智己汽车：从UN R155认证看智能网联汽车的网络安全管理

2025年6月19日，在第四届中国车联网安全大会上，智己汽车科技有限公司数字技术及安全部总监秦榛详细解读了UN R155认证的背景、核心内容及对智能网联汽车网络安全管理的要求。他指出，UN R155是全球首个针对汽车网络安全的强制性法规，要求汽车制造商建立覆盖车辆全生命周期的网络安全管理体系，并通过CSMS和VTA两大认证环节确保车辆网络安全。

秦榛还探讨了智能网联汽车网络安全管理的现状、挑战及关键点。秦榛强调，随着技术的不断进步，智能网联汽车面临技术复杂性、供应链安全、数据隐私保护及法规合规性等多重挑战。为应对这些挑战，他提出了构建完善的需求管理平衡机制、强化供应链安全管理及持续监控与用户隐私保护等关键要点。最后，秦榛展望了未来智能网联汽车网络安全管理的发展趋势，包括法律法规优化、行业标准统一及网络安全技术创新等。

秦榛 | 智己汽车科技有限公司数字技术及安全部总监

以下为演讲内容整理：

UN R155认证及核心解读

近年来，汽车市场竞争愈发激烈。与此同时，随着技术的持续进步，智能网联汽车正迅速融入人们的日常生活。智能网联汽车在为驾驶带来便捷与舒适体验的同时，也引发了公众对其网络安全的担忧。近年来，国家对智能网联汽车的监管要求及法律法规日益严格。我将结合智己汽车在开展UN R155认证过程中的实践经验，阐述对智能网联汽车网络安全管理的看法。

UN R155认证由联合国世界车辆法规协调论坛于2020年6月发布，是全球首个针对汽车网络安全的强制性法规，主要适用于出口至欧盟国家及地区的车辆。该法规旨在要求汽车制造商建立覆盖车辆全生命周期的网络安全管理体系，确保汽车在各个环节的网络安全风险可控。

UN R155认证主要涵盖两方面内容，一是网络安全管理体系认证，二是车辆型式认证。其中，CSMS主要审查制造商在车辆全生命周期，即从设计开发、生产制造、运营直至报废的各个环节所建立的网络安全管理流程。这些流程包括但不限于组织流程、风险管控流程、事件处理流程以及供应链安全管理流程，旨在确保汽车全生命周期内具备相应的风险管控措施。CSMS犹如安全指南针，引导车辆在各个环节朝着安全方向推进。

VTA主要针对车辆信息安全开发过程中的各项具体工作进行审查，以确保送检车辆在审查过程中，其安全防护技术具备足够完备性。其主要考核内容涵盖附录5中的全部32项安全基准要求，包括软件安全、访问加密控制等相关内容。VTA是对CSMS实施情况的验证，犹如对车辆进行的一次全面安全体检，旨在确保车辆各项防护措施完备且有效。

图源：演讲嘉宾素材

UN R155法规与ISO 21434标准均要求建立覆盖车辆全生命周期的网络安全风险管理体系。ISO 21434标准作为技术支撑，对UN R155法规的具体实施及工程实现具有辅助作用。若企业能够满足ISO21434标准要求，通常也能够符合UN R155法规的相关规定。

当前，在众多车企传统的全球车辆开发流程中，网络安全相关内容正日益深度嵌入。在整个开发流程中，从流程的上半部分来看，主要涉及车企网络安全团队需开展的工作；而流程的下半部分，则是将网络安全需求分发给零部件厂商。零部件厂商在获取这些安全需求后，会基于其开展相应工作，包括制定技术规范、进行架构设计，以及开展安全开发、集成与测试等。

图源：演讲嘉宾素材

对于主机厂网络安全团队而言，在项目前期，主要承担项目管理类工作。具体包括资产管理、开展威胁分析和风险评估等。同时，依据现行法律法规要求，将网络安全相关要求转化为具体的安全需求，并通过培训宣贯等有效方式，将这些需求传达至各相关部门，再由这些部门向供应商进行传达。

在车辆开发流程完成后，网络安全团队需对所有已完成的网络安全开发功能及实现情况进行验证，通过渗透测试等手段对相关功能进行确认。验证工作结束后，团队还需参与整个网络安全的评审与评议工作。

当前，众多整车厂正积极将网络安全相关内容整合至原有的全球车辆开发流程之中。目前，我们已构建起一套整合后的整车开发流程，该流程将安全相关内容全面融入车辆开发全过程。

UN R155认证对网络安全管理的要求

UN R155法规对汽车网络安全管理提出了具体要求。基于CSMS，企业需构建完善的网络安全管理体系。首先，在组织架构与职责方面，企业应建立明确的网络安全管理组织架构，并合理分配职责，确保每位员工清晰知晓自身职责与任务。其次，企业需制定公司层面的网络安全政策及相关流程，为网络安全管理工作提供制度保障。再者，鉴于整车供应链的复杂性，企业应与供应链各环节共同评估安全管理能力，实现信息共享，与供应商形成强大的网络安全管理合力。从技术层面来看，法规要求对软件通信安全、软件安全及硬件安全等方面进行全方位覆盖，以保障汽车整体网络安全。最后，在运营阶段，企业应借助平台进行实时监测，及时响应风险并处置相关事件，确保整车安全防护的有效性。

从UN R155法规的实践应用来看，我认为其对企业具有多方面重要意义。首先，UN R155法规从管理体系到车型技术，覆盖了汽车全链路安全，为企业提供了至关重要的安全依据与标准。其次，该法规为车企在海外多个国家建立了统一的合规要求，有助于降低车企的合规成本。最后，UN R155法规通过强制措施和技术要求，助力车企防范因网络安全攻击引发的安全风险或隐私泄露事件。

智能网联汽车安全管理的现状上，从法规层面而言，我国针对新能源汽车的法律法规正逐步完善。此前出台的相关法案以及将于2026年正式实施的相关法律法规，均对车企提出了安全合规要求，车企可参照这些法规开展合规工作。

图源：演讲嘉宾素材

当前，各大车企均积极投身于网络安全相关事务的实践，包括构建相应的网络安全管理体系，以应对法规要求。这不仅是法律法规对车企的硬性要求，也是车企出于自身发展需求所采取的举措。一方面，此举有助于提升车辆整体安全性；另一方面，能够增强车辆的市场竞争力。

从技术层面来看，近年来智能网联汽车技术发展迅猛。辅助驾驶技术水平持续提升，V2X等技术不断演进，且近两年大模型在汽车领域的应用愈发广泛。在此背景下，车企需引入更多层次的安全防护手段，而不再局限于传统的威胁攻击检测与响应系统等防护方式，针对大模型等新兴技术，需采取更为深层次的防护措施。

另外，数据安全亦不容忽视。智能网联汽车收集了大量车辆数据和用户数据，如何保障用户隐私以及确保数据的安全使用，是当前亟待解决的问题。

智能网联汽车网络安全管理面临的挑战

基于上述问题，我们当前面临诸多挑战。一是技术复杂性带来的挑战。随着众多前沿技术被引入汽车领域，多种前沿技术相互融合，这给安全防护工作带来了更大难度，挑战显著增加。

二是供应链安全问题。汽车生产涉及大量供应商，在车企向供应商下发安全要求与需求时，可发现各供应商能力参差不齐。供应链安全成为整车安全的重要风险点。

三是数据隐私保护。一方面，需运用技术手段对数据进行加密与存储；另一方面，要制定隐私条款和协议，防止信息泄露。

四是法规合规性挑战。在技术不断发展的进程中，国家法律法规也在持续调整。未来针对隐形式门把手、辅助驾驶等问题将陆续出台相关标准与强制性要求。车企需紧跟法律法规变化，及时调整安全策略。

智能网联汽车网络安全管理的关键点

基于智能网联汽车的现状与挑战，回顾智己汽车为海外项目开展的UN R155认证工作。彼时，该认证是车企打开欧洲市场的敲门砖，但本质上更是对车企安全能力的一次检验。结合国内未来强制性标准的落地情况，我们认为在网络安全管理中有几个关键要点。

一是构建完善的需求管理平衡机制。结合GVDP体系流程，从安全需求下发，到零部件开发设计过程中的安全介入与设计评审，再到零部件的测试认证，最后至整车测试结果的评审，这一系列流程构成了安全需求的闭环管理。通过这种方式，并辅以评审机制，可确保所有下发的安全需求最终在整车上按目标要求得以实现。

二是强化供应链安全管理。在整个过程中，需确保供应链中的供应商符合安全要求，以此保障产品的安全可靠。

我们认为，第二点关键在于持续监控与用户隐私保护。在持续监控方面，可借助现有的安全运营中心平台、安全应急响应中心的响应机制，对整车上的安全事件进行监测，并及时做出响应。后续可通过VTA等方式，确保整个系统状态的安全稳定。

用户隐私保护方面，过去车辆安全领域对数据安全的重视程度相对不足。随着《***数据安全法》的颁布实施，以及工信部每年开展的数据安全上报等工作，汽车行业对数据安全的重视程度正逐年提升。车辆收集的数据种类繁多、数量庞大，涵盖用户的个人使用习惯、个人数据，汽车行车数据，以及国家重要地理位置等高敏感数据。在此过程中，为确保数据不被泄露，避免数据泄露事件的发生，一方面需对数据进行加密处理，未来还可引入隐私计算等新技术；另一方面，需制定合理的隐私条款和协议，明确用户与车企之间的权益，保障用户的隐私权益。

未来趋势与展望

从法律法规层面来看，法律法规与标准会持续优化，以适应行业发展需求，推动智能网联汽车安全管理向更加规范化、精细化的方向迈进。从行业角度而言，行业将促进信息共享，推动行业标准逐步统一，构建健康的竞争环境。从企业合规成本考量，企业需平衡安全投入与经济效益，实现高效合规，避免因安全事件遭受市场损失或面临法律风险。

图源：演讲嘉宾素材

从技术层面分析，未来将涌现更多持续创新的网络安全技术，显著提升智能网联汽车的防护能力。从消费者角度看，当前消费者对网络安全的重视程度日益提高，这促使车企不断提升安全能力，以满足市场需求。未来发展上，对网络安全的高要求将推动车企不断优化防护措施，提升智能网联汽车的整体安全水平，以契合市场期望。

（以上内容来自智己汽车科技有限公司数字技术及安全部总监秦榛于2025年6月19日在第四届中国车联网安全大会发表的《从UNR155认证看智能网联汽车的网络安全管理》主题演讲。）

打赏 点赞