汽车网联安全 R155：全球首个汽车网络安全强制性法规

道路车辆领域是管控最严格的垂直领域之一。考虑到行驶在我們街道上的车辆数量不断增加，以及与车辆滥用相關的风险（尤其是财务和生命损失），严格监管的存在非常容易理解。与此同时，监管环境在世界各地并不统一。

虽然世界各地的监管环境有所不同，但许多国家都签署了国际公约，例如联合国欧洲经济委员会（UNECE）世界车辆法规协调论坛（WP.29）制定的法规。这些法规有助于确保在全球范围内对道路车辆实施最低程度的监管。

联合国欧洲经济委员会 (UNECE) 是一个负责促进欧洲经济合作和发展的主要联合国机构。它成立于 1947 年，目前有 56
个成员国，包括欧洲大部分地区、俄罗斯、日本、韩国、澳大利亚、美国和加拿大。

UNECE 在多个领域开展工作，包括贸易、投资、环境、能源和交通。在交通领域，UNECE 负责制定和实施全球认可和应用的道路车辆法规。

车辆法规协调论坛 (WP29) 是 UNECE 下属的一个工作组，负责开发、发布和维护车辆法规。WP29 由 56 个 UNECE
成员国组成，包括欧洲大部分地区、俄罗斯、日本、韩国、澳大利亚、美国和加拿大。

WP29 制定的车辆法规涉及道路车辆的安全、环境、燃油经济性、噪音和其他方面。这些法规直接得到 UNECE 1958 年协议成员国的承认和应用。

1958 年协议是 UNECE 制定的关于道路车辆认证的国际公约。该协议目前有 62
个成员国，涵盖欧洲大部分地区、俄罗斯、日本、韩国、澳大利亚、英国、非洲部分地区和美洲部分地区。

根据 1958
年协议，汽车制造商将新车投放协议成员国市场时，只需证明符合其中一个成员国的法规。车辆类型认证通常由协议成员国之一的国家车辆认证机构通过审核形式进行。

车辆类型认证是指汽车制造商向国家车辆认证机构证明其车辆符合相关法规的要求。车辆类型认证通过后，制造商将获得类型认证证书。

UNECE 和 WP29 通过制定和实施统一的车辆法规，简化了汽车制造商进入全球市场的流程，并提高了道路车辆的安全性和环保性能。

过去，道路车辆仅仅是为了安全地将人员或货物从一个地方运送到另一个地方而设计。然而，近年来，物联网 (IoT) 的兴起稍微改变了人们对汽车生态系统的看法。诸如
GPS、Wi-
Fi、蓝牙、V2V、无钥匙进入、ADAS等智能网联和自动驾驶技术被大量引入车辆，旨在提升驾驶体验和驾驶安全。从这个角度来看，现代车辆已经成为我们定义的物联网中的终端。此外，它们现在不仅连接到用户的移动设备，而且还通过智能应用程序直接连接到广阔的云系统，间接地彼此连接，实现车辆与万物的互联。

从风险分析的角度来看，这一方面既令人惊叹，也令人担忧。主要原因是针对此类车辆的网络攻击相关的发展速度很快。由于OEM
的关注点主要在于安全性和性能方面（符合现行法规），因此近年来可用智能网联功能引入的安全漏洞导致了一系列公开的攻击，包括臭名昭著的 Jeep
切诺基攻击。此类攻击极大地提高了汽车制造商、用户以及联合国欧洲经济委员会 (UNECE)
认识到制定适当网络安全监管要求的必要性。这种需求促成了制定新法规的努力，该法规专门针对这一主题。

在起草过程中，考虑了多个汽车制造商、国家认证机构和专门测试设施的反馈和意见。经过几轮创建中间文件和验证试点项目后，新法规《关于车辆网络安全和网络安全管理系统的统一规定》（UN
Regulation No. 155）于 2020 年 6 月底正式颁布。该规定于2024年1月31日起施行，是全球首个汽车网络安全强制性法规。

根据这项新法规，车辆制造商在将车辆投放公共道路之前，需要展示车辆已经嵌入足够控制措施来保护网络安全方面。因此，可以说网络安全合规的竞赛已经开始，最终的赢家将是整个汽车生态系统。

1. R155的适用范围

R155适用于以下车辆：

• M类和N类车辆（四轮或四轮以上的车辆）；

• O类车辆（配备至少一个电子控制单元的车辆）；

• L6和L7类车辆（配备L3级以上自动驾驶功能的车辆）。

2. R155的要求

R155对车辆网络安全提出了以下要求：

• 车辆应具有识别和阻止网络攻击的能力。

• 车辆应具有防止未经授权访问的能力。

• 车辆应具有保护数据完整性和机密性的能力。

• 车辆应具有安全地进行软件更新的能力。

为了满足上述要求，车辆制造商应采取以下措施：

• 建立并实施网络安全管理系统。

• 对车辆进行网络安全测试。

• 采取措施降低网络安全风险。

3. R155的意义

R155的制定和实施，对于保障汽车网络安全具有重要意义。该规定为车辆制造商提供了明确的网络安全要求，并为全球汽车市场提供了统一的网络安全标准。R155的实施将有助于提高汽车网络安全水平，保护车辆和人员的安全。

R155的实施面临的挑战

R155的实施面临以下挑战：

• 汽车网络安全技术复杂，需要车辆制造商和零部件供应商进行大量的研发投入。

• 汽车网络安全标准更新频率快，需要车辆制造商及时进行更新升级。

• 汽车网络安全人才短缺，需要车辆制造商加强网络安全人才培养。

4.R155的未来发展

随着汽车智能化、网联化水平的不断提升，汽车网络安全风险将进一步加大。R155的实施只是一个开始，未来还需要进一步完善和强化汽车网络安全标准，提高汽车网络安全水平。

5. R155的具体应用

R155的具体应用主要包括以下几个方面：

• 网络安全管理系统：车辆制造商应建立并实施网络安全管理系统，以确保车辆网络安全。网络安全管理系统应包括以下内容：

  • 风险管理流程：识别和评估车辆网络安全风险。

  • 安全设计和开发流程：在车辆设计和开发过程中，考虑网络安全因素。

  • 安全测试和验证流程：对车辆进行网络安全测试和验证。

  • 安全漏洞管理流程：及时发现和修复车辆的安全漏洞。

  • 软件更新管理流程：安全地进行车辆软件更新。

• 车辆网络安全测试：车辆制造商应按照R155的要求，对车辆进行网络安全测试，以证明车辆符合网络安全要求。车辆网络安全测试应包括以下内容：

  • 识别和检测网络攻击的能力。

  • 防止未经授权访问的能力。

  • 保护数据完整性和机密性的能力。

  • 安全地进行软件更新的能力。

• 网络安全风险降低措施：车辆制造商应采取措施降低车辆的网络安全风险，包括：

  • 使用安全的软件和硬件。

  • 采取安全的网络通信措施。

  • 加强车辆安全漏洞的管理。

  • 提供安全的软件更新服务。

R155的实施，将有助于提高汽车网络安全水平，保护车辆和人员的安全。

6. R155 和 ISO/SAE 21434 的关系

R155 和 ISO/SAE 21434 的关系：互补而非冲突

• 标准 vs. 法规：ISO/SAE 21434 是行业标准，提供最佳实践和框架，但非强制。UNECE R155 是强制性法规，要求车辆制造商遵守网络安全和 CSMS 要求，否则将无法获得市场准入。

• 互补性：R155 并未提供详细的技术指南，而是引用了 ISO/SAE 21434 作为参考标准。遵循 ISO/SAE 21434 可以帮助制造商满足 R155 的要求。

• 类似关系： 您可以将 R155 和 ISO/SAE 21434 的关系与信息安全领域的 ISO 27000 系列和 GDPR/DSGVO 法规进行比较。

R155 设定了最低网络安全要求，涵盖车辆生命周期各个阶段，例如设计、开发、生产、运营和报废。ISO/SAE 21434 提供了更详细的指导，帮助制造商实施
R155 要求，包括风险管理、安全工程、测试和评估等方面。遵循 ISO/SAE 21434 不仅可以满足 R155 的要求，还可以帮助制造商构建更
robust 的网络安全体系，降低车辆网络攻击风险。

![图片](https://img-
blog.csdnimg.cn/img_convert/71ba83d9bb00049b5523109876c9c28d.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/3f47f44031dee8f9f38735f47ba44a42.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/43372185a4a67a041987ba876c31e3aa.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/5b6e16621591de7b10c3d7a99b4e4813.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/b3d23a18c1c2e5d7943a4950a9022ace.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/00f7c7bdc8ee116c05c542787719c92c.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/62ee75b7c07bd89088473a14311f6850.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/bfd04dfdd185d611d05225891149d265.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/510acbb6fd99cef4cf5de2d55c75ad14.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/c6791008f91d1bd73c741cf66da7aee9.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/a24eeab3f595e570b4e2e30e37e9eb57.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/f52c4bdf743073aa930f35136ac392f4.jpeg)

![图片](https://img-
blog.csdnimg.cn/img_convert/2e21f401fbc3c20910873db1306bb7ad.jpeg)

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。