网络安全、软件升级、自动驾驶三项强制性法规
WP29 UNECE R155 《关于网络安全和网络安全管理系统的车辆批准统一规定》
R155法规:一般要求、网络安全管理系统要求(CSMS)、车型要求 对应:CSMS认证、信息安全VTA认证
WP29 UNECE R156 《关于软件升级和软件升级管理系统的车辆批准统一规定》
R156法规:软件升级管理系统要求(SUMS)、车型要求 对应:SUMS认证、软件升级VTA认证
WP29 UNECE R157 /Reg.(EU) 2022/1426 《关于自动车道保持系统(L3) 车辆批准的统一规定》/《L4和L5级自动驾驶的型式认证法规》
R157法规:范围、定义、审批等;规范要求;技术服务机构和审批机构 对应:自动驾驶VTA认证
国内外准入对比: 相同部分及差异部分
分类 | 国际准入 | 采用法规标准 | 国内准入 | 采用法规标准 | 异同 |
/ | / | / | 功能安全审查 | 《具有自动驾驶功能的智能网联汽车准入审查技术规范》 | 仅国内要求 |
/ | / | / | 预期功能安全审查 | 仅国内要求 |
/ | / | / | 数据安全体系审查 | 仅国内要求 |
| 网络安全 | CSMS认证 | R155 ISO 21434 | 网络安全体系审查 | 《汽车整车信息安全技术要求》 | 存在重复和差异 |
| 信息安全VTA认证 | 信息安全强制性检测 | 存在重复和差异 |
| 软件升级 | SUMS认证 | R156 | 软件升级体系审查 | 《汽车软件升级通用技术要求》 | 存在重复和差异 |
| 软件升级VTA认证 | 软件升级强制性检测 | 存在重复和差异 |
| 自动驾驶 | 自动驾驶VTA认证 | R157 | 自动驾驶强制性检测 | 《智能网联汽车自动驾驶功能试验方法及要求》 | 相关法规细则暂未详细出台 |
| 关键节点 | 2024年7月强制性实施,CSMS、SUMS体系认证3年有效产品VTA认证仅针对具体车型 | 2023年准入试点实施,相关审查3年有效产品强制性检测仅针对具体车型 | / |
法规/标准对照
法规/标准 | 验证和测试要求 | 涉及测试类型 |
| WP.29 R155 | 7.3.6. The vehicle manufacturer shall perform, prior to type approval,appropriate and sufficient testing to verify the effectiveness of the security measures implemented
7.36车辆制造商应在型式认可之前进行充分的网络安全测试,验证所实施的网络安全措施有效性 | 安全功能验证测试
渗透测试 |
| ISO 21434 | [RC-10-12]Testing should be performed in order to confirm thatunidentified weaknesses and vulnerabilities remaining in the componentare minimized.
[RC-10-12]应开展网络安全测试,以确保组件的网络安全漏洞和网络安全风险最小化。 | 安全功能验证测试
漏洞扫描
模糊测试
渗透测试 |
| NHTSA-2020-0087 | 4.27 Penetration Testing and Documentation
[G.12] against known vulnerabilities. [G.12]对已知漏洞进行防御。
[G.13] Manufacturers should also pursue product cybersecurity testing.
[G.13]车辆制造商应进行产品网络安全测试,包括渗透测试等。 | 安全功能验证测试
漏洞扫描
渗透测试 |
| 智能网联汽车生产企业及产品准入管理 | 具备保障汽车电子电气系统、组件和功能免受网络威胁的技术措施,应满足车辆网络安全测试要求 | 网络安全合规测试 |
零部件网络安全验证测试测试类别
序号 | 测试类别 | 内容概要 | 项目输出(中英文) |
1 | 网络安全功能验证 | Cybersecurity Verification and Validation specification (网络安全验证和确认测试规范),覆盖安全性能测试、资源安全测试、响应安全测试接口安全测试、控制流和数据流的验证等 | 网络安全验证和确认测试报告 |
2 | 漏洞扫描 | 静态代码漏洞扫描、固件漏洞扫描、组件(第三方/开源)漏洞扫描、系统内核漏洞扫描、系统端口漏洞扫描、应用程序漏洞扫描、通信协议 (WiFi、蓝牙等)漏洞扫描等 | 漏洞扫描报告 |
3 | 渗透测试 | 通过黑盒、灰盒和白盒方法工作,覆盖硬件安全、系统/固件安全、应用软件安全、数据安全、CAN/以太网/无线通信安全、管理平台安全等 | 渗透测试测试用例
渗透测试报告 |
4 | 模糊测试 | 包括硬件接口模糊测试、CAN模糊测试、车载以太网模糊测试、DoIP模糊测试、开放端口模糊测试、蓝牙模糊测试、WiFi模糊测试、GNSS模糊测试、传感器通用电磁信号模糊测试、MEMS传感器超声信号模糊测试等 | 模糊测试报告 |