汽車網絡安全一站式合規解決方案隨著汽車系統的數字化,汽車行業正在經歷著深刻的變革,而數字化是實現汽車自動化,連接性和共享出行所必需的。在這種發展趨勢下,攻擊方試圖進入電子系統和數據,帶來了巨大的網絡安全風險,威脅到車輛安全和消費者隱私。WP.29制定網絡安全和軟件更新法規將通過為汽車制造商制定明確的性能和審核要求,幫助應對這些風險。泰測為汽車制造商和相關系統或零部件制造商提供汽車網絡安全一站式合規解決方案,協助企業進行網絡安全管理體系建設、車型網絡安全測試和認證。
汽車網絡安全一站式合規解決方案
隨著汽車系統的數字化,汽車行業正在經歷著深刻的變革,而數字化是實現汽車自動化,連接性和共享出行所必需的。在這種發展趨勢下,攻擊方試圖進入電子系統和數據,帶來了巨大的網絡安全風險,威脅到車輛安全和消費者隱私。WP.29制定網絡安全和軟件更新法規將通過為汽車制造商制定明確的性能和審核要求,幫助應對這些風險。泰測為汽車制造商和相關系統或零部件制造商提供汽車網絡安全一站式合規解決方案,協助企業進行網絡安全管理體系建設、車型網絡安全測試和認證。
隨著汽車系統的數字化,汽車行業正在經歷著深刻的變革,而數字化是實現汽車自動化,連接性和共享出行所必需的。如今,汽車包含多達150個電子控制單元和大約1億行軟件碼,預計到2030年將增加到3億行代碼。
在這種發展趨勢下,攻擊方試圖進入電子系統和數據,帶來了巨大的網絡安全風險,威脅到車輛安全和消費者隱私。
WP.29制定網絡安全和軟件更新法規將通過為汽車制造商制定明確的性能和審核要求,幫助應對這些風險;WP.29通過這兩項新的聯合國法規要求在4個不同的領域中實施措施:
- 管理車輛網絡安全風險;
- 通過設計減輕價值鏈的風險以確保車輛安全;
- 檢測并響應車型的網絡安全事件;
- 提供安全可靠的軟件更新并確保不損害車輛網絡安全。
汽車網絡安全法規立法過程
汽車網絡安全法規立法過程
汽車網絡安全相關認證法規和標準
汽車網絡安全相關認證法規和標準
歐盟/日本/韓國/中國已經發布相關法規進行汽車網絡安全管理,這些國家對汽車整車制造商和相關系統或零部件制造商提出了網絡安全合規要求。
制造商需進行汽車產品全生命周期的網絡安全體系管理(CSMS)建設和具體車型網絡安全實施,以響應強制準入認證層面對網絡安全CSMS體系審核和VTA認證的要求。
國家/地區 | 法規 | 適用范圍 | 實施時間 |
 歐盟 R155法規 | R155要求建立網絡安全管理體系(CSMS),覆蓋車輛全生命周期,從設計到售后,確保網絡安全貫穿始終。明確車輛網絡安全的管理流程,包括風險評估、防護措施實施、事件響應等環節,形成閉環管理。 | 適用于M/N/O類車輛,以及具備L2及以上自動駕駛功能的車型。 L車型待實施。 | 新車型實施時間:2022年7月; 新車實施時間:2024年7月 (L車型,新車型實施日期: 2027年12月11日;新車實施時間:2029年6月11日) |
 日本 保安基準17-2條 | 保安基準17-2條要求車輛電氣裝置必須確保能夠保障網絡安全,符合《網絡安全基本法》(平成26年法律第104號),并且在性能方面需符合告示所規定的標準。 | 適用于M/N/O類車輛,以及具備L2及以上自動駕駛功能的車型。 L車型待實施。 | 新車型實施時間:2022年7月; 新車實施時間:2024年7月 (L車型,新車型實施日期:2029年7月1日;新車實施時間:2031年7月) |
 韓國 KMVSS 18-4 | 2024年2月韓國發布《汽車管理法》修訂案,提出汽車制造商于2025年8月起需符合網絡安全管理體系和軟件升級管理體系的新要求,2025年2月底發布了《汽車管理法實施條例草案》、KMVSS修訂草案,詳細規定了韓國網絡安全和軟件升級的具體要求。2025年8月韓國車輛框架法規KMVSS正式新增KMVSS 18-4網絡安全要求。 | 適用于M/N/O類車輛,以及具備L2及以上自動駕駛功能的車型。 | 新車型計劃實施時間:2025/8/14; 新車計劃實施時間:2027/8/14 |
 中國 GB 44495-2024 | GB 44495規定了汽車信息安全管理體系要求,覆蓋車輛全生命周期;以及外部連接安全、通信安全、軟件升級安全、數據安全等方面的技術要求和試驗方法。 | 適用于M類、N類及至少裝有1個電子控制單元的O類車輛。 | 新車型實施時間:2026年1月; 新車實施時間:2028年1月 |
 ISO/SAE 21434 | ISO/SAE 21434 是全球首個汽車行業網絡安全國際標準,該標準旨在通過在汽車產品的整個生命周期內嵌入網絡安全來降低網絡攻擊風險。標準規定了有關道路車輛電氣和電子(E/E)系統(包括其組件和接口)概念、產品開發、生產、運行、維護和報廢的網絡安全風險管理的工程要求。 | 批量生產的道路車輛電子/電子(E/E)系統。 | 標準發布時間:2021年8月 |
汽車網絡安全要求
汽車網絡安全要求
制造商需貫穿車輛的全生命周期,在車輛的概念設計、產品開發、生產制造、運行、維護、報廢等各個階段都要求考慮網絡安全因素。
對于組織層面需要建立相關的汽車網絡安全管理體系CSMS,對于投入市場的車型能確保按照CSMS實施網絡安全要求。
汽車網絡安全CSMS和VTA要求
汽車網絡安全CSMS和VTA要求
制造商需貫穿車輛的全生命周期,在車輛的概念設計、產品開發、生產制造、運行、維護、報廢等各個階段都要求考慮網絡安全因素。
1. 網絡安全管理體系CSMS中所使用的流程需充分考慮確保安全,包括附錄5中列出的風險和緩解措施。使用的流程包括:
(a)制造商組織內用于管理網絡安全的流程;
(b)用于識別車輛類型風險的流程;
(c)用于評估、分類和處理已識別風險的流程;
(d)用于驗證已識別風險是否得到適當管理的流程;
(e)用于測試車輛類型網絡安全的流程;
(f)用于確保風險評估保持更新的流程;
(g)用于監測、檢測和應對車輛類型遭受的網絡攻擊、網絡威脅和漏洞的流程,以及用于評估所實施的網絡安全措施在面對新發現的網絡威脅和漏洞時是否仍然有效的流程;
(h)用于提供相關數據以支持對未遂或成功的網絡攻擊進行分析的流程。
2. 網絡安全威脅與漏洞需要在合理時間范圍內進行處理。3. 監控、監測、響應網絡安全攻擊/威脅/漏洞的流程的流程是持續進行的,確保將首次注冊后的車輛納入監測,且具備從車輛數據和日志中分析和檢測網絡威脅、漏洞及網絡攻擊的能力。尊重汽車所有者或駕駛者的隱私權。
4. 網絡安全管理體系能管理與合同供應商、服務提供商或制造商子組織之間可能存在的依賴關系。
1. 體系基礎:車輛進行UN R155車型認證時,需要制造商已經獲取CSMS證書;
2. 風險識別:制造商需識別并管理該車型供應鏈相關的網絡安全風險;基于車型的關鍵要素進行詳盡的風險評估,風險識別應考慮附錄5-A部分以及車輛與外部系統的交互以及其它相關風險;
3. 緩解措施:制造商須妥善處理已識別的風險,對應的緩解措施必須包括附錄5-B,C部分(附錄5-B,C部分不適用時,采取其它合適緩解措施);
4. 專有環境:確保后市場軟件,服務,應用程序和數據的存儲和執行;
5. 測試證明:制造商應對車型進行充分全面的測試,證明所采取的緩解措施有效;
6. 監控與分析:制造商需要采取以下措施:
(a) 具備網絡攻擊監測和預防能力;
(b) 車輛能夠支持制造商進行的風險/脆弱性/網絡攻擊監控工作;
(c) 車輛需要具備一定的數據取證能力,便于分析網絡攻擊。
7. 加密模塊:加密模塊需要符合行業通用標準。(b) 車輛能夠支持制造商進行的風險/脆弱性/網絡攻擊監控工作;
(c) 車輛需要具備一定的數據取證能力,便于分析網絡攻擊。
汽車網絡安全一站式合規解決方案
汽車網絡安全一站式合規解決方案
越來越多國家在強制認證層面對車輛制造商提出了汽車網絡安全的合規要求,泰測為汽車制造商和相關系統或零部件制造商
提供汽車網絡安全一站式合規解決方案,為企業提供包括網絡安全管理體系建設、車型網絡安全合規、網絡安全測試和認證服務。
CSMS體系
CSMS體系
- 網絡安全培訓
- 體系差距分析
- 體系建設
- 體系試運行
- 體系預審核等
VTA合規
VTA合規
- 網絡安全培訓
- 車輛功能梳理及相關性定義
- 車型網絡安全威脅分析及風險評估
- 安全需求分析
- 車型專有環境網絡安全合規等
網絡安全測試
網絡安全測試
- 測試用例出具
- 驗證及確認測試
- 含功能測試
- 漏洞掃描
- 模糊測試
- 滲透測試等
認證服務
認證服務
- R155 CSMS體系認證
- R155 VTA認證
- ISO 21434體系認證
- 其他市場: 如韓國網絡安全認證證書
汽車網絡安全管理體系建設(示例)
汽車網絡安全管理體系建設(示例)
工作交付物示例(部分)
工作交付物示例(部分)
NO. | 階段與類別 | 文件 | 牽頭 | 類型 |
1 | CSMS總體要求 | 網絡安全管理程序文件(政策、條例、流程) | 體系 | 流程文件 |
2 | CSMS總體要求 | 網絡安全管理組織架構 | 體系 | 流程文件 |
3 | CSMS總體要求 | 網絡安全意識管理與能力管理計劃 | 體系 | 流程文件 |
4 | CSMS總體要求 | 網絡安全持續改進評審計劃與報告 | 體系 | 表單模板 |
5 | CSMS總體要求 | 網絡安全質量管理方法(變更管理,文件管理,配置管理,需求管理) | 體系 | 流程文件 |
6 | CSMS總體要求 | 網絡安全工具管理辦法 | 體系 | 流程文件 |
7 | 產品開發-概念設計階段 | [WP-09-01] Item definition, resulting from [RQ-09-01] to [RQ-09-04]. 系統定義 | 技術 | 表單模板 |
8 | 產品開發-概念設計階段 | [WP-09-02] Threat analysis and risk assessment, resulting from [RQ-09-05]. 威脅分析與風險評估報告-TARA | 技術 | 表單模板 |
9 | 產品開發-概念設計階段 | [WP-09-03] Risk treatment decisions, resulting from [RQ-09-06]. 網絡安全風險處理決策 | 技術 | 表單模板 |
10 | 產品開發-概念設計階段; 制定網絡安全風險處理選項的流程(覆蓋開發、制造、制造后階段) | [WP-09-04] Cybersecurity goals, resulting from [RQ-09-07]. 網絡安全目標設定 | 技術 | 表單模板 |
11 | 產品開發-概念設計階段; 制定網絡安全風險處理選項的流程(覆蓋開發、制造、制造后階段) | [WP-09-05] Cybersecurity claims, resulting from [RQ-09-08]. 網絡安全聲明 | 技術 | 表單模板 |
12 | 產品開發-概念設計階段 | [WP-09-06] Verification report, resulting from [RQ-09-09]. 網絡安全驗證報告(確認TARA、風險處理決定、網絡安全目標的一致性和完成度) | 技術 | 表單模板 |
13 | 產品開發-概念設計階段; 車型網絡安全測試流程-需求建立階段 | [WP-09-07] Cybersecurity concept, resulting from [RQ-09-10] and [RQ-09-11]. 網絡安全概念設計(網絡安全需求與需求部署) | 技術 | 表單模板 |
14 | 產品開發-概念設計階段 | [WP-09-08] Verification report of cybersecurity concept, resulting from [RQ-09-12]. 網絡安全概念的驗證報告 | 技術 | 表單模板 |
15 | 開發階段-產品開發階段 | [WP-10-01] Refined cybersecurity specification, resulting from [RC-10-01] to [RQ-10-04]. 完善的網絡安全需求 | 技術 | 表單模板 |
16 | 開發階段-產品開發階段 | [WP-10-02] Cybersecurity requirements for post-development, resulting from 0 and [RQ-10-06]. 開發后階段的網絡安全需求 | 技術 | 表單模板 |
17 | ... | ... |