智能網(wǎng)聯(lián)汽車TARA能力建設(shè)

1、智能網(wǎng)聯(lián)汽車TARA建設(shè)智能網(wǎng)聯(lián)汽車 TARA (Threat Analysis and Risk Assessment )主要指 用來識別和評估智能網(wǎng)聯(lián)汽車系統(tǒng)中的潛在威脅，并評估相應風險。TARA是整個智能網(wǎng)聯(lián)汽車信息安全的重要組成部分，并且貫穿了智能汽車整個生 命周期。根據(jù)J3061規(guī)范的指導思想，智能網(wǎng)聯(lián)汽車的信息安全需要在產(chǎn)品 規(guī)劃階段就開始考慮，只有這樣才能將信息安全融入到架構(gòu)設(shè)計、軟硬件開 發(fā)、測試、量產(chǎn)以及售后中去。TARA不應該是獨立的一環(huán)，而是成體系的 建設(shè)，具體建設(shè)思路應該包括：威脅情報獲取、風險評估和幾種建議的流 程。后續(xù)我們將對這三部分做逐一介紹。本文將重點介紹威脅情

2、報獲取，未 來幾篇文章將對風險評估和集中建議的流程再做深入探討。智能網(wǎng)聯(lián)汽車威脅情報獲取是 TARA建設(shè)的首要一環(huán)，要將信息安全納入到 規(guī)劃階段，首先就要明確和識別需要保護的資產(chǎn)可能遇到的威脅和風險，然后才能采取相應的安全防護措施來規(guī)避威脅，從而降低甚至消除可能發(fā)生的 信息安全風險。因此可以說智能網(wǎng)聯(lián)汽車威脅情報獲取是 TARA的源頭，也 是智能網(wǎng)聯(lián)汽車全生命周期信息安全建設(shè)的關(guān)鍵，同時更是對智能網(wǎng)聯(lián)汽車 各種信息安全威脅的積累和了解，至少可以通過滲透測試、第三方咨詢機 構(gòu)、媒體和相關(guān)機構(gòu)，這三個途徑來獲取智能網(wǎng)聯(lián)汽車的威脅情報。1 .滲透測試是獲取智能網(wǎng)聯(lián)汽車信息安全威脅的首要途徑在J306

3、1規(guī)范中，滲透測試是在整車開發(fā)階段后期，對整車信息安全需求驗 證時所進行。其作用在于，一方面可以確保規(guī)劃階段提出的所有應該實現(xiàn)的 安全需求都得到落實；另一方面也可以發(fā)現(xiàn)一些可能被利用的未知威脅。通 常情況下，在每次做完滲透測試以后，應該把所有先前未發(fā)現(xiàn)的安全威脅記 錄下來，并最終形成安全威脅數(shù)據(jù)庫，為后續(xù)車型的安全規(guī)劃打下堅實基 礎(chǔ)。滲透測試項方面參考了國際信息安全權(quán)威機構(gòu)（如 NIST和OWASP 等）的相關(guān)規(guī)定，也結(jié)合了在汽車滲透測試方面的實戰(zhàn)經(jīng)驗。智能網(wǎng)聯(lián)汽車 的滲透測試對象應該包含所有 ECU、車內(nèi)外網(wǎng)絡和整車這三大部分，并且滲 透測試的范圍應至少涵蓋硬件、固件、操作系統(tǒng)、應用軟件、數(shù)

4、據(jù)和通信這 幾大方面。?硬件滲透測試，主要是針對智能網(wǎng)聯(lián)汽車ECU的主板、存儲介質(zhì)、外 設(shè)接口、調(diào)試接口、人機交互接口進行的滲透測試，主要用于評測固 件被提取、核心敏感器件被識別以及遭受側(cè)信道攻擊等硬件相關(guān)的安 全威脅；?固件滲透測試，主要是針對汽車ECU固件逆向、固件替換、刷寫其他 固件等進行安全評測，從而評估固件可能遭受的安全威脅；?操作系統(tǒng)滲透測試，目前主要是針對車載信息娛樂系統(tǒng)主機的滲透測 試，主要用于評測已知和未知漏洞風險、安全和健壯性以及對操作系 統(tǒng)行為的監(jiān)控等；?應用軟件滲透測試，主要用于測試Linux或者Android操作系統(tǒng)運行的 應用軟件安全性，如果應用軟件存在編碼或者邏輯

5、方面的安全漏洞和 缺陷，可以使攻擊者在未授權(quán)的情況下非法利用或破壞?；蛑苯诱{(diào)用 并未做任何安全檢測的第三方組件，給物聯(lián)網(wǎng)智能終端帶來了極大的 安全風險，很可能會引入一些公開的軟件漏洞，極易被黑客利用，一 旦這些漏洞被利用，同類設(shè)備都將遭受影響。另外，物聯(lián)網(wǎng)智能終端 上所安裝的業(yè)務應用，如果沒有做相應的識別和控制機制，例如應用 軟件的來源識別、應用軟件的安裝限制、對已經(jīng)安裝應用軟件的敏感 行為控制等，很容易被攻擊者安裝惡意程序或進程來實施攻擊行為。同時軟件更新過程同樣存在安全隱患，軟件升級包升級過程中沒有完 整性和合法性驗證，容易被攻擊者從中劫持或更改軟件升級包，而沒 有進行過加密處理的軟件升級

6、包，則可能會被攻擊者截取用于發(fā)起中 間人攻擊，從而將惡意程序升級到終端當中；?數(shù)據(jù)滲透測試，主要用于測試汽車每個ECU中數(shù)據(jù)產(chǎn)生、存儲、使 用、傳輸、共享以及銷毀整個生命周期的數(shù)據(jù)安全性，從而評估整個 數(shù)據(jù)是否存在被泄露的風險；?通信滲透測試，主要是指車外網(wǎng)絡，比如車載 Wi-Fi、藍牙等車外網(wǎng)絡 的滲透測試。通信傳輸也是滲透測試當中非常重要的一部分，這是因 為在智能網(wǎng)聯(lián)汽車和云端或者終端之間進行信息通信傳輸過程中，容 易遭受流量分析、竊取、嗅探、重放等網(wǎng)絡攻擊，進而導致傳輸信息 遭到泄露、劫持、篡改等威脅。2 .第三方咨詢機構(gòu)是獲取智能網(wǎng)聯(lián)汽車信息安全威脅的另外一個重 要途徑第三方咨詢機構(gòu)通

7、常擁有大量的資源，能夠深入智能網(wǎng)聯(lián)汽車從車廠、經(jīng)銷 商、維修廠等一系列場所，獲取這些場所曾經(jīng)發(fā)生的信息安全事件，并通過 這些事件提取相應的信息安全威脅，這些信息安全威脅會涉及車廠自己的汽 車，也會涉及到其他廠商的汽車，信息量非常龐大。同時，第三方咨詢機構(gòu) 也擁有對信息安全法律法規(guī)很強的解讀能力，能夠通過對法律法規(guī)的解讀獲 取相應的信息安全注意事項及需求。除此之外，第三方咨詢機構(gòu)也會參與到 智能網(wǎng)聯(lián)汽車相關(guān)標準的制定中，及時了解標準制定的內(nèi)容以及推進進度， 因此可以提前將可能出臺的信息安全標準及時告知車廠，在新車規(guī)劃的時候 將這些信息安全點納入到規(guī)劃中。3 .從媒體和相關(guān)機構(gòu)也可以獲得部分智能網(wǎng)

8、聯(lián)汽車信息安全威脅信 息這條途徑通常會在整車發(fā)布之后，整車進入運維階段的時候才會使用。媒體 是對各種社會事件非常敏感的機構(gòu)，能夠在第一時間獲得相關(guān)信息。同時智 能網(wǎng)聯(lián)汽車也是當下最為熱點的話題，無論是國內(nèi)還是國外智能汽車出現(xiàn)信 息安全事件，媒體通常情況下都會進行大量的轉(zhuǎn)發(fā)和報道，同時也會對這些 信息安全事件進行比較詳盡的分析。因此同與智能網(wǎng)聯(lián)汽車信息安全比較專 注的媒體進行合作，同樣可以獲取國內(nèi)外智能網(wǎng)聯(lián)汽車發(fā)生的信息安全威脅 事件。另外，同監(jiān)管機構(gòu)合作也是非常好的選擇，監(jiān)管機構(gòu)也同樣擁有大量 關(guān)于智能網(wǎng)聯(lián)汽車整個生態(tài)的數(shù)據(jù)，通過對這些數(shù)據(jù)的分析，比如關(guān)聯(lián)分 析、溯源等，能夠提煉出部分信息安全

9、威脅情報信息。獲取智能網(wǎng)聯(lián)汽車信息安全威脅情報是整個 TARA的基礎(chǔ)，沒有信息安全威 脅數(shù)據(jù)的支撐無法實現(xiàn)TARA,同時也無法將信息安全融入到規(guī)劃當中，智 能網(wǎng)聯(lián)汽車信息安全也無從談起。因此 所有整車生產(chǎn)廠都應該具備獲取信息 安全情報的機制、制度和體系，只有這樣才能將智能網(wǎng)聯(lián)汽車信息安全工作 建設(shè)好。以上介紹了三個獲取威脅的途徑：滲透測試、第三方咨詢機構(gòu)和媒體及相關(guān)機 構(gòu)。理想情況下，應該對所有的威脅進行防護，消除或者降低由威脅所引入的 安全風險，但是現(xiàn)實情況并不允許我們這樣做，資源、時間和成本永遠是制約 因素。正是基于這樣的現(xiàn)實情況，首先要將獲取的安全威脅進行風險評估，根 據(jù)評估結(jié)果進行優(yōu)先

10、級劃分，再在整車概念階段按照風險評估的高低，在開發(fā) 階段優(yōu)先開發(fā)高優(yōu)先級安全功能，后續(xù)相對較低的安全功能在軟件版本迭代中 解決，通過OTA升級或者本地升級的方式對整車軟件進行升級，從而不斷提升 整車信息安全。該思路也是 J3061所推薦的。當前對智能網(wǎng)聯(lián)汽車風險評估方法仍然存在很大爭議，相關(guān)統(tǒng)一的標準并未出 臺，并且該部分也是在歷次標準制定過程中爭議最大的，這和智能網(wǎng)聯(lián)汽車使 用場景的復雜性有莫大關(guān)系。在參考J3061以及國外相關(guān)標準的基礎(chǔ)上，建議可以從花費時間、所需經(jīng)驗、必備知識、機會窗口和所需設(shè)備，這五個維度對 威脅進行風險評估，通過五個維度的定性評估得出該威脅最終導致風險發(fā)生的 可能性，

11、并根據(jù)安全風險發(fā)生可能性得出優(yōu)先級，最后再根據(jù)優(yōu)先級來確定在 規(guī)劃階段安全功能開發(fā)的優(yōu)先級。花費時間，主要是指攻擊者利用該威脅最終實現(xiàn)攻擊所花費的時間。建議可以 分為：1天、1周、1個月、3個月、6個月和6個月這六項。所需經(jīng)驗，主要是指攻擊者如果想利用該威脅最終實現(xiàn)攻擊必須具備的專業(yè)經(jīng) 驗。院建議可以分為：門外漢、熟練、專家和多領(lǐng)域?qū)＜疫@四項。門外漢指的 是不需要任何經(jīng)驗和專業(yè)知識的人；熟練是指必須具備一定的專業(yè)知識和經(jīng)驗 的人；專家指的是資深且擁有豐富的專業(yè)知識和經(jīng)驗的人；多領(lǐng)域?qū)＜抑傅氖?需要在很多領(lǐng)域都有非常資深經(jīng)驗和知識的人。必備知識，主要指攻擊者想利用該威脅最終實現(xiàn)攻擊所必須具備的資

12、料、文檔 甚至是數(shù)據(jù)等。建議可以分為：公開資料、受限資料、敏感資料和絕密資料。 公開資料指的是可以在公開途徑中獲取，比如芯片手冊、產(chǎn)品說明書等；受限資料指的是只能在公司本部門內(nèi)部傳遞，比如參考規(guī)范文檔；敏感資料指的是 公司秘密信息，比如各階段設(shè)計文檔；絕密資料指的是公司機密信息，比如密 鑰。機會窗口，主要指攻擊者最終利用該威脅成功實現(xiàn)攻擊的難度。建議可以分為： 無、容易、中等和困難。無指的是 100%可以成功；容易指的是持續(xù)攻擊 1個月 或攻擊100次才可能成功。所需設(shè)備，主要指攻擊者利用該威脅實現(xiàn)攻擊所必須使用的設(shè)備。建議可以分 為：一般設(shè)備、特定設(shè)備、定制設(shè)備和多個定制設(shè)備。一般設(shè)備指的是

13、市面上 很容易獲取并且價格不高的設(shè)備，比如USB HUB、SD卡讀卡器等；特定設(shè)備指的是非常專業(yè)的設(shè)備，比如編程器、HackRF等；定制設(shè)備指的是價格較高，只有某些機構(gòu)才可能購買，比如側(cè)信道攻擊設(shè)備、示波器、邏輯分析儀等；多 個定制設(shè)備指的是需要很多個定制設(shè)備。通過這五個維度的評估方法，同時結(jié)合智能網(wǎng)聯(lián)汽車滲透測試項目中積累的經(jīng) 驗，對智能網(wǎng)聯(lián)汽車重要資產(chǎn)進行通用風險評估后，可將風險發(fā)生概率分為： 高、中高、中、低和極低這五個等級，風險發(fā)生概率越高，解決的必要性就越 高。具體評估結(jié)果如下所示，智能網(wǎng)聯(lián)汽車滲透測試也根據(jù)這個表格對各大車 廠的智能網(wǎng)聯(lián)汽車所需要進行滲透測試的資產(chǎn)進行評估，從而制定

14、相應的測試 目標和實施計劃。1塞州攻擊it景|斯的嗖1機看口|TeoxDoS攻擊如天翎腳疇定設(shè)得幅HU虢我壬蜿ROOT宅,月檔屣瀚CSCg泅擊4個月墨國超料幅年內(nèi)國u口端攻擊依個月量網(wǎng)洞容易年內(nèi)ECUKA更理卜二個月RMS|靖眼雷科容易特疣降TBOX穢的融51A慈感的,個月春里侈U髓器低TBOX1sm 酗等謝卜山曲4個月專家無特定1略低車內(nèi)ECU挖掘ECU自良而漏與左受限將料檔尋哨蜘就力不譚4包,敢15淘料容易檻低HU1WHU 自皆個月專家mi崎rtf那湛能取.格梅,承就effl專家至更費科05無需發(fā)苗顧TBOX且過。fi0副寫卷聿釵件M月骨年超科潮微CSC理以餐軟件劇電闔把中衿月專氨里要鎧科

15、3陪HU切軟件耕與到室浣中vfrT月專志里登將料襁蜘年內(nèi)KU籟roe閑耳礴肺*64月錦!E零卷料樣1照就PTC通過。白廂 呵岫用軟他方家st號詡阻除通過上面表格的評估可以看到 TBOX和IVI目前是風險發(fā)生比較頻繁和發(fā)生概率 較多的地方，這也印證了很多車廠用戶把TBOX和IVI設(shè)為滲透測試必測項的原因。止匕外，車內(nèi)ECU由于缺乏啟動保護和認證功能，極容易被刷含惡意程序的 固件，從而實現(xiàn)DDoS攻擊阻斷整個車載總線。該風險評估思路更多是基于安 全滲透測試工程師的經(jīng)驗，同時結(jié)合 EVITA、IPA等參考文獻中獲得。本文當 中的評估更多的是定性分析，主要目的是提供給讀者一個風險評估的思路，通 常情況

16、下，這樣的風險評估需要功能安全人員和信息安全人員共同評估，同時 也會有相應的分析方法將定性分析最終轉(zhuǎn)換成定量方式呈現(xiàn)，在概念階段進行 規(guī)劃。以上介紹了智能網(wǎng)聯(lián)汽車風險評估的思路，可以通過五個維度對所獲得的威脅 進行風險評估，從而得到風險的優(yōu)先級，為整車信息安全功能規(guī)劃和開發(fā)打下 堅實的基礎(chǔ)，畢竟在J3061中也是同樣建議汽車信息安全需要在整車規(guī)劃階段 予以考慮，并在其他階段予以落實和審查，確保所有安全功能落地。當前針對 智能網(wǎng)聯(lián)汽車風險評估的具體指導意見和方法暫時還沒有出臺，可以參考并借 鑒J3061中的風險評估方法。J3061中總共介紹了 4種風險評估方法： EVITA、TVRA、OCTAV

17、E 和 HEAVENS ,其中 EVITA 和 HEAVENS 在 J3061 中介紹最為詳盡。EVITA 全稱 E-Safety Vehicle Intrusion Protected Applications ,電子安全 車輛入侵防護應用。EVITA本身是由歐盟委員會資助的一個項目，始于 2008 年，起初該項目的參與者都是歐洲的整車廠和汽車電子產(chǎn)業(yè)相關(guān)的廠商，比如 寶馬、博世、大陸、ESCRYPT、富士通和英飛凌等。該項目的主要目標是為汽 車車載網(wǎng)絡設(shè)計、驗證和原型架構(gòu)提供參考，依據(jù)和參考ISO/IEC 15408和ISO/DIS 26262相關(guān)標準，保護重要電控單元免受篡改，并且也會保

18、護其敏感 數(shù)據(jù)免受損害。在風險嚴重性方面，EVITA針對信息安全風險評估方法來源并參考了ISO26262中的功能安全風險評估方法。由于 ISO 26262只是針對于單車和功能安 全，因此EVITA便將其擴展到多車和非功能安全上，具體風險嚴重性分類如下 圖所示，其中黑色字體部分來自ISO 26262 ,紅色字體部分是EVITA擴展出來 的。50遑有愣鼻攜甲。援枳威蜓與可漫藥財尸用先澄彎博菊幻3昨$1寢成中度僑街僅有名松煙大的外。景建穆聲穌笑員無心死仁幽（沮背心置榮員j-wrs缶舞弊曷*汽軍糧同牌大妁門網(wǎng)mu失寒并更惠竟廿厘箱卜?。陕窈駄釜眠里的屋名威熨多繾莊肆翌量耗卻加史學生引展的輕鼻血中度

19、8 借機生命妣命傷害比汾/我汽+的巖蘇六仙專工,00。延云再央產(chǎn)卻握車轉(zhuǎn)?戰(zhàn)I不弗哀嚏聿尋）彝g的鼻騾曼或飛旗撕碎注幄星甄網(wǎng)電參車引越的嚴第苕 朗獨謝.|M 由塞車小碎危新性密河車的曄殺嚴9謝E夫 -TWIlLIiU Ml： nfl 殷晶飭春牛曜從嚴重性等級上來看，EVITA將其分為5個等級，即S0到S4;從評估維度上 看，EVITA總共提供了 4種評估維度：功能安全、隱私、財產(chǎn)和操作。整個風 險嚴重性等級的劃分有效的將功能安全和信息安全結(jié)合在一起，即將功能安全 與非功能安全結(jié)合在一起。這就如同J3061中所闡述的一樣，功能安全與信息安全相互包含，又相互獨立且相互有交集。從關(guān)鍵系統(tǒng)角度上看，信

20、息安全關(guān)鍵系統(tǒng)通常會包含功能安全關(guān)鍵系統(tǒng)，很多 針對信息安全關(guān)鍵系統(tǒng)的攻擊很有可能相當于攻擊了功能安全關(guān)鍵系統(tǒng)，比如 針對制動系統(tǒng)的攻擊，可能是通過 IVI上某個瀏覽器漏洞實現(xiàn)的。但是并不是 所有對信息安全關(guān)鍵系統(tǒng)的攻擊都可能會造成功能安全，比如對GPS行車軌跡的泄露，并不會造成功能安全的缺失，但是卻是信息安全所無法接受的。從工 程學角度上看，信息安全與功能安全都有各自獨立的開發(fā)流程，但是又并不代 表這兩個流程沒有任何交集，在處理有些問題的時候是需要相互交流的，比如 針對ADAS輔助駕駛的攻擊，將惡意程序注入到輔助駕駛系統(tǒng)中，這部分既涉 及到信息安全也涉及到功能安全，因此在做處理的時候需要讓兩

21、個開發(fā)流程中 的人相互交流和融合，共同探討出合適的解決方案。在攻擊可能性方面，EVITA采用了基于IT安全評估中所使用的“攻擊潛力”這 一概念，并會考慮攻擊者和他所要攻擊的系統(tǒng)。對于攻擊者而言，攻擊潛力考 慮了許多因素，例如攻擊者確定如何攻擊系統(tǒng)和執(zhí)行成功攻擊所需的時間、攻 擊者所需的專業(yè)知識、所需系統(tǒng)的知識、需求對于專業(yè)設(shè)備的需求等。每個因 素都有許多類，每個類都賦有一個數(shù)值，例如，攻擊者專業(yè)知識的類和相應的 數(shù)值是：外行（0）、熟練（3）、專家（6）和多個專家（8）?；诜峙浣o每 個因素數(shù)值總和的范圍，攻擊可能性也被分成類別。攻擊潛力的類別包括：基 本、增強基本、中等、高和超高。攻擊潛力范

22、圍從基本（意味著容易被攻擊） 到超越高（意味著極難被攻擊）。攻擊可能性攻擊發(fā)生幾率0-9基本510-13增強基本414-19中等320-24高2>=25超高1 在對風險嚴重性和該風險可能被攻擊的概率評估完成后，使用“風險圖”的方法將這兩個進行組合，從而識別每個威脅的安全風險。該方法類似于ISO26262第3部分的表4 “ ASIL測定"。但是 EVITA與ISO 26262中的ASIL測定是不同的，ISO 26262的嚴重性等級分為3級，而EVITA信息安全嚴重性 則分了 4級（S1-S4,其中S0為無安全風險）。在進行風險評估時， EVITA采 用了將功能安全與非功能安全分開

23、評估的方法。下圖是非功能安全風險圖。表中顯示的嚴重性Si分別是Sp, Sf和So,其中Sp表示隱私威脅的嚴重性，Sf表示財產(chǎn)威脅的嚴重性，So表示操作威脅的嚴重性。確定的每個潛在威脅的 嚴重程度將映射到表中顯示的適當分類（1-4）,以及確定的攻擊概率（A=1-5）。通過嚴重性和攻擊概率矩陣中的交集確定風險（R0-R6）,針對潛在的威脅評估，其中R0代表最低風險，R6代表最高風險。功能安全威脅的風險圖稍微復雜一些，這主要是由于在進行風險評估時必須將 可控性納入到考慮范圍中?？煽匦苑诸愑糜谠u估人類采取行動的可能性，以避 免與功能安全相關(guān)的威脅相關(guān)的潛在事故?？煽匦员粴w類為C1-C4 ,其中C1表示

24、正常的人類響應可以避免事故，C4表示人類不能以避免事故的方式行事，如下所示。C1盡管受到操作上的限制,在人正常反應下扔可避免事故C2避免發(fā)生事故是非常困難fl勺，但是反應敏捷6勺人仍然可以控制車輛C3避免發(fā)生事故是非常困難的，但是在有利的環(huán)境下，可以用經(jīng)驗豐富的人做出的應對措施來維持車輛控制 C4事故的發(fā)生是無法受到人反應的影響功能安全相關(guān)威脅的風險圖由四個子矩陣組成，每個可控性可劃分為一個矩 陣。因此，對于與功能安全相關(guān)的威脅、風險評估則是由可控性、嚴重性和攻 擊概率共同組合而成的組合，具體如下所示。可控性（C）功部安全嚴重性（S3）攻擊可能性蛆合（A）C = 1A=1A=2A=3A=4A=

25、5C = 2 C=3Ss=1R1R2R3MR5s5=2R2R'R4R5R65s=3R3R4R5R6R7Ss=4R4R5R6R7R7+C = 4同非功能安全風險圖類似，通過可控性、嚴重性和攻擊概率矩陣中的交集確定風險（R1-R7+ ）,針對潛在的威脅進行評估，其中R1代表最低風險，R7+代表最Wj風險。在風險評估完成后，需要將風險轉(zhuǎn)換成相應的功能，同時高優(yōu)先級安全功能應 該在開發(fā)和驗證時得到重點關(guān)注。EVITA在功能階段時也提供了相應的分析方 法一一THROP （威脅和可操作性分析），該方法源自于在功能安全中常用的 HAZOP （危險和操作性分析）。THROP類似于HAZOP ,只是它考

26、慮潛在威 脅而不是潛在危險。類似于 HAZOP , THROP針對特定功能，從功能角度解決 風險，具體THROP評估方法如下所示?？梢酝ㄟ^應用上文中描述的 EVITA風險評估方法來評估潛在威脅，然后可以根 據(jù)風險等級對已識別的潛在威脅進行排名，以便進一步將分析的重點放在最高 風險威脅上，接著可以針對最高風險威脅確定網(wǎng)絡安全目標，并且可以分配唯 一標識ID,并用于識別每個網(wǎng)絡安全目標。智能網(wǎng)聯(lián)汽車信息安全建設(shè)是需要在規(guī)劃階段開始的，威脅分析與風險評估是整個信息安全建設(shè)的基石，可以采用EVITA作為J3061在車廠信息安全威脅分析與風險評估的實踐落地在智能網(wǎng)聯(lián)汽車項目中對整車信息安全進行評估。因此

27、可以看出EVITA這個評估方法具有非常強的實踐性和落地性，未來在相關(guān)國 家標準尚未出臺前，可以作為車廠信息安全威脅分析與風險評估的方法。在風險評估方面，EVITA參考了 ISO 26262中的功能安全評估方式，同時也結(jié) 合信息安全特點進行了擴展，將非功能安全和多車場景納入其中。最后使用 THROP評估方法將所有的威脅和風險進行統(tǒng)一整理，并最終形成信息安全開 發(fā)優(yōu)先級，在保證整車總體信息安全基礎(chǔ)上，合理分配研發(fā)資源。除了 EVITA 評估方法，J3061還重點介紹了 HEAVENS評估方法，鑒于當前智能網(wǎng)聯(lián)汽車 信息安全風險評估具體指導意見、方法和標準尚未出臺，建議可以根據(jù)車廠的 實際情況，采用

28、EVITA、HEAVENS或者其他方法對智能汽車信息安全風險進 行評估。HEAVENS是針對汽車電子電氣系統(tǒng)威脅分析和風險評估的方法，同時也提供 了完整的評估流程，其目標是提出一種系統(tǒng)方法，以便可以獲得汽車電子電氣 系統(tǒng)的信息安全需求。HEAVENS具有四個主要的特點：1 .適用性范圍廣泛，可以適用于乘用車和商用車；2 .以威脅為中心，同時采用微軟的 STRIDE方法對汽車電子電氣系統(tǒng)進行威脅 評估；3 .在威脅分析期間建立了安全屬性與威脅之間的直接映射關(guān)系，有助于及早評 估特定資產(chǎn)對特定技術(shù)的影響程度，這種影響程度包括機密性、完整性和可用 性；4 .將安全目標（例如信息安全、財產(chǎn)、操作、隱私

29、和法規(guī)等）與威脅分析期間 的影響程度相結(jié)合，有助于評估威脅對于相關(guān)利益方，比如整車制造商的潛在業(yè)務影響。因此HEAVENS是一個非常適用于評估整車電子電氣系統(tǒng)信息安全 風險的評估方法。HEAVENS相比于EVITA來說更加完整，除了評估方法外，還提供了一整套評 估流程，具體流程如下所示，功能安全評估流程包括三個階段：威脅分析、風 險評估和安全需求。利益相關(guān)方安全屬性與安全目標Ou t 02 ：噓物如性TOE/功能曲用場筑例如： OBD遠程軟件下載肯卷總漆In 02 : Out 01 M3 ： TLft M 04 ： 口真的安全需求（威脅、燙盧.安全等圖加屬性3Out <M ;離露綠安金需

30、求In 01 二 TOE用困 功熊應用場子In 05 ; Out 03In 06 : Out Q2威脅分析風險評*（庭脅和密響城制）該流程主要應用于信息安全規(guī)劃階段，流程大概思路是：首先相關(guān)利益方（主 要是整車廠）明確自己的安全屬性和安全目標，同時提供相應評估對象或功能 的典型應用場景，作為整個流程的起始；接著進行威脅分析，通過評估對象或 功能典型應用場景，將威脅與評估對象、安全屬性進行映射，形成對應關(guān)系； 然后對威脅與評估對象進行等級劃分，具體是通過綜合考慮威脅和影響級別兩 個維度實現(xiàn)安全等級劃分；最后再將威脅、評估對象、安全屬性和安全等級這 四個維度進行整合形成安全需求。開發(fā)人員拿到這些需

31、求，根據(jù)安全等級最終 確定開發(fā)優(yōu)先級。下面對每個階段的評估內(nèi)容進行詳細描述。威脅分析威脅分析是指識別與評估資產(chǎn)相關(guān)威脅以及威脅與安全屬性的映射。在該階段中使用了微軟的STRIDE方法對威脅進行分析，雖然 STRIDE方法主要應用于 軟件領(lǐng)域，但是目前已經(jīng)擴展到汽車電子電氣領(lǐng)域。STRIDE將威脅與安全屬性，即真實性、完整性、不可否認性、機密性、可用性等相關(guān)聯(lián)，每個類別映 射到一組安全屬性中。具體威脅與映射關(guān)系如下表所示：STRIDE®脅解程信息安全屬性IM Spoofing )攻擊者便扮成正常訪問者|認證要戰(zhàn)(Tampering )攻擊者在傳輸或數(shù)據(jù)存慵中更改數(shù)據(jù)否M ( Repud

32、iation )攻擊者的攻擊無去被溯源|不口否認性倍息泄露(Information disclosure)攻擊者可以獲取傳輸跖存諸中的裁據(jù)加密,隱私拒遒服務(Dental of Service )攻擊者讓目標主機停止限努可用性權(quán)限捶高(Elevation of privilege )攻擊者執(zhí)行未被授權(quán)的操作認證在這個階段中，需要明確評估對象或功能典型應用場景，并且將這些場景與威 脅和安全屬性形成對應關(guān)系，為后續(xù)風險評估階段做準備。風險評估在基于STRIDE方法識別特定資產(chǎn)和威脅之后，需要對風險進行評估，即對威 脅進行排名，也就是說要導出每個威脅和資產(chǎn)對應的安全等級( Security Leve

33、l)。安全等級用于衡量安全相關(guān)資產(chǎn)滿足特定安全級別所需的安全機制強 度。安全級別的是通過確定威脅等級(Threat Level ),即對應于風險的“可 能性”，和影響等級(Impact Level ),即風險的“影響”程度，這兩個維度 共同確定的。威脅等級(Threat Level )主要通過四個參數(shù)進行評估，即經(jīng)驗、評估對象的 知識、所需設(shè)備和機會窗口，針對這四個參數(shù)進行分值評估。這四個參數(shù)在 EVITA中也有提及，但是評估內(nèi)容有所區(qū)別。具體評估列表如下所示：CMSExpertise)門外雙0澄相田可專業(yè)知識1對信息安全領(lǐng)域有一定了解并且是從業(yè)者專家2題卮底層算法、協(xié)議、硬件、柒構(gòu)、安全行為

34、，并且可以定義并開發(fā)新的攻擊技術(shù)和工具多浪城專家3需要不同的專業(yè)軟城來進行不同的攻擊廿驟評估榜曬出(Knowledge about TOE )0畫2：公開送&送取，匕網(wǎng)網(wǎng)絡、書店籌翱1例幻僅能在產(chǎn)品開發(fā)部f二安取的知識敏感2咧婦在開發(fā)部門內(nèi)某JL個團隊之同共享的知識.笄目為其的訪1 司僅限于指定團隊成目B53呦U只有少我人才能知直任I知皿需要在嚴格控制下所需設(shè)備(Equipment)際這0也設(shè)備可以是用估對象本身的一部分53可以香易臉若1q收n贖實一白專用出箭或編寫攻擊腳本或程存2設(shè)備不吞易力公眾所用,因為它可能寄安專匚吐產(chǎn)，或者日為設(shè)備非常專業(yè)以至于其受攔錯與等3使用不同的定制設(shè)菁翊

35、!不同的攻擊加藥？磯會窗口( Window of Opportunity)低0:利2對東非空難以濟和，也元法3過物即蚯斯方式實現(xiàn)燈由2澗象的攻擊中1在不住眉族殊丁旦汩歸兄下.很游過洋?彖濟行物理播觸式的記何和攻擊高2可實現(xiàn)譏理訪問和攻擊非簞有3通過公共網(wǎng)絡就可實現(xiàn)正向和改士，并且K受任何限制通過使用這些參數(shù)對評估對象的威脅進行評估，然后根據(jù)參數(shù)值進行等級劃 分，具體劃分原則如下所示。采用無、低、中、高和嚴重，這五個等級，同時 得出TL具體分值。TL參數(shù)值總和威肺等鼓(Threat Level)TL數(shù)值下9無07-9低146中227高301嚴重4影響等級(Impact Level )主要是指確保

36、車輛乘客、道路和基礎(chǔ)設(shè)施安全的要 求。針對于這部分的評估參數(shù)主要由功能安全、財產(chǎn)損失、操作和隱私及法規(guī) 這四部分構(gòu)成。這部分的評估相對會比較復雜，既涉及到功能安全，又涉及到 信息安全隱私，甚至還需要和法規(guī)有關(guān)系，因此該部分參考的標準較多，除了 ISO26262外，還會參考BSI的相關(guān)標準。功能安全借鑒了 ISO 26262-3概念階段中HARA的評估參數(shù)，即嚴重性 (Severity )來實現(xiàn)，具體評估內(nèi)容如下表所示。嚴重性在實踐落地中可以采用AIS進行參考，這也是ISO 26262中所推薦的。標淮HEAVENS基于隨IJOO-4的H雌損失分類財產(chǎn)損失數(shù)值幗無影響0浸肓用顯效用和后用中低10財

37、產(chǎn)的損失仍然可以被公司和其他股東所轉(zhuǎn)受,即在福失在可容范圍內(nèi)中100由此造成的損害會給公司和其他股東帶來亙大的經(jīng)濟相關(guān)r但不會威脅到公司的存在.非常高高1/)00財資投失或勘到公司的存在并皿重影響其他股東財務損失主要指的是相關(guān)利益方，比如整車廠的財產(chǎn)損失，這個和整車廠的財 務實力有關(guān)。HEAVENS將限額表示為總銷售額、總利潤或類似基值的百分 比，并且需要將損害定性地分類而不是定量計算損失。這部分評估借鑒了BSI-100-4中的內(nèi)容。具體評估內(nèi)容如下表所示。產(chǎn)品影響程度效果嚴重等皴HEAVENS 分值沒有明顯效果沒有效果1無影響（0）外觀或可聽見的噪音（車輛仍可使用，但會惹惱超過25%的客戶）

38、輕微損壞2低（10）外觀或可聽見的噪音（車輛仍可使用，但會惹惱超過50%的客戶）3外觀或可聽見的噪音（車輛仍可使用，但會惹惱超過75%的客戶）中度損壞4輔助功能退化（車輛仍可使用，但舒適性和便利性在下降）5中（100）輔助功能消失（車輛仍可使用，但不存在舒適性和便利性）6主要功能退化（車輛仍在運行，但性能降低）嚴重損壞7失去主要功能（車輛無法操作，但不影響車輛操作安全）致命損壞8高(1,000)潛在知，該失效會出現(xiàn)警告提示，同時膨 響車輛操作安全，但是該失效不會違反監(jiān)管法規(guī)9潛在知，該失效不會出現(xiàn)警否提示，同時影響車輛反作安全,但是該失效將違反監(jiān)管法規(guī)未滿足功能安全要求或法規(guī)10操作性主要是通過車輛缺陷程度對其進行評