UN ECE WP.29 R155 & R156 概述

这篇具有很好参考价值的文章主要介绍了UN ECE WP.29 R155 & R156 概述。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

1. 什么是UNECE WP.29

2. WP.29合规认证要求

3. WP.29和ISO/SAE 21434之间的关系

 4. WP.29 R155 - Cybersecurity 

5. WP.29 R156 - Software Update


1. 什么是UNECE WP.29

UNECE: The United Nations Economic Commision for Europe , 联合国欧洲经济委员会。创建于1947年,是联合国经济及社会理事会下属的五个地区委员会之一。总部位于瑞士日内瓦。

WP.29:Working Party of experts on technical requirement of vehicles , 联合国世界车辆法规协调论坛。成立于1952年,是联合国欧洲经委会内陆运输委员会体制框架内的一个独特的全球监管论坛。WP.29的工作是我国汽车行业参加的主要国际汽车技术法规工作。

2. WP.29合规认证要求

UNECE WP.29 TF-CS/OTA工作组定义了联合国网络安全法规草案,于2020年正式发布了针对车辆网络安全的准入认证法规,定义了OEM应构建网络安全管理体系,确保车型满足相应的网络安全要求。2020年6月通过的R155,R156,R157三项车辆法规,具备里程碑意义,并于2021年1月正式生效。

TF-CS/OTA 的法规包括了两项核心要求:运行Cybersecurity management system(CSMS)以及在车型审批时,CSMS在特定车型上的应用。 

CSMS(Cybersecurity management system / 网络安全管理体系认证) , 主要审查OEM是否在车辆完整生命周期的各个阶段均制定了网络安全管理流程,以确保汽车全生命周期中都有对应的流程措施,最终用来控制风险。

VTA(Vehicle type approval/车辆型式审批认证), 针对OEM的网络安全开发中的具体工作执行情况进行审查,旨在确保车辆的网络安全防护技术能覆盖各生命周期的安全需求,且保证实施网络安全防护能有效防控特定车型面临的网络安全风险。

CSMS认证是VTA认证的前提,只有完成CSMS认证及VTA认证才算满足WP.29 R155。

UN ECE WP.29 R155 & R156 概述,汽车网络安全,网络安全,法规,强标,UNECE

3. WP.29和ISO/SAE 21434之间的关系

ISO/SAE 214314:道路车辆-信息安全工程 , 提供了在产品、项目和组织层面减少网络安全风险的指导方针。

WP.29和ISO/SAE 21434是互补的,两者以类似的方式保护现代车辆。他们都要求在车辆的整个生命周期中,从开发到生产,一直到生产后的服务时间;两者都需要在组织内部建立有效的网络安全管理体系。这两项都需要执行非常彻底的TARA活动,即车辆整个生命周期的威胁分析和风险评估。两者都需要对车辆的供应链进行有效的管理。

WP.29通常规定了要达到合规性必须要做什么,ISO/SAE 21434给出了实现合规性的方法。ISO/SAE 21434概述了围绕网络安全管理系统(CSMS)的流程要求。标准第5章-组织的网络安全管理(Organizational cybersecurity management)规定了组织层面网络安全管理的要求,是组织内部最高层面的安全方针。组织中CSMS的牵头部门应基于本章内容制定租住网络安全管理的总体方针,然后识别和推动相关责任方建立各自模块(如开发、运维、供应商管理等)的网络安全管理体系。标准第6章-项目依托的网络安全管(Projectdependent cybersecurity management)描述了普适性的针对项目网络安全活动的管理原则。包括各项活动的职责分配,制定网络安全活动计划,裁剪原则,以及网络安全案例和网络安全评估、开发后发布的要求。本章内容可作为开展VTA工作的重要参考。

UN ECE WP.29 R155 & R156 概述,汽车网络安全,网络安全,法规,强标,UNECE

 4. WP.29 R155 - Cybersecurity 

R155是全球第一个汽车信息安全强制法规,这意味着车辆的信息安全已经从符合标准进入到遵循法规的时代。在欧盟,从2022年7月起所有新的车辆类型将强制执行;从2024年7月,所有新生产的车辆都必须遵守。

R155法规覆盖了乘用车及商用车,适用于

  • M类,N类车型
  • 装备至少一个ECU的O类车型
  • 具备L3及以上自动驾驶功能的L6和L7类车型

UN ECE WP.29 R155 & R156 概述,汽车网络安全,网络安全,法规,强标,UNECE

R155的法规框架为:

UN ECE WP.29 R155 & R156 概述,汽车网络安全,网络安全,法规,强标,UNECE

 上面已经提到,R155规定车辆在特定的国家范围内获得认证作为批准上市销售的条件,认证分为网络安全管理体系认证CSMS和车辆网络安全型式认证VTA。 在R155中,7.2章节-“网络安全管理体系要求”阐述了OEM应该满足CSMS认证的内容要求。7.2.2明确规定了OEM 需要提供证据证明在车辆整个生命周期中各个阶段都制定了网络安全管理体系要求,同时充分考虑了安全性以及风险减缓措施。CSMS要求OEM对网络攻击、威胁以及漏洞进行持续监测,并对发现的网络安全威胁和漏洞要在合理时间范围内响应并最终得到缓解。此外还要求OEM证明,对于供应商、服务商、子公司的管理均符合该章节要求。

这些基本要求主要包括:

7.2.2.1 7.2.2.2 7.2.2.3 7.2.2.4 7.2.2.5
  • 开发阶段
  • 生产阶段
  • 后期制作阶段
  • 制造商组织内用于管理网络安全的过程
  • 用于识别车辆类型风险的过程。在这些过程中应考虑附件5A部分中的威胁以及其它相关威胁
  • 用于评估,分类和处理已识别风险的过程
  • 用以验证已识别风险得到适当管理的适当流程
  • 用于测试车辆类型的网络安全的过程
  • 确保风险评估保持最新状态的过程
  • 用于监视,检测和相应车辆类型的网络攻击,网络威胁和漏洞的过程,以及根据已发现的新的网络威胁和漏洞来评估所实施的网络安全措施是否仍然有效的过程
  • 用于提供相关数据以支持对尝试或成功的网络攻击进行分析的过程
  • 车辆供应商应根据7.2.2.2中所提到的分类和要求,证明网络安全管理系统中使用的流程,在适当的时间内减轻其安全响应的网络威胁和漏洞

车辆供应商应证明其网络安全管理系统中使用的流程将确保第7.2.2.2(g)段中所述的监视应连续进行:

  • 首次注册后使车辆处于监控中
  • 包括从车辆数据和车辆日志中分析和检测网络威胁、漏洞和网络哦攻击的功能。这种能力应遵循第1.3款。以及车主或驾驶员的隐私。尤其在征求同意方面。
必须要求车辆供应商证明其网络安全管理系统将如何依据7.2.2中的要求,管理其存在依赖关系的供应商,服务商,下级供应商等。

在7.3章节-“车辆型式需求”中具体阐述了VTA的认证内容要求。车辆必须同时具备CSMS(对于组织认证)和VTA(对于车辆认证)认证,才可以进入市场并销售。

7.3.1 7.3.2 7.3.3 7.3.4 7.3.5 7.3.6 7.3.7 7.3.8
制造商应具有与批准的车型有关网络安全管理系统有效的合格证明 识别与管理与供应商相关的风险 车型要素识别、风险评估、处理、管理已识别风险。 实施对应的缓解措施 采取对应措施,确保车型环境安全 保障适当且充分的测试,验证安全措施有效性

规定了OEM对车型采取的措施

  • 检测并阻止对车型车辆的网络攻击
  • 检测车型车辆的威胁、漏洞和网络攻击
  • 分析取证未遂或成功的网络攻击数据
加密模块应符合通用标准

从安永的分析(安永:智能汽车网络安全市场准入与合规遵从)中,对于OEM 建立网络安全体系(CSMS)提出了可参考的评估分析、整改设计、建筑设实施过程。

UN ECE WP.29 R155 & R156 概述,汽车网络安全,网络安全,法规,强标,UNECE

 将CSMS体系建设过程分解为若干子目标:

UN ECE WP.29 R155 & R156 概述,汽车网络安全,网络安全,法规,强标,UNECE

网络安全管理组织:CSMS组织建设规划,网络安全人员可按要求规范性开展工作,常态化开展工作并定期输出工作报告。

网络安全管理体系:完成网络安全管理体系的设计和实施,制度流程符合ISO/SAE 21434标准要求,包括详细的流程与操作步骤、指引及模板,确保ISO/SAE 21434 标准的完整导入。

网络安全运行体系:建立网络安全管理体系的技术支撑能力,支持包括概念和开发阶段的风险评估活动、组件和集成验证阶段的测试活动,以及车辆运营环节的网络安全威胁检测与应急响应。

网络安全风险管理:建立车辆网络安全风险评估流程和工程化方法,并与车辆网络安全开发流程融合,确保车辆网络安全能力的落地。

网络安全评价体系:形成有效的网络安全评价体系,并关联到安全信用指标与团队绩效,形成定期的信息安全月度报告及管理层季度报告。

网络安全审计体系:形成有效的网络安全(内外部)审计体系,对网络安全违规行为的监控方法、检查方法、证据收集、责任认定进行规范管理。

网络安全技术体系:建立端到端(车端/手机端/云端)的网络安全韧性防御体系,具备识别/防御/检测/响应/恢复的韧性能力。

5. WP.29 R156 - Software Update

R156,该法规于2022年7月开始实施,其目标在于引导汽车软件升级向正确方向发展。该法规适用于M、N、O、R、S、T类车辆。

R156的法规框架为:

UN ECE WP.29 R155 & R156 概述,汽车网络安全,网络安全,法规,强标,UNECE

在R156中要求,车型需要具有RXSWIN-Regulation X Software Identification Number (软件标识码). RXSWIN是指一个唯一的标识符,定义了符合给定的联合国法规“X”的型式认证系统具有唯一性的软件版本集合。车辆制造商应保护车辆上的RXSWIN或/和软件版本免受未经授权的修改。当该集合内的零件软件版本发生变更时,RXSWIN也需要进行变更。在任何阶段进行软件升级都需要更新RXSWIN与新的软件版本的映射关系,在影响车辆型式认证系统时需重新申请RXSWIN ,并执行相关认证。

与R155类似,R156同样要求车型需获取车辆软件升级管理体系SUMS 认证和VTA认证方可进行销售。针对SUMS,主机厂需要搭建符合标准的SUMS管理体系,可全面管理车辆软件升级中可能存在的风险。SUMS证书每三年定期评估一次,需经认定机构再次评估以确认延长或重新发放。对于VTA获取的条件为,已通过SUMS认证并可用于道路车型,能够获取车辆软件识别号并进行保护以及可确保软件更新传输机制的完整性和真实性、并在进行OTA更新失败时可恢复旧版本或进入安全状态等。针对R156,软件升级流程可以大致分为开发生产和市场销售两个阶段。在开发生产阶段,制造商需要对软硬件版本信息进行充分定义和管理,使其满足唯一性,易读性和保密性等。在升级过程中所涉及到的信息需要进行记录存储,在需要时向监管部门提交。在生产阶段,基础信息如VIN、软硬件版本等需要进行关联,在销售后同车主信息进行绑定。当车辆投入市场销售后,软件进行升级前需要评估升级对于法规和现有系统的影响。

SUMS规定了升级流程、在线升级、安全策略、升级记录、车型一般要求和在线升级要求六方面内容。其中升级流程为:

UN ECE WP.29 R155 & R156 概述,汽车网络安全,网络安全,法规,强标,UNECE

 在R156中的第7章描述了关于SUMS认证针对公司和车型层面的要求:

针对公司层面:

7.1.1 评估软件升级流程 7.1.2 记录保存升级信息 7.1.3 安全性 7.1.4 其它
  • 安全报关软件升级信息工作活动中的信息
  • 评估软件升级对现有功能及系统的影响
  • 软件升级对车辆型式认证的影响
  • 软件升级对车辆软硬件的兼容性
  • 用户获取升级信息的过程
  • 识别目标车辆进行OTA升级
  • RXSWIN 的升级,获取以及完整性校验
  • 软件升级过程中涉及的信息均需进行合理记录、存储。

如:RXSWIN、合规文件、说明文档和配置文件等

  • 建立机制确保升级包的真实性和完整性
  • 升级系统在开发和测试过程中安全性得到保证
  • 确保软件升级对车辆功能安全没有影响
  • 软件升级对人员技能的要求

针对车型层面:文章来源地址https://www.toymoban.com/news/detail-641806.html

7.2.1 软件升级请求 7.2.2 其他
  • 建立机制确保升级包的完整性和真实性
  • RXSWIN的升级及访问控制要求,如具备唯一性,易读取,受保护
  • 升级过程中对功能安全的依赖和影响:
  1. 升级失败或中断时,能恢复旧版本或进入安全状态
  2. 足够的功能下才会进行升级
  3. 升级过程中不影响功能安全
  • 用户可获取本次升级的信息,如升级目的、功能范围等。
  • 驾驶模式下不可升级
  • 升级完成后的提示
  • 升级前对车辆状态的检查

到了这里,关于UN ECE WP.29 R155 & R156 概述的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023年“羊城杯”网络安全大赛 Web方向题解wp 全

    团队名称:ZhangSan 序号:11 不得不说今年本科组打的是真激烈,初出茅庐的小后生没见过这场面QAQ~ 简单记录一下,实际做题踩坑很多,尝试很多。 先扫了个目录,扫出 start.sh 内容如下,这个其实和hint一样的,hint就不放了,尊嘟假嘟解密。 开始做题,题目让我访问路由 /

    2024年02月10日
    浏览(38)
  • 贵阳大数据及网络安全精英对抗赛-解题赛WP

    (没写几题,就记录一下,misc写的基本都是佬们打爆的几题,就不写了 (如果有佬出了rust的flag,求佬告诉我一下orz,太菜了,没运行出来,验证不了flag,麻烦佬们告诉下orz) 观察程序,其中有base64、rc4、DES算法, 函数主要逻辑:输入一串字符,前一位和后一位异或,再rc4加密

    2024年02月05日
    浏览(43)
  • 第三届陕西省大学生网络安全技能部分WP

    题目代码如下: payload: http://e2e84684.clsadp.com/?PK=/flag 题目文本 8881088410842088810810842042108108821041010882108881 0为截断,0前面的4位置相加之后为26个大写英文字母的索引,exp如下: 使用kali中join工具爆破出zip密码 在key.jpg中 右键属性里面详细信息获得一串韩文加密 通过在线网站解密获

    2024年02月08日
    浏览(41)
  • LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分

    由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。 NSSCTF平台:https://www.nssctf.cn/ PS:记得所有的 flag 都改为 NSSCTF或者LitCTF 我Flag呢? 奇怪,放哪里了,怎么看不见呢?(初级难度) 直接 F12

    2024年02月05日
    浏览(50)
  • “技能兴鲁”职业技能大赛-网络安全赛项-学生组初赛 Crypto WP

    查看代码 考点:共模攻击 EXP 关注微信公众号“中学生CTF”,回复“开始游戏” 按要求回复相关内容分别获取公钥  密文 提示 私钥 公钥 密文 提示 私钥 EXP 查看代码 按加密顺序反解即可,需要注意的是base100表情符号之间的空格要去掉 EXP 查看代码 分析:flag分为了两段 part

    2024年02月05日
    浏览(40)
  • 河南省第五届“金盾信安杯”网络与数据安全大赛-WP

    师傅们,我太菜了,除了最后一个小时都还在前20名,结果最后一个小时被踢下去了,做了一道少解的题目也掩饰溃败,被打服了,直接被踢出前40名,babyrsa到底怎么解,呜呜!被打服了!!!!!!!以下是我们队伍的10道题目的wp。 题目一 Crypto-我看看谁还不会RSA 操作内容: 看到该题之后发现是

    2024年02月04日
    浏览(41)
  • 2023年第三届陕西省大学生网络安全技能大赛 web部分 wp

    总体来说还行,就是又感受到了py的成分,多的不说,星盟出的题,题目质量还是可以的,希望之后通过学习大佬的姿势来长长见识。 目录 EZPOP  RCE unserialize 首先来到页面   点击,就是空白页,查看源代码 F12都会进入空白页,猜测存在js在搞怪。 先打开一个空白页,再f12,

    2024年02月10日
    浏览(45)
  • 网络安全 Day29-运维安全项目-iptables防火墙

    目标: 封或开启端口 封或开启ip 硬件: 整个企业入口 三层路由: H3C 华为 Cisco(思科) 硬件防火墙: 深信服,绿盟,奇安信… 棱镜门 0day. 勒索病毒。 国内互联网企业去IOE运动。 Juniper 软件: 开源软件 网站内部 封ip 封ip iptables 写入到Linux 内核 中 以后服务docker 工作在 4层(大部分)

    2024年02月12日
    浏览(54)
  • 2023年“羊城杯”网络安全大赛 决赛 AWDP [Break+Fix] Web方向题解wp 全

    终于迎来了我的第一百篇文章。 这次决赛赛制是AWDP。Break+Fix,其实就是CTF+Fix,Fix规则有点难崩。Break和Fix题目是一样的。 总结一下:败北,还是太菜了得继续修炼一下。 看到是SSTI,焚靖直接一把梭了。 瞎了,执行 ls / 时候flag文件在命令旁边没看见,find命令找了好久呜呜

    2024年02月07日
    浏览(47)
  • "科来杯"第十届山东省大学生网络安全技能大赛决赛复现WP

    🆑 从朋友那里得来的附件,感觉题目有意思,简单复现一下 1、题目信息 2、解题方法 考察二进制和八进制转换 首先写个脚本把数据转化为字符串便于使用 然后进行转化 exp: 得到 Cyber解即可 1、题目信息 2、解题方法 Base64换表爆破 exp: 直接控制台运行   1、题目信息 一张

    2024年02月08日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包