前文提到,今年以来汽车网络安全的需求开始暴发。一般来讲,这种现象大概率还是来源于法规驱动。
为此,我需要再次回顾下目前全球上汽车网络安全合规的出台和实施情况,记录在案,随时查阅。
目前汽车网络安全领域的格局,个人理解可以概括为"强制国际法规+指导性标准+区域适配"。
法规指的是强制性法规,强调"必须做",标准指的是指导性标准,指导应该怎么做来满足法规,区域适配则是参考国际法规和标准,结合本地情况,推出特色化的法规和标准。
1.UN R155
作为全球首个汽车网络安全强制性法规,R155应该算是各个地区网络安全法规的重要参考标准。
该标准由联合国世界车辆法规协调论坛(WP.29)在2020年6月通过,于2021年1月生效。
它的影响力巨大,适用于包括欧盟、英国、日本和韩国在内的54个联合国欧洲经济委员会(UNECE)成员国。
它的核心要求就一点:
汽车制造商(OEM)必须建立并实施网络安全管理体系,确保车辆从设计、生产到报废的全生命周期里都能有效管理网络安全风险。
从2022年7月起,在欧盟销售的所有新车需进行UN R155所要求的型式认证;从2024年7月起,在欧盟销售的所有车辆都必须满足该法规的要求。
简单说,没这个认证,车就别想在这些地方卖。
尽管开起来这个法规是针对OEM的,但实际上整个合规压力是传导到整个汽车供应链,所有零部件供应商等的参与者都需要了解潜在的风险,并提出解决方案。
2.ISO/SAE 21434
光有法规要求不够,具体怎么做?这就轮到ISO/SAE 21434出场了。
这个标准在2021年8月正式发布,是汽车网络安全领域的首个国际标准,个人理解可全球通用。
它提供了一套非常详细的方法论,指导车企和供应商如何在实际开发管理中落实网络安全,覆盖了从概念、开发、生产到运维、退役的全生命周期。
它和R155的关系是互补而非冲突:R155是"法",规定了"必须做";21434是"标准",指导了"怎么做"。
R155的解释文件也明确指出,ISO/SAE 21434是合规的重要参考依据。
所以,遵循21434通常是满足R155要求的最佳路径。
但在实际操作中,我发现21434对一家企业的能力要求是全方位的,太多的流程管理和文档交付,跨学科的标准、界限模糊,一一梳理下来会发现汽车网络安全所需要的跨学科能力建设、技术栈深度和广度、供应链管理之长以及全生命周期管理,是很少有与之匹配的工程学科。
我相信,不少国内的Tier 1在拿到OEM给出的网络安全能力调查问卷后,是一脸懵逼的,索性直接原封不动转交给下游,软件供应商或者芯片供应商:你们既然在做这些事情,那肯定有方案吧。
由于分工界限不明晰,很容易导致OEM对Tier 1的要求变形,例如要求Tier 1提供的系统满足NIST xx标准,同时又要满足21434,再细化一点的,甚至要求到密钥删除满足NIST xx标准,搞到后面,完全不知道应该要做什么。
当然,这些都是慢慢积累的,像功能安全一样,倒推五到十年大家还是一头雾水,现在已经驾轻就熟了。
3. ISO/PAS 5112
ISO/PAS 5112,全称《道路车辆--信息安全工程审核指南》,是用于支撑ISO/SAE 21434审核的重要标准。
它主要考察汽车CSMS中网络安全管理、持续地网络安全活动、风险评估方案、概念及产品开发阶段、量产阶段和分布式网络安全活动。
很明显,该标准作为审核类的标准,也是需要供应链所有参与者了解和的,这样才能从多角度地理解汽车CSMS建设工作的重要性。
4. 美国汽车网络安全框架
美国目前还没有统一的联邦层面汽车网络安全强制法规,这里介绍几个指南或者框架性的文档吧。
首先是SAE J3061,它是汽车网络安全领域的首个指导性文件,它直接影响了后续国际标准ISO/SAE 21434的制定,可以说是后者的前身。
该指南为汽车网络安全建立了一套完整的生命周期流程框架,列举了常见的网络安全工具和分析方法,并给出了信息安全的基本指导原则。
尽管J3061本身不是强制标准,但它为美国汽车行业的网络安全实践奠定了重要基础。
然后就是美国国家公路交通安全管理局(NHTSA)发布的汽车网络安全最佳实践指南(Cybersecurity Best Practices for modern vehicles),为制造商如何应对不断变化的网络威胁、在车辆全生命周期中实施网络安全最佳实践提供了指导。
与UN R155的强制性不同,NHTSA的指南目前是自愿性的。
我觉得这个写的还停详细的,有兴趣的回复"网络安全最佳实践"可获取PDF链接。
5.中国汽车网络安全框架
中国汽车网络安全框架法规框架,主要还是要关注是中国版R155\R156《汽车整车信息安全技术要求》(GB4495---2024)和《汽车软件升级通用技术要求》(GB44496-2024)
上述标准已于2024年发布,并规定于2026年1月1日正式实施,可以说,这是中国版的汽车"准入"门槛。
除此之外,从车联网网络安全和数据安全标准体系建设指南再到《汽车芯片信息安全技术规范》,我们可以看到一个成体系的、大而全的框架会越来越完善。
数据跨境管理方面,相关部门也发布了《汽车数据出境安全指引》的征求意见稿,明确了重要数据出境的核心场景,为行业数据跨境活动提供制度依据。
6.总结
个人感觉,汽车网络安全确实是个复杂的领域,它融合了传统IT安全、车联网特性、严格的安全合规要求以及汽车产业特有的长供应链管理,每个环节上的人都只知一斑,难窥全貌。
其次,安全责任在主机厂、一级供应商、众多零部件厂商之间难以清晰界定和追溯,统一安全标准落地也比较难。
最后,为满足法规,需要将文本要求转化为具体零部件和系统的安全需求并实现、测试,至少目前来看,我很少看到有拆解的比较透彻的需求,例如平衡安全的成本和收益,大都是别人有,我也要的感觉。