引言
上周,全国汽车标准化技术委员会智能网联汽车分技术委员会2023年第三次标准审查会在贵阳召开。会上,《汽车整车信息安全技术要求》(以下简称GB整车强标)和《智能网联汽车 自动驾驶数据记录系统》两项强制性国家标准顺利通过审查,离正式颁布实施又迈进了一步。
在上一期文章中我们对比了GB整车强标与R155的相同点和不同点,提出汽车信息安全管理体系要求实施对象不同、VTA认证对象不同,以及在信息安全技术要求方面R155强调过程,GB强调具体要求等关键不同点。
详情点击:智能网联汽车合规课堂(二) | 强标《汽车整车信息安全技术要求》与R155对比
在这一期,我们将更深入具体地探讨,汽车信息安全管理体系要求中的GB整车强标和R155之间的技术要求区别。
对比GB整车强标和R155之间的技术要求,我们可以注意到两者均侧重于确保车载系统的安全性和数据的保密性。下面我们将进行更细致的对比分析,具体挑出每个方面的相似点和不同点,以及他们如何相互补充以保障汽车系统的安全。
01
系统完整性和漏洞管理
GB整车强标技术要求
在GB整车强标的技术要求中,强调了需要确保系统的可信根、引导加载程序和系统固件不被篡改,并在受到篡改时可以通过安全机制确保其无法正常启动。此外,要求车辆软件系统不应存在任何已知的高危安全漏洞。
UNECE R155技术要求
与此相比,UNECE R155也要求车辆制造商实施风险评估和缓解措施,包括注意到可能的高级漏洞和攻击手段,并考虑可能的攻击影响,来确定风险的严重程度。
02
身份验证和数据验证
GB整车强标技术要求
在GB整车强标的技术要求中,明确规定车辆和在线升级服务器需要进行身份验证以保证其身份的真实性,同时要验证升级包的真实性和完整性。
UNECE R155技术要求
虽然UNECE R155不直接讨论身份验证和数据验证问题,但它强调了通过对潜在的威胁、漏洞和攻击手段进行全面分析来实现安全性,这也涉及到确保系统和数据的完整性。
03
数据保护和个人信息
GB整车强标技术要求
在GB整车强标的技术要求中,对数据保护和个人信息进行了全面保护,包括对存储在车内的关键数据、安全日志和个人信息的保护,以及对数据的安全存储和传输的规定。
UNECE R155技术要求
在 UNECE R155中,也明确提及了要考虑数据的完整性、保密性和保护措施,确保数据不会被非授权访问或丢失。
04
日志记录和事件追踪
GB整车强标技术要求
在GB整车强标的技术要求中,强调了需要记录在线升级过程中的失败事件,并保证日志存储时间不少于6个月。
UNECE R155技术要求
与之相比,UNECE R155规定,制造商应进行全面的威胁分析,其中可能包含对可能发生的不同攻击影响的记录和评估,虽然没有具体提及日志存储的时间要求。
结论
综合来看,GB整车强标和UNECE R155在确保汽车系统的安全性和数据保护方面有很多共通之处。它们都强调了对系统完整性的保护,确保数据的安全和对潜在威胁的缓解措施。
然而,也存在一些细微的差异,例如GB整车强标更具体地描述了身份验证和数据验证的要求,而UNECE R155则更侧重于从一个更高的层面进行威胁和风险评估。
总的来看,GB整车强标在R155的基础上针对国内国情进行了更为细致和有针对性的调整优化。它们共同构筑了一个多元化且层次丰富的指导体系,旨在协助车辆制造商筑牢车辆的网络安全防线。
企业在实施时应灵活选择参考标准。如果目标是符合中国地区的标准,那么应严格遵循GB整车强标的技术要求的规定来构建和优化系统。而如果目标是满足欧盟地区的法律法规,企业则应依据UNECE R155规定来进行系统的搭建和完善。
通过遵循相应的标准和法规,可以确保车辆不仅在国内市场,也在国际市场上都能得到认可,从而保障其网络安全性和数据保护能力。这样做不仅可以保护消费者的权益,也有利于企业在全球市场中建立和维持其声誉和信任。