū)域涵蓋 64 個(gè)國(guó)家。

該法規(guī)于 2021 年 3 月 1 日發(fā)布，并于 2022 年 7 月 1 日起對(duì)所有在歐盟經(jīng)濟(jì)區(qū) (EEA) 上市的新車型強(qiáng)制實(shí)施。

R155/R156 涵蓋哪些內(nèi)容？

R155：?設(shè)置了車輛網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS) 的一般要求。要求車輛制造商建立一個(gè)網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS)，以識(shí)別、評(píng)估和降低車輛網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

CSMS 必須包括以下要素：

1. 安全策略和目標(biāo)：車輛制造商必須制定書面安全策略和目標(biāo)，明確其網(wǎng)絡(luò)安全責(zé)任和目標(biāo)

2.風(fēng)險(xiǎn)管理過(guò)程：車輛制造商必須建立一個(gè)風(fēng)險(xiǎn)管理過(guò)程，以識(shí)別、評(píng)估和降低車輛網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該過(guò)程應(yīng)包括以下步驟：

風(fēng)險(xiǎn)識(shí)別：識(shí)別車輛中可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估：評(píng)估風(fēng)險(xiǎn)的嚴(yán)重性和發(fā)生可能性。風(fēng)險(xiǎn)降低：采取措施降低風(fēng)險(xiǎn)。

3. 安全開(kāi)發(fā)生命周期：車輛制造商必須將網(wǎng)絡(luò)安全考慮因素納入車輛的整個(gè)開(kāi)發(fā)生命周期。該過(guò)程應(yīng)包括以下步驟：

需求分析：在需求分析階段識(shí)別網(wǎng)絡(luò)安全需求。

設(shè)計(jì)：在設(shè)計(jì)階段考慮網(wǎng)絡(luò)安全。

開(kāi)發(fā)：在開(kāi)發(fā)階段實(shí)施網(wǎng)絡(luò)安全措施。

測(cè)試：在測(cè)試階段測(cè)試網(wǎng)絡(luò)安全措施。

4 安全運(yùn)維：車輛制造商必須制定安全運(yùn)維計(jì)劃，以確保車輛的網(wǎng)絡(luò)安全在整個(gè)生命周期內(nèi)得到維護(hù)。該計(jì)劃應(yīng)包括以下內(nèi)容：

安全更新：及時(shí)發(fā)布安全更新，修復(fù)已知漏洞。安全培訓(xùn)：為車輛所有者和用戶提供安全培訓(xùn)。安全事件響應(yīng)：制定安全事件響應(yīng)計(jì)劃，以應(yīng)對(duì)網(wǎng)絡(luò)安全事件。

R156：?聯(lián)合國(guó)法規(guī)第 156 號(hào)是聯(lián)合國(guó)制定的一項(xiàng)法規(guī)，專門處理車輛的軟件更新和軟件更新管理系統(tǒng)。該法規(guī)于 2021 年頒布，旨在提高車輛軟件更新的安全性、可靠性和穩(wěn)定性，同時(shí)確保制造商擁有一個(gè)健全的流程來(lái)管理更新過(guò)程。

目標(biāo)：提高車輛軟件更新的安全性和可靠性。降低與軟件更新相關(guān)的網(wǎng)絡(luò)攻擊和其他漏洞風(fēng)險(xiǎn)。確保制造商在整個(gè)車輛生命周期內(nèi)擁有一個(gè)結(jié)構(gòu)化的軟件更新管理方法。

范圍：涵蓋所有軟件更新，包括通過(guò)空中下載 (OTA) 和傳統(tǒng)方式提供的更新。適用于車輛的所有電子控制單元 (ECU) 和軟件組件。

要求：制造商必須建立一個(gè)?軟件更新管理系統(tǒng) (SUMS)?來(lái)監(jiān)督更新過(guò)程。SUMS 必須包含風(fēng)險(xiǎn)評(píng)估、漏洞識(shí)別、更新測(cè)試和部署等程序。制造商必須實(shí)施安全措施，以防止未經(jīng)授權(quán)的訪問(wèn)和篡改軟件更新。他們還必須向車主提供有關(guān)軟件更新的清晰透明的信息，包括潛在的風(fēng)險(xiǎn)和好處。

UN 法規(guī)第 156 號(hào)的影響：

增強(qiáng)安全性：?該法規(guī)預(yù)計(jì)將導(dǎo)致更安全的軟件更新和更好的網(wǎng)絡(luò)攻擊防護(hù)。

提高可靠性：?強(qiáng)大的更新管理程序應(yīng)該可以減少更新失敗和其他軟件問(wèn)題。

增加透明度：?車主將獲得更多有關(guān)軟件更新的信息，并能夠做出是否安裝更新的明智決定。

R155/R156 的主要優(yōu)勢(shì)：增強(qiáng)車輛安全性：?降低網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，防止攻擊者入侵車輛系統(tǒng)并危及駕駛員和乘客安全。標(biāo)準(zhǔn)化方法：?為 UNECE 區(qū)域內(nèi)的所有汽車制造商創(chuàng)造公平競(jìng)爭(zhēng)環(huán)境，促進(jìn)公平競(jìng)爭(zhēng)和創(chuàng)新。增強(qiáng)消費(fèi)者信心：?讓消費(fèi)者對(duì)車輛的安全性更有信心。

實(shí)施時(shí)間表：R155 于 2022 年 7 月 1 日對(duì) UNECE 區(qū)域內(nèi)所有新車型生效。R156 將于 2024 年 7 月 1 日對(duì) UNECE 區(qū)域內(nèi)所有新車型生效。

挑戰(zhàn)和機(jī)遇：實(shí)施 R155/R156 對(duì)汽車制造商而言存在挑戰(zhàn)，需要投資網(wǎng)絡(luò)安全專業(yè)知識(shí)和基礎(chǔ)設(shè)施。然而，它也帶來(lái)了開(kāi)發(fā)創(chuàng)新和安全聯(lián)網(wǎng)車輛技術(shù)的機(jī)遇。R155/R156 是提高聯(lián)網(wǎng)車輛網(wǎng)絡(luò)安全的重要舉措。通過(guò)設(shè)定最低標(biāo)準(zhǔn)和推廣最佳實(shí)踐，這些法規(guī)將有助于使我們的道路更加安全。