自動(dòng)駕駛系統(tǒng)功能測(cè)試 9 信息安全評(píng)價(jià)測(cè)試

1自動(dòng)駕駛系統(tǒng)功能測(cè)試第9部分：信息安全評(píng)價(jià)測(cè)試本規(guī)范規(guī)定了智能網(wǎng)聯(lián)汽車信息安全的評(píng)估體系和GB/T20271信息安全技術(shù)信息系統(tǒng)通用安全GB/T20984-2007《信息安全技術(shù)信GB/T31509-2015《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指GB/T30279-2013信息安全技術(shù)安全漏洞等級(jí)劃GB/T35273-2017《信息安全技術(shù)個(gè)NISTSP800-53《美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所安全標(biāo)準(zhǔn)-信息系統(tǒng)與安全目標(biāo)及風(fēng)險(xiǎn)NISTSP800-60《美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所安全標(biāo)準(zhǔn)-將信息和信息系統(tǒng)映射到安ISO(InternationalOrganizationforSta(ISO26262:2011).CommonVulnerabilityScoringSystemv3.0:UserGuideHEAlingVulnerabilitiestoENhanceSoftwareSecurityandSafetyV2.0(HEAVENEVITAProject.E-safetyVehicleIntrSAEJ3061CybersecurityGuidebookforCyber-PhysicalVehicleOWASP.OWASPRiskRatingMethodology&ThreatRiskModETSI.IntelligentTransportSysteETSI.TelecommunicationsandInternetconvergedServicesandProtoTheKeyPrinciplesofCyberSecurityforConnectedandAutomatedVehFrameworkforAutomotiveCy-bersecurityBestPractices.2性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)（計(jì)算機(jī)硬件系統(tǒng)和保證信息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的3ControllerAreaNetElectronicControlUTelematicsServiceProSpoofing、Tampering、Repudiation、Informationdisclosure、DenService、ElevationofPrAttackVectorExpertknowledgeVecAttackEquipmentAttackAuthorizationprotectedapplicatiHEAVENSHEAlingVulnerabilitiestoENhanceAssessmentMPUMicroprocessorUnit構(gòu)成。其中車載端作為智能網(wǎng)聯(lián)汽車內(nèi)外通信的重要節(jié)點(diǎn)，是車輛安全的重要組成部分，保4），車與云、車與車和車內(nèi)的通信存在被攻擊風(fēng)險(xiǎn)，主要風(fēng)險(xiǎn)如下：一是認(rèn)證安全，用戶通信5有可能利用偽造消息來(lái)誘導(dǎo)車輛發(fā)生誤判，進(jìn)而影響象端ECU、Gateway、T-BOX/IVIECU、Gateway、T-BOX/IVIECU、Gateway、T-BOX/IVIECU、Gateway、T-BOX/IVIECU、Gateway、T-BOX/IVI9ECU、Gateway、T-BOX/IVI充電樁上置入病毒惡意代碼，在汽車充電時(shí)ECU、Gateway、T-BOX/IVIECU、Gateway、T-BOX/IVIECU、Gateway、T-BOX/IVIECU、Gateway、T-BOX/IVI端AppAPP、TSPAPP、TSPAPP絡(luò)ECU、Gateway、T-BOX/IVIECU、Gateway、T-BOX/IVI7ECU、Gateway、T-BOX/IVI汽車零部件應(yīng)避免存在用以標(biāo)注芯片、端口和管腳功能的可讀絲?。唤迷O(shè)計(jì)驗(yàn)證階段所使用的應(yīng)用安全要保證安裝在汽車上的應(yīng)用軟件具備相應(yīng)的來(lái)源標(biāo)識(shí)和保密性、完整性和可用性的防護(hù)生、使用的數(shù)據(jù)得到安全的處理、車載端應(yīng)用與相關(guān)服務(wù)器之間通信的安全性，保證應(yīng)用為用服務(wù)時(shí)，以及應(yīng)用在啟動(dòng)、升級(jí)、登錄、退出等各模式下的安數(shù)據(jù)安全技術(shù)要求采取加密等安全機(jī)制保證采集、存儲(chǔ)、傳輸過(guò)程中用戶數(shù)據(jù)、車企數(shù)據(jù)87汽車整車信息安全測(cè)試內(nèi)容本節(jié)描述智能網(wǎng)聯(lián)汽車整車信息安全測(cè)試內(nèi)容端、云端、無(wú)線通道、入口級(jí)零部件、網(wǎng)關(guān)和ECU。每個(gè)組件從汽脅和技術(shù)要求描述其具體測(cè)試內(nèi)容及評(píng)測(cè)清98汽車整車信息安全測(cè)試和評(píng)價(jià)方法通過(guò)對(duì)零部件存在的風(fēng)險(xiǎn)項(xiàng)進(jìn)行測(cè)試和評(píng)分，計(jì)算得出風(fēng)險(xiǎn)項(xiàng)的漏洞轉(zhuǎn)化系數(shù)(λ)、可用性得分（ExploitScore，ES）和嚴(yán)重性得分（Severity整車評(píng)價(jià)首先通過(guò)評(píng)測(cè)項(xiàng)風(fēng)險(xiǎn)值分別在人身安全、財(cái)產(chǎn)損失、隱私安全和功能失效這四個(gè)指進(jìn)行求和得分，基于四個(gè)指標(biāo)的四象限擴(kuò)展模型得出整車安全評(píng)價(jià)（如圖4四指標(biāo)所圍面積反應(yīng)8.1.1.1漏洞轉(zhuǎn)化系數(shù)(λ)漏洞轉(zhuǎn)化系數(shù)用以表征具體一項(xiàng)測(cè)試結(jié)果可以形成實(shí)際攻擊漏洞的可能性，并進(jìn)行數(shù)字量化。試發(fā)現(xiàn)的風(fēng)險(xiǎn)項(xiàng)的漏洞轉(zhuǎn)化系數(shù)。各影響因子如下表值使用公開(kāi)軟硬件工具（如開(kāi)源軟件、藍(lán)牙發(fā)射器、編程器內(nèi)上λ值0002）影響程度低：有一些機(jī)密性丟失?？梢垣@得對(duì)某些受限信息任何文件。或者，只能修改某些文件，但惡意修改會(huì)對(duì)受影響的組件產(chǎn)生直接、嚴(yán)重2）影響程度低：可以修改數(shù)據(jù)，但是攻擊者無(wú)法控制修改的后果制。數(shù)據(jù)修改不會(huì)對(duì)受影響的組件產(chǎn)生直接、嚴(yán)重?fù)p失要么是持續(xù)的（當(dāng)攻擊者繼續(xù)發(fā)動(dòng)攻擊時(shí)要么是持久的（即2）影響程度低：資源可用性降低了性能或中斷。即使可能反復(fù)利用嚴(yán)重性反饋了風(fēng)險(xiǎn)項(xiàng)可能給車主等利益相關(guān)方帶來(lái)的危害程度。本規(guī)范嚴(yán)重性評(píng)估參考H值無(wú)0無(wú)0低中高無(wú)0低1中（例如假冒受害者以執(zhí)行盜竊身份的行為）高權(quán)可能導(dǎo)致廣泛的媒體報(bào)道以及車廠和車隊(duì)所有者在市場(chǎng)份業(yè)務(wù)運(yùn)營(yíng)、信任、聲譽(yù)和財(cái)務(wù)損失方面的嚴(yán)重?zé)o0低1中過(guò)加大轉(zhuǎn)向盤(pán)控制力以解決轉(zhuǎn)向沉重導(dǎo)致的轉(zhuǎn)向不足高主要功能組件部分仍可控，如轉(zhuǎn)向被控制，制動(dòng)仍可被操首先對(duì)人身安全、財(cái)產(chǎn)損失、隱私安全和功能失效四個(gè)信息安全影響指標(biāo)進(jìn)行計(jì)算求SVScore=(λK?ESK?SVK)FVScore=(λK?ESK?FVK)汽車整車在隱私安全維度的狀態(tài)情況取決于如下四個(gè)PVScore=(λK?ESK?PVK)基于以上計(jì)汽車整車在功能失效維度的評(píng)分計(jì)算公式OVScore=(λK?ESK?oVK)通過(guò)上述人身安全、財(cái)產(chǎn)損失、隱私安全和功能失效四個(gè)信息安全影響指標(biāo)的計(jì)算，最終在整車汽車部件安全分類評(píng)測(cè)結(jié)果IVI硬件安全判斷當(dāng)前蜂窩通訊模塊是否有可用的調(diào)試口（串口、JTAG、操作系統(tǒng)安全件洞檢查對(duì)外圍接口接入的存儲(chǔ)介質(zhì)上的文件類型是否做了限制（文件檢查是否禁止運(yùn)行外圍接口接入的存儲(chǔ)介質(zhì)上的文件（代碼執(zhí)行汽車部件安全分類評(píng)測(cè)結(jié)果）（用戶是否可操作開(kāi)啟/關(guān)閉蜂窩通訊網(wǎng)絡(luò)數(shù)據(jù)連接（檢查車載模塊用戶界面是否提供云端對(duì)車輛定位功能的開(kāi)關(guān)（如車輛式未授權(quán)訪問(wèn)）第三方庫(kù)件應(yīng)用安全件檢查車機(jī)提供的服務(wù)對(duì)于其上帳戶登錄訪問(wèn)是否存在暴力破汽車部件安全分類評(píng)測(cè)結(jié)果通訊安全字、小寫(xiě)字符和大寫(xiě)字符弱密碼）基于以太網(wǎng)/車載以太網(wǎng)/藍(lán)牙/WIFI/蜂窩通信模塊版本信息和芯片型息，檢查是否存在已知漏洞（其中以太網(wǎng)模塊要精確到數(shù)據(jù)安全檢查是否對(duì)通訊錄數(shù)據(jù)進(jìn)行了加密存儲(chǔ)（信汽車部件安全分類評(píng)測(cè)結(jié)果OTA升級(jí)總線安全安全設(shè)計(jì)查看敏感文件（如/etc/shadow，/etc/passwd評(píng)測(cè)結(jié)果T-件TBOX-10.賬戶TBOX-11.賬戶TBOX-13.功能TBOX-15.功能TBOX-20.重用效TBOX-21.功能TBOX-22.功能TBOX-23.重用評(píng)測(cè)結(jié)果TBOX-25.功能符，至少包含一個(gè)數(shù)字、小寫(xiě)字符和大寫(xiě)字符弱密基于以太網(wǎng)/車載以太網(wǎng)/WIFI/蜂窩通信模TBOX-27.功能TBOX-28.功能TBOX-29.功能TBOX-30.功能TBOX-31.功能TBOX-32.功能TBOX-33.功能TBOX-35.功能TBOX-36.重用/etc/passwd,/etc/group，rhosts）的訪問(wèn)控TBOX-39.功能TBOX-40.功能件文件攻擊途徑時(shí)間窗口專業(yè)知識(shí)目標(biāo)知識(shí)攻擊設(shè)備授權(quán)機(jī)密性完整性可用性人身安全財(cái)產(chǎn)損失隱私安全功能失效評(píng)分131911111101131911111101字密碼178911170701178111170700111311117100301131111770001XXXX端1911117000011119911100700011攻擊途徑時(shí)間窗