是德科技助力汽车网络安全测试

你是否想过，未来的某一天，当你坐在自动驾驶的汽车上，汽车突然被黑客攻击，系统完全被控制？

这样的场景似乎只在电影里看到过，但随着安全要求的提高以及网络技术的高速发展，这样的汽车网络安全问题正凸显出来，从传统汽车到可移动的智能终端，监管部门和消费者对汽车和服务的网络安全风险及隐私数据泄漏的担忧也是与日俱增，因此国内外汽车网络安全相关的标准与法规相继应运而生。

有哪些重要的网络安全相关的国际法规呢？

2020年6月，联合国世界法规协调论坛（WP.29）发布关于智能化网联汽车的重要法规R155，并在2021年1月下旬开始实施。2022年7月后所有的新车型必须满足WVTA（Whole Vehicle Type Approval）证书，才能够在欧盟及其他WP29成员国（如日本、韩国、澳大利亚等）上市销售。2024年7月起制造的所有车辆（包括老车型）必须符合该法规要求方可出厂销售。

2021年联合国制定了R156法规，专门针对处理车辆的软件更新和软件更新管理系统（SUMS），旨在提高车辆软件更新的安全性、可靠性和稳定性，同时确保制造商拥有一个健全的流程来管理更新过程。

UNECE R155 和 R156 参考 ISO 21434 标准，解决了汽车产品开发、设计和实施过程中的网络安全相关问题。市场上其他值得注意的标准包括 SAE J3101 硬件组件安全要求以及面向芯片组的 V2X 通用标准保护配置文件（Common Criteria Protection Profile， PP0114a）。

如何保证产品符合安全要求？

对于提供零部件、设备和解决方案（网站/应用程序）的汽车供应商，在目前的市场环境中，要想对即将或已经颁布的安全法规做好准备并确保产品安全，需要进行符合安全法规的测试。

2024年3月，Keysight收购了Riscure。Keysight Riscure 是一家公认的安全测试实验室，在单个部件（SOC、ECU 微控制器、移动和服务器应用程序等）的安全评估和测试以及安全技术（TEE/OS、通信协议、安全启动、密码功能和安全对策的稳健性）审查方面拥有丰富的经验。能够提供以市场为中心的安全培训、工具以及安全评估和咨询。我们的汽车安全团队由汽车安全专家组成，帮助汽车制造商及其供应商，确保其车辆、产品和所配置服务的安全并符合法规要求。

Keysight Riscure 提供根据上述标准（R156/R156）评估产品和开发的服务。此外，还拥有一套完整的商业化安全测试软件和硬件工具。

典型安全评估项目，包括：

• Tier 1 和 Tier 2 的源代码审查

• Tier 1 和 Tier 2 的架构/设计审查

• 前十大半导体巨头的芯片组设计审查和安全启动审查

• Tier 1 解决方案的漏洞分析和渗透测试

Keysight Riscure深刻了解，遵守 UN R155 指导方针以保护您的各类资产免受网络攻击的重要性。Riscure经验丰富的网络安全专业团队在 UN R155 框架方面拥有深厚的专业知识，使我们能够提供满足您团队独特需求的定制服务。

基于R155 / R156标准，我们还能做什么？

遵守 UN R155 标准可以保护各类资产免受网络攻击的重要性，那么除了测试我们还能做些什么呢？

•全面的安全评估：

Keysight Riscure专家对您的关键系统进行全面的安全评估，识别潜在的漏洞和弱点。进行深入的渗透测试、漏洞扫描和代码分析，以评估您的系统抵御网络威胁的能力。

•风险管理和缓解：

Keysight Riscure 帮助您制定符合 UN R155 要求的强大风险管理策略。我们协助实施必要的控制措施、制定安全事件应急响应计划并进行风险评估，以有效缓解潜在风险。

•安全审计和合规性测试：

专业团队进行详细的安全审计和合规性测试，以确保您的关键系统符合严格的 UN R155 标准。根据相关的网络安全控制措施评估您的基础设施，并提供可行的建议以实现和保持合规性。

•站点审查（CSMS/SUMS）

◎ CSMS评估：汽车制造商拥有网络安全管理系统(CSMS)

◎ 涉及开发、生产及后生产的所有站点

◎ 站点审查由具有审查资质的审核员在OEM厂商现场进行

•型式认证（VTA）

◎ 每个具体车型需执行车辆型式认证

◎ 渗透测试活动通常在客户（OEM）现场执行

◎ 批准机关或技术服务部门应通过测试来验证车辆制造商实施的网络安全措施与记录文档的一致性。抽样测试应由以下人员进行并撰写报告：

■ 批准机关（e.g. RDW），或

■ 技术服务商(e.g. Riscure)，或

■ 技术服务商与车辆生产厂家合作并进行抽样

Note: 抽样应聚焦（但不限于）TARA风险评估的高风险项

•培训计划：

Keysight Riscure 同时能够提供全面的培训计划，让您的员工了解 UN R155 合规最佳实践。让您的团队能够主动识别和应对网络威胁，在您的团队内培养安全意识文化。

通过下载 Keysight Riscure 的白皮书，您将获得专家分析、真实案例研究以及经验丰富的安全专家团队提供的实用见解。始终站在汽车安全进步的前沿，并增强您对最新漏洞和对策的了解。

关于Riscure

自2001年成立以来，Riscure一直是全球硬件安全的先驱和技术领导者。我们拥有超过20年的行业经验，客户遍及科技企业、政府部门、科研院所、高校、汽车、航空航天等领域。Riscure为国内外客户提供专业的侧信道、故障注入、硅前（RTL）安全仿真测试等工具、培训和安全认证、测评及咨询服务。

2024年3月， Keysight收购Riscure。Keysight将和Riscure一起，基于丰富的安全产品和应用，为业界提供更有效的测试解决方案。

为什么选择Keysight Riscure

•久经考验的业绩

凭借对UN R155和UN R156规则要求和网络安全最佳实践的广泛深度了解，我们的专家团队在全球范围内提供一流的网络安全解决方案。

•量身定制的解决方案

Keysight Riscure提供定制的合规服务，旨在解决您的特定挑战并确保最高级别的系统保护。

•拥有行业尖端的技术

Keysight Riscure采用最先进的工具和方法进行安全评估和合规性测试，以提供最有效的解决方案。

•值得信赖的合作伙伴关系

随着网络威胁不断演变，Keysight Riscure致力于提供持续的支持和指导，帮助您拥有UN R155 和 UN R156 车辆合规性。现在面对中国客户， Keysight Riscure中国团队拥有地域及经验的优势，为您的团队提供：站点审计，设计及代码评审，威胁分析/TARA，ECU渗透测试，数字车钥匙、V2X、HSM等国际CC安全认证。

关于是德科技

是德科技（NYSE：KEYS）启迪并赋能创新者，助力他们将改变世界的技术带入生活。作为一家标准普尔 500 指数公司，我们提供先进的设计、仿真和测试解决方案，旨在帮助工程师在整个产品生命周期中更快地完成开发和部署，同时控制好风险。我们的客户遍及全球通信、工业自动化、航空航天与国防、汽车、半导体和通用电子等市场。我们与客户携手，加速创新，创造一个安全互联的世界。