淺談ECE R155法規(guī)對(duì)車輛網(wǎng)絡(luò)安全的準(zhǔn)入要求

陳姿霖，王遠(yuǎn)波，美少楠

（陜西重型汽車有限公司汽車工程研究院，陜西 西安 710200）

1 概述

網(wǎng)聯(lián)化和智能化是汽車發(fā)展的必然趨勢(shì)，使汽車成為了一個(gè)聯(lián)網(wǎng)產(chǎn)品，而車聯(lián)網(wǎng)技術(shù)更是一把雙刃劍，給用戶帶來巨大便利的同時(shí)也使車輛置于危險(xiǎn)之中，車輛面臨著云端威脅、傳輸威脅、終端威脅、外部威脅等。

從2013年起，國內(nèi)外汽車攻擊事件層出不窮，據(jù)Upstrem統(tǒng)計(jì)，針對(duì)智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)攻擊事件，2018年80起，2019年155起，多種品牌車輛的遠(yuǎn)程控制、車云服務(wù)、遙控駕駛、OTA系統(tǒng)等被非法破解和惡意操控，導(dǎo)致車輛失控、車企被迫停止相關(guān)服務(wù)并進(jìn)行召回，給用戶和車輛制造商帶來人身、財(cái)產(chǎn)、形象等方面的損失，甚至危害到國家安全。

在汽車網(wǎng)聯(lián)技術(shù)飛速發(fā)展的同時(shí)各國網(wǎng)絡(luò)安全相關(guān)機(jī)構(gòu)高度重視，先后出臺(tái)各種法規(guī)和標(biāo)準(zhǔn)，對(duì)網(wǎng)聯(lián)車輛的網(wǎng)絡(luò)安全提出了要求并明確了驗(yàn)證方法。聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇于2020年6月25日正式發(fā)布了R155， 《1958年協(xié)議書》涵蓋的國家及向這些國家出口的車輛制造商需遵守該法規(guī)，該法規(guī)于2021年1月1日起正式生效，2022年7月起在58協(xié)議國銷售的新車型必須滿足該法規(guī)要求，2024年7月起在這些國家銷售的舊車型必須滿足該法規(guī)要求。

R155為國際范圍內(nèi)第一個(gè)強(qiáng)制性法規(guī)，標(biāo)志著汽車網(wǎng)絡(luò)安全進(jìn)入了強(qiáng)制監(jiān)管范圍。

2 R155

2.1 概述

R155全稱為Uniform Provisions Concerning the Approval of Vehicles with Regards to Cyber Security and Cyber Security Management System，即關(guān)于車輛的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全管理體系的統(tǒng)一規(guī)定，該法規(guī)適應(yīng)于1958年協(xié)議書所包含國家的乘用車和商用車的M類、N類、至少配備一個(gè)ECU的O類車輛、L3及以上車輛，該法規(guī)也即將擴(kuò)展到1998協(xié)議書涉及的國家，涉及到的國家在其國內(nèi)國外銷售的車輛都需要滿足該法規(guī)的要求。該法規(guī)包含以下兩部分內(nèi)容。

1）第一部分：針對(duì)車輛制造商的網(wǎng)絡(luò)安全管理體系（CSMS）的評(píng)估和認(rèn)證。

2）第二部分：在車輛型式認(rèn)證（VTA，Vehicle Type Approval）過程中的針對(duì)車輛的網(wǎng)絡(luò)安全進(jìn)行評(píng)估和認(rèn)證。

其中網(wǎng)絡(luò)安全管理體系（CSMS）合格證是車輛型式認(rèn)證（VTA）先決條件，CSMS和VTA認(rèn)證通過后，該車型才算符合了R155法規(guī)要求。

2.2 網(wǎng)絡(luò)安全管理體系

CSMS為網(wǎng)絡(luò)安全管理體系，全稱為Cyber Security Management System，該體系能夠支持車輛制造商識(shí)別、分析、抵御車輛網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。

R155圍繞組織架構(gòu)與制度流程，對(duì)車輛制造商在CSMS的建設(shè)與申請(qǐng)?zhí)岢隽司唧w要求。主要審查車輛制造商在車型平臺(tái)的生命周期內(nèi)是否制定且應(yīng)用了網(wǎng)絡(luò)安全管理流程，以確保產(chǎn)品的開發(fā)、生產(chǎn)、銷售運(yùn)維等各個(gè)階段，都能夠有效發(fā)現(xiàn)和控制風(fēng)險(xiǎn)。

2.2.1 CSMS體系要求

1）要覆蓋車輛生產(chǎn)的開發(fā)、生產(chǎn)、停產(chǎn)在用階段。開發(fā)階段為車型獲得批準(zhǔn)之前的時(shí)期；生產(chǎn)階段為車輛持續(xù)生產(chǎn)的時(shí)期；停產(chǎn)在用階段為不再生產(chǎn)該類型車輛的時(shí)期，直到該類型車輛的所有車輛壽命終止（也包含特定車輛類型的車輛將在此階段運(yùn)行，但已不再生產(chǎn)。當(dāng)不再有任何特定車輛類型的運(yùn)營(yíng)車輛時(shí)該階段結(jié)束）。

2）要對(duì)供應(yīng)商、服務(wù)商以及子公司的網(wǎng)絡(luò)安全能力進(jìn)行監(jiān)管。

3）車輛制造商提供自證材料，證明自身搭建的CSMS流程對(duì)網(wǎng)絡(luò)安全進(jìn)行了充分考慮，對(duì)R155表A1列出的風(fēng)險(xiǎn)采取了防御措施。應(yīng)包含以下內(nèi)容：①網(wǎng)絡(luò)安全管理流程；②風(fēng)險(xiǎn)的識(shí)別流程；③已經(jīng)識(shí)別的風(fēng)險(xiǎn)評(píng)估、分類和處理過程流程；④驗(yàn)證已識(shí)別風(fēng)險(xiǎn)得到適當(dāng)管理的流程；⑤車輛網(wǎng)絡(luò)安全測(cè)試流程；⑥持續(xù)的風(fēng)險(xiǎn)評(píng)估流程；⑦用于監(jiān)控、檢查和響應(yīng)車輛的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和缺陷的流程，評(píng)估網(wǎng)絡(luò)安全措施在新的網(wǎng)絡(luò)威脅和缺陷是否有效的流程；⑧提供相關(guān)數(shù)據(jù)以供分析企圖攻擊或成功攻擊的網(wǎng)絡(luò)攻擊流程。

4）制造商應(yīng)證明所使用的CSMS流程能確保基于2）及3）中①～⑦的監(jiān)控措施是連續(xù)有效的。監(jiān)控應(yīng)包含以下內(nèi)容：將首次上牌后的車輛納入監(jiān)測(cè)范圍；包括從車輛數(shù)據(jù)和車輛日志中分析和檢測(cè)網(wǎng)絡(luò)威脅、漏洞和攻擊的能力，以及車主或駕駛員的隱私權(quán)。

5）制造商應(yīng)證明所使用的CSMS流程能確保需要響應(yīng)的威脅和缺陷在合理的時(shí)間內(nèi)能做出防御響應(yīng)。

2.2.2 CSMS合格證書

由制造商提出申請(qǐng)獲取網(wǎng)絡(luò)安全管理體系合格證書，應(yīng)附以下文件一式三份及詳細(xì)說明：①網(wǎng)絡(luò)安全管理體系描述文件；②按照R155附件1附錄1中定義的模型簽署的聲明。

車輛制造商在車輛銷售前需向?qū)I(yè)機(jī)構(gòu)提出申請(qǐng)，經(jīng)過審核后向車輛制造商頒發(fā)CSMS合格證書，證書的有效期為自發(fā)證之日起最長(zhǎng)3年，除非證書被撤銷。當(dāng)證書到期后，車輛制造商可申請(qǐng)新證書或?qū)ΜF(xiàn)有證書進(jìn)行延期，發(fā)證機(jī)構(gòu)對(duì)內(nèi)容進(jìn)行重新審核，頒發(fā)的新證書或延期為3年。在證書有效期間，當(dāng)車輛制造商的網(wǎng)絡(luò)安全管理體系發(fā)生變化時(shí)，車輛制造商應(yīng)向發(fā)證機(jī)構(gòu)提出復(fù)審請(qǐng)求，審核通過后，發(fā)證機(jī)構(gòu)會(huì)簽發(fā)新的證書。

2.3 產(chǎn)品的網(wǎng)絡(luò)安全能力

R155規(guī)定，當(dāng)車輛制造商申請(qǐng)車輛型式認(rèn)證（VTA）時(shí)，必須先滿足網(wǎng)絡(luò)安全管理體系（CSMS）的要求，然后才有資格申請(qǐng)進(jìn)行VTA認(rèn)證。

VTA認(rèn)證是對(duì)車型網(wǎng)絡(luò)安全開發(fā)中具體的工作項(xiàng)進(jìn)行審查，涵蓋車輛服務(wù)平臺(tái)、通信通道、軟件升級(jí)、外部設(shè)備接入、數(shù)據(jù)和代碼、使用的技術(shù)、分配的權(quán)限、車輛和控制器結(jié)構(gòu)設(shè)計(jì)等方面，根據(jù)附錄5中列舉的威脅進(jìn)行核查，確認(rèn)車輛制造商是否進(jìn)行了安全防護(hù)，通過后會(huì)向車輛制造商頒發(fā)合格證書。

2.3.1 車輛型式認(rèn)證（VTA）技術(shù)要求

1）所有車型必須經(jīng)過車型認(rèn)證才能上市銷售；對(duì)2024年7月以前生產(chǎn)的車輛，需制造商證明在研發(fā)中已經(jīng)充分考慮了網(wǎng)絡(luò)安全因素。

2）制造商應(yīng)對(duì)待認(rèn)證的車型進(jìn)行識(shí)別和管理與供應(yīng)商有關(guān)的風(fēng)險(xiǎn)。

3）制造商應(yīng)確定車輛類型的關(guān)鍵要素，并對(duì)車型進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估，并處理/管理已識(shí)別的風(fēng)險(xiǎn)。

4）制造商應(yīng)采取適當(dāng)?shù)木徑獯胧?，確保對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行了保護(hù)。

5）制造商應(yīng)采取適當(dāng)?shù)拇胧?，以確保車型上有專用環(huán)境，用來存儲(chǔ)和執(zhí)行售后軟件、服務(wù)、應(yīng)用程序或數(shù)據(jù)。

6）制造商應(yīng)在車型認(rèn)證之前進(jìn)行充分的測(cè)試，以驗(yàn)證安全措施的有效性。

7）用于實(shí)現(xiàn)R155法規(guī)所采用的加密方案應(yīng)符合統(tǒng)一法規(guī)，如果不符合，應(yīng)對(duì)其進(jìn)行說明。

8）車輛制造商應(yīng)當(dāng)落實(shí)針對(duì)申報(bào)車型的相關(guān)措施：①監(jiān)測(cè)和抵御對(duì)車輛的網(wǎng)絡(luò)攻擊；②支撐制造商對(duì)威脅、缺陷和網(wǎng)絡(luò)攻擊的監(jiān)測(cè)能力；③提供數(shù)據(jù)取證能力，以便對(duì)試圖或攻擊成功的攻擊事件進(jìn)行分析。

2.3.2 車輛型式認(rèn)證（VTA）申請(qǐng)

車輛制造商提出車輛型式認(rèn)證申請(qǐng)時(shí)，需滿足以下要求。

1）該項(xiàng)申請(qǐng)由車企或者其授權(quán)代表提出，提交文件內(nèi)容包括：待批準(zhǔn)車型描述、知識(shí)產(chǎn)權(quán)說明、該車型CSMS合格證書。

2）用于認(rèn)證的相關(guān)材料，所提交的文件從停產(chǎn)日期開始至少保存10年，所涵蓋的材料如下：①目標(biāo)車輛類型的一般構(gòu)造特征，包括與網(wǎng)絡(luò)安全有關(guān)的車輛系統(tǒng)、與網(wǎng)絡(luò)安全有關(guān)的車輛系統(tǒng)的零部件、與這些系統(tǒng)交互的車內(nèi)的其它系統(tǒng)、與這些系統(tǒng)交互的外部接口；②待批準(zhǔn)車型的電子電器架構(gòu)示意圖；③CSMS合格證書的編號(hào)；④描述待批準(zhǔn)車型風(fēng)險(xiǎn)評(píng)估的結(jié)果和已識(shí)別風(fēng)險(xiǎn)的文件；⑤描述應(yīng)對(duì)風(fēng)險(xiǎn)緩解措施及緩解原理的文件；⑥描述針對(duì)售后軟件、服務(wù)、應(yīng)用程序或數(shù)據(jù)的專用環(huán)境保護(hù)的文件；⑦待批準(zhǔn)車型網(wǎng)絡(luò)安全相關(guān)系統(tǒng)的網(wǎng)絡(luò)安全測(cè)試報(bào)告；⑧待批準(zhǔn)車型網(wǎng)絡(luò)安全相關(guān)系統(tǒng)供應(yīng)鏈的網(wǎng)絡(luò)安全管理說明。

3）與本法規(guī)有關(guān)的材料在車輛制造商保存，并在車型認(rèn)證期間可被審查。

3 結(jié)束語

2021年國內(nèi)外相繼出臺(tái)了各種智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全的法規(guī)和標(biāo)準(zhǔn)，各車輛制造商在相關(guān)法規(guī)和標(biāo)準(zhǔn)的指導(dǎo)下，成立專項(xiàng)部門構(gòu)建網(wǎng)絡(luò)安全管理體系，對(duì)車輛和產(chǎn)品進(jìn)行風(fēng)險(xiǎn)評(píng)估，挖掘漏洞，制定和實(shí)施各項(xiàng)緩解措施，以確保車輛的網(wǎng)絡(luò)安全并順利通過合規(guī)性檢驗(yàn)。