汽车网络安全--关于UN R155认证的思考

xiaocheng

目录
1.UN R155概述

2.R155法规认证

    2.1 CSMS概述

    2.2 VT概述

    2.3 R155认证流程

3.小结

   

1.UN R155概述

2020年6月25日，联合国颁布了全球首个汽车网络安全强制性法规 -- UN 155，详细规定了关于评估网络安全措施的审核条款、制造商和供应商降低网络安全风险的方法以及实施风险评估的义务等。

法规适用于与信息安全相关的M类(4轮及以上载客汽车)、N类(四轮载货汽车)、至少装有1个电控单元的O类(挂车、半挂车等)以及具有3级以上自动驾驶功能的车辆。虽然该系列法规只针对1958协议下成员国(欧盟及部分亚洲国家)，但只要出口到上述缔约国家的车辆都需要相关认证，并且在2025年1月要求所有车型所有架构必须完成上述认证，所以现在大家发现很多国内OEM都开始火急火燎寻找信息安全认证这方面的资源，同时也开始让一二级供应商提供相应材料辅助完成认证。那么到底UN R155到底规定了哪些方面的内容？
2.R155法规认证

R155法规与ISO\SAE 21434结构类似，分为正文和附录。

正文部分详细描述了认证对象、证书等法规要求，附录则提供了相关文件模板和威胁列表及缓解措施。其内容如下图所示：



图片来源网络，侵删

在法规第7节内容中详细描述了对CSMS(Cyber Security Management System)网络安全管理体系以及车辆型式(Vehicle Type)的要求，也就是说要通过该法规，既要通过CSMS的认证，也需要通过VT的认证。
2.1 CSMS概述

根据法规描述，OEM需要对汽车的开发、量产及售后阶段建立起一套有效网络安全体系用于监管和发现汽车网络安全事件、面临的威胁以及网络漏洞，该网络安全体系的要求在R155的7.2章节有详细描述，具体有如下：

能够建立明确的网络安全组织架构，划分权责关系；能够鉴别车辆型式的风险；能够评估、分类和处理已鉴别的风险；能够验证已识别的风险已被妥善管理；能够测试某个车辆型式的网络安全；能够保证风险评估始终更新；能够对车辆型式的网络安全威胁和攻击进行监管、检测和阻止；能够提供相关数据以支持对企图或成功的网络攻击的分析。

但是比较有趣的是，R155只是提出了应该做什么，没有指导应该怎么做，因此ISO/SAE 21434就对“怎么做”这部分内容进行定义和补充，因此也可以说，R155是提需求的人，21434是下面的执行者，当然这段内容我后面分析了再进行两个标准的对比和内容映射关系。2.2 VT概述在R155 第7.3章节，描述了对于车辆型式的要求 。根据7.3.1章节内容，OEM要进行车辆型式认证，需要按如下步骤进行：

首先需要获取有效的CSMS合规证书针对目标车辆型式的关键需求进行风险评估，识别并对整车供应链的网络安全风险进行管理；针对已识别到的风险提出缓解措施；针对上述措施进行网络安全测试；针对目标车辆型式进行网络安全监控、阻止等。目标车辆型式的密码模块需要符合行业通用标准

因此在型式认证上，要做的内容就根据具体，例如供应商的网络安全安全管理、权责划分，对于整车、零部件等要基于网络安全进行开发和验证，还要设置相应的网络安全漏洞管理、响应措施等。2.3 R155认证流程

因此，基于上述CSMS和VT的要求，要想完成R155的认证，需要做如下三方面准备：

完成CSMS认证。有网络安全人才储备的OEM能够迅速建立起法规要求的网络安全管理体系，在公司内部建立起网络安全文化、网络安全产品开发流程；准备好材料后找机构进行审核，和功能安全类似；完成VT认证。在进行CSMS认证的同时，为提高效率，可着手准备VT认证，例如从供应商管理开始着手，审核供应商对于网络安全产品的理解和开发能力，同时OEM也可依此来审视自己的CSMS体系健全。当然，法规要求要进行VT必须先拿到CSMS，这两者可否同时进行；或者是依据CSMS首次审核后返回的第一版问题，进行VTA的资料准备；针对后续的漏洞更新、供应商网络安全管理等待进行定期同步。

3.小结

以上只是我个人对于该标准的片面理解，值得一提是，这个法规只是告诉OEM做什么，但是具体怎么做， 还需要参考21434。所以接下里，我会继续深入研究，看看这二者的关联具体在哪里。

sxq0201

作为汽车工程师，深知UN R155法规的重要性。该法规是全球首个针对汽车网络安全的强制性法规，为行业树立了网络安全的标准和评估准则。它适用于不同类型的车辆，要求制造商和供应商遵循一系列网络安全措施，降低风险并履行风险评估义务。这不仅推动了行业的规范发展，更提高了汽车的安全性，保护了消费者的权益。在后续的章节中，我们将详细探讨R155法规认证的内容、流程和小结，以更好地理解和应对这一法规。

mizhongquan

关于汽车网络安全和UN R155认证的思考如下：

UN R155法规是全球首个针对汽车网络安全的强制性法规，适用于各类汽车，特别是装有电控单元的车辆。该法规详细规定了汽车网络安全措施的审核条款，要求制造商和供应商降低网络安全风险，并实施风险评估。其中，CSMS（网络安全管理体系）和VT（验证测试）是认证流程的关键环节。该法规的出台对于保护汽车网络安全、保障消费者权益具有重要意义。未来，汽车制造商需严格遵守该法规，确保车辆网络安全性能的提升。

loohoolinda

以下是对汽车网络安全关于UN R155认证的专业回复：

“针对UN R155这一全球首个汽车网络安全强制性法规，其为M类、N类及至少装有电控单元的O类车辆设立了详尽的网络安全标准和要求。其核心内容包括对网络安全的评估审核条款、风险降低方法以及风险评估实施的义务等。针对这一法规的认证流程包括了CSMS概述、VT概述及具体实施流程等，均体现了对汽车网络安全性的高度重视。对于汽车行业而言，遵循这一法规，将极大提升汽车网络安全水平，确保车辆行驶安全。”

希望以上回复符合您的要求。

huangguang

好的，针对汽车网络安全以及UN R155认证的相关内容，以下是我的回复：

一、概述：

UN R155法规是全球首个针对汽车网络安全的强制性法规，旨在提高汽车电子系统的网络安全标准。此法规详细规定了汽车网络安全措施的审核条款、降低网络安全风险的方法及实施风险评估的义务等。此法规适用于与信息安全相关的各类车辆。

二、R155法规认证：

该法规的实施涉及CSMS（汽车网络安全管理体系）概述、VT（验证流程）概述以及详细的R155认证流程。其中，CSMS是汽车网络安全的核心，VT则是确保安全性的重要手段。R155认证流程涵盖了风险评估、安全目标设定、安全策略制定等环节，以确保车辆的网络安全性能达到法规要求。

三、小结：

总的来说，UN R155法规的颁布实施对提升汽车网络安全具有重要意义。作为汽车工程师，我们应深入理解并遵循此法规，不断提升我们的专业技能，确保汽车的网络安全性能，保障消费者的行车安全。

以上回复仅供参考，如有需要，还可以根据实际情况进行修改和调整。