汽车网络安全法规应对策略(网络安全管理体系CSMS):整体性方法
随着汽车产业智能化加速,全球范围内汽车网络安全立法正逐步推进。其中,联合国欧洲经济委员会(UNECE)关于汽车网络安全和软件更新的155号/156号法规(UN R155/UN R156)已于2022年开始实施,而基于此制定的中国GB标准(GB 44495-2024/GB 44496-2024)也将于2026年正式实施。因此,成功应对中国GB标准的关键在于对UN法规的专业理解和提前分析,这将成为核心要素。
本专栏由飞斯柯罗(FESCARO)提供,飞斯柯罗是一家专注于汽车网络安全的专业企业,也是韩国首个完成联合国汽车网络安全法规认证咨询(CSMS、ISO/SAE 21434、VTA、SUMS)大满贯的企业。 这一成就的关键在于,该公司能够有效克服认证过程中的困难,并通过结合企业的实际情况和环境,提出切实可行的定制化解决方案,从而实现最大化效率。
本专栏旨在系统介绍汽车网络安全法规相关的四大主要认证的核心内容及应对策略,分为三期连载:
① CSMS与ISO/SAE 21434的核心要点
② VTA认证的主要难点及解决方案
③ SDV(软件定义车辆)的必备前提条件及SUMS相关内容。
通过这一系列内容,深入探讨企业在复杂的法规环境中如何高效应对,并为行业提供具有实际价值的信息与指导。
汽车网络安全管理体系——智能汽车发展的关键基石
与UN R155一样,中国的GB标准《汽车整车信息安全技术要求》明确规定了汽车网络安全管理体系、基本技术要求及检查与试验方法。这些要求已成为构建安全的软件定义车辆(SDV)的关键要素。
相关GB标准实施后,整车制造商(OEM)必须获取网络安全管理体系(CSMS)认证及车型批准(VTA),以应对网络威胁和保障车辆安全性。CSMS是指管理汽车网络威胁和风险,并保护车辆免受网络攻击的组织流程和管理系统。而VTA(车辆类型批准)是指在每辆车发布时,验证该车辆是否通过CSMS进行开发的过程。
CSMS认证的核心在于覆盖车辆的整个生命周期,通过在车辆生命周期的每个阶段建立网络安全管理流程,制定应对方案,全面保障车辆安全。而是必须贯穿从开发、生产、运营到报废的所有阶段。通过优化整个生命周期的流程,设计并实施有机连接的网络安全管理体系,企业才能满足法规要求并获得CSMS认证,确保生产出安全可靠的产品。
那么如何获得网络安全管理体系(CSMS)认证呢?
根据UNR155规定,企业必须证明其在应用汽车网络安全管理体系(CSMS)时,已充分考虑到组织内的网络安全管理、风险识别、风险评估以及网络安全测试等流程。此外,还需证明能够在合理时间内有效缓解网络威胁与漏洞,并持续进行检测与响应的现场监控。最后,企业需证明其CSMS能够管理整个供应链中可能存在的网络安全依赖性,包括相关合作伙伴等。
在满足所有要求后,企业需要向具备资质的试验机构(TS,技术服务机构)提交申请验证,最终需向认证机构(AA,批准机构)提交材料接受最终审核,即可顺利获得认证。
CSMS与ISO/SAE 21434:从全生命周期视角构建网络安全
UN R155要求整车制造商需能够管理控制器开发商的网络安全活动。然而,由于UN R155对此部分的描述较为抽象,因此需要参考ISO/SAE 21434标准,该标准详细规定了具体的评估准则以及实际需要遵守的要求。
ISO/SAE 21434是汽车网络安全工程的国际标准,定义了覆盖车辆全生命周期的网络安全政策和流程,为CSMS(网络安全管理体系)的实施提供了重要的指导和参考。
这两项认证相辅相成,共同构建符合智能汽车网络安全法规的合规体系。
飞斯柯罗实用型解决方案:以全局视角为复杂法规环境提供捷径
要建立CSMS(网络安全管理体系), 以下两点必须重点考虑:第一,遵守中国、UN等法规的实施时间表;第二,为了缩短时间,应最大化利用现有资源,找到合规的解决方案。
要构建CSMS,首先必须识别和分析车辆的网络安全漏洞。通常,这一过程是通过对各个控制器进行TARA(威胁分析与风险评估)来完成的,并基于评估结果对控制器的安全等级进行分类。对于安全等级较高的控制器,通常采用搭载HSM(硬件安全模块)的国际安全标准半导体。但对于未配备HSM的非标准半导体,可能需要更换芯片,这将显著增加成本与时间负担。
飞斯柯罗深刻理解企业的实际挑战,制定了切实可行的解决策略。通过自主研发一款与HSM安全性相当的软件解决方案,帮助全球整车制造商在无需更换现有50多种芯片的情况下,成功满足UN法规要求。这一解决方案不仅显著降低了开发成本和时间,还极大地提升了生产效率。
飞斯柯罗之所以能够取得这样的成功,是因为其具备对汽车产业复杂价值链的整体理解,能够综合分析从OEM到供应商(Tier)及各类利益相关方的不同视角与需求。这一综合能力正是飞斯柯罗区别于其他企业的核心优势。
飞斯柯罗在全球整车制造商的CSMS认证及ECU供应商的ISO/SAE 21434认证过程中积累了丰富的一线经验,深刻体会到CSMS构建的核心在于贯穿“车辆的全生命周期”。
从开发到生产,再到生产后的运营阶段,若已建立起完善的汽车网络安全管理体系,那么下一步便是通过VTA(车辆型式批准)严格验证该体系在车辆开发中是否得到了有效落实。
在下一期内容中,我们将深入探讨VTA认证的主要难点及基于CSMS的车辆型式批准战略,敬请期待!