汽车网联安全 R155：全球首个汽车网络安全强制性法规

本文链接：https://blog.csdn.net/Karka_/article/details/137371093

本文探讨了道路车辆领域的严格监管，特别是联合国欧洲经济委员会(UNECE)和WP.29制定的全球车辆法规。重点介绍了R155法规，它是关于车辆网络安全和管理系统的统一规定，旨在提升汽车制造商在网络安全方面的责任。文章还讨论了网络安全在智能网联和自动驾驶车辆中的重要性，以及新法规实施面临的挑战和未来发展趋势。

摘要由CSDN通过智能技术生成

道路车辆领域是管控最严格的垂直领域之一。考虑到行驶在我們街道上的车辆数量不断增加，以及与车辆滥用相關的风险（尤其是财务和生命损失），严格监管的存在非常容易理解。与此同时，监管环境在世界各地并不统一。

虽然世界各地的监管环境有所不同，但许多国家都签署了国际公约，例如联合国欧洲经济委员会（UNECE）世界车辆法规协调论坛（WP.29）制定的法规。这些法规有助于确保在全球范围内对道路车辆实施最低程度的监管。

联合国欧洲经济委员会 (UNECE) 是一个负责促进欧洲经济合作和发展的主要联合国机构。它成立于 1947 年，目前有 56
个成员国，包括欧洲大部分地区、俄罗斯、日本、韩国、澳大利亚、美国和加拿大。

UNECE 在多个领域开展工作，包括贸易、投资、环境、能源和交通。在交通领域，UNECE 负责制定和实施全球认可和应用的道路车辆法规。

车辆法规协调论坛 (WP29) 是 UNECE 下属的一个工作组，负责开发、发布和维护车辆法规。WP29 由 56 个 UNECE
成员国组成，包括欧洲大部分地区、俄罗斯、日本、韩国、澳大利亚、美国和加拿大。

WP29 制定的车辆法规涉及道路车辆的安全、环境、燃油经济性、噪音和其他方面。这些法规直接得到 UNECE 1958 年协议成员国的承认和应用。

1958 年协议是 UNECE 制定的关于道路车辆认证的国际公约。该协议目前有 62
个成员国，涵盖欧洲大部分地区、俄罗斯、日本、韩国、澳大利亚、英国、非洲部分地区和美洲部分地区。

根据 1958
年协议，汽车制造商将新车投放协议成员国市场时，只需证明符合其中一个成员国的法规。车辆类型认证通常由协议成员国之一的国家车辆认证机构通过审核形式进行。

车辆类型认证是指汽车制造商向国家车辆认证机构证明其车辆符合相关法规的要求。车辆类型认证通过后，制造商将获得类型认证证书。

UNECE 和 WP29 通过制定和实施统一的车辆法规，简化了汽车制造商进入全球市场的流程，并提高了道路车辆的安全性和环保性能。

过去，道路车辆仅仅是为了安全地将人员或货物从一个地方运送到另一个地方而设计。然而，近年来，物联网 (IoT) 的兴起稍微改变了人们对汽车生态系统的看法。诸如
GPS、Wi-
Fi、蓝牙、V2V、无钥匙进入、ADAS等智能网联和自动驾驶技术被大量引入车辆，旨在提升驾驶体验和驾驶安全。从这个角度来看，现代车辆已经成为我们定义的物联网中的终端。此外，它们现在不仅连接到用户的移动设备，而且还通过智能应用程序直接连接到广阔的云系统，间接地彼此连接，实现车辆与万物的互联。

从风险分析的角度来看，这一方面既令人惊叹，也令人担忧。主要原因是针对此类车辆的网络攻击相关的发展速度很快。由于OEM
的关注点主要在于安全性和性能方面（符合现行法规），因此近年来可用智能网联功能引入的安全漏洞导致了一系列公开的攻击，包括臭名昭著的 Jeep
切诺基攻击。此类攻击极大地提高了汽车制造商、用户以及联合国欧洲经济委员会 (UNECE)
认识到制定适当网络安全监管要求的必要性。这种需求促成了制定新法规的努力，该法规专门针对这一主题。

在起草过程中，考虑了多个汽车制造商、国家认证机构和专门测试设施的反馈和意见。经过几轮创建中间文件和验证试点项目后，新法规《关于车辆网络安全和网络安全管理系统的统一规定》（UN
Regulation No. 155）于 2020 年 6 月底正式颁布。该规定于2024年1月31日起施行，是全球首个汽车网络安全强制性法规。

根据这项新法规，车辆制造商在将车辆投放公共道路之前，需要展示车辆已经嵌入足够控制措施来保护网络安全方面。因此，可以说网络安全合规的竞赛已经开始，最终的赢家将是整个汽车生态系统。

1. R155的适用范围

R155适用于以下车辆：

M类和N类车辆（四轮或四轮以上的车辆）；
O类车辆（配备至少一个电子控制单元的车辆）；
L6和L7类车辆（配备L3级以上自动驾驶功能的车辆）。

2. R155的要求

R155对车辆网络安全提出了以下要求：

车辆应具有识别和阻止网络攻击的能力。
车辆应具有防止未经授权访问的能力。
车辆应具有保护数据完整性和机密性的能力。
车辆应具有安全地进行软件更新的能力。

为了满足上述要求，车辆制造商应采取以下措施：

建立并实施网络安全管理系统。
对车辆进行网络安全测试。
采取措施降低网络安全风险。

3. R155的意义

R155的制定和实施，对于保障汽车网络安全具有重要意义。该规定为车辆制造商提供了明确的网络安全要求，并为全球汽车市场提供了统一的网络安全标准。R155的实施将有助于提高汽车网络安全水平，保护车辆和人员的安全。

R155的实施面临的挑战

R155的实施面临以下挑战：

汽车网络安全技术复杂，需要车辆制造商和零部件供应商进行大量的研发投入。
汽车网络安全标准更新频率快，需要车辆制造商及时进行更新升级。
汽车网络安全人才短缺，需要车辆制造商加强网络安全人才培养。

4.R155的未来发展

随着汽车智能化、网联化水平的不断提升，汽车网络安全风险将进一步加大。R155的实施只是一个开始，未来还需要进一步完善和强化汽车网络安全标准，提高汽车网络安全水平。

5. R155的具体应用

R155的具体应用主要包括以下几个方面：

网络安全管理系统：车辆制造商应建立并实施网络安全管理系统，以确保车辆网络安全。网络安全管理系统应包括以下内容：
- 风险管理流程：识别和评估车辆网络安全风险。
- 安全设计和开发流程：在车辆设计和开发过程中，考虑网络安全因素。
- 安全测试和验证流程：对车辆进行网络安全测试和验证。
- 安全漏洞管理流程：及时发现和修复车辆的安全漏洞。
- 软件更新管理流程：安全地进行车辆软件更新。
车辆网络安全测试：车辆制造商应按照R155的要求，对车辆进行网络安全测试，以证明车辆符合网络安全要求。车辆网络安全测试应包括以下内容：
- 识别和检测网络攻击的能力。
- 防止未经授权访问的能力。
- 保护数据完整性和机密性的能力。
- 安全地进行软件更新的能力。
网络安全风险降低措施：车辆制造商应采取措施降低车辆的网络安全风险，包括：
- 使用安全的软件和硬件。
- 采取安全的网络通信措施。
- 加强车辆安全漏洞的管理。
- 提供安全的软件更新服务。

R155的实施，将有助于提高汽车网络安全水平，保护车辆和人员的安全。

6. R155 和 ISO/SAE 21434 的关系

R155 和 ISO/SAE 21434 的关系：互补而非冲突

标准 vs. 法规：ISO/SAE 21434 是行业标准，提供最佳实践和框架，但非强制。UNECE R155 是强制性法规，要求车辆制造商遵守网络安全和 CSMS 要求，否则将无法获得市场准入。
互补性：R155 并未提供详细的技术指南，而是引用了 ISO/SAE 21434 作为参考标准。遵循 ISO/SAE 21434 可以帮助制造商满足 R155 的要求。
类似关系：您可以将 R155 和 ISO/SAE 21434 的关系与信息安全领域的 ISO 27000 系列和 GDPR/DSGVO 法规进行比较。

R155 设定了最低网络安全要求，涵盖车辆生命周期各个阶段，例如设计、开发、生产、运营和报废。ISO/SAE 21434 提供了更详细的指导，帮助制造商实施
R155 要求，包括风险管理、安全工程、测试和评估等方面。遵循 ISO/SAE 21434 不仅可以满足 R155 的要求，还可以帮助制造商构建更
robust 的网络安全体系，降低车辆网络攻击风险。

![图片](https://img-
blog.csdnimg.cn/img_convert/71ba83d9bb00049b5523109876c9c28d.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/3f47f44031dee8f9f38735f47ba44a42.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/43372185a4a67a041987ba876c31e3aa.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/5b6e16621591de7b10c3d7a99b4e4813.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/b3d23a18c1c2e5d7943a4950a9022ace.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/00f7c7bdc8ee116c05c542787719c92c.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/62ee75b7c07bd89088473a14311f6850.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/bfd04dfdd185d611d05225891149d265.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/510acbb6fd99cef4cf5de2d55c75ad14.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/c6791008f91d1bd73c741cf66da7aee9.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/a24eeab3f595e570b4e2e30e37e9eb57.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/f52c4bdf743073aa930f35136ac392f4.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/2e21f401fbc3c20910873db1306bb7ad.jpeg)

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段