一文理清汽车网络安全法规

前文提到，今年以来汽车网络安全的需求开始暴发。一般来讲，这种现象大概率还是来源于法规驱动。

为此，我需要再次回顾下目前全球上汽车网络安全合规的出台和实施情况，记录在案，随时查阅。

目前汽车网络安全领域的格局，个人理解可以概括为“强制国际法规+指导性标准+区域适配”。

法规指的是强制性法规，强调“必须做”，标准指的是指导性标准，指导应该怎么做来满足法规，区域适配则是参考国际法规和标准，结合本地情况，推出特色化的法规和标准。

1.UN R155

作为全球首个汽车网络安全强制性法规，R155应该算是各个地区网络安全法规的重要参考标准。

该标准由联合国世界车辆法规协调论坛（WP.29）在2020年6月通过，于2021年1月生效。

它的影响力巨大，适用于包括欧盟、英国、日本和韩国在内的54个联合国欧洲经济委员会（UNECE）成员国。

它的核心要求就一点：

汽车制造商（OEM）必须建立并实施网络安全管理体系，确保车辆从设计、生产到报废的全生命周期里都能有效管理网络安全风险。

从2022年7月起，在欧盟销售的所有新车需进行UN R155所要求的型式认证；从2024年7月起，在欧盟销售的所有车辆都必须满足该法规的要求。

简单说，没这个认证，车就别想在这些地方卖。

尽管开起来这个法规是针对OEM的，但实际上整个合规压力是传导到整个汽车供应链，所有零部件供应商等的参与者都需要了解潜在的风险，并提出解决方案。

2.ISO/SAE 21434

光有法规要求不够，具体怎么做？这就轮到ISO/SAE 21434出场了。

这个标准在2021年8月正式发布，是汽车网络安全领域的首个国际标准，个人理解可全球通用。

它提供了一套非常详细的方法论，指导车企和供应商如何在实际开发管理中落实网络安全，覆盖了从概念、开发、生产到运维、退役的全生命周期。

它和R155的关系是互补而非冲突：R155是“法”，规定了“必须做”；21434是“标准”，指导了“怎么做”。

R155的解释文件也明确指出，ISO/SAE 21434是合规的重要参考依据。

所以，遵循21434通常是满足R155要求的最佳路径。

但在实际操作中，我发现21434对一家企业的能力要求是全方位的，太多的流程管理和文档交付，跨学科的标准、界限模糊，一一梳理下来会发现汽车网络安全所需要的跨学科能力建设、技术栈深度和广度、供应链管理之长以及全生命周期管理，是很少有与之匹配的工程学科。

我相信，不少国内的Tier 1在拿到OEM给出的网络安全能力调查问卷后，是一脸懵逼的，索性直接原封不动转交给下游，软件供应商或者芯片供应商：你们既然在做这些事情，那肯定有方案吧。

由于分工界限不明晰，很容易导致OEM对Tier 1的要求变形，例如要求Tier 1提供的系统满足NIST xx标准，同时又要满足21434，再细化一点的，甚至要求到密钥删除满足NIST xx标准，搞到后面，完全不知道应该要做什么。

当然，这些都是慢慢积累的，像功能安全一样，倒推五到十年大家还是一头雾水，现在已经驾轻就熟了。

3. ISO/PAS 5112

ISO/PAS 5112，全称《道路车辆--信息安全工程审核指南》，是用于支撑ISO/SAE 21434审核的重要标准。

它主要考察汽车CSMS中网络安全管理、持续地网络安全活动、风险评估方案、概念及产品开发阶段、量产阶段和分布式网络安全活动。

很明显，该标准作为审核类的标准，也是需要供应链所有参与者了解和的，这样才能从多角度地理解汽车CSMS建设工作的重要性。

4. 美国汽车网络安全框架

美国目前还没有统一的联邦层面汽车网络安全强制法规，这里介绍几个指南或者框架性的文档吧。

首先是SAE J3061，它是汽车网络安全领域的首个指导性文件，它直接影响了后续国际标准ISO/SAE 21434的制定，可以说是后者的前身。

该指南为汽车网络安全建立了一套完整的生命周期流程框架，列举了常见的网络安全工具和分析方法，并给出了信息安全的基本指导原则。

尽管J3061本身不是强制标准，但它为美国汽车行业的网络安全实践奠定了重要基础。

然后就是美国国家公路交通安全管理局（NHTSA）发布的汽车网络安全最佳实践指南(Cybersecurity Best Practices for modern vehicles)，为制造商如何应对不断变化的网络威胁、在车辆全生命周期中实施网络安全最佳实践提供了指导。

与UN R155的强制性不同，NHTSA的指南目前是自愿性的。

我觉得这个写的还停详细的，有兴趣的回复“网络安全最佳实践”可获取PDF链接。

5.中国汽车网络安全框架

中国汽车网络安全框架法规框架，主要还是要关注是中国版R155\R156《汽车整车信息安全技术要求》（GB4495—2024）和《汽车软件升级通用技术要求》（GB44496-2024）

上述标准已于2024年发布，并规定于2026年1月1日正式实施，可以说，这是中国版的汽车“准入”门槛。

除此之外，从车联网网络安全和数据安全标准体系建设指南再到《汽车芯片信息安全技术规范》，我们可以看到一个成体系的、大而全的框架会越来越完善。

数据跨境管理方面，相关部门也发布了《汽车数据出境安全指引》的征求意见稿，明确了重要数据出境的核心场景，为行业数据跨境活动提供制度依据。

6.总结

个人感觉，汽车网络安全确实是个复杂的领域，它融合了传统IT安全、车联网特性、严格的安全合规要求以及汽车产业特有的长供应链管理，每个环节上的人都只知一斑，难窥全貌。

其次，安全责任在主机厂、一级供应商、众多零部件厂商之间难以清晰界定和追溯，统一安全标准落地也比较难。

最后，为满足法规，需要将文本要求转化为具体零部件和系统的安全需求并实现、测试，至少目前来看，我很少看到有拆解的比较透彻的需求，例如平衡安全的成本和收益，大都是别人有，我也要的感觉。