淺談ECE R155法規對車輛網絡安全的準入要求

陳姿霖，王遠波，美少楠

（陜西重型汽車有限公司汽車工程研究院，陜西 西安 710200）

1 概述

網聯化和智能化是汽車發展的必然趨勢，使汽車成為了一個聯網產品，而車聯網技術更是一把雙刃劍，給用戶帶來巨大便利的同時也使車輛置于危險之中，車輛面臨著云端威脅、傳輸威脅、終端威脅、外部威脅等。

從2013年起，國內外汽車攻擊事件層出不窮，據Upstrem統計，針對智能網聯汽車的網絡攻擊事件，2018年80起，2019年155起，多種品牌車輛的遠程控制、車云服務、遙控駕駛、OTA系統等被非法破解和惡意操控，導致車輛失控、車企被迫停止相關服務并進行召回，給用戶和車輛制造商帶來人身、財產、形象等方面的損失，甚至危害到國家安全。

在汽車網聯技術飛速發展的同時各國網絡安全相關機構高度重視，先后出臺各種法規和標準，對網聯車輛的網絡安全提出了要求并明確了驗證方法。聯合國世界車輛法規協調論壇于2020年6月25日正式發布了R155， 《1958年協議書》涵蓋的國家及向這些國家出口的車輛制造商需遵守該法規，該法規于2021年1月1日起正式生效，2022年7月起在58協議國銷售的新車型必須滿足該法規要求，2024年7月起在這些國家銷售的舊車型必須滿足該法規要求。

R155為國際范圍內第一個強制性法規，標志著汽車網絡安全進入了強制監管范圍。

2 R155

2.1 概述

R155全稱為Uniform Provisions Concerning the Approval of Vehicles with Regards to Cyber Security and Cyber Security Management System，即關于車輛的網絡安全和網絡安全管理體系的統一規定，該法規適應于1958年協議書所包含國家的乘用車和商用車的M類、N類、至少配備一個ECU的O類車輛、L3及以上車輛，該法規也即將擴展到1998協議書涉及的國家，涉及到的國家在其國內國外銷售的車輛都需要滿足該法規的要求。該法規包含以下兩部分內容。

1）第一部分：針對車輛制造商的網絡安全管理體系（CSMS）的評估和認證。

2）第二部分：在車輛型式認證（VTA，Vehicle Type Approval）過程中的針對車輛的網絡安全進行評估和認證。

其中網絡安全管理體系（CSMS）合格證是車輛型式認證（VTA）先決條件，CSMS和VTA認證通過后，該車型才算符合了R155法規要求。

2.2 網絡安全管理體系

CSMS為網絡安全管理體系，全稱為Cyber Security Management System，該體系能夠支持車輛制造商識別、分析、抵御車輛網絡安全的風險。

R155圍繞組織架構與制度流程，對車輛制造商在CSMS的建設與申請提出了具體要求。主要審查車輛制造商在車型平臺的生命周期內是否制定且應用了網絡安全管理流程，以確保產品的開發、生產、銷售運維等各個階段，都能夠有效發現和控制風險。

2.2.1 CSMS體系要求

1）要覆蓋車輛生產的開發、生產、停產在用階段。開發階段為車型獲得批準之前的時期；生產階段為車輛持續生產的時期；停產在用階段為不再生產該類型車輛的時期，直到該類型車輛的所有車輛壽命終止（也包含特定車輛類型的車輛將在此階段運行，但已不再生產。當不再有任何特定車輛類型的運營車輛時該階段結束）。

2）要對供應商、服務商以及子公司的網絡安全能力進行監管。

3）車輛制造商提供自證材料，證明自身搭建的CSMS流程對網絡安全進行了充分考慮，對R155表A1列出的風險采取了防御措施。應包含以下內容：①網絡安全管理流程；②風險的識別流程；③已經識別的風險評估、分類和處理過程流程；④驗證已識別風險得到適當管理的流程；⑤車輛網絡安全測試流程；⑥持續的風險評估流程；⑦用于監控、檢查和響應車輛的網絡攻擊、網絡威脅和缺陷的流程，評估網絡安全措施在新的網絡威脅和缺陷是否有效的流程；⑧提供相關數據以供分析企圖攻擊或成功攻擊的網絡攻擊流程。

4）制造商應證明所使用的CSMS流程能確保基于2）及3）中①～⑦的監控措施是連續有效的。監控應包含以下內容：將首次上牌后的車輛納入監測范圍；包括從車輛數據和車輛日志中分析和檢測網絡威脅、漏洞和攻擊的能力，以及車主或駕駛員的隱私權。

5）制造商應證明所使用的CSMS流程能確保需要響應的威脅和缺陷在合理的時間內能做出防御響應。

2.2.2 CSMS合格證書

由制造商提出申請獲取網絡安全管理體系合格證書，應附以下文件一式三份及詳細說明：①網絡安全管理體系描述文件；②按照R155附件1附錄1中定義的模型簽署的聲明。

車輛制造商在車輛銷售前需向專業機構提出申請，經過審核后向車輛制造商頒發CSMS合格證書，證書的有效期為自發證之日起最長3年，除非證書被撤銷。當證書到期后，車輛制造商可申請新證書或對現有證書進行延期，發證機構對內容進行重新審核，頒發的新證書或延期為3年。在證書有效期間，當車輛制造商的網絡安全管理體系發生變化時，車輛制造商應向發證機構提出復審請求，審核通過后，發證機構會簽發新的證書。

2.3 產品的網絡安全能力

R155規定，當車輛制造商申請車輛型式認證（VTA）時，必須先滿足網絡安全管理體系（CSMS）的要求，然后才有資格申請進行VTA認證。

VTA認證是對車型網絡安全開發中具體的工作項進行審查，涵蓋車輛服務平臺、通信通道、軟件升級、外部設備接入、數據和代碼、使用的技術、分配的權限、車輛和控制器結構設計等方面，根據附錄5中列舉的威脅進行核查，確認車輛制造商是否進行了安全防護，通過后會向車輛制造商頒發合格證書。

2.3.1 車輛型式認證（VTA）技術要求

1）所有車型必須經過車型認證才能上市銷售；對2024年7月以前生產的車輛，需制造商證明在研發中已經充分考慮了網絡安全因素。

2）制造商應對待認證的車型進行識別和管理與供應商有關的風險。

3）制造商應確定車輛類型的關鍵要素，并對車型進行全面的風險評估，并處理/管理已識別的風險。

4）制造商應采取適當的緩解措施，確保對已識別的風險進行了保護。

5）制造商應采取適當的措施，以確保車型上有專用環境，用來存儲和執行售后軟件、服務、應用程序或數據。

6）制造商應在車型認證之前進行充分的測試，以驗證安全措施的有效性。

7）用于實現R155法規所采用的加密方案應符合統一法規，如果不符合，應對其進行說明。

8）車輛制造商應當落實針對申報車型的相關措施：①監測和抵御對車輛的網絡攻擊；②支撐制造商對威脅、缺陷和網絡攻擊的監測能力；③提供數據取證能力，以便對試圖或攻擊成功的攻擊事件進行分析。

2.3.2 車輛型式認證（VTA）申請

車輛制造商提出車輛型式認證申請時，需滿足以下要求。

1）該項申請由車企或者其授權代表提出，提交文件內容包括：待批準車型描述、知識產權說明、該車型CSMS合格證書。

2）用于認證的相關材料，所提交的文件從停產日期開始至少保存10年，所涵蓋的材料如下：①目標車輛類型的一般構造特征，包括與網絡安全有關的車輛系統、與網絡安全有關的車輛系統的零部件、與這些系統交互的車內的其它系統、與這些系統交互的外部接口；②待批準車型的電子電器架構示意圖；③CSMS合格證書的編號；④描述待批準車型風險評估的結果和已識別風險的文件；⑤描述應對風險緩解措施及緩解原理的文件；⑥描述針對售后軟件、服務、應用程序或數據的專用環境保護的文件；⑦待批準車型網絡安全相關系統的網絡安全測試報告；⑧待批準車型網絡安全相關系統供應鏈的網絡安全管理說明。

3）與本法規有關的材料在車輛制造商保存，并在車型認證期間可被審查。

3 結束語

2021年國內外相繼出臺了各種智能網聯汽車網絡安全的法規和標準，各車輛制造商在相關法規和標準的指導下，成立專項部門構建網絡安全管理體系，對車輛和產品進行風險評估，挖掘漏洞，制定和實施各項緩解措施，以確保車輛的網絡安全并順利通過合規性檢驗。