R155/R156：汽車網(wǎng)絡(luò)安全新法規(guī)快速指南

隨著國際機(jī)構(gòu)進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域，制定法規(guī)、標(biāo)準(zhǔn)和指南，公眾在其使用的車輛中享受更好的網(wǎng)絡(luò)安全保護(hù)指日可待。隨著時間的推移，車輛網(wǎng)絡(luò)安全將不斷發(fā)展以應(yīng)對不斷變化的網(wǎng)絡(luò)威脅。

歐洲經(jīng)濟(jì)委員會 (ECE) 的 R155 和 R156 法規(guī)旨在應(yīng)對聯(lián)網(wǎng)車輛面臨的日益增長的網(wǎng)絡(luò)安全威脅。這些法規(guī)為聯(lián)合國歐洲經(jīng)濟(jì)委員會 (UNECE) 區(qū)域內(nèi)銷售的所有車輛設(shè)定了最低的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，旨在提高聯(lián)網(wǎng)汽車的網(wǎng)絡(luò)安全，該區(qū)域涵蓋 64 個國家。

該法規(guī)于 2021 年 3 月 1 日發(fā)布，并于 2022 年 7 月 1 日起對所有在歐盟經(jīng)濟(jì)區(qū) (EEA) 上市的新車型強(qiáng)制實(shí)施。

R155/R156 涵蓋哪些內(nèi)容？

R155：?設(shè)置了車輛網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS) 的一般要求。要求車輛制造商建立一個網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS)，以識別、評估和降低車輛網(wǎng)絡(luò)安全風(fēng)險。

CSMS 必須包括以下要素：

1. 安全策略和目標(biāo)：車輛制造商必須制定書面安全策略和目標(biāo)，明確其網(wǎng)絡(luò)安全責(zé)任和目標(biāo)

2.風(fēng)險管理過程：車輛制造商必須建立一個風(fēng)險管理過程，以識別、評估和降低車輛網(wǎng)絡(luò)安全風(fēng)險。該過程應(yīng)包括以下步驟：

風(fēng)險識別：識別車輛中可能存在的網(wǎng)絡(luò)安全風(fēng)險。風(fēng)險評估：評估風(fēng)險的嚴(yán)重性和發(fā)生可能性。風(fēng)險降低：采取措施降低風(fēng)險。

3. 安全開發(fā)生命周期：車輛制造商必須將網(wǎng)絡(luò)安全考慮因素納入車輛的整個開發(fā)生命周期。該過程應(yīng)包括以下步驟：

需求分析：在需求分析階段識別網(wǎng)絡(luò)安全需求。

設(shè)計：在設(shè)計階段考慮網(wǎng)絡(luò)安全。

開發(fā)：在開發(fā)階段實(shí)施網(wǎng)絡(luò)安全措施。

測試：在測試階段測試網(wǎng)絡(luò)安全措施。

4 安全運(yùn)維：車輛制造商必須制定安全運(yùn)維計劃，以確保車輛的網(wǎng)絡(luò)安全在整個生命周期內(nèi)得到維護(hù)。該計劃應(yīng)包括以下內(nèi)容：

安全更新：及時發(fā)布安全更新，修復(fù)已知漏洞。安全培訓(xùn)：為車輛所有者和用戶提供安全培訓(xùn)。安全事件響應(yīng)：制定安全事件響應(yīng)計劃，以應(yīng)對網(wǎng)絡(luò)安全事件。

R156：?聯(lián)合國法規(guī)第 156 號是聯(lián)合國制定的一項法規(guī)，專門處理車輛的軟件更新和軟件更新管理系統(tǒng)。該法規(guī)于 2021 年頒布，旨在提高車輛軟件更新的安全性、可靠性和穩(wěn)定性，同時確保制造商擁有一個健全的流程來管理更新過程。

目標(biāo)：提高車輛軟件更新的安全性和可靠性。降低與軟件更新相關(guān)的網(wǎng)絡(luò)攻擊和其他漏洞風(fēng)險。確保制造商在整個車輛生命周期內(nèi)擁有一個結(jié)構(gòu)化的軟件更新管理方法。

范圍：涵蓋所有軟件更新，包括通過空中下載 (OTA) 和傳統(tǒng)方式提供的更新。適用于車輛的所有電子控制單元 (ECU) 和軟件組件。

要求：制造商必須建立一個?軟件更新管理系統(tǒng) (SUMS)?來監(jiān)督更新過程。SUMS 必須包含風(fēng)險評估、漏洞識別、更新測試和部署等程序。制造商必須實(shí)施安全措施，以防止未經(jīng)授權(quán)的訪問和篡改軟件更新。他們還必須向車主提供有關(guān)軟件更新的清晰透明的信息，包括潛在的風(fēng)險和好處。

UN 法規(guī)第 156 號的影響：

增強(qiáng)安全性：?該法規(guī)預(yù)計將導(dǎo)致更安全的軟件更新和更好的網(wǎng)絡(luò)攻擊防護(hù)。

提高可靠性：?強(qiáng)大的更新管理程序應(yīng)該可以減少更新失敗和其他軟件問題。

增加透明度：?車主將獲得更多有關(guān)軟件更新的信息，并能夠做出是否安裝更新的明智決定。

R155/R156 的主要優(yōu)勢：增強(qiáng)車輛安全性：?降低網(wǎng)絡(luò)攻擊風(fēng)險，防止攻擊者入侵車輛系統(tǒng)并危及駕駛員和乘客安全。標(biāo)準(zhǔn)化方法：?為 UNECE 區(qū)域內(nèi)的所有汽車制造商創(chuàng)造公平競爭環(huán)境，促進(jìn)公平競爭和創(chuàng)新。增強(qiáng)消費(fèi)者信心：?讓消費(fèi)者對車輛的安全性更有信心。

實(shí)施時間表：R155 于 2022 年 7 月 1 日對 UNECE 區(qū)域內(nèi)所有新車型生效。R156 將于 2024 年 7 月 1 日對 UNECE 區(qū)域內(nèi)所有新車型生效。

挑戰(zhàn)和機(jī)遇：實(shí)施 R155/R156 對汽車制造商而言存在挑戰(zhàn)，需要投資網(wǎng)絡(luò)安全專業(yè)知識和基礎(chǔ)設(shè)施。然而，它也帶來了開發(fā)創(chuàng)新和安全聯(lián)網(wǎng)車輛技術(shù)的機(jī)遇。R155/R156 是提高聯(lián)網(wǎng)車輛網(wǎng)絡(luò)安全的重要舉措。通過設(shè)定最低標(biāo)準(zhǔn)和推廣最佳實(shí)踐，這些法規(guī)將有助于使我們的道路更加安全。