欧盟网络安全局(ENISA)致力于在欧洲范围内实现网络安全。ENISA制定了欧盟网络政策,利用网络安全认证提高信息通信技术(ICT)产品、服务和流程的可信度。ENISA活跃于汽车网络安全领域,并发布了多份相关报告。LFEednc
2021年2月,ENISA发布了“Cybersecurity Challenges in the Uptake of Artificial Intelligence in Autonomous Driving(在自动驾驶中应用人工智能面临的网络安全挑战) ”,其中分析了在自动驾驶汽车中使用人工智能技术所面临的网络安全挑战,并介绍了欧洲和国际政策背景。LFEednc
2019年11月,ENISA发布了“Good Practices for Security of Smart Cars(智能汽车良好安全实践) ”,其中定义了什么是安全性良好的网联汽车和半自动汽车。2017年,ENISA发布了“Cybersecurity and Resilience of Smart Cars(智能汽车的网络安全性和适应性) ”,其中重点介绍了汽车OEM和供应商保护嵌入式系统免受网络攻击的最佳例子。LFEednc
网络安全标准和规程的基本要求是在车辆的整个生命周期内,从开发、生产到客户使用,保障车辆的安全。LFEednc
经过两年的准备和修订工作,联合国于2020年6月24日通过了UNECE WP.29网络安全规程。WP.29适用于欧盟、英国、日本和韩国等54个国家,这54个国家生产的汽车约占世界汽车产量的35%。许多国家/地区都认可符合联合国标准的车辆。美国不包含在这54个国家中。向这些国家/地区销售汽车的所有制造商(包括美国汽车制造商),其产品和流程都必须遵守WP.29网络安全规程。LFEednc
联合国规程具有法律效力。如果一个国家/地区采用了WP.29规程,OEM就需要提供合规证明才能获得型式认证,然后才被允许进入市场销售。在欧洲,型式认证意谓着在整车级别上相互认可合规性,如果制造商在一个欧盟国家获得了某种车型的认证,那么该车型无需进一步测试即可在整个欧盟销售。LFEednc
ISO/SAE 21434是车辆网络安全的新标准,强调在车辆的制造阶段提高网络安全性。该标准明确了对网络安全风险管理的要求,重点强调网络安全的流程,建议使用一种通用语言用于沟通及管理网络安全风险,但是标准内不包含解决网络安全问题的具体技术或建议。LFEednc
ISO/SAE 21434标准由国际标准化组织(ISO)和美国汽车工程师学会(SAE)工作小组共同制定,目前有超过25家汽车制造商和20家一级供应商参与到标准制定中。ISO/SAE 21434的最终草案于2021年3月发布,正式发布大概要等到2022年。LFEednc
ISO/SAE 21434标准化工作与UNECE WP.29规程的制定相关联,因此欧盟也参与到ISO/SAE 21434标准化工作中。LFEednc
另一个重要标准Uptane于2017年1月正式推出,用于OTA软件升级。Uptane 联盟成立于2018年,是IEEE国际标准与技术组织(ISTO)旗下的一个非营利机构。在2019年7月推出Uptane1.0版之后,Uptane成为IEEE/ISTO 6100标准。,Uptane 1.1版于2021年1月推出,未来的Uptane标准将由UptaneAlliance监管。现已有多家公司提供符合Uptane标准的软件产品。LFEednc
UNECE WP.29网络安全2020年6月,两项新的联合国网络安全条例(WP.29网络安全规程)被采纳了,这两项条例适用于所有类型的车辆。网络安全规程于2021年3月更新,将于2021~2022年开始在一些国家部署,并于2023~2024年完成大量部署。LFEednc
第一项条例侧重于网络安全和网络安全管理系统(CSMS)。LFEednc
WP.29 CSMS的定义是:CSMS提供了一种系统风险处理方法,它定义了组织流程、职责和管理,可以处理车辆面临的网络威胁,保护车辆免受网络攻击。LFEednc
CSMS文档提供了关于网络安全威胁的一些有用信息,列出了大量漏洞和攻击方法,附件5包含长达10页的对多种漏洞的描述,表3对这些威胁和漏洞进行了总结。CSMS文档列出了六种类型的安全威胁,多种漏洞类型(29种),以及大量示例(67个)。LFEednc
表3:WP.29网络安全威胁和漏洞一览。(数据来源:unece.org)LFEednc
表4总结了CSMS文档中讲述的对网络安全威胁的补救。B表数据针对车内威胁;C表数据针对车外威胁。LFEednc
表4:WP.29网络安全威胁补救。(数据来源:unece.org)LFEednc
第二项条例是关于软件更新流程和软件更新管理系统(SUMS)的。LFEednc
WP.29 SUMS的定义:软件更新管理系统提供了一种系统方法,它定义了组织流程,可以满足该规程对软件更新的要求。LFEednc