合规课堂（九）｜CSMS和VTA认证工作时应重点关注什么

引言

随着汽车行业的快速发展，网络安全管理系统（CSMS）在车辆型式批准（VTA）中的重要性日益凸显。以下是在准备CSMS和VTA认证工作时需要注意的几个关键点以及所需要的工作。

面向软件定义车辆（SDV）的网络安全法规

随着以软件为中心的软件定义车辆（SDV）时代的到来，网络安全的重要性日益增加。2020年6月，联合国欧洲经济委员会下属的国际汽车标准协调会议UNECE WP.29制定了联合国法规155号（以下简称UNECE R155），这正是其证明。

UNECE R155的主旨是，整车制造商必须获得网络安全管理系统（CSMS）认证后，通过车辆型式批准（VTA）来验证其是否反映在车辆开发中。自2022年7月起，所有在欧洲上市的新车型都必须满足这一规定，并从2024年7月起扩展到所有新车。因此，对于进入欧洲市场的整车制造商来说，CSMS认证和VTA认证是“必要条件”。

VTA的目的和要求

CSMS指的是管理汽车的网络威胁和风险，并保护车辆免受网络攻击的组织过程和管理系统。技术服务机构（TS,Technical Service）将验证CSMS，如无异常，则将相关内容提交给认证机构（AA,Approval Authority），认证机构在内容审核后如无异常，则发放CSMS认证书。

每当车辆上市时，都会通过VTA确认该车辆是否通过CSMS进行了规划、设计、制造和验证，以及是否在车辆中反映了适当的安全措施或对策。为此，技术服务机构将审查整车制造商提供的相关技术文件，并通过实车目标测试进行验证。技术服务机构的验证结果将提交给认证机构，经过最终审核后，如无问题，则最终批准该车型。实车目标测试是由技术服务机构和认证机构自行进行，或与整车制造商合作进行。

开展VTA认证工作，需要进行车辆的风险评估和安全措施、充分的验证测试等。识别车辆可能发生的风险，并证明如何评估这些风险并采取了哪些措施。如果采取消除或缓解措施，则需要分析所需的安全功能，应用这些功能，并通过安全测试验证其有效性。

与网络安全措施要求和评估方法相关的条款位于UNECE R155的第5条批准（Approval）和第7条详细说明（Specifications）。特别是在第5条第1款第2项中提到，“认证机构和技术服务机构应测试整车制造商文档化的网络安全措施是否已应用于相关车辆”，而第7条第3款第6项规定，“整车制造商在进行车辆VTA验证测试之前，必须通过适当和充分的自我测试来确认安全措施是否有效实施”。最终，认证机构、技术服务机构和整车制造商都必须执行安全测试，而应执行哪些测试则在汽车网络安全工程国际标准ISO/SAE 21434中提出。

VTA安全测试如何实施

ISO/SAE 21434中提到的汽车网络安全有效性验证测试大致分为四类：功能测试(functional testing)、漏洞扫描(vulnerability scanning)、模糊测试(fuzzing testing)和渗透测试(penetration testing)。

“功能测试”是验证控制器上应用的网络安全功能是否正确实现。

“漏洞扫描”是查找并弥补控制器软件或硬件中已知的漏洞，特别是针对开源软件的漏洞。

“模糊测试”是通过向控制器或车辆的外部接口随机注入数据来发现软件或硬件的漏洞。

“渗透测试”通常被称为模拟黑客攻击，从黑客的角度攻击车辆系统，判断应用的网络安全措施是否充分。其另一个目的是使用各种黑客技术来发现未知的潜在漏洞。

整车制造商在开展VTA认证工作时，要求控制器开发商提供安全强度。那么，是否需要对所有控制器执行上述所有安全测试呢？ISO/SAE 21434附录E介绍了根据网络安全保证级别（CAL）的测试方法。控制器的CAL是通过威胁分析和风险评估（TARA）确定的，CAL 1级别的控制器需要进行功能测试和漏洞扫描，CAL 2需要进行模糊测试，而CAL 3和4需要进行渗透测试。

VTA认证时，需要通过适当和充分的测试来证明控制器和车辆应用的网络安全措施是有效的。

准备VTA时的注意事项

准备VTA时，应注意以下两点。首先，由于测试需要最终证明一切，因此需要准备足够证明控制器和车辆目标安全测试适当性的测试环境、技术、场景等。其次，需要全面证明CSMS是否正确构建，并在车辆的整个生命周期（开发-生产-生产后）互相佐证。

为了实现网络安全协同，需要构建分析控制器的漏洞并评估风险的TARA、通过分层防御保护控制器和车辆的安全解决方案、验证安全功能和潜在漏洞的安全测试、以及为了实时响应安全事件而建立的安全监控系统。这些都需要有机地连接在一起，并在审查时证明其在实际车辆中的有效性。

因此，通过多角度执行各种测试并验证安全强度是重要的。例如，控制器连接到CAN网络，但在单独控制器测试时，功能可能不会激活，因此需要通过实车环境测试进行补充。

即使是实车测试，根据停车和行驶环境，测试结果也可能不同。当车辆停止时，向电动汽车动力传动系统（E-PT）注入异常消息时，除了微小的通信延迟外，无法确认影响，但在行驶时，驱动停止且加速踏板不工作。整车制造商和控制器开发商共享了漏洞报告，并在VTA审查前通过技术讨论应用了安全补丁。

为了供尚未进行VTA的整车制造商和控制器开发商参考，云驰未来在这里向大家分享VTA的获取过程。

• 从整车制造商的角度支持TARA、概念和安全规格书的编写，以及安全成绩单的编写
• 通过充分的预测试提高控制器的安全性
• 进行实车目标测试
• 开发与VTA审查相关的检查表，制定系统的预审查和检查事项的措施方案
• 在审查现场向审查员展示了车辆的安全测试和IT基础设施的集成。随后，紧密管理直至最终批准阶段，帮助整车制造商顺利获得VTA。