UN R155和GB 44495对汽车供应链网络安全标准体系的强制要求

汽车网络安全标准GB 44495：2024 （国内称为汽车整车信息安全技术要求）和 R155异同点

①认证形式

UN R155法规与GB 44495标准均从企业网络安全管理体系CSMS、车辆技术要求两个维度提出了要求。

不同的是, UN R155要求企业在申请单车认证之前应先获得CSMS合格证书(有效期3年) , GB 44495标准则要求开展车辆信息安全评估和测试前,先通过汽车信息安全管理体系审核。

②风险识别和对应

UN R155 法规提出了网络安全威胁和相应缓解措施清单,涉及共计32项威胁、漏洞和攻击方法基准,以及相对应的车端、非车端缓解措施。

GB 44495标准则重点对车端外部连接、通信安全、软件升级、数据代码等4个方面提出要求。

③测试方法

UN R155法规并未针对.上述32项威胁和措施清单提出具体的测试方法。

GB 44495标准则对上述车端4个方面的安全要求提出了测试验证方法,包括测试条件、测试输入信息、具体测试方法等。

以车辆外部连接安全测试为例,对于具备远程操控功能的系统,通过尝试伪造、篡改并发送远程车辆控制指令,检查车辆是否响应该指令,是否按照企业设定的验证失败处理机制进行处理,并记录测试结果，应不响应该指令。

④数据安全

GB 44495标准提出,车辆应参照GB/T 44464-2024《智能网联汽车数据通用要求》来满足车辆数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知等要求。

GB/T 44464-2024 《智能网联汽车数据通用要求》已于2022年底公开征求意见，此次被GB 44495标准引用，意味着其中涉及个人信息处理的章节要求，也将变为强制性法规,企业需同步关注该标准的制修订动向。

⑤实施时间

UN R155法规已于2022年7月对新认证车型实施,已于2024年7月对新生产车型实施。

而根据强制性国家标准的制修订流程推测，GB 44495在发布1年后对新认证车型实施,发布3年后对新生产车型实施。

⑥技术细节

GB 44495标准在测试方法上对更多的技术细节有明确的要求:如要求应不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞;应使用TLS V1.2同等安全级别或以上要求的安全通信层协议等。