《汽车整车信息安全技术要求》要点解析

《汽车整车信息安全技术要求》要点解析 柯皓仁车联网安全中心 2024年4月 国家车联网安全政策体系逐步健全完善 我国坚持发展与安全并重，紧抓车联网安全的多项重点工作任务，密集出台系列政策文件，强化安全体系化布局 国际：UNR155和ISO/SAE21434 2022年03月：工信部《车联网网络安全和数据安全标准体系建设指南2021年09月：工信部《关于加强车联网网络安全和数据安全工作的通知》2021年09月：工信部《关于加强车联网卡实名登记管理的通知》口2021年08月：工信部国家互联网信息办公室公安部网络产品安全漏洞管理规定的通知口2021年08月：工信部《关于加强智能网联汽车生产企业及产品准入管理的意见口2021年07月：网信办、发改委、工信部等5部委印发《汽车数据安全管理若干规定（试行）》口2021年06月：工信部印发《关于开展车联网身份认证和安全信任试点工作的通知口2018年12月：工信部印发《车联网（智能网联汽车）产业发展行动计划 从2024年7月起，UN155/156将要求所有原始设备制造商及其供应链包括多层网络安全解决方案，以防御当前和未来的网络攻击 标准发展 1、网络安全管理体系认证（CsMSGyberSecurityManagementSystem) 2、车辆网络安全型式认证（VTA,VehicleTypeApproval），国信达 《汽车整车信息安全技术要求》 标准要求更为细致和严苛，“中国系列要求”的开始中国信 出台背景 联汽车）》中提出，基于国内行业发展现状和管理需求自主制定。于2021年4月正式调整为强制性国家标准项目计划。 2024年强标发布 2019年成立项目编制组2023年5月公开征求意见稿；口预计2024年上半年正式发布 国家标准化管理委员会文件 坚持与时俱进强调技管结合注重实操实践 国家标准化管理委员会关于下达（包装机械安全要求）等31项强制性国家标准制修订计划及相关标准外文版计划的通知 适应中国汽车产业发展现状的汽车整车信息安全技术要求， 工业和室惠化部、住房热多建设部、交通运验部、应急码，烟草局、药益用： 中国信巡院01X出台背景 目录QNTENTS 02内容解读中国信通院 1.内容解读一适用范围和实施时间 《汽车整车信息安全技术要求》的编制主要参考网络安全法规UNECER155和ISO/SAE21434《道路车辆网络安全工程》。主要涵盖了信息安全管理体系建设、车型要求、车辆安全要求和信息安全要求审核评估及测试验证方法等内容， 口对于新申请VTA车型：自强标实施之日起开始执行；口对于已获得VTA车型：自强标实施之日起第25个月开始执行。 资料来源：R155.2022 GI.0BAIAUTOMOTIVECYBERSECURITY REPORT"制图：车联网安全集智联盟 2.内容解读一目录结构国信 《汽车整车信息安全技术要求》主要涵盖了信息安全管理体系要求车辆信息安全一般要求、安全技术要求等内容。 3.内容解读一编制关联 《汽车整车信息安全技术要求》标准内容基于WP.29R155车辆网络安全管理体系，内容及相关材料参考ISO/SAE21434《道路车辆-网络安全工程标准》等。 4.内容解读-网络安全管理相关要求 《汽车整车信息安全技术要求》第五章汽车信息安全管理体系要求，提及车辆生产企业应建立车辆全生命周期的汽车信息安全管理体系，并建立内部管理信息安全的流程，识别、评估、分类，处置车辆信息安全风险，建立车辆信息安全测试流程，监测、响应和上报告网络攻击，管理企业与供应商、服务提供商之间信息安全依赖关系，这与UNECER155基本一致 UNECER.155 汽车整车信息安全技术要求 7.2系统匣述了网络安全管理系统的要求 5.内容解读-车辆要求 CAICT中国信通院 《汽车整车信息安全技术要求》第六章车辆信息安全一般要求。与UNECER.155关于车辆类型的要求基本一致，此外增加了关于默认安全设置和车辆数据处里的要求。充分考虑了国内当前的行业技术水平 UNECER.155 汽车整车信息安全技术要求 第六章阐述了车辆信息安全一般要求 7.3系统闸述了对车辆类型的要求 开发阶段充分考虑网络安全 进行详尽的风险评估，并应适当处理/管理已识别的风险 检测和防御网络攻击的措施中国件 6.内容解读-安全要求 《汽车整车信息安全技术要求》第七、八、九、十章，详细阐述了安全威胁及安全要求。强标对身份认证、身份识别、V2X数据、存储在车内的敏感个人信息、关键数据、境外传输数据要求等国家关注的几大方面做出详细的要求。 分别阐述四大方面威胁的38项安全要求。 口规定七项安全要求70个威胁清单。中国信 7.内容解读-审核评估及测试方法 《汽车整车信息安全技术要求》附录A中详细阐述了测试验证方法。对测试条件、测试输入信息、车测试方法等内容进行了规定，并分别与正文第7章～第10章的要求条款进行对应，给出具体的通过条件 车辆外部连接安全测试方法车辆通信通道安全测试方法辆软件升级安全测试方法车辆数据代码安全测试方法 8.车辆型式的变更和扩展 《汽车整车信息安全技术要求》第12章，针对车辆型式的变更和拓展进行描述，相比较UNECER155更为严苛。车型获得扩展后，此扩展车型不可再扩展到其他车型。当送检车型具有多种选装方案时 判定条件 扩展限制 口直接护展判定条件： 口无法扩展的判定条件： 车辆生产企业相同：通过汽车信息安全管理体系审核：车型整车电子电气架构相同：中央网关的硬件型号相同：车载软件升级系统硬件型号相同：真备蜂窝移动通信系统功能的零件硬件型号相同：车辆无线通信方式所使用的协议类型、版本相同；口审核后扩展的判定条件： 车辆生产企业发生变更汽车信息安全管理体系失效发生严重影响整车信息安全的变更 经审核车辆生产企业提供的车型风险评估报告后，确认整车信息安全风险未增加口测试验证后扩展的判定条件 应针对受影响的项目补充测试验证，测试验证通过后可获得扩展 TONECER155无明显折展限制 目录QNTENTS 中国信巡院已开展工作中国信通院 以定级备案为基础，提升车联网服务平台防护水平CAICT中国信通院 主要管理举措 开展车联网服务平台网络安全防护定级备案开展远程安全检测通报开展网络安全检查开展基础电信企业车联网业务考核 《关于加强车联网网络安全和数据安全工作的通知》《关干做好车联网网络安全防护定级备案工作的通知》 政策要求 车联网安全防护定级备案网络安全符合性评测网络安全风险评估监测预警机制和技术手段网络安全应急响应机制 企业落实措施 安全评估 应急处置 以数据流转关键环节为重点，加强数据安全监管 主要管理举措 《汽车数据安全管理若干规定（试行）》口《工和信息化领域数据安全管理办法（试行）》 政策要求 数据出境全流程监测、报备出境数据检查 企业落实措施 数据分类分级安全风险评估数据安全监测数据出境评估车内数据若名化及人人信息显著告知 数据出境安全管理 重要数据应当依法在境内存储，确需向境外提供的，应当道过安全评估。 以实网演练和标准建设为抓手，赋能安全能力提升 CAICT中国信通院 口探索开展智能网联汽车网络安全能力评价 口持续举办“铸网”车联网安全演练 累计百余家企业积极参与，覆盖汽车工作发达省份，覆盖产业链上下游。 客观评价整车安全能力，引导企业不断提升防护能力。 试点开展12款在售智能网联汽车的网络安全能力评价工作。 检验提升企业网络安全风险防范能力。 口加快建设车联网网络和数据安全标准体系 口成立“车联网安全集智联盟 推进成立车联网安全任务组（TF2）推进53项标准研制其中3项国家标准 统筹推进体系建设，高效推进标准研制和应用 联盟成员超140家，覆盖汽车生产企业高校、安全企业等。 打造产业促进平台，大力推动协同创新和应用探索。 谢谢！