【赛宝智驾】智能网联汽车网络安全与认证
ISO21434 网络安全咨询师
随着智能网联汽车的数量不断增加,各种针对车辆本身、软件组件、远程信息服务等设施的网络攻击数量不断增加。
智能网联汽车网络安全是一个复杂系统的安全问题,其安全风险主要集中在四个方面。第一是车端的安全,第二是通信安全,第三是提供服务的云平台安全,第四是数据的安全。
在车端,智能驾驶系统、动力系统、车身控制系统以及信息娱乐系统都是黑客的攻击的对象。
在通讯端,车、云、路的互联增大攻击面,威胁车辆安全,为黑客提供了无数的攻击入口。
在云端,封闭式车联网运营平台逐步向开放式车联网数字化运营平台发展,增加了远程攻击的风险。
在数据端,大数据驱动智能,数据安全将威胁到用户隐私安全和自动驾驶等功能的使用。
2020年6月,联合国世界车辆法规协调论坛(WP.29)发布了关于智能网联汽车的重要法规R155。根据欧盟要求,从2022年7月起所有新车型必须符合R155法规,才能在欧盟上市销售。
R155认证主要分为两部分,一是网络安全管理体系认证CSMS,二是车辆网络安全型式认证VTA。前者主要审查OEM是否在汽车完整生命周期内制定了汽车网络安全管理流程,以确保全生命周期内有对应流程措施以控制相关风险。后者针对OEM网络安全开发中的具体工作执行情况进行审查,目标为确保车辆的网络安全防护技术能覆盖全生命周期安全。
在我国,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等一系列已经出台的法律法规已经初步形成了保障我国公民信息安全的法律体系。
2022年3月,工业和信息化部印发了《车联网网络安全和数据安全标准体系建设指南》。提出到2023年底,初步构建起车联网的网络安全和数据安全标准体系。
为应对智能网联汽车的网络安全风险,并满足各国网络安全法规的需要,2021年8月31日,由SAE和ISO共同制订的,汽车网络安全领域首个国际标准ISO/SAE 21434"Road Vehicles-Cybersecurity engineering"正式发布。
ISO/SAE21434标准适用于道路车辆产品,包括其零部件和软件。该标准考虑车辆及电子部件的开发过程和生命周期,在产品研发的所有阶段都考虑到网络安全风险及处置。ISO/SAE 21434标准不会推荐任何特定的安全技术或对策解决方案,该标准通过执行结构化的网络安全威胁分析和风险评估模型,结合软件工程研发模型和网络安全管理体系,建立了一套适用于智能网联汽车的网络安全研发和管理的规范。通过管理、流程和设计来保障整个供应链的产品在全生命周期中的网络安全。
赛宝认证中心自1998年获得三大汽车公司授权开展QS9000认证开始,在汽车行业已经拥有20多年的经验,为汽车企业研发管理提供全生命周期的培训、评估、认证以及有关技术服务等。赛宝认证还为企业提供多种流程整合等定制化服务,通过赛宝的流程整合确保了企业流程实施的一致性和可操作性。