随着汽车“新四化”浪潮的不断推进，智能网联技术快速发展，汽车网络安全显得至关重要。作为物联网的一部分，汽车通过移动蜂窝数据系统与互联网的大数据相连，为车辆实现丰富的智能网联乃至自动驾驶功能打下了基础。在汽车向“车轮上的超级计算机”演进的同时，伴随着汽车网联化、智能化的程度不断提升，汽车网络安全与数据安全的问题和风险隐患也日益凸显，近年来就发生了多起黑客攻击车企或旗下车型的事件。今年年初曾有媒体爆料称，近20家汽车制造商和服务机构存在安全漏洞，这些漏洞使得黑客能够进行远程解锁、启动车辆，跟踪汽车行踪，窃取车主个人信息等恶意攻击活动。

(资料图片)

不可否认的是，当汽车变得越来越智能，随之而来的风险与日俱增。为此，世界各国和地区的监管机构纷纷出台了一系列法规和配套标准。值得一提的是，UN R155、UN R156分别是全球首个关于汽车网络安全和软件升级方面的强制法规。欧盟要求从2024年7月起，所有车辆必须满足这两项法规的要求。UN R155和UN R156的强制实施，意味着欧盟对车辆网络安全和软件升级提出了规范的准入管理要求。

据悉，UN R155由联合国欧洲经济委员会（UNECE）的世界车辆法规协调论坛（UN WP.29）、汽车工程学会（SAE）和国际标准化组织（ISO）共同起草，于2021年1月生效，适用于包括欧盟、英国、日本和韩国在内的多个国家和地区。该法规就保障智能网联汽车的网络安全提出了管理体系及技术合规要求，为汽车行业构建合规的网络安全架构指明了方向，对智能网联汽车产业的有序发展具有积极意义。

UN R155的合规认证主要包括两大部分，一是针对汽车制造商的网络安全管理体系（CSMS）认证；二是车辆网络安全型式认证（VTA）。CSMS认证主要审查汽车制造商是否在车辆全生命周期内的各个阶段均制定了网络安全管理流程，以保证网络安全设计、实施及响应均有流程体系指导；VTA则是对汽车制造商在车型开发过程中的具体工作进行网络安全审查，以保证车辆的网络安全防护技术切实发挥作用。

同样在2021年1月，由联合国欧洲经济委员会的世界车辆法规协调论坛决议的配套法规UN R156正式生效。该法规要求汽车制造商具备软件升级管理体系，履行信息记录和保存、升级评估、车辆信息安全、用户告知等义务，对软件升级功能也提出了具体要求，如升级失败时仍要保证车辆安全等。简而言之，UN R156要求汽车制造商具备OTA更新的标准化流程，并根据要求将该流程提供给审批部门，否则将无法获得认证。

UN R156软件更新法规与UN R155网络安全法规，共同构成了现代车辆抵御网络攻击的技术法规。从技术趋势来看，主动防护、纵深防御、全生命周期防护是发展方向，数据安全是防护重点。根据欧盟的要求，从2022年7月起，在欧盟销售的所有新车需进行这两项法规所要求的型式认证，才能上市销售；从2024年7月起，在欧盟销售的所有车辆都必须满足这两项法规的要求。值得一提的是，这两项法规在联合国欧洲经济委员会的56个成员国中都具有法律约束力，除了欧盟之外，也被日本以及韩国等多个国家和地区作为车辆市场准入的强制性要求之一。

近10年来，汽车网络安全事件接近千起，数据、隐私泄露，汽车被盗或遭侵入，车辆系统“被黑”或服务中断等事件屡见不鲜。随着“软件定义汽车”成为主流趋势，汽车厂商在汽车网络安全合规领域的压力也越来越大。当下，汽车上的安全、信息娱乐、导航和自动驾驶等功能越来越多，每辆汽车的软件代码数量呈倍数增长，而每一行代码都是一个可能被黑客利用的潜在风险点。作为全球第一个汽车网络安全强制性法规，UN R155的发布不仅意味着车辆网络安全从符合标准逐步过渡到符合法规的时代，同时也对汽车行业带来了巨大的挑战。

近日，以色列Argus汽车网络安全公司表示，虽然欧盟将从明年开始全面实施UN R155、UN156法规，但很多汽车厂商似乎还未做好准备。Argus成立于2013年，是世界上最早提供车联网反黑客技术解决方案的公司。Argus基于深度包检测算法为汽车行业提供反入侵防御系统（IPS）。据称，该系统能实时保护车辆关键部件免受黑客入侵，同时也可以用于车联网健康度远程监控，对可能发生的网络安全发出警报。2017年11月，大陆集团宣布收购Argus，Argus由此成为大陆集团的一份子。

Argus在调查了全球200家汽车厂商后发现，中小型汽车厂商在汽车网络安全合规领域面临的压力更大。诚然，大型汽车制造商和供应商在车辆网络安全领域也存在不足之处，但这些企业往往拥有更多资源和研发资金，为合规做好了准备；而中小型企业由于研发人员和预算“捉襟见肘”、防护技能缺失，在应对网络攻击时显得“力不从心”。受调查的企业中，38％的供应商和17％的汽车制造商都将预算问题视为满足这两项法规面临的最大挑战。

值得一提的是，关于这两项法规的认证，虽然主体是汽车制造商，但合规的压力实际上是施加于整个汽车供应链的。例如，UN R155法规就规定，原始设备制造商必须证明CSMS在整个价值链中受到管理，并对此负责。因此，从一级供应商到所有次级零部件供应商等所有价值链的参与者都需要了解潜在的风险，并提出解决方案。也就是说，所有相关的零部件供应商也必须考虑合规问题。汽车制造商须证明与其供应商签订了网络安全接口相关的协议，并证明自己是如何对有关的要求进行控制的，例如通过文件评审、现场审核等方式，确保协议中的要求得以落实。

业内专家指出，尽管中国、美国不属于联合国欧洲经济委员会的成员国，但由于其成员国覆盖了全球近1/3的新车市场，UN R155、UN R156将发展成为“事实上的全球标准”。如果中国车企生产的汽车想销售到这些国家，就必须通过相关认证。因此，很多自主品牌车企以及造车新势力企业已经开始行动起来。自2022年7月起，出口欧盟市场的新车必须满足该法规要求。为此，国内众多整车制造商早就开始关注这两项法规并着手搭建相应的网络安全管理体系，以确保拿下出口欧盟市场的关键“通行证”。

近日，宇通客车获得UN R155车辆网络安全管理体系认证证书，成为中国商用车行业首个获得此项认证的企业。该证书由法国于达克公司（UTAC）授予，标志着宇通客车已具备了行业领先的车辆网络安全管理能力，拥有完善且符合国际强制性法规要求的网络安全管理体系，确保其车辆在全生命周期内均具备有效发现和控制网络安全风险的能力。

4月11日，奇瑞同时获得UN R155车辆网络安全管理体系认证证书（CSMS）和UN R156软件升级管理体系认证证书（SUMS）。这也标志着奇瑞成为行业内为数不多同时获得“双证”的车企，成功建立起符合国际监管要求的网络安全与软件升级管理“防护墙”。据奇瑞方面介绍，为更好地开拓欧盟市场，满足当地相关法律法规要求，保障车辆用户的生命财产安全，奇瑞联合全球专业的检测认证机构TüV南德意志集团，在2022年7月启动认证，并于今年3月23日、27日相继获得卢森堡交通部批准的“双证”。

而上汽乘用车也在3月底获颁UN R155车辆网络安全管理体系认证证书（CSMS）。在此之前，包括蔚来、小鹏、长城汽车、哪吒汽车在内的多家国内车企纷纷获得了UN R155车辆网络安全管理体系认证。此举标志着这些企业对车辆产品全生命周期的管理，包括研发、设计、生产、销售、售后等各个环节，符合UN R155对于汽车制造商网络安全管理体系的要求，在产品全生命周期的各个阶段具备有效发现和控制网络安全风险的能力。这不仅为中国车企进一步实现安全、稳健发展提供了重要保障，也为中国汽车走出国门、走向世界增添了助力。

文/编辑：万莹 版式：李沛洋

关键词：