安全，三分靠技术，七分靠管理！ ——题记

联合国世界车辆法规协调论坛（WP.29）第181次全体会议于2020年6月24日以网络会议形式顺利召开，会上《1958年协定书》管理委员会（AC.1）投票表决通过了信息安全（Cybersecurity）、软件升级（Software Updates）以及自动车道保持系统（Automated Lane Keeping Systems，ALKS）3项智能网联汽车领域的重要法规。

法规出台之后，业界一片哗然，What？那我们该怎么应对这些法规啊？

此时OEM信息安全的同仁们想必内心是慌张的，UN/WP.29新出台的法规其实不包括中国，因为我们不是《1958年协定书》的成员（原则上是1958或者1998协定以后，经过认证的产品到了欧洲以后不必再重复进行认证），但生产的汽车要销售到这些国家那就必须要经过相关认证，也许，这就是我们所担心的，怎么办？

三项法规将于2021年1月正式生效，当然也会有一个过渡期，针对2022年7月后的新车型也将要通过认证才行，也就是说现在就要开始准备了，时间不多了。

今天想跟大家解析的VDA-CSMS，其上层需求也就是来自以上说的法规之一《信息安全与信息安全管理系统》，其对应的法规编号是UN法规No[155]，所以有人问起R155，说的就是这个法规了。

我们再看看粗要的描述，R155适用于与信息安全相关的M类、N类、至少装有1个电控单元的O类以及具有3级以上自动驾驶功能的车辆。

“信息安全”是指道路车辆及其功能受到保护，使其电子电气元件免受网络威胁；

“信息安全管理系统（CSMS）”是一种基于风险的系统方法，定义了组织过程，职责和治理，以处理与对车辆的网络威胁相关的风险并保护其免受网络攻击。法规包括信息安全相关的一般要求、CSMS合格证书、管理审批等内容，并提出了详细的信息安全威胁、漏洞、攻击方法，以及对应缓解措施。

法规描述的当然是high level的需求，具体怎么做？是否有一套完整的体系标准文件，类似ISO 27K那样的呢？显然现在是没有的。又由于汽车的应用场景复杂，开发周期长，安全所涉及的面太广，导致汽车信息安全管理本身有其特殊性的，也就是说传统信息安全ISO 27K系列，已经是不适用于汽车信息安全管理。法规有了要求，市场需求也就起来了，但是巧妇难为无米之炊，如果我们要汽车信息安全管理认证，又要按哪一套玩法进行呢？

由于智能网联汽车技术已经成为了趋势，，汽车信息安全更是占领汽车前瞻技术版块，关于汽车信息安全管理方面，可参考的标准不多，也就2016年发布的ISO/SAE J3061，以及目前到达DIS版本的ISO 21434，对于入门的新手来说，这个两个标准是不能错过的。

法规带来了需求，汽车信息安全也确实需要这么一套管理方法，来提升汽车信息全行业的技术管理水平，有需求也就有了市场，谁能抢占市场先机，应对法规出来一套适用的方法体系，自然也就有了话语权，后续的好处就不多说了。

此时VDA(德国汽车工业协会)站出来了，他在六月初就发布了黄皮书《汽车信息安全管理系统评估》，提出部门是VDA的QMC（Quality management center），安全管理多少与质量管理类似，ISO 21434也在标准里面强调，其部分来源于ISO 16949，这么看也就不奇怪了。VDA隶属于德国，在信息来源和技术实力上面也是有很大的优势的。

从黄皮书出发点来看，上面要满足UN/WP29法规的需求，具体内容也要满足ISO 21434，等到明年初ISO 21434的FDIS发布，我想又会掀起一阵热浪。此外，黄皮书的初衷还是能够推动行业的统一协同，建立一套落地的框架，也会将来真正的认证提供思路基础，不管内容本身如何，其站位和出发点都是很好的。下面我们就来看看其具体的内容。

先正式介绍下，黄皮书的全名是《Automotive cybersecurity management system Audit》，我暂且将其翻译为《汽车信息安全管理系统评估》，其定义了组织流程，责任和方法，目标自然是通过管理手段来降低威胁，保护车辆避免攻击。该规范适用的范围主要是OEM，当然供应商是否需要，那就得看OEM的要求了，一般也会有这个要求，既然要证明能力，供应商做个认证也是难免的。

其实这黄皮书比较有意思的地方，在于其评分标准。一般管理评审的话，是逐条审核，并按照符合程度来给分，CSMS里面给出了5个档位的分数，分别是10,8,6,4,0，其对应的意思分别是完全满足[10]，大部分满足[8]，部分满足有较大的偏差[6]，满足不充分大部分偏差[4]，完全不满足[0]，判断依据主要看管理定义的要求或者客户的要求，当然是有点主观了。

最后所有问题分数累加之后，然后除以满分之后，得出的百分比判断是否及格。

有点疑惑的是评分标准B，我们的思维习惯是带条件通过，最多加个复审，现在却是带条件不通过，不知是思维习惯问题，还是本身的问题，反正看到这里有点诧异的。可能是每个要求是管理方面的最小要求了。

那黄皮书里要求的技术要点有哪些呢？如果玩套路的话，我们就下回分解了，但我们终归实在人，来就来个完整的解读了。

首先文章的形式上如此，抛出一个问题，可能是很大的问题，然后规定一个最小要求，也就是符合该问题的最小条件，如果想通过认证，整体来说必须要满足才行，只是程度问题了。

      问题部分总共分为9个版块，分别是信息安全管理，风险识别，风险评估分类及管理，一致性检查，信息安全验证与测试，风险评估更新，信息安全应急响应，事件报告，信息安全供应链管理。

       每个版块下面是具体的问题支撑，前后有14页内容，整体看下来，相比ISO 21434下来信息量并不大，而且大部分的内容都是来自ISO 21434，只是换了一种提问的方式，将一些要求以问题的方式呈现，然后对应具体的技术要求。

接下来是针对每个问题列举了可能的实例，上部分提问题及要求，下面是针对每个问题的参考答案，然后构成了整个CSMS管理的技术部分。

附录部分是属于定义，以及从UNECE摘录出来的可能的威胁和漏洞举例。

       写到这里，基本交代了VDA黄皮书CSMS的基本情况，具体的技术内容，我们终归要回到文档本身细读才会有更大的收获，当然也欢迎大家一起来探讨。如果有必要展开，后期我们还会具体介绍ISO 21434的内容。