不論是國內還是國際，近幾年有關汽車信息安全的法規(guī)、標準密集發(fā)布，涉及包括網絡安全、數據安全、國家安全等多個方面，不論是 WP29 R155/156 的發(fā)布，還是國內各領域網絡安全法規(guī)指南的發(fā)布， 都說明信息安全正逐步成為各行各業(yè)需要關注的重點，安全的保證已經從一個產品、一個行業(yè)的安全上升到了國家安全的維度。

強制與推薦

目前國際法規(guī)如 WP29 R155/R156 等已強制實施，歐盟 2022 年 7 月之后上市的新車均需保證其網絡安全流程的合規(guī)性和產品開發(fā)的安全性，并配套了相關的國際標準配合法規(guī)落地實施。這勢必要求相關市場的整車廠、零部件供應商必須保證其流程乃至產品的合規(guī)，要求相關廠商從技術、成本、流程多個維度需要得到極大的提升。目前國內安全領域除了三大上位法，各個部委也出臺了相應的政策規(guī)范與指南，已發(fā)布的配套標準均屬于推薦標準，包括諸如《汽車網關信息安全技術要求及試驗方法》、《電動汽車遠程服務與管理系統(tǒng)信息安全技術要求及試驗方法》等，尚未提出強制要求。然而，鑒于信息安全對于汽車行業(yè)的重要性，國內也在加快相關強制標準的制定，例如《汽車整車信息安全技術要求》、《汽車軟件升級通用技術要求》、《智能網聯(lián)汽車 自動駕駛數據記錄系統(tǒng)》等強制標準已在制定中，相信在不久的將來，隨著行業(yè)整體技術的積累，方案的成熟，相關強制標準也會制定并實施，實現(xiàn)與國際市場的接軌。

流程與技術

目前國際發(fā)布的法規(guī)、標準如 R155、ISO21434 等 , 首先從流程的角度提出安全保證的要求，包括整個組織級的管理體系、特定項目的管理、供應商與主機廠的交互、產品的后期維護報廢流程等，都首先強調流程的重要性，相關產品認證與上市的前提條件都是組織流程首先滿足法規(guī)的要求。國內標準的制定關注重點在具體技術的落地實施上，包括關鍵部件如網關、T-BOX 的信息安全技術及測試方法、車聯(lián)網各實體間的相互認證與通訊等?？偟膩碚f，流程與技術是相互支撐、相輔相成的，信息安全說到底是與人息息相關的，再先進的技術如果沒有合適的人來執(zhí)行也是一紙空談，沒有合理的流程也很難保證技術的順利實施。但是如果沒有明確的技術積累，而只是談論流程，也是無法落地的概念。針對我國國情，技術的快速落地反而能快速推動行業(yè)的進步。當然，流程相關的法規(guī)制定也會隨著技術水平的逐步提升而得到進一步落地。

基礎軟件信息安全要求制定路徑

此外，國際上以 AUTOSAR  為典型代表，已逐漸形成完善的面向車控、車載的基礎軟件平臺規(guī)范體系。然而在早期的 AUTOSAR 規(guī)范中，尚未涉及到有關信息安全的內容。近年來隨著信息安全在汽車領域應用需求與技術的發(fā)展，在  AUTOSAR  規(guī)范中逐漸引入了信息安全有關的內容，包括密碼相關軟件棧、安全通信組件、入侵檢測組件、V2X 通信安全等，如本報告第 2.2 節(jié)所述，并且各主要模塊已形成詳細的設計規(guī)范，給出了具體的功能規(guī)范、API 規(guī)范、運行時序及配置參數等。國內對于汽車基礎軟件規(guī)范標準研制的起步較晚，開始也較多地在參考、引用諸如 AUTOSAR 平臺的軟件規(guī)范，目前尚未形成成熟的汽車基礎軟件規(guī)范體系。隨著汽車智能化、網聯(lián)化、自動化在國內的快速發(fā)展，正在加快形成支持國內自主智能網聯(lián)汽車的硬件、軟件平臺標準或規(guī)范。如前所述，目前已在汽標委立項國家推薦標準《智能網聯(lián)汽車 車控操作系統(tǒng)技術要求及試驗方法》、《智能網聯(lián)汽車 車載操作系統(tǒng)技術要求及試驗方法》以形成針對車用操作系統(tǒng)的基本要求，而在行業(yè)組織如 CSAE 立項若干關于車用操作系統(tǒng)設計實現(xiàn)細節(jié)要求的團體規(guī)范與標準。有關車用操作系統(tǒng)的信息安全要求自上述標準立項時就予以考慮并作為重要的內容，這是與國際上相關規(guī)范標準制定在路徑上存在差異的地方。另外，國內在其他領域已經制定的操作系統(tǒng)相關安全技術標準也可為汽車領域標準的制定提供經驗和借鑒。

本章小結

近年來，隨著汽車信息安全問題的日益突出，國際國內有關汽車信息安全的法規(guī)、標準等正在加快建設、發(fā)布與實施，也為汽車基礎軟件的信息安全標準化提出了迫切的需求。汽車基礎軟件的平臺規(guī)范以AUTOSAR  組織為典型代表，經過二十余年的發(fā)展，已形成了較為成熟完善的平臺規(guī)范體系，受到業(yè)內廣泛關注及認可，然而有關信息安全的需求、規(guī)范定義也是在近些年隨著汽車向智能化、網聯(lián)化、自動駕駛方面的快速發(fā)展而逐步完善的?？傮w而言，軟件是作為車輛系統(tǒng)的組成部分而存在的，當前的標準制定側重在整車、零部件的維度，專門針對汽車基礎軟件如車控操作系統(tǒng)、車載操作系統(tǒng)等的標準尚處于起步階段。未來隨著汽車信息安全標準體系的不斷發(fā)展和成熟，有關汽車基礎軟件的信息安全標準會逐步豐富和細化，形成可指導具體開發(fā)的技術要求與測評方法。