UN R155認(rèn)證

汽車智能網(wǎng)聯(lián)化近年來一直是汽車行業(yè)的主要議題。這些創(chuàng)新建立在車載系統(tǒng)數(shù)字化、汽車IT系統(tǒng)向后端延伸以及軟件傳播的基礎(chǔ)上。而隨著越來越多的關(guān)于黑客攻擊汽車登上頭條新聞，人們對汽車網(wǎng)絡(luò)信息安全的擔(dān)憂也成為了現(xiàn)實(shí)。UNR155正是監(jiān)管機(jī)構(gòu)正在增加壓力，以加強(qiáng)汽車行業(yè)應(yīng)對網(wǎng)絡(luò)安全的能力。

背景介紹


什么是UNR155？

如果您從事的汽車工作涉及到歐洲進(jìn)出口，那么您大概率會(huì)聽過“UNECE”。UNECE是the United Nations Economic Commission for Europe的縮寫，有時(shí)也簡稱ECE。UNECE管的范圍很廣，它下屬有一個(gè)世界車輛法規(guī)協(xié)調(diào)論壇（簡稱 WP.29），專注于汽車領(lǐng)域。2020年6月，WP29發(fā)布了3項(xiàng)跟智能網(wǎng)聯(lián)汽車息息相關(guān)的重要法規(guī)：

• lR155：Cyber Security，主要針對汽車網(wǎng)絡(luò)信息安全

• lR156：Software Update，主要針對軟件升級，包括近端刷寫和OTA

• lR157：Automated Lane-Keeping Systems (ALKS)，主要針對自動(dòng)車道保持系統(tǒng)

其中R155就是從2022年7月起開始強(qiáng)制參與型式認(rèn)證的一條Cyber Security法規(guī)，簡稱UNR155，也是本文重點(diǎn)探討的部分。

那什么是型式認(rèn)證？

汽車產(chǎn)品型式認(rèn)證是指通過官方確認(rèn)和批準(zhǔn)證明車輛產(chǎn)品能夠達(dá)到法律法規(guī)要求的過程。直白一點(diǎn)，這就相當(dāng)于汽車進(jìn)入市場的“準(zhǔn)生證”。汽車要想上市銷售，就必須通過當(dāng)?shù)兀ɑ虍?dāng)?shù)厮诼?lián)盟）的型式認(rèn)證。我們常聽到的“國五”、“國六”、“歐五”“歐六”就是型式認(rèn)證中關(guān)于排放標(biāo)準(zhǔn)的部分。涉及到“法規(guī)”，一般少不了政府的介入。所以不同地方市場準(zhǔn)入的型式認(rèn)證要求也不同。而UNECE顧名思義，主要就是針對歐洲，其具體的協(xié)議成員國如下圖所示。

既然UNECE針對歐洲等協(xié)議成員國，那么對我們有什么影響？主要有以下幾點(diǎn)：

1. 相信我國也將會(huì)把網(wǎng)絡(luò)信息安全加入國家型式認(rèn)證，比如說3C認(rèn)證（China Compulsory Certification，強(qiáng)制性產(chǎn)品認(rèn)證制度）。目前歐洲仍然是汽車領(lǐng)域的佼佼者，制定相關(guān)法規(guī)和準(zhǔn)入標(biāo)準(zhǔn)的時(shí)候，相信也會(huì)適當(dāng)參考UNECE的內(nèi)容。

2. 我國汽車也正在走出去，基本各大COEM，尤其是新能源汽車都有出口歐洲。

3. 汽車產(chǎn)業(yè)鏈的全球化。雖然各地有不同的準(zhǔn)入標(biāo)準(zhǔn)，但是上游的一級供應(yīng)商、芯片供應(yīng)商都是全球化協(xié)同的，實(shí)際上這些供應(yīng)商都會(huì)考慮各地標(biāo)準(zhǔn)取一個(gè)“最大公約數(shù)”，最后反過來影響整車生產(chǎn)商的方案選擇。

那么這個(gè)法規(guī)什么時(shí)候開始生效呢？

UNR155有兩個(gè)關(guān)鍵的時(shí)間節(jié)點(diǎn)：

• 2022年7月1日：新車必須滿足。

從現(xiàn)有電子架構(gòu)推出的新車系（即車輛類型）將需要獲得網(wǎng)絡(luò)安全系統(tǒng)型式認(rèn)證，作為整車型式認(rèn)證（WVTA，Whole Vehicle Type Approval）過程的一部分。例如對于“換前臉”等小改款，如果電子電器沒有變化，可以不用在這個(gè)時(shí)間點(diǎn)完成型式認(rèn)證。但如果涉及車機(jī)、輔助駕駛等變化，則相當(dāng)于是“新車系”，需要滿足UNR155。

• 2024年7月1日：舊車不滿足的也要改成滿足。

尚未停產(chǎn)的車型必須獲得網(wǎng)絡(luò)安全系統(tǒng)的型式認(rèn)證，才可以在相關(guān)市場銷售。這意味著，之前車型可能需要通過修改或升級方案，滿足UNR155。

UNR155與ISO21434的關(guān)系

為了確?，F(xiàn)有標(biāo)準(zhǔn)和監(jiān)管要求的協(xié)調(diào)，實(shí)際上UNR155和ISO/SAE 21434（道路車輛--網(wǎng)絡(luò)安全工程）是并行討論和開發(fā)釋放的。那么作為標(biāo)準(zhǔn)的ISO/SAE 21434與UNR155之間的整體關(guān)系又是怎樣呢？

首先，要區(qū)分標(biāo)準(zhǔn)和法規(guī)這兩個(gè)術(shù)語。

標(biāo)準(zhǔn)通常是在ISO等權(quán)威機(jī)構(gòu)的控制下，由行業(yè)本身設(shè)計(jì)的先進(jìn)的參考性文件。例如ISO/SAE 21434為開發(fā)汽車行業(yè)的網(wǎng)絡(luò)安全產(chǎn)品提供了要求和建議的框架。但它沒有提供任何固定的解決方案建議，只是提供了一個(gè)特定的抽象框架和方法論。國際標(biāo)準(zhǔn)（如ISO xxxx）一般都是非強(qiáng)制要求的。但是國內(nèi)的標(biāo)準(zhǔn)不一樣，GB都是強(qiáng)制要求的，GB/T才是推薦（非強(qiáng)制）執(zhí)行的。

相比之下，法規(guī)是由一個(gè)官方機(jī)構(gòu)（如政府）發(fā)布的具有法律約束力的指令。就UNR155而言，這是必須遵守的約束性要求，以獲得型式認(rèn)證，從而獲得市場準(zhǔn)入。如果不符合規(guī)定，就會(huì)在相應(yīng)的市場禁止銷售。而法規(guī)也往往會(huì)引用相關(guān)標(biāo)準(zhǔn)來作為參考。

實(shí)際上，UNR155中引用到了ISO/SAE 21434這一標(biāo)準(zhǔn)。這一點(diǎn)在UNECE公布的官方解釋文件中說得特別清楚，該文件大量地將法規(guī)的要求與ISO/SAE 21434的各種要求聯(lián)系了起來。換句話說，ISO/SAE 21434可以作為具體方法論，按其指導(dǎo)就很容易滿足UNR155的法規(guī)要求。當(dāng)然如果企業(yè)有另外成熟的最佳實(shí)踐，同樣可以滿足UNR155也行，所以ISO/SAE 21434并非必要條件。

而在責(zé)任相關(guān)方的角度來看，ISO/SAE 21434描述的是汽車網(wǎng)絡(luò)安全的工程框架和方法論，所以不管在OEM還是各級供應(yīng)商，都可以按照該標(biāo)準(zhǔn)開發(fā)功能和產(chǎn)品，OEM也可以基于ISO/SAE 21434來給供應(yīng)商提需求。而UNR155法規(guī)是針對整車的型式認(rèn)證，真正要進(jìn)行公告和型式認(rèn)證申請的只有OEM。

UNR155內(nèi)容簡介

如下UNR155的框架示意圖，該法規(guī)主要分為主體的內(nèi)容部分和附錄。內(nèi)容部分詳述了例如認(rèn)證主體、標(biāo)識、證書等法規(guī)要求。附錄中則包含了模板、信息文件和威脅及緩解措施列表。對于一般汽車研發(fā)工程師而言，其中內(nèi)容的第7章以及附錄5（即下圖標(biāo)黃部分）是最值得細(xì)讀的。

圖3：UNR155的框架

標(biāo)黃的兩個(gè)章節(jié)也集中體現(xiàn)了該法規(guī)最核心的兩個(gè)要求：

• 每個(gè)OEM必須建立和維護(hù)一個(gè)網(wǎng)絡(luò)安全管理體系（亦即Cybersecurity Management System，CSMS）。這是對于組織本身的要求，不依托于車型和項(xiàng)目。
  

• 每個(gè)OEM必須識別與車輛技術(shù)有關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這是對每個(gè)車型或者每個(gè)項(xiàng)目都有的實(shí)施要求，也需要OEM在車型的型式認(rèn)證時(shí)提供證明。

與ISO/SAE 21434不同的是，UN R155沒有明確規(guī)定特定的流程（但要求遵守流程和建立工作產(chǎn)品以確保遵守流程），它要求建立和實(shí)施一個(gè)管理系統(tǒng)，該系統(tǒng)專注于車輛的網(wǎng)絡(luò)安全。CSMS是拿到合格證書的基礎(chǔ)，即必須要通過審計(jì)和相應(yīng)的官方認(rèn)證。CSMS需要定義組織流程、職責(zé)和治理過程，同時(shí)需要處理車輛受到的網(wǎng)絡(luò)威脅風(fēng)險(xiǎn)，保護(hù)車輛免受網(wǎng)絡(luò)攻擊。它需要覆蓋車輛完整的生命周期。
每款車型做型式認(rèn)證時(shí)，除了必須具有有效的CSMS認(rèn)證，還應(yīng)針對該車型進(jìn)行詳盡的風(fēng)險(xiǎn)評估，并且適當(dāng)?shù)毓芾硭写_定的風(fēng)險(xiǎn)。UNR155的附件5就提供了一份已知威脅和對應(yīng)的緩解措施清單。清單附件分為A、B兩部分。做型式認(rèn)證時(shí)，也需要提供相關(guān)證據(jù)，展現(xiàn)這些通用的威脅和緩解措施都在該車型上做了相關(guān)分析和管理。

A部分是威脅的漏洞和攻擊向量。如下圖節(jié)選部分是關(guān)于云端自身的威脅，其攻擊向量或者漏洞也舉了3個(gè)例子，例如內(nèi)部特權(quán)員工濫用職權(quán)、非授權(quán)的網(wǎng)絡(luò)訪問遠(yuǎn)程接入了服務(wù)器（后門、SQL攻擊等）或者非授權(quán)的物理接入服務(wù)器（插個(gè)U盤或者連上數(shù)據(jù)線等。）

圖4：UNR155節(jié)選的威脅清單

而B部分則針對A中出現(xiàn)的一些威脅和漏洞，提供了緩解措施的參考。如下圖節(jié)選，車輛通信通道其中一種威脅來自于攻擊者假冒通訊節(jié)點(diǎn)，篡改信息內(nèi)容，例如攻擊者假冒V2X設(shè)備、GNSS等發(fā)送欺詐信息。該威脅可以通過驗(yàn)證通訊節(jié)點(diǎn)的真實(shí)性和信息完整性來緩解。再具體分解的詳細(xì)功能需求（例如通過TLS和CA證書等技術(shù)手段）則不在這份列表中體現(xiàn)。

圖5：UNR155節(jié)選的緩解措施清單

具體怎么做？

討論完UNR155的法規(guī)內(nèi)容，希望您已經(jīng)能對它有了框架性的理解。那企業(yè)又應(yīng)該具體怎么做才能獲得型式認(rèn)證呢？這與上文提到的UNR155兩個(gè)關(guān)鍵要求有關(guān)：

• 針對CSMS

這本質(zhì)上是對組織過程能力的要求，說白了就是通過官方批準(zhǔn)機(jī)構(gòu)的審計(jì)。這個(gè)審計(jì)或者申請對組織來說是一次性的。當(dāng)然一般OEM都或多或少有了自己的網(wǎng)絡(luò)安全管理流程和系統(tǒng)，只需要根據(jù)UNR155作評審，取長補(bǔ)短，完善管理體系。這種專業(yè)要求高且一次性的活動(dòng)很多時(shí)候OEM也會(huì)通過第三方咨詢公司來幫助自己完善和通過審計(jì)，獲得CSMS合格證書。

• 針對車型

這更多是對每個(gè)車型的技術(shù)要求?；贑SMS，每款車型的開發(fā)都需要針對車型作廣泛的風(fēng)險(xiǎn)評估，針對常見的攻擊向量作適當(dāng)控制，同時(shí)對安全措施的有效性進(jìn)行充分的測試和驗(yàn)證。而且這個(gè)要求是貫穿車輛生命周期的，即使是已經(jīng)獲得車型型式認(rèn)可的，也需要持續(xù)管理其風(fēng)險(xiǎn)，持續(xù)檢測和報(bào)告。否則即使已經(jīng)獲得型式認(rèn)可了，也可能會(huì)在之后幾年被取消認(rèn)證和懲罰。

寫在最后

汽車智能網(wǎng)聯(lián)化近年來一直是汽車行業(yè)的主要議題。這些創(chuàng)新建立在車載系統(tǒng)數(shù)字化、汽車IT系統(tǒng)向后端延伸以及軟件傳播的基礎(chǔ)上。而隨著越來越多的關(guān)于黑客攻擊汽車登上頭條新聞，人們對汽車網(wǎng)絡(luò)信息安全的擔(dān)憂也成為了現(xiàn)實(shí)。UNR155正是監(jiān)管機(jī)構(gòu)正在增加壓力，以加強(qiáng)汽車行業(yè)應(yīng)對網(wǎng)絡(luò)安全的能力。

雖然我國尚未正式發(fā)布公告或者型式認(rèn)證中關(guān)于網(wǎng)絡(luò)信息安全的法規(guī)要求，但相關(guān)機(jī)構(gòu)已經(jīng)討論多時(shí)，草稿多版。預(yù)計(jì)我國的法規(guī)要求在參考UNR155的基礎(chǔ)上亦會(huì)提出更加具體的要求或者技術(shù)方案指導(dǎo)。而除了框架性法規(guī)要求，多個(gè)關(guān)于智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)信息安全的國家標(biāo)準(zhǔn)（例如V2X、智能網(wǎng)關(guān)等）都已經(jīng)發(fā)布或者正在發(fā)布，估計(jì)未來也會(huì)完成整個(gè)標(biāo)準(zhǔn)體系的發(fā)布，呈現(xiàn)“網(wǎng)絡(luò)信息安全國標(biāo)矩陣”。相信這將是一個(gè)復(fù)雜的新局面，但同時(shí)也會(huì)吸引更多資金到這個(gè)賽道上，企業(yè)也會(huì)更加重視。這對于我們相關(guān)從業(yè)人員來說，無疑既是挑戰(zhàn)，也是機(jī)會(huì)。

R155證書樣本