UNECE R 155

UNECE R 155《网络安全及网络安全系统》（Cyber security and cyber security management system）是联合国欧洲经济委员会（UNECE）的世界车辆法规协调论坛（WP.29）发布的法规，列出有关汽车网络安全（Automotive Cybersecurity）的需求，以减少网络攻击的风险，并且要求建立网络安全管理系统（cyber security management system），此法案是在2020年6月24日发布^[1]。

R 155的内容

R 155要求汽车的制造商需建立网络安全管理系统（CSMS），并且确保此系统可以通过车辆型式审查（德语：Typgenehmigung (Kraftfahrzeug)）。

在网络安全管理系统中有定义汽车开发的流程，可以系统化的处理和评估网络攻击的风险。

法规中只要求汽车零件供应商（德语：Automobilzulieferer）要通过R 155。制造商需证明有能力控管供应商的风险^[2]，因此就和其他产品责任（英语：Product liability）风险的管理类似，制造商也会要求供应商导入网络安全管理系统。在ISO/SAE 21434中，也有透过网络安全协议（着重网络安全的服务界面协议（德语：Leistungsschnittstellenvereinbarung））来进行要求。

网络安全管理系统

网络安全管理系统（CSMS）有以下的特点：

• 风险管理：需由制造商导入有关网络威胁风险识别、评估以及减缓的流程^[3]。
• 流程必须包括汽车开发、汽车生产，以及使用者实际驾驶的阶段^[4]。
• 针对在运行的车辆，必须针对已知的攻击进行监控，并且更新软件，以确保汽车的安全。
• 需由独立机构^[5]进行评估，以证明供应商的网络安全管理系统符合R 155的要求。有能力执行此一任务。认证效期3年^[6]。这也是汽车制造商生产车型通过型式审查前的必要条件。

一般认为网络安全管理系统可以侦测到新的网络威胁，并且发展防范的对策。R 155设定了要做什么以及如何检查的准则，但R 155不会强制网络安全管理系统的设计方式，也没有明确说明可以避免哪些网络威胁，以及如何避免网络威胁的方案。

以风险分析为主

附录5以风险分析的角度，列出了许多攻击方式以及攻击标的。R 155没有强制要依附录5进行分析，不过一般在认证的评估时，也会假设已针对这些攻击方式进行处理。

附录5有提到：

• 汽车和周遭设备的无线通讯，例如，在制造时和更新服务器的通讯，需考虑的是对车联网通讯或是keyless go（英语：keyless go）功能的危害。
• 固件更新流程的安全性，以避免更新到植入恶意程式的固件。
• 避免车上人员的介入，（车上人员的介入会让攻击者可以用欺骗的方式采取行为，例如在PC上用邮件钓鱼式攻击）。
• 程式和资料的安全防护，避免资料更改或是外流。
• 透过不适当的加密方式进行的保护，或是一些加密方式在开发时是适当的，但随着科技的演进而失去保护效果（例如过短的密钥）。

章节B说明攻击的手法以及防范的方式，章节C说明对于内部人士攻击的防护，以及从制造商后端服务器攻击的防护。

ISO/SAE 21434的角色

ISO/SAE 21434是在实现UNECE R 155时的指南，也是车辆产业中的标准。VDA有发行Automotive Cyber Security Management System Audit，让汽车产业可以准备网络安全的评估。

范围

依照UNECE R 155，需在以下分类的车辆上实施网络安全管理系统^[7]：

• M类: 四轮以上的轿车。
• N类：四轮以上的货车。
• O类：至少有一个电子控制器的拖车。

也包括含有自动驾驶功能的车辆。

相关问题

R 155法规的附录5中有举出许多需要检查的攻击，但没有说明制造商的对策要进行到什么程度才算是足够。附录5的范例包括有关车辆本身的攻击（ISO/SAE 21434标准包括的内容），以及有关后台服务器的攻击（是ISO/IEC 27001标准包括的内容）。

R 155有定义需为运行中车辆提供软件更新的期间，这个期间的范围很广。R 155要求在产品生命周期的所有阶段都要可以提供安全更新，其最后一个阶段“量产后阶段”（post-production phase）要到此型式的车已没有在道路上运行时才能结束^[8]。依照标准的定义，每一部此一型式的车都会延长其产品生命周期的最后一个阶段。一般车辆的开发阶段约二至三年，商用车的量产阶段最多七年，之后的平均维护时间约有十年。以汽车产业的观点来看，会有一个问题：在开发阶段实施安全更新的软件环境，在停止生产（英语：End of Production）后的某个时间点，会因为软件整合环境、操作系统或硬件厂商的授权机制结束而无法运作。

另一方面，随着新的加密算法需要更多的运算时间及内存，微处理器的性能及内存已不符需求，也需进行更换。这特别容易发生在时序要求严格的电子控制器，例如引擎控制、刹车及转向。

已在2020年6月24日通过的UNECE R 156《软件更新及软件更新管理系统》，若软件更新的功能是和型式审查（例如废气、刹车）有关的，在发布之前需先检查，并且需要经过核可。以攻击者的观点来看，这是很吸引人的目标，目前还不清楚上述的规定，是否会影响从安全漏洞发现，到最早发布安全更新的时间。

相关条目

• UNECE R 156：UNECE有关软件更新的法规。
• ISO/SAE 21434：ISO/SAE 订定的汽车网络安全标准。
• SAE J3061（德语：SAE J3061）：资讯物理融合系统网络安全指南

参考资料

1. Nations, United Nations Economic Commission for EuropeInformation UnitPalais des; Geneva 10, CH-1211; Switzerl. UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of connected vehicles. www.unece.org. [2020-11-10]. （原始内容存档于2020-11-28）. 
2. UNECE R 155, Section 5.1.1. (a)
3. UNECE R 155, 2.3节
4. UNECE R 155, 7.2.2.1节
5. UNECE R 155, 5.1.1节有提到test institute或是approval authority
6. UNECE R 155, 6.7节
7. UNECE R 155, 1.1节, 1.2节
8. UNECE R 155, 2.7节

文献

• UN Regulation No. 155 - Cyber security and cyber security management system （页面存档备份，存于互联网档案馆）
• Automotive Cyber Security Managementsystem-Audit （页面存档备份，存于互联网档案馆） VDA, QMC, 2020-12-01