UNECE R 155《网络安全及网络安全系统》(Cyber security and cyber security management system)是联合国欧洲经济委员会(UNECE)的世界车辆法规协调论坛(WP.29)发布的法规,列出有关汽车网络安全(Automotive Cybersecurity)的需求,以减少网络攻击的风险,并且要求建立网络安全管理系统(cyber security management system),此法案是在2020年6月24日发布[1]

R 155的内容

编辑

R 155要求汽车的制造商需建立网络安全管理系统(CSMS),并且确保此系统可以通过车辆型式审查德语Typgenehmigung (Kraftfahrzeug)

在网络安全管理系统中有定义汽车开发的流程,可以系统化的处理和评估网络攻击的风险

法规中只要求汽车零件供应商德语Automobilzulieferer要通过R 155。制造商需证明有能力控管供应商的风险[2],因此就和其他产品责任英语Product liability风险的管理类似,制造商也会要求供应商导入网络安全管理系统。在ISO/SAE 21434中,也有透过网络安全协议(着重网络安全的服务界面协议德语Leistungsschnittstellenvereinbarung)来进行要求。

网络安全管理系统

编辑

网络安全管理系统(CSMS)有以下的特点:

  • 风险管理:需由制造商导入有关网络威胁风险识别、评估以及减缓的流程[3]
  • 流程必须包括汽车开发、汽车生产,以及使用者实际驾驶的阶段[4]
  • 针对在运行的车辆,必须针对已知的攻击进行监控,并且更新软件,以确保汽车的安全。
  • 需由独立机构[5]进行评估,以证明供应商的网络安全管理系统符合R 155的要求。有能力执行此一任务。认证效期3年[6]。这也是汽车制造商生产车型通过型式审查前的必要条件。

一般认为网络安全管理系统可以侦测到新的网络威胁,并且发展防范的对策。R 155设定了要做什么以及如何检查的准则,但R 155不会强制网络安全管理系统的设计方式,也没有明确说明可以避免哪些网络威胁,以及如何避免网络威胁的方案。

以风险分析为主

编辑

附录5以风险分析的角度,列出了许多攻击方式以及攻击标的。R 155没有强制要依附录5进行分析,不过一般在认证的评估时,也会假设已针对这些攻击方式进行处理。

附录5有提到:

  • 汽车和周遭设备的无线通讯,例如,在制造时和更新服务器的通讯,需考虑的是对车联网通讯或是keyless go英语keyless go功能的危害。
  • 固件更新流程的安全性,以避免更新到植入恶意程式的固件。
  • 避免车上人员的介入,(车上人员的介入会让攻击者可以用欺骗的方式采取行为,例如在PC上用邮件钓鱼式攻击)。
  • 程式和资料的安全防护,避免资料更改或是外流。
  • 透过不适当的加密方式进行的保护,或是一些加密方式在开发时是适当的,但随着科技的演进而失去保护效果(例如过短的密钥)。

章节B说明攻击的手法以及防范的方式,章节C说明对于内部人士攻击的防护,以及从制造商后端服务器攻击的防护。

ISO/SAE 21434的角色

编辑

ISO/SAE 21434是在实现UNECE R 155时的指南,也是车辆产业中的标准。VDA有发行Automotive Cyber Security Management System Audit,让汽车产业可以准备网络安全的评估。

范围

编辑

依照UNECE R 155,需在以下分类的车辆上实施网络安全管理系统[7]

也包括含有自动驾驶功能的车辆。

相关问题

编辑

R 155法规的附录5中有举出许多需要检查的攻击,但没有说明制造商的对策要进行到什么程度才算是足够。附录5的范例包括有关车辆本身的攻击(ISO/SAE 21434标准包括的内容),以及有关后台服务器的攻击(是ISO/IEC 27001标准包括的内容)。

R 155有定义需为运行中车辆提供软件更新的期间,这个期间的范围很广。R 155要求在产品生命周期的所有阶段都要可以提供安全更新,其最后一个阶段“量产后阶段”(post-production phase)要到此型式的车已没有在道路上运行时才能结束[8]。依照标准的定义,每一部此一型式的车都会延长其产品生命周期的最后一个阶段。一般车辆的开发阶段约二至三年,商用车的量产阶段最多七年,之后的平均维护时间约有十年。以汽车产业的观点来看,会有一个问题:在开发阶段实施安全更新的软件环境,在停止生产英语End of Production后的某个时间点,会因为软件整合环境、操作系统或硬件厂商的授权机制结束而无法运作。

另一方面,随着新的加密算法需要更多的运算时间及记忆体,微处理器的性能及记忆体已不符需求,也需进行更换。这特别容易发生在时序要求严格的电子控制器,例如引擎控制、刹车及转向。

已在2020年6月24日通过的UNECE R 156《软件更新及软件更新管理系统》,若软件更新的功能是和型式审查(例如废气、刹车)有关的,在发布之前需先检查,并且需要经过核可。以攻击者的观点来看,这是很吸引人的目标,目前还不清楚上述的规定,是否会影响从安全漏洞发现,到最早发布安全更新的时间。

相关条目

编辑

参考资料

编辑
  1. ^ Nations, United Nations Economic Commission for EuropeInformation UnitPalais des; Geneva 10, CH-1211; Switzerl. UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of connected vehicles. www.unece.org. [2020-11-10]. (原始内容存档于2020-11-28). 
  2. ^ UNECE R 155, Section 5.1.1. (a)
  3. ^ UNECE R 155, 2.3节
  4. ^ UNECE R 155, 7.2.2.1节
  5. ^ UNECE R 155, 5.1.1节有提到test institute或是approval authority
  6. ^ UNECE R 155, 6.7节
  7. ^ UNECE R 155, 1.1节, 1.2节
  8. ^ UNECE R 155, 2.7节

文献

编辑