奇瑞商用车—奇瑞商用车信息安全合规项目应对策略.pdf

《奇瑞商用车—奇瑞商用车信息安全合规项目应对策略.pdf》由会员分享，可在线阅读，更多相关《奇瑞商用车—奇瑞商用车信息安全合规项目应对策略.pdf（20页珍藏版）》请在三个皮匠报告上搜索。

1、客户专注匠心创新共赢Page 1奇瑞商用车信息安全法规应对策略2025/3/31客户专注匠心创新共赢Page 2CONTENTS目录1.标准法规2.现状梳理3.应对策略4.公告拓展客户专注匠心创新共赢Page 3一、法规标准随着汽车智能化、网联化的不断发展与应用，车辆的信息安全问题日益严峻，一旦遭到网络攻击可能导致用户个人信息泄露、车辆被远程控制等严重后果，影响车辆用户的信息、财产和生命安全，甚至危害社会与国家安全。客户专注匠心创新共赢Page 4一、法规标准车联网安全事件频发：根据工信部车联网动态监测情况显示,仅2023年上半年发现的整圣车企业车联网信息服务提供商等相关企业和平台的恶意攻击达

2、到100余万次,同比增长超过80%,平台的漏洞、通信的劫持、隐私泄露等风险十分严重。客户专注匠心创新共赢Page 5一、法规标准信息安全法规标准出台：UN/WP.29发布的R155，适用于1958协议下成员国，覆盖所有欧盟国家。UN R155法规是全球第一个汽车信息安全强制法规，这意味着车辆的信息安全已经从符合标准进入到遵从法规的时代。客户专注匠心创新共赢Page 6一、法规标准UN R155和GB 44495对比UN-R155GB 44495适用对象适用于全球范围内销售车辆到欧盟、日本、韩国等1958协议成员国的车辆制造商,需根据具体出口国家判断是否遵守该法规适用于在中国境内销售汽车的车辆制

3、造商发布实施日期法案颁布:2020年6月法案生效:2021年1月22日新车型执行时间:2022年7月1日现有架构所有车型:2024年7月1日标准正式发布:2024年8月23日新车型:行自2026年1月1日起开始执行已获得型式车型:自2028年1月1日起开始执行适用车型范围M、N、O类(至少装有1个电子控制单元)L6&L7(配备3级以上自动驾驶功能两轮或三轮车辆)M、N、O类(至少装有1个电子控制单元)同一型式判定车辆制造商需通知审核机关评估，从是否变更E/E架构角度出发，来判定是否新申请/扩展/保持证书对同一型式判定条件要求有明确规定，分为信息安全直接视同、发生变更测试验证后视同、数据处理功能

4、视同三种情况管理体系覆盖车辆全生命周期的信息安全管理体系；风险分析评估流程；车辆信息安全测试；供应链管理。国标在管理体系的基础上强化了漏洞管理、测试管理要求。一般要求遵循信息安全管理体系的开发流程、风险评估流程、监测防御机制。国标强化了加密算法、密码模块安全要求,增加数据处理活动安全要求以满足车辆数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知等要求。技术要求需开展威胁识别，并提出安全要求。UN-R155针对TARA分析过程中的威胁及缓解措施给出指导，列出7大威胁场景,70个威胁及缓解措施。覆盖云端、车端、外部设备（如手机APP）等。国标从安全要求角度出发，关注车端外部连接

5、、通信安全、软件升级、数据安全共计39条安全要求。增加数据删除和数据出境。细化了远控系统安全要求、第三方应用安全要求、在线升级安全要求、密码安全存储、安全日志等方面的要求。主要覆盖车端。试验方法需开展测试，但未明确针对上述威胁和缓解措施给出测试验证方法。国标针对车辆信息安全一般要求提出具体的评估要求和评估方法，车辆制造商需针对该要求准备相关材料。针对车辆信息安全技术要求给出测试条件、测试内容、测试方法。客户专注匠心创新共赢Page 7一、法规标准汽车信息安全管理体系：覆盖网络安全全生命周期，确保汽车全生命周期中都有对应的流程措施，各流程实施于开发、生产、量产运维各个阶段，保证信息安全设计、实施

6、及响应均有流程体系指导。R155提到ISO/SAE 21434是可以采纳的一种方式但不属于强制要求，就目前来看，它是CSMS实施的最新参考，是应对网络安全法规挑战的最佳解决方案，并可在诉讼案件中作为法庭证据。客户专注匠心创新共赢Page 8一、法规标准国标技术要求：针对外部连接安全、通信安全、软件升级安全、数据安全四部分分提出信息安全要求，共计38个测试项,覆盖约130个测试场景。其中软件升级安全、数据安全分别引用了GB44496汽车软件升级通用技术要求和GB44464汽车数据通用要求部分条款。客户专注匠心创新共赢Page 9一、法规标准国标测试验证：安全功能验证测试、漏洞扫描测试、渗透测试、