陈姿霖，王远波，美少楠

（陕西重型汽车有限公司汽车工程研究院，陕西 西安 710200）

1 概述

网联化和智能化是汽车发展的必然趋势，使汽车成为了一个联网产品，而车联网技术更是一把双刃剑，给用户带来巨大便利的同时也使车辆置于危险之中，车辆面临着云端威胁、传输威胁、终端威胁、外部威胁等。

从2013年起，国内外汽车攻击事件层出不穷，据Upstrem统计，针对智能网联汽车的网络攻击事件，2018年80起，2019年155起，多种品牌车辆的远程控制、车云服务、遥控驾驶、OTA系统等被非法破解和恶意操控，导致车辆失控、车企被迫停止相关服务并进行召回，给用户和车辆制造商带来人身、财产、形象等方面的损失，甚至危害到国家安全。

在汽车网联技术飞速发展的同时各国网络安全相关机构高度重视，先后出台各种法规和标准，对网联车辆的网络安全提出了要求并明确了验证方法。联合国世界车辆法规协调论坛于2020年6月25日正式发布了R155， 《1958年协议书》涵盖的国家及向这些国家出口的车辆制造商需遵守该法规，该法规于2021年1月1日起正式生效，2022年7月起在58协议国销售的新车型必须满足该法规要求，2024年7月起在这些国家销售的旧车型必须满足该法规要求。

R155为国际范围内第一个强制性法规，标志着汽车网络安全进入了强制监管范围。

2 R155

2.1 概述

R155全称为Uniform Provisions Concerning the Approval of Vehicles with Regards to Cyber Security and Cyber Security Management System，即关于车辆的网络安全和网络安全管理体系的统一规定，该法规适应于1958年协议书所包含国家的乘用车和商用车的M类、N类、至少配备一个ECU的O类车辆、L3及以上车辆，该法规也即将扩展到1998协议书涉及的国家，涉及到的国家在其国内国外销售的车辆都需要满足该法规的要求。该法规包含以下两部分内容。

1）第一部分：针对车辆制造商的网络安全管理体系（CSMS）的评估和认证。

2）第二部分：在车辆型式认证（VTA，Vehicle Type Approval）过程中的针对车辆的网络安全进行评估和认证。

其中网络安全管理体系（CSMS）合格证是车辆型式认证（VTA）先决条件，CSMS和VTA认证通过后，该车型才算符合了R155法规要求。

2.2 网络安全管理体系

CSMS为网络安全管理体系，全称为Cyber Security Management System，该体系能够支持车辆制造商识别、分析、抵御车辆网络安全的风险。

R155围绕组织架构与制度流程，对车辆制造商在CSMS的建设与申请提出了具体要求。主要审查车辆制造商在车型平台的生命周期内是否制定且应用了网络安全管理流程，以确保产品的开发、生产、销售运维等各个阶段，都能够有效发现和控制风险。

2.2.1 CSMS体系要求

1）要覆盖车辆生产的开发、生产、停产在用阶段。开发阶段为车型获得批准之前的时期；生产阶段为车辆持续生产的时期；停产在用阶段为不再生产该类型车辆的时期，直到该类型车辆的所有车辆寿命终止（也包含特定车辆类型的车辆将在此阶段运行，但已不再生产。当不再有任何特定车辆类型的运营车辆时该阶段结束）。

2）要对供应商、服务商以及子公司的网络安全能力进行监管。

3）车辆制造商提供自证材料，证明自身搭建的CSMS流程对网络安全进行了充分考虑，对R155表A1列出的风险采取了防御措施。应包含以下内容：①网络安全管理流程；②风险的识别流程；③已经识别的风险评估、分类和处理过程流程；④验证已识别风险得到适当管理的流程；⑤车辆网络安全测试流程；⑥持续的风险评估流程；⑦用于监控、检查和响应车辆的网络攻击、网络威胁和缺陷的流程，评估网络安全措施在新的网络威胁和缺陷是否有效的流程；⑧提供相关数据以供分析企图攻击或成功攻击的网络攻击流程。

4）制造商应证明所使用的CSMS流程能确保基于2）及3）中①～⑦的监控措施是连续有效的。监控应包含以下内容：将首次上牌后的车辆纳入监测范围；包括从车辆数据和车辆日志中分析和检测网络威胁、漏洞和攻击的能力，以及车主或驾驶员的隐私权。

5）制造商应证明所使用的CSMS流程能确保需要响应的威胁和缺陷在合理的时间内能做出防御响应。

2.2.2 CSMS合格证书

由制造商提出申请获取网络安全管理体系合格证书，应附以下文件一式三份及详细说明：①网络安全管理体系描述文件；②按照R155附件1附录1中定义的模型签署的声明。

车辆制造商在车辆销售前需向专业机构提出申请，经过审核后向车辆制造商颁发CSMS合格证书，证书的有效期为自发证之日起最长3年，除非证书被撤销。当证书到期后，车辆制造商可申请新证书或对现有证书进行延期，发证机构对内容进行重新审核，颁发的新证书或延期为3年。在证书有效期间，当车辆制造商的网络安全管理体系发生变化时，车辆制造商应向发证机构提出复审请求，审核通过后，发证机构会签发新的证书。

2.3 产品的网络安全能力

R155规定，当车辆制造商申请车辆型式认证（VTA）时，必须先满足网络安全管理体系（CSMS）的要求，然后才有资格申请进行VTA认证。

VTA认证是对车型网络安全开发中具体的工作项进行审查，涵盖车辆服务平台、通信通道、软件升级、外部设备接入、数据和代码、使用的技术、分配的权限、车辆和控制器结构设计等方面，根据附录5中列举的威胁进行核查，确认车辆制造商是否进行了安全防护，通过后会向车辆制造商颁发合格证书。

2.3.1 车辆型式认证（VTA）技术要求

1）所有车型必须经过车型认证才能上市销售；对2024年7月以前生产的车辆，需制造商证明在研发中已经充分考虑了网络安全因素。

2）制造商应对待认证的车型进行识别和管理与供应商有关的风险。

3）制造商应确定车辆类型的关键要素，并对车型进行全面的风险评估，并处理/管理已识别的风险。

4）制造商应采取适当的缓解措施，确保对已识别的风险进行了保护。

5）制造商应采取适当的措施，以确保车型上有专用环境，用来存储和执行售后软件、服务、应用程序或数据。

6）制造商应在车型认证之前进行充分的测试，以验证安全措施的有效性。

7）用于实现R155法规所采用的加密方案应符合统一法规，如果不符合，应对其进行说明。

8）车辆制造商应当落实针对申报车型的相关措施：①监测和抵御对车辆的网络攻击；②支撑制造商对威胁、缺陷和网络攻击的监测能力；③提供数据取证能力，以便对试图或攻击成功的攻击事件进行分析。

2.3.2 车辆型式认证（VTA）申请

车辆制造商提出车辆型式认证申请时，需满足以下要求。

1）该项申请由车企或者其授权代表提出，提交文件内容包括：待批准车型描述、知识产权说明、该车型CSMS合格证书。

2）用于认证的相关材料，所提交的文件从停产日期开始至少保存10年，所涵盖的材料如下：①目标车辆类型的一般构造特征，包括与网络安全有关的车辆系统、与网络安全有关的车辆系统的零部件、与这些系统交互的车内的其它系统、与这些系统交互的外部接口；②待批准车型的电子电器架构示意图；③CSMS合格证书的编号；④描述待批准车型风险评估的结果和已识别风险的文件；⑤描述应对风险缓解措施及缓解原理的文件；⑥描述针对售后软件、服务、应用程序或数据的专用环境保护的文件；⑦待批准车型网络安全相关系统的网络安全测试报告；⑧待批准车型网络安全相关系统供应链的网络安全管理说明。

3）与本法规有关的材料在车辆制造商保存，并在车型认证期间可被审查。

3 结束语

2021年国内外相继出台了各种智能网联汽车网络安全的法规和标准，各车辆制造商在相关法规和标准的指导下，成立专项部门构建网络安全管理体系，对车辆和产品进行风险评估，挖掘漏洞，制定和实施各项缓解措施，以确保车辆的网络安全并顺利通过合规性检验。