不論是國(guó)內(nèi)還是國(guó)際，近幾年有關(guān)汽車(chē)信息安全的法規(guī)、標(biāo)準(zhǔn)密集發(fā)布，涉及包括網(wǎng)絡(luò)安全、數(shù)據(jù)安全、國(guó)家安全等多個(gè)方面，不論是 WP29 R155/156 的發(fā)布，還是國(guó)內(nèi)各領(lǐng)域網(wǎng)絡(luò)安全法規(guī)指南的發(fā)布， 都說(shuō)明信息安全正逐步成為各行各業(yè)需要關(guān)注的重點(diǎn)，安全的保證已經(jīng)從一個(gè)產(chǎn)品、一個(gè)行業(yè)的安全上升到了國(guó)家安全的維度。

強(qiáng)制與推薦

目前國(guó)際法規(guī)如 WP29 R155/R156 等已強(qiáng)制實(shí)施，歐盟 2022 年 7 月之后上市的新車(chē)均需保證其網(wǎng)絡(luò)安全流程的合規(guī)性和產(chǎn)品開(kāi)發(fā)的安全性，并配套了相關(guān)的國(guó)際標(biāo)準(zhǔn)配合法規(guī)落地實(shí)施。這勢(shì)必要求相關(guān)市場(chǎng)的整車(chē)廠、零部件供應(yīng)商必須保證其流程乃至產(chǎn)品的合規(guī)，要求相關(guān)廠商從技術(shù)、成本、流程多個(gè)維度需要得到極大的提升。目前國(guó)內(nèi)安全領(lǐng)域除了三大上位法，各個(gè)部委也出臺(tái)了相應(yīng)的政策規(guī)范與指南，已發(fā)布的配套標(biāo)準(zhǔn)均屬于推薦標(biāo)準(zhǔn)，包括諸如《汽車(chē)網(wǎng)關(guān)信息安全技術(shù)要求及試驗(yàn)方法》、《電動(dòng)汽車(chē)遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法》等，尚未提出強(qiáng)制要求。然而，鑒于信息安全對(duì)于汽車(chē)行業(yè)的重要性，國(guó)內(nèi)也在加快相關(guān)強(qiáng)制標(biāo)準(zhǔn)的制定，例如《汽車(chē)整車(chē)信息安全技術(shù)要求》、《汽車(chē)軟件升級(jí)通用技術(shù)要求》、《智能網(wǎng)聯(lián)汽車(chē) 自動(dòng)駕駛數(shù)據(jù)記錄系統(tǒng)》等強(qiáng)制標(biāo)準(zhǔn)已在制定中，相信在不久的將來(lái)，隨著行業(yè)整體技術(shù)的積累，方案的成熟，相關(guān)強(qiáng)制標(biāo)準(zhǔn)也會(huì)制定并實(shí)施，實(shí)現(xiàn)與國(guó)際市場(chǎng)的接軌。

流程與技術(shù)

目前國(guó)際發(fā)布的法規(guī)、標(biāo)準(zhǔn)如 R155、ISO21434 等 , 首先從流程的角度提出安全保證的要求，包括整個(gè)組織級(jí)的管理體系、特定項(xiàng)目的管理、供應(yīng)商與主機(jī)廠的交互、產(chǎn)品的后期維護(hù)報(bào)廢流程等，都首先強(qiáng)調(diào)流程的重要性，相關(guān)產(chǎn)品認(rèn)證與上市的前提條件都是組織流程首先滿足法規(guī)的要求。國(guó)內(nèi)標(biāo)準(zhǔn)的制定關(guān)注重點(diǎn)在具體技術(shù)的落地實(shí)施上，包括關(guān)鍵部件如網(wǎng)關(guān)、T-BOX 的信息安全技術(shù)及測(cè)試方法、車(chē)聯(lián)網(wǎng)各實(shí)體間的相互認(rèn)證與通訊等?？偟膩?lái)說(shuō)，流程與技術(shù)是相互支撐、相輔相成的，信息安全說(shuō)到底是與人息息相關(guān)的，再先進(jìn)的技術(shù)如果沒(méi)有合適的人來(lái)執(zhí)行也是一紙空談，沒(méi)有合理的流程也很難保證技術(shù)的順利實(shí)施。但是如果沒(méi)有明確的技術(shù)積累，而只是談?wù)摿鞒?，也是無(wú)法落地的概念。針對(duì)我國(guó)國(guó)情，技術(shù)的快速落地反而能快速推動(dòng)行業(yè)的進(jìn)步。當(dāng)然，流程相關(guān)的法規(guī)制定也會(huì)隨著技術(shù)水平的逐步提升而得到進(jìn)一步落地。

基礎(chǔ)軟件信息安全要求制定路徑

此外，國(guó)際上以 AUTOSAR  為典型代表，已逐漸形成完善的面向車(chē)控、車(chē)載的基礎(chǔ)軟件平臺(tái)規(guī)范體系。然而在早期的 AUTOSAR 規(guī)范中，尚未涉及到有關(guān)信息安全的內(nèi)容。近年來(lái)隨著信息安全在汽車(chē)領(lǐng)域應(yīng)用需求與技術(shù)的發(fā)展，在  AUTOSAR  規(guī)范中逐漸引入了信息安全有關(guān)的內(nèi)容，包括密碼相關(guān)軟件棧、安全通信組件、入侵檢測(cè)組件、V2X 通信安全等，如本報(bào)告第 2.2 節(jié)所述，并且各主要模塊已形成詳細(xì)的設(shè)計(jì)規(guī)范，給出了具體的功能規(guī)范、API 規(guī)范、運(yùn)行時(shí)序及配置參數(shù)等。國(guó)內(nèi)對(duì)于汽車(chē)基礎(chǔ)軟件規(guī)范標(biāo)準(zhǔn)研制的起步較晚，開(kāi)始也較多地在參考、引用諸如 AUTOSAR 平臺(tái)的軟件規(guī)范，目前尚未形成成熟的汽車(chē)基礎(chǔ)軟件規(guī)范體系。隨著汽車(chē)智能化、網(wǎng)聯(lián)化、自動(dòng)化在國(guó)內(nèi)的快速發(fā)展，正在加快形成支持國(guó)內(nèi)自主智能網(wǎng)聯(lián)汽車(chē)的硬件、軟件平臺(tái)標(biāo)準(zhǔn)或規(guī)范。如前所述，目前已在汽標(biāo)委立項(xiàng)國(guó)家推薦標(biāo)準(zhǔn)《智能網(wǎng)聯(lián)汽車(chē) 車(chē)控操作系統(tǒng)技術(shù)要求及試驗(yàn)方法》、《智能網(wǎng)聯(lián)汽車(chē) 車(chē)載操作系統(tǒng)技術(shù)要求及試驗(yàn)方法》以形成針對(duì)車(chē)用操作系統(tǒng)的基本要求，而在行業(yè)組織如 CSAE 立項(xiàng)若干關(guān)于車(chē)用操作系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)細(xì)節(jié)要求的團(tuán)體規(guī)范與標(biāo)準(zhǔn)。有關(guān)車(chē)用操作系統(tǒng)的信息安全要求自上述標(biāo)準(zhǔn)立項(xiàng)時(shí)就予以考慮并作為重要的內(nèi)容，這是與國(guó)際上相關(guān)規(guī)范標(biāo)準(zhǔn)制定在路徑上存在差異的地方。另外，國(guó)內(nèi)在其他領(lǐng)域已經(jīng)制定的操作系統(tǒng)相關(guān)安全技術(shù)標(biāo)準(zhǔn)也可為汽車(chē)領(lǐng)域標(biāo)準(zhǔn)的制定提供經(jīng)驗(yàn)和借鑒。

本章小結(jié)

近年來(lái)，隨著汽車(chē)信息安全問(wèn)題的日益突出，國(guó)際國(guó)內(nèi)有關(guān)汽車(chē)信息安全的法規(guī)、標(biāo)準(zhǔn)等正在加快建設(shè)、發(fā)布與實(shí)施，也為汽車(chē)基礎(chǔ)軟件的信息安全標(biāo)準(zhǔn)化提出了迫切的需求。汽車(chē)基礎(chǔ)軟件的平臺(tái)規(guī)范以AUTOSAR  組織為典型代表，經(jīng)過(guò)二十余年的發(fā)展，已形成了較為成熟完善的平臺(tái)規(guī)范體系，受到業(yè)內(nèi)廣泛關(guān)注及認(rèn)可，然而有關(guān)信息安全的需求、規(guī)范定義也是在近些年隨著汽車(chē)向智能化、網(wǎng)聯(lián)化、自動(dòng)駕駛方面的快速發(fā)展而逐步完善的?？傮w而言，軟件是作為車(chē)輛系統(tǒng)的組成部分而存在的，當(dāng)前的標(biāo)準(zhǔn)制定側(cè)重在整車(chē)、零部件的維度，專(zhuān)門(mén)針對(duì)汽車(chē)基礎(chǔ)軟件如車(chē)控操作系統(tǒng)、車(chē)載操作系統(tǒng)等的標(biāo)準(zhǔn)尚處于起步階段。未來(lái)隨著汽車(chē)信息安全標(biāo)準(zhǔn)體系的不斷發(fā)展和成熟，有關(guān)汽車(chē)基礎(chǔ)軟件的信息安全標(biāo)準(zhǔn)會(huì)逐步豐富和細(xì)化，形成可指導(dǎo)具體開(kāi)發(fā)的技術(shù)要求與測(cè)評(píng)方法。