压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

我們曾在文章“智能網(wǎng)聯(lián)汽車風險評估方法EVITA”中，介紹了智能網(wǎng)聯(lián)汽車信息安全風險評估的實踐方法，同時也實現(xiàn)了將功能安全和信息安全的有機結(jié)合。

在風險評估方面，EVITA參考了ISO 26262中的功能安全評估方式，同時也結(jié)合信息安全特點進行了擴展，將非功能安全和多車場景納入其中。最后使用THROP評估方法將所有的威脅和風險進行統(tǒng)一整理，并最終形成信息安全開發(fā)優(yōu)先級，在保證整車總體信息安全基礎(chǔ)上，合理分配研發(fā)資源。除了EVITA評估方法，J3061還重點介紹了HEAVENS評估方法，鑒于當前智能網(wǎng)聯(lián)汽車信息安全風險評估具體指導(dǎo)意見、方法和標準尚未出臺，梆梆安全研究院建議可以根據(jù)車廠的實際情況，采用EVITA、HEAVENS或者其他方法對智能汽車信息安全風險進行評估。

HEAVENS是針對汽車電子電氣系統(tǒng)威脅分析和風險評估的方法，同時也提供了完整的評估流程，其目標是提出一種系統(tǒng)方法，以便可以獲得汽車電子電氣系統(tǒng)的信息安全需求。

HEAVENS具有四個主要的特點：

1. 適用性范圍廣泛，可以適用于乘用車和商用車；

2. 以威脅為中心，同時采用微軟的STRIDE方法對汽車電子電氣系統(tǒng)進行威脅評估；

3. 在威脅分析期間建立了安全屬性與威脅之間的直接映射關(guān)系，有助于及早評估特定資產(chǎn)對特定技術(shù)的影響程度，這種影響程度包括機密性、完整性和可用性；

4. 將安全目標（例如信息安全、財產(chǎn)、操作、隱私和法規(guī)等）與威脅分析期間的影響程度相結(jié)合，有助于評估威脅對于相關(guān)利益方，比如整車制造商的潛在業(yè)務(wù)影響。因此HEAVENS是一個非常適用于評估整車電子電氣系統(tǒng)信息安全風險的評估方法。

HEAVENS相比于EVITA來說更加完整，除了評估方法外，還提供了一整套評估流程，具體流程如下所示，功能安全評估流程包括三個階段：威脅分析、風險評估和安全需求。

該流程主要應(yīng)用于信息安全規(guī)劃階段，流程大概思路是：首先相關(guān)利益方（主要是整車廠）明確自己的安全屬性和安全目標，同時提供相應(yīng)評估對象或功能的典型應(yīng)用場景，作為整個流程的起始；接著進行威脅分析，通過評估對象或功能典型應(yīng)用場景，將威脅與評估對象、安全屬性進行映射，形成對應(yīng)關(guān)系；然后對威脅與評估對象進行等級劃分，具體是通過綜合考慮威脅和影響級別兩個維度實現(xiàn)安全等級劃分；最后再將威脅、評估對象、安全屬性和安全等級這四個維度進行整合形成安全需求。開發(fā)人員拿到這些需求，根據(jù)安全等級最終確定開發(fā)優(yōu)先級。下面對每個階段的評估內(nèi)容進行詳細描述。

威脅分析

威脅分析是指識別與評估資產(chǎn)相關(guān)威脅以及威脅與安全屬性的映射。在該階段中使用了微軟的STRIDE方法對威脅進行分析，雖然STRIDE方法主要應(yīng)用于軟件領(lǐng)域，但是目前已經(jīng)擴展到汽車電子電氣領(lǐng)域。STRIDE將威脅與安全屬性，即真實性、完整性、不可否認性、機密性、可用性等相關(guān)聯(lián)，每個類別映射到一組安全屬性中。具體威脅與映射關(guān)系如下表所示：

在這個階段中，需要明確評估對象或功能典型應(yīng)用場景，并且將這些場景與威脅和安全屬性形成對應(yīng)關(guān)系，為后續(xù)風險評估階段做準備。

風險評估

在基于STRIDE方法識別特定資產(chǎn)和威脅之后，需要對風險進行評估，即對威脅進行排名，也就是說要導(dǎo)出每個威脅和資產(chǎn)對應(yīng)的安全等級（Security Level）。安全等級用于衡量安全相關(guān)資產(chǎn)滿足特定安全級別所需的安全機制強度。安全級別的是通過確定威脅等級（Threat Level），即對應(yīng)于風險的“可能性”，和影響等級（Impact Level），即風險的“影響”程度，這兩個維度共同確定的。

威脅等級（Threat Level）主要通過四個參數(shù)進行評估，即經(jīng)驗、評估對象的知識、所需設(shè)備和機會窗口，針對這四個參數(shù)進行分值評估。這四個參數(shù)在EVITA中也有提及，但是評估內(nèi)容有所區(qū)別。具體評估列表如下所示：

通過使用這些參數(shù)對評估對象的威脅進行評估，然后根據(jù)參數(shù)值進行等級劃分，具體劃分原則如下所示。采用無、低、中、高和嚴重，這五個等級，同時得出TL具體分值。

影響等級（Impact Level）主要是指確保車輛乘客、道路和基礎(chǔ)設(shè)施安全的要求。針對于這部分的評估參數(shù)主要由功能安全、財產(chǎn)損失、操作和隱私及法規(guī)這四部分構(gòu)成。這部分的評估相對會比較復(fù)雜，既涉及到功能安全，又涉及到信息安全隱私，甚至還需要和法規(guī)有關(guān)系，因此該部分參考的標準較多，除了ISO26262外，還會參考BSI的相關(guān)標準。

功能安全借鑒了ISO 26262-3概念階段中HARA的評估參數(shù)，即嚴重性（Severity）來實現(xiàn)，具體評估內(nèi)容如下表所示。嚴重性在實踐落地中可以采用AIS進行參考，這也是ISO 26262中所推薦的。

財務(wù)損失主要指的是相關(guān)利益方，比如整車廠的財產(chǎn)損失，這個和整車廠的財務(wù)實力有關(guān)。HEAVENS將限額表示為總銷售額、總利潤或類似基值的百分比，并且需要將損害定性地分類而不是定量計算損失。這部分評估借鑒了BSI-100-4中的內(nèi)容。具體評估內(nèi)容如下表所示。

操作性主要是通過車輛缺陷程度對其進行評估，可以借鑒功能安全中的FMEA方法來實現(xiàn)，具體評估內(nèi)容如下所示。

隱私和法規(guī)是兩個概念，隱私指的針對車主、車輛運營方和駕駛員等的隱私侵犯；法規(guī)是指車主、車輛運營方和駕駛員等因為駕駛違背了相關(guān)法律法規(guī)，比如環(huán)境和交通法規(guī)等。具體隱私和法規(guī)的相關(guān)評估內(nèi)容如下表所示，該部分評估內(nèi)容主要與BSI中的“隱私影響評估指南”保持一致。

經(jīng)過上面的功能安全、財產(chǎn)損失、操作和隱私及法規(guī)這四部分的評估，可以評估出影響等級（Impact Level），具體分級如下所示。

通過上面的評估，完成威脅等級和影響等級評估獲得TL和IL分值后，就可以通過兩個參數(shù)的矩陣共同決定安全等級（Security Level），具體評估如下所示。

安全需求

HEAVENS的最后部分是安全需求，即對資產(chǎn)、威脅、安全屬性和安全級別進行評估的列表，研發(fā)人員根據(jù)列表中的安全級別，確定開發(fā)優(yōu)先級。需要注意的是，有可能存在一個資產(chǎn)會存在多個威脅，因此這個資產(chǎn)也會有多個安全等級，在進行開發(fā)的時候，通常的做法是關(guān)注安全等級最高的。下面給出兩個最終評估完成的例子，供參考。

梆梆安全研究院認為HEAVENS和EVITA相比具有如下相同點：首先，二者都是同功能安全相結(jié)合，并且借鑒了ISO 26262-3中的HARA評估方法和思路；其次，二者都可以應(yīng)用于汽車電子電氣系統(tǒng)的信息安全評估；最后，二者都關(guān)注財產(chǎn)和隱私，而這兩個也正是信息安全關(guān)注的核心。

梆梆安全研究院認為HEAVENS和EVITA相比也有不少不同點：首先，HEAVENS除了評估方法外，還形成了一整套評估流程；其次，HEAVENS在影響等級評估方面除了隱私和財產(chǎn)外，還將操作性和法規(guī)納入到影響度評估范圍中，評估的維度比EVITA要大；最后，HEAVENS的評估內(nèi)容除了參考ISO 26262外，還借鑒了BSI相關(guān)標準，使得評估的可信程度得到了一定的提高。

智能網(wǎng)聯(lián)汽車信息安全建設(shè)需要在規(guī)劃階段開始，威脅分析與風險評估是整個信息安全建設(shè)的基石，梆梆安全研究院認為可以采用HEAVENS作為J3061在車廠信息安全威脅分析與風險評估的實踐落地，梆梆安全研究院同時也在多個智能網(wǎng)聯(lián)汽車項目中，采用該方法同EVITA、ISO 26262等標準相結(jié)合的方式進行安全評估，因此具有較強的借鑒意義。