汽车网络安全法规(R155&R156)和标准(ISO 21434&GB 44495)简介

01、UN R155和UN R156 简介

1、概述

联合国车辆安全法规UN R155是联合国欧洲经济委员会（UNECE）可持续交通系统部门的工作组，即“世界车辆法规协调论坛”（WP.29）发布的第155号规范的简称。要求汽车制造商和相关供应商在设计和生产车辆时实施严格的网络安全措施，以保护车辆免受网络攻击和数据泄露的威胁。是全球第一个汽车信息安全强制法规。

UN R156是联合国世界车辆法规协调论坛（UN/WP.29）发布的《关于批准车辆的软件升级和软件升级管理体系统一规定的法规》的简称。它规定了汽车制造商在设计和生产阶段需要遵循的安全标准，以确保车辆的电子系统和数据传输的安全性。

2、UN R155和UN R156的适用范围

1. UN R155和UN R156规范适用于以下UNECE类别和条件的整车：

3、UN R155的内容：

R155规范有12个章节 ：1.范围 ；2.定义；3.审批申请 ；4.标记 ；5.审批；6.CSMS合规证书；7.规范要求；8.车型修改和延期；9.产品符合性；10.产品不符合惩罚；11.产品停产；12.负责审批测试的技术服务方和车型审批机构的联系方式；以及五个附件。

R155合规认证主要分为两部分，一是网络安全管理体系认证（CSMS），即7.2 网络安全管理体系要求”的内容，其中7.2.2章节具体阐述了CSMS认证应涵盖的具体方面；二是车辆网络安全型式认证（VTA），即7.3车辆型式要求”的内容。

4、法规历程 ：

主机厂应:

1、建设自身的网络安全管理体系,以符合R155/R156法规中关于网络安全管理体系( CSMS ) /软件更新管理体系( SUMS)的要求；

2、加强网络安全技术能力建设,以使其正常产品符合R155附录5中的技术要求；

3、要求其供应商落实网络安全管理体系,以保证技术要求的落实,最终通过车辆型式审批认证( VTA ：Vehicle Type Approval )

5、UN R155引用或参考的相关标准

02、中国汽车网络安全标准（GB 44495：2024 )简介

1、概述

中国汽车网络安全标准GB 44495：2024，全称为《汽车整车信息安全技术要求》，是中华人民共和国工业和信息化部提出并归口，委托全国汽车标准化技术委员会智能网联汽车分会执行的一项国家强制性标准。该标准已于2024年8月23日发布，并将于2026年1月1日起正式实施。

2、适用范围

该标准规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法。

适用于M类、N类及至少装有1个电子控制单元的O类车辆，其他类型车辆可参考执行。

3、法规历程 ：

2021年3月：立项

2021年10月：工业和信息化部采纳

2022年9月：公开征求意见

2024年7月：对新注册车辆强制实施

2024年8月23日：正式发布

2026年1月1日：正式实施

实施日期:对于新申请型式批准的车型,自该标准实施之日起开始执行。

对于已获得型式批准的车型,自该标准实施之日起第25个月开始执行。

UN R155和GB 44495对汽车供应链网络安全标准体系的强制要求

1、汽车网络安全标准GB 44495：2024 （国内称为汽车整车信息安全技术要求）和 R155异同点

①认证形式

UN R155法规与GB 44495标准均从企业网络安全管理体系CSMS、车辆技术要求两个维度提出了要求。

不同的是, UN R155要求企业在申请单车认证之前应先获得CSMS合格证书(有效期3年) , GB 44495标准则要求开展车辆信息安全评估和测试前,先通过汽车信息安全管理体系审核。

②风险识别和对应

UN R155 法规提出了网络安全威胁和相应缓解措施清单,涉及共计32项威胁、漏洞和攻击方法基准,以及相对应的车端、非车端缓解措施。

GB 44495标准则重点对车端外部连接、通信安全、软件升级、数据代码等4个方面提出要求。

③测试方法

UN R155法规并未针对.上述32项威胁和措施清单提出具体的测试方法。

GB 44495标准则对上述车端4个方面的安全要求提出了测试验证方法,包括测试条件、测试输入信息、具体测试方法等。

以车辆外部连接安全测试为例,对于具备远程操控功能的系统,通过尝试伪造、篡改并发送远程车辆控制指令,检查车辆是否响应该指令,是否按照企业设定的验证失败处理机制进行处理,并记录测试结果，应不响应该指令。

④数据安全

GB 44495标准提出,车辆应参照GB/T 44464-2024《智能网联汽车数据通用要求》来满足车辆数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知等要求。

GB/T 44464-2024 《智能网联汽车数据通用要求》已于2022年底公开征求意见，此次被GB 44495标准引用，意味着其中涉及个人信息处理的章节要求，也将变为强制性法规,企业需同步关注该标准的制修订动向。

⑤实施时间

UN R155法规已于2022年7月对新认证车型实施,已于2024年7月对新生产车型实施。

而根据强制性国家标准的制修订流程推测，GB 44495在发布1年后对新认证车型实施,发布3年后对新生产车型实施。

⑥技术细节

GB 44495标准在测试方法上对更多的技术细节有明确的要求:如要求应不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞;应使用TLS V1.2同等安全级别或以上要求的安全通信层协议等。

2、UN R155对汽车供应链网络安全标准体系的强制要求

图中最后一条规定了供应链安全管理强制要求

要求：汽车制造商需管理与合同供应商、服务提供商或制造商子组织在需求方面可能存在的依赖关系，确保供应链中的网络安全风险得到有效控制。

证明方法：与供应商签订网络安全协议，明确双方在网络安全方面的责任和义务。同时，要求供应商提供相关的网络安全认证证书或评估报告CSMS作为证明。此外，定期对供应商进行网络安全审计和评估，确保其符合R155的要求。

3、中国网络安全标准（GB 44495)对汽车供应链强制要求

GB 44495补充和细化了R155的要求。它涵盖了汽车网络安全的技术标准、管理流程、以及供应链各环节的安全保障措施。GB 44495强调了供应链中所有参与者必须遵循的安全标准，包括供应商的网络安全能力评估和信息安全管理体系的建立。

这两个标准共同要求汽车制造商和供应链合作伙伴在网络安全方面采取严格的措施，确保汽车产品在设计、生产、服务等各阶段的安全性，从而提升整体供应链的安全水平。