发布日期:2021-04-13 18:23
简讯:UN R155法规已于2021年1月22日正式生效,UN R155适用于M,N类车,以及安装了电控单元的O类车,以及有L3以上自动驾驶功能的L6,L7类车。在欧盟地区,从2022年7月开始,所有新车型都必须基于UN R155完成网络安全型式批准,2024年7月起所有新注册车辆必须符合UN R155。UN R155对于主机厂网络安全体系建设及车型网络安全测试均提出了严格的要求,ATIC泰测提供车型全生命周期CSMS (Cyber Security Management System )体系与车型认证服务。

CSMS网络安全管理体系技术要点
企业需要保证已建立的CSMS流程已经充分考虑了法规附录5示例的风险,CSMS需要覆盖车型全生命周期,包括:开发阶段,制造阶段,制造后车辆使用阶段,基于ISO/SAE 21434建立的网络安全管理体系形成的流程/文档/记录将被认为是体系证明符合以下要求的充分证据。
CSMS体系需要包括以下项目
序号 | 项目 | 项目解析 |
a | 制造商组织内部用于管理网络安全的流程 | 需要建立应对网络安全的组织架构,建立清晰的网络安全管理职责管理,问责体系 |
b | 用于识别不同车型网络安全风险的流程,在这些流程中,应考虑UN R155附录5 A部分的威胁和其他相关威胁 | 网络安全风险应包括但不限于附录5,风险识别来源可以来自漏洞/威胁共享平台,网络安全风险和脆弱性的既有经验 |
c | 用于评估、分类和处理已识别的网络风险的流程 | 制造商需要展示用来评估,分类和处理已识别的网络安全风险的规则,该流程可包评估已识别风险的相关影响与潜在攻击途径,确认潜在攻击途径的可行性与攻击可能性,明确已识别风险的分类依据,以及对于已识别已分类风险的处理办法 |
d | 用于核实已识别的风险是否得到适当管理的流程 | 需要响应UN R155 附录5中列出的缓解措施,制造商需要展示其决策风险管理的规则和流程,着重于风险和评估后的处理,处理后的剩余风险应该在制造商宣称的可接受范围内 |
e | 某一车型网络安全测试的测试流程 | 目的是确保制造商在整个开发和生产阶段具有测试目标车型的能力和程序;允许生产阶段的测试程序不同于开发阶段的程序 |
f | 确保网络安全风险评估保持更新的流程 | 目的是确保风险评估与时俱进,流程需要包括如何确定车型的风险是否发生了变化,风险评估程序如何更新,风险识别的来源(漏洞/危险平台,行业会议)如何更新等 |
g | 用于监测、检测和应对车型的网络攻击、网络威胁和漏洞的流程,以及用于评估所实施的网络安全措施在发现新的网络威胁和漏洞后是否仍然有效的流程 | 目的是确保已认证(量产及售后使用中)车辆所面临的网络攻击、网络威胁和漏洞仍然能够被制造商监测和应对,需要建立系统/车辆安全识别程序,对搜集到的网络安全信息进行管理评估的程序,事故应对程序等; *汇报义务:制造商需至少每年1次向交通部汇报风险监测情况与新识别的网络攻击风险。 |
h | 提供相关数据以支持对未遂或者已发生的网络攻击进行分析的流程 | 建立安全事件应急小组管理程序,事故发生时的信息监控/获取与传递程序等 |
车型技术要求方面
项目 | 项目解析 |
体系基础 | 车辆进行UN R155车型认证时,需要制造商已经获取CSMS证书 |
风险识别 | 制造商需识别并管理该车型供应链相关的网络安全风险;基于车型的关键要素进行详尽的风险评估,风险识别应考虑附录5-A部分以及车辆与外部系统的交互以及其它相关风险 |
缓解措施 | 制造商须妥善处理已识别的风险,对应的缓解措施必须包括附录5-B,C部分(附录5-B,C部分不适用时,采取其它合适缓解措施) |
专有环境 | 确保后市场软件,服务,应用程序和数据的存储和执行 |
测试证明 | 制造商应对车型进行充分全面的测试,证明所采取的缓解措施有效 |
监控与分析 | 制造商需要采取以下措施: 具备网络攻击监测和预防能力; 车辆能够支持制造商进行的风险/脆弱性/网络攻击监控工作; 车辆需要具备一定的数据取证能力,便于分析网络攻击 |
加密模块 | 加密模块需要符合行业通用标准 |
泰测服务
ATIC泰测提供全方位的汽车网络安全服务,服务内容包括:
体系建设:基于UN R155, ISO/SAE 21434提供差距分析,专业培训,流程与文档建设等体系建设服务;
体系认证:提供UN R155 CSMS认证, ISO/SAE 21434认证服务;
车型测试:基于已识别的网络安全风险,提供全面的汽车网络安全测试, 包括渗透测试,回归测试等;
车型认证:提供车型UN R155车型认证服务
泰测简介
ATIC是一个年轻的技术服务公司,来自中国,成立于2015年。ATIC致力于以国际视野在全球化背景下整合国内外法规、检测与认证资源,建立新型、专业化法规研究、检测与认证服务平台,为中国制造走向国际市场提供专业、高效的一站式技术服务。ATIC每年服务的国内外制造商数量超过3300家。