一、汽车网络安全背景

对于汽车安全，业内人员通常聊得最多的就是汽车功能安全，多数基于ISO26262为基础，旨在开发设计阶段通过各项措施来减少因汽车电气电子系统故障而导致的各种不可控风险。

而随着汽车智能网联的发展，车云通讯、车间通信的场景越来越多，汽车暴露给外部的ECU接口也不可避免地增加；以智能座舱为例，在给人们提供了车内上网休闲娱乐功能的同时也增加了被黑客入侵的风险。根据《汽车网络安全标准化白皮书》研究，常见的汽车网络渗透路径：1、通过车内开发的网络端口进入车载服务电子系统，找到应用服装中的安全漏洞、获取系统权限等；2、使用技术手段绕过部分ECU的固件完整性检测机制，刷新相应固件来获取CAN总线读写数据能力；3、将伪造数据包注入CAN总线，实现汽车驻车或行车模式下对汽车的远程控制。

以Tesla为鞭打对象，从2013年-2017年，360、腾讯科恩多次远程破解Tesla安全防御机制，远程操控汽车的挂挡和毫米波雷达系统。

这无疑给大家敲响了警钟。因此，和汽车功能安全一样，汽车网络安全同样也需要引起相关重视，更严重的讲，网络安全问题已经是影响传统汽车向智能网联汽车发展的一把达摩克利斯之剑。

二、国内外标准发展

2.1 国外政策发展

2018年9月20日，联合国欧洲经济委员会（以下简称 UNECE ）下属的世界车辆法规协调论坛（以下简称 WP.29 ）为网络安全管理（CSMS）和软件更新管理（SUMS）定义了明确的指导方针，发布了《UN_ECE-WP.29_recommendations on Cyber Security & SW Update 》，经过2年左右的迭代，于2020年作为CSMS认证与车型审批的法规正式发布，并于2021年1月生效。这也就是我们比较熟悉的R155 - Cyber security and cyber security management system和R156 Software update and software update management system。日本、欧盟也在2022年7年将此项标准作为强制标准之一，用于汽车开发过程。

除了UNECE，ISO也不甘落后，于2021年8月31日正式发布了汽车信息安全领域首个国际标准ISO/SAE 21434《Road vehicles—Cybersecurity engineering（道路车辆-信息安全工程）》。

2.2 国内标准发展趋势

2017年7月，全国信息技术安全标准化技术委员会发布了《信息安全技术汽车电子系统网络安全指南》，2018年发布了《汽车电子网络安全标准化白皮书》

2021 年 8 月，工业和信息化部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》。旨在明确原则要求，逐步探索开展准入管理，并基于三部上位法要求，加强数据和网络安全管理，规范软件在线升级、加强产品管理，加快智能网联汽车产品推广应用，推动汽车产业创新发展。

2021年，国家智能网联汽车评测工程技术中心、国家信息技术安全研究中心联合多家主机厂、供应商联合发布了智能网联汽车安全渗透白皮书。

随着汽车网联程度加深，出台关于汽车网络信息安全的强制性标准势在必行。借用一张大家都很熟悉的图来描述我国汽车信息安全的标准发展历程。

三、ISO/SAE 21434

2016 年，ISO 道路车辆技术委员会与 SAE 联合成立 SC32/WG11 Cybersecurity 网络安全工作组，基于 J3061 参考 V 字模型开发流程，提出从风险评估管理、产品开发、运行/ 维护、流程审核等四方面来保障汽车网络安全工作开展。最终于2021年8月31日正式发布了汽车信息安全领域首个国际标准ISO/SAE 21434《Road vehicles—Cybersecurity engineering（道路车辆-信息安全工程）》。

从总体来看，文档结构与ISO 26262相似，具体如下：

Part1：SCOPE

Part2：引用的标准

Part3：术语与缩略词

Part4：总体纲要

正式可供参考从Part5开始，结构如下：