2022最新最全总结——智能网联汽车风险评估方案调研
一、参考文献
文件列表
Connected and autonomous vehicles: A cyber-risk classification framework 《联网和自动驾驶汽车:网络风险分类框架》
GBT20984-2022 信息安全技术信息安全风险评估方法.pdf
汽车信息安全风险评估标准需求研究报告
混合分析下汽车信息安全风险分级方法
绿盟安全风险评估算法体系
二、需求
VSOC是一款以风险为视角的一体化安全运营平台,覆盖了监控、检测、识别、响应四大维度,为更好的向用户传达安全风险,需要做到风险信息的量化,能够让用户直观的感受到整体安全运营的情况;
VSOC算法和传统SOC算法有所区别,其覆盖内容更广具体如下;
类型 | 单一维度 | 群体维度 | 整体维度 | 宏观维度 |
车端 | 单一车辆 | 同类车型 | 所有车端 | 涵盖三端 整体 |
云端 | 单一资产 | 同类型资产OTA、APP | 所有云端 | |
路端 | 单一资产 | 同类型资产RSCU、RSU | 所有路段 |
三、目前已有的风险评估算法
3.1 EVITA风险评估
EVITA (E-safety vehicle intrusion protected applications) 是欧盟第七框架计划资助项目(2008-2011),旨在为车载网络的体系架构进行设计、验证、形成原型,以防止安全相关的组件被篡改,并保护敏感数据以免受到攻击。这个方法也是目前业界较为推荐的一种方法。
车辆级别
用例描述具体来讲就是确定在未来可能对安全性产生影响的一系列特定的车辆功能;资产识别是对汽车资产进行识别并对其价值进行赋值,威胁分析是识别威胁,也可以具体解释为建立攻击树模型。这个方法论的不足之处在于,安全威胁识别时繁琐不易操作,成功执行攻击需要时间不确定等。
EVITA 考虑四个方面的安全目标:(1)操控性(operational),维护所有车辆和智能交通系统功能所期望的操作性能;(2)功能安全(safety),确保驾乘人员和路边人员的功能安全;(3)隐私(privacy),保护驾驶人员,以及车辆制造和供应商在知识产权方面的私密性;(4)经济性(financial),保护欺骗性的经济损失和车辆盗窃问题。
对于每个安全目标,EVITA 开展三个阶段的工作:(1)威胁识别(threat identification),使用场景和攻击树识别威胁,并获得安全需求;(2)威胁分类(threat classification),基于威胁的严重性和成功攻击的可能性对威胁进行分类;(3)风险分析(risk analysis),基于威胁的分类,提供建议的措施。
重要计算:攻击可能性的计算
每个具体的资产攻击都具有相应的攻击可能性(成功攻击所需要的时间、专业性、对攻击对象的知识、机会窗口和设备等要素)
3.2 HEAVENS风险评估
HEAVENS 安全模型是一个框架,用于识别汽车 EE 系统环境中的安全漏洞和安全要求,并定义方法、流程以及执行安全评估的工具,目的在与提高行业交付安全可靠车辆的能力。此安全模型侧重于汽车行业的威胁分析和风险评估,在概念设计阶段对识别出的资产使用STRIDE 模型进行威胁分析来帮助研发人员理解每个资产和对应威胁的映射关系,风险评估是指对威胁进行排名,获得每个威胁资产对的安全级别。根据威胁和资产的映射以及安全级别来制定评估对象的安全要求。
HEAVENS 是针对汽车电子电气系统威胁分析和风险评估的方法,同时也提供了完整的评估流程,其目标是提出一种系统方法,以便可以获得汽车电子电气系统的信息安全需求。
HEAVENS 具有四个主要的特点:
适用性范围广泛,可以适用于乘用车和商用车;
以威胁为中心,同时采用微软的 STRIDE 方法对汽车电子电气系统进行威胁评估;
在威胁分析期间建立了安全属性与威胁之间的直接映射关系,有助于及早评估特定资产对特定技术的影响程度,这种影响程度包括机密性、完整性和可用性;
将安全目标(例如信息安全、财产、操作、隐私和法规等)与威胁分析期间的影响程度相结合,有助于评估威胁对于相关利益方,比如整车制造商的潜在业务影响。因此HEAVENS是一个非常适用于评估整车电子电气系统信息安全风险的评估方法。
3.3 绿盟安全风险评估算法体系
国标GB/T 20984-2007中定义的信息安全风险评估规范中只给出了风险评估计算的原理和基础模型,但并没有给出从定性到定量的方法论。特别是威胁的量化,如何把威胁的严重性,威胁的热度、威胁情报的影响、威胁严重随时间因素的衰减等因素综合考虑的情况下,实现对威胁的量化。
绿盟科技提出如何从定性到定量实现单资产风险评估算法,并在此基础之上,如何构建安全风险分层量化体系,实现不同层级安全域风险的聚合及计算。这两个算法绿盟科技都已经申请专利。
3.3.1 单资产风险评估算法介绍
国标GB/T 20984-2007中定义的信息安全风险评估规范中只给出了风险评估计算的原理和基础模型,即风险值由威胁值、脆弱性值和资产价值组成并计算,但存在以下问题没有做清晰的定义:
并没有给出风险值、威胁值、脆弱性值的具体算法,也即并没有给出从定性到定量的量化评估算法。
本节给出单资产风险值算法,从而计算出资产基于风险三要素:资产价值/脆弱性值/威胁值聚合出风险值的一个量化指标。
风险评估主要考虑如下因素:
脆弱性:反应资产漏洞情况及配置合规性情况。
威胁:通过以往的威胁事件对网络可能受到的威胁攻击进行预测评估。
资产价值:体现资产在客户网络中的重要性,依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出。
因此在确定资产的安全风险评估算法之前,我们首先要评估出资产脆弱性、资产的威胁值及资产价值
3.3.1.1 脆弱性评估因素与算法
主机脆弱性值由主机漏洞情况及配置不符合项情况决定。其中,主机漏洞脆弱性由主机系统的所有漏洞风险加权和决定,漏洞危险程度越高的漏洞对主机漏洞脆弱性影响越大,针对漏洞的威胁程度,在绿盟的定义的漏洞库体系中给出了单个漏洞的评分系统,这个评分系统除行业标准定义的CVSS评分外。在CVSS评分不能及时跟进更新的情况下,我们还增加了绿盟自身的Nsfocus评分,作为漏洞评分系统的补充。
而对于某一主机的脆弱性评分,则是基于当前主机漏洞风险值和配置核查风险值来决定的。
主机漏洞风险值的的计算,为了最大体现威胁程度最高的漏洞对主机的威胁,我们假设一个主机共有n个漏洞,按照危险程度及CVSS评分从高到低排列的对漏洞进行排列列表为:,漏洞风险值为则依据绿盟提出的专利算法最终获得:
其中:
为威胁最大漏洞的漏洞评分值
为影响系数
μ为收敛系数
r_v 取值范围是[0,10],最小粒度为0.01
配置核查风险值可以由模版组成,配置脆弱性值的计算由单模版风险值计算,计算算法如下:
其中,
其中,
为不符合配置项的权重,m为不符合配置项的个数;为配置项的权重,n为所有配置项的个数。
最终获得主机脆弱性值的计算算法如下:
绿盟科技提出的脆弱性算法比较全面的考虑了导致主机产生脆弱性的各个因素,并基于相应的算法,并利用权重系数的调整,最大可能体现了某个严重的漏洞或者配置项对主机脆弱性值得影响。
3.3.1.2 威胁评分因素与算法
在过去几年当中,各厂家威胁评分算法一直被客户诟病,算法存在一系列问题,如:
算法中只考虑了安全威胁事件,其他因素例如是否作用在当前主机、威胁的热度、威胁情报的影响、威胁严重随时间因素的衰减等因素无法动态添加到系统中;
算法将威胁事件对周边节点的影响统一考虑在当前主机威胁值的计算中,造成作用在本机上的威胁权重降低,无法体现作用在当前主机的严重性;
基于以上算法上的缺陷,我们将AHP层次分析法引入到主威胁值算法中,从而实现在威胁的多维度影响下,将影响决策因子基于重要程度进行分层并提出从定性到定量的威胁权重计算算法,并基于配置机制动态添加决策因子。
AHP层次分析法
层次分析法,简称AHP,是指将与决策总是有关的元素分解成目标、准则、方案等层次,在此基础之上进行定性和定量分析的决策方法。该方法是美国运筹学家匹茨堡大学教授萨蒂于20世纪70年代初,在为美国国防部研究”根据各个工业部门对国家福利的贡献大小而进行电力分配”课题时,应用网络系统理论和多目标综合评价方法,提出的一种层次权重决策分析方法。
层次分析法是指将一个复杂的多目标决策问题作为一个系统,将目标分解为多个目标或准则,进而分解为多指标(或准则、约束)的若干层次,通过定性指标模糊量化方法算出层次单排序(权数)和总排序,以作为目标(多指标)、多方案优化决策的系统方法。
层次分析法是将决策问题按总目标、各层子目标、评价准则直至具体的备投方案的顺序分解为不同的层次结构,然后用求解判断矩阵特征向量的办法,求得每一层次的各元素对上一层次某元素的优先权重,最后再加权和的方法递阶归并各备择方案对总目标的最终权重,此最终权重最大者即为最优方案。
层次分析法比较适合于具有分层交错评价指标的目标系统,而且目标值又难于定量描述的决策问题。
层次分析法根据问题的性质和要达到的总目标,将问题分解为不同的组成因素,并按照因素间的相互关联影响以及隶属关系将因素按不同层次聚集组合,形成一个多层次的分析结构模型,从而最终使问题归结为最低层(供决策的方案、措施等)相对于最高层(总目标)的相对重要权值的确定或相对优劣次序的排定。
AHP分析法计算步骤主要包含如下:
威胁值评估层次结构建模
利用AHP分析法,基于资产面临的威胁,我们对其进行分层建模:
目标层:最终确定资产威胁值
准则层:我们初步把准则层分为三个层次维度:
第一层:是否作用于本机
第二层:威胁维度,包括威胁事件的威胁度,威胁事件的热度、攻击源的信誉度等。
第三层:时间区间,针对要计算的威胁全量区间,划分时间区间。
方案层:针对不同威胁维度的确定相应的基础威胁值算法/基础热度算法/基础信誉度算法。
构造分层判定矩阵
在构造判定矩阵之前,我们需要给出从定性到定量的判定准则。在层次分析法中,为了使判定定量化,关键在于设法是的任意两个方案对于某一个判定准则相对优越程度得到定量描述,一般对单一准则来说,两个方案进行比较总能判断出优劣,我们采用1~9标度的方法,对不同情况评比给出数量标度,实现定性到定量的标定。
标度 | 含义 |
1 | 表示两个因素相比,具有同等重要性 |
3 | 表示两个因素相比,一个因素比另一个因素稍微重要 |
5 | 表示两个因素相比,一个因素比另一个因素明显重要 |
7 | 表示两个因素相比,一个因素比另一个因素强烈重要 |
9 | 表示两个因素相比,一个因素比另一个因素极端重要 |
2、4、6、8 | 表示上述两相邻判定的中值 |
倒数 | 因素i与因素j比较的判断是,则因素j与i比较的判断a_ji=1/a_ij |
在此基础上,针对准则层定义的每一子层的判定决策因子,我们构造判定矩阵,矩阵元素具有如下特征:
(i,j,k=1,2,3…n)
判定矩阵中b_ij是根据资料数据、专家意见和系统分析的人员的经验经过反复研究后确定。应用层次分析法保持判定思维的一致性是非常重要的,只要矩阵中的b_ij满足上述三条关系式时,就说明判定矩阵局用完全一致性。因此针对威胁值评估的分层建模,我们构建出准则层的矩阵为:
在以上矩阵中元素的的取值依赖于专家意见、系统分析人员或者客户诉求,所以在系统实现时,上述信息的构建通过配置文件,可以动态导入到实现系统中。
针对准则层各个子层的判定矩阵,利用归一化算法得到各层判定因子的权重分配。
因此,资产的威胁值的计算公式为:
其中本机威胁值(非本机威胁值)计算公式为:
其中威胁度计算公式为:
热度计算公式为:
信誉度计算公式为:
最终,资产威胁值的计算通过准则层权重的逐层迭代计算得出。
威胁值计算简化
在安全威胁的计算体系中,由于系统中可能无法获取信誉度、热度等信息;同时,针对某一资产的威胁事件也可能是不连续,某个统计时段存在攻击,某些统计时段可能完全没有攻击,基于此,我们在实现时可以简化实现:
通过配置文件,可以简化威胁维度,例如只考虑威胁度;
对于某些统计时段没有威胁攻击时,我们系统中动态降低判定矩阵的维度,从而不再考虑没有攻击的时段
其计算公式也可以做相应的简化。
准则层的扩展性
同时在具体实现中,我们可以采用配置文件的方式,针对不同准则的重要性,定义扩展准则层中的各个子层或者各个子层中的决策因子,例如,如果我们要将威胁因子-是否阻断添加到判定准则中,由于这个因子和威胁判定维度不再一个层级,所以,我们可以扩展一个层级为“威胁是否已经阻断”,并为其构建一个2维判定矩阵,由于我们认为已经阻断比没有阻断我们极端重要,查上表,我们可以得到这个2维矩阵为
。如图所示:
这样在系统实现中,只需要简单的迭代递归算法,则可以将配置文件中新加的“是否阻断”准则考虑到威胁值的评估算法体系中去
3.3.1.3 资产价值评估因素与算法
机密性、完整性和可用性是评价资产的三个基本安全属性。风险评估中资产的重要性主要是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
机密性
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。下表提供了机密性赋值的参考。
赋值 | 标识 | 定义 |
5 | 很高 | 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害 |
4 | 高 | 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害 |
3 | 中等 | 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 |
2 | 低 | 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害 |
1 | 很低 | 可对社会公开的信息,公用的信息处理设备和系统资源等 |
完整性
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
赋值 | 标识 | 定义 |
5 | 很高 | 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大并可能造成严重的业务中断,难以弥补 |
4 | 高 | 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补 |
3 | 中等 | 中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补 |
2 | 低 | 低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补 |
1 | 低 | 完整性价值非常低未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以 忽略 |
可用性
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。
赋值 | 标识 | 定义 |
5 | 很高 | 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9月以上,或系统不允许中断 |
4 | 高 | 可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min |
3 | 中等 | 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min |
2 | 低 | 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60 min |
1 | 很低 | 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25% |
资产价值
资产按如下公式生成资产重要等级(资产价值)
等级 | 标识 | 描述 |
5 | 很高 | 很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失 |
4 | 高 | 重要,其安全属性破坏后可能对组织造成比较严重的损失 |
3 | 中等 | 比较重要,其安全属性破坏后可能对组织造成中等程度的损失 |
2 | 低 | 不太重要,其安全属性破坏后可能对组织造成较低的损失 |
1 | 很低 | 不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计 |
3.3.1.4 资产风险评估算法
一般来说,风险有两个属性:后果(Consequence)和可能性(Likelihood)。最终风险对公司信息系统的影响,也就是风险两个属性权衡作用的结果。不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性,随着弱点严重级别的提高会增加该资产面临风险的后果。在许多情况下,某资产风险的可能性是面临的威胁的可能性和资产存在的脆弱性的函数,而风险的后果是资产的价值与脆弱性的函数。
实际计算时,我们取
其中:
为主机脆弱性值
t为威胁值,范围0~10
风险可能性取值范围:0~10
风险后果计算公式
其中:
为主机脆弱性值
为主机的资产重要等级
风险损失取值范围:0~10
风险值计算公式
其风险值及风险等级映射关系如下表所示:
风险等级 | 风险值 | 标识 | 颜色 | 描述 |
5 | 8~10 | 很高 | 红色 | 一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。 |
4 | 6~8 | 高 | 橙色 | 一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。 |
3 | 4~6 | 中等 | 黄色 | 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。 |
2 | 2~4 | 低 | 蓝色 | 一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。 |
1 | 0~2 | 很低 | 绿色 | 一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。 |
3.3.2 安全风险分层量化体系
在安全风险方面,客户面临的问题当前是:由于算法问题, 业务域风险或者总风险可能小于业务单元的风险,也就是总风险不能真实反映安全运营体系中最薄弱的环节。因此,我们基于我们提出单资产风险算法,面向资产的层级体系,我们又提出了安全风险木桶权重聚合算法,利用这个算法,在计算每一层级的聚合风险值之前,我们对当前每个个体风险进行排序,个体风险越大,在计算最终聚合风险值中所占的权重最大,因而使得这个聚合风险值最能反映风险最薄弱的资产。
。
基于单资产风险评估算法,我们提出风险木桶权重聚合算法,实现安全风险分层量化体系的评估计算:
木桶权重算法
假设一个资产域有n个资产,每个资产具有属性值
,按照
大小,从高到低排列的属性值列表为:
,系统总体属性
的计算算法如下:
其中:
为影响系数
μ为收敛系数,要保证
计算结果在[0,1]之间
R_i 和R_总 取值范围是[0,10]
由于本算法的计算使得资产属性值最大的资产在计算中所占权重最大,因而总体属性值最能体现资产属性值最大的资产,并略大于这个值。
风险量化评估体系
按照木桶权重算法,逐级计算出安全域风险值(包括安全域的脆弱性值及威胁值)和总风险值(包括总脆弱性值及威胁值),体现资产域整体安全风险的最薄弱环节,体系如上图所示:
基于木桶权重算法,形成面向资产风险值、威胁值、脆弱性值的层级量化算法:
资产风险值层级量化算法
首先假设一个资产域有n个资产,每个资产具有风险值
,按照风险值
大小,从高到低排列的风险值列表为:
,系统总体风险
的计算算法如下:
其中:
为影响系数
μ为收敛系数,要保证
计算结果在[0,1]之间
R_i 和R_域 取值范围是[0,10]
通过以上算法计算出某个安全域的域风险值,由于本算法的计算使得风险最大的资产在计算中所占权重最大,因而总体风险值最能体现资产风险值最大的资产,并略大于这个值。
然后,假设一个安全监控系统有n个资产域,每个资产域具有风险值
,按照如上相同的算法,最终可以计算出整个系统的总风险值,从而在整个体系中,能够从下到上立体呈现体系的风险值及风险分布情况(如上图所示)
我们可以利用同样的算法理论计算出资产域内的域脆弱性值和域威胁值及整个体系的总脆弱性值和总威胁值。
这样使得整个系统的风险呈现通过横向维度(风险值、威胁值、脆弱性值)和纵向维度(单资产维度、各层级的安全域维度、总体维度)立体呈现,展现风险全景。
通过木桶权重算法,上层风险由下层风险最大的资产或者安全域来决定;风险值、威胁值、脆弱性值逐层计算量化,整体风险立体呈现,快速定位风险最薄弱环节。
基于这个评估体系为我们整个系统带来如下优势:
根据客户定义的不同类型安全域(资产组、地域、组织架构、业务域),可以方便快捷的逐层计算出风险值、威胁值、脆弱性值;
各个层级的风险值、威胁值、脆弱性值通过木桶权重算法获得,系统安全风险通过各个层级的风险值、威胁值、脆弱性值立体呈现,使得客户可以通过下钻快速定位TOP风险域或者TOP风险资产。
绿盟科技所提出的安全风险评估算法,不仅仅是面向某个主机或者资产,而是一个体系化的解决方案,特别是面临的各类外部威胁是各类复杂多变的因素需要考虑到风险评估中时,绿盟科技给出了一个更加的自适应的从定性到定量的方案,使得体系的安全风险评估结果更能接近于真实的网络安全现状。
四、具体资产对应的具体评估方法举例
4.1 车端
对汽车零部件级别进行信息安全风险分级
4.1.1 案例一:车载信息终端T-BOX
定性与定量的混合分析方法:对汽车信息安全相关项进行识别并提取关键特征信息,同时利用基于攻击潜力的定量评估法对其进行估值计算得出风险等级。
车载信息终端T-BOX的风险评估(基于混合分析的风险分级方法)
2.1 信息安全相关功能项识别
针对汽车零部件进行信息安全相关功能识别,具体步骤如下(如下图1):
第一步:对汽车零部件功能项进行分类,按照以下功能类进行区分:
(1)车辆远程控制相关功能;
(2)车辆与云端通信相关功能;
(3)车辆近程通信(蓝牙、Wi-Fi、NFC、无线射频等)相关功能;
(4)车辆本地物理接口(OBD、USB、USART等)相关功能;
(5)车辆运行关键服务相关功能。
当汽车零部件功能项符合以上任意功能类大于等于1项时,进入第二步;当汽车零部件功能项符合以上任意功能类小于1项时,则结束本流程,认定该汽车零部件无信息安全风险等级[3]。
第二步:将各类功能项的实现资产进行分析,可依据以下表1所示分类原则:并按照以下原则进行判定:
(1)是否存在直连车内CAN网络、LIN网络、FlexRay网络、Ethernet网络;
(2)是否存在直连车外蓝牙网络、Wi-Fi网络、NFC网络、无线射频网络;
(3)是否存在间接连接上述车内网络、车外网络;
(4)是否包含智能软件系统或硬件或高级传感器。
当汽车零部件功能项符合上述任意原则项大于等于1项时,则认定为该功能项为信息安全候选功能项,进入第三步。当汽车零部件功能项符合上述任意原则项小于1项时,则结束本流程,认定该汽车零部件无信息安全风险等级[4]。
第三步:获取汽车零部件信息安全候选功能项列表。
2.2信息安全特征分析
针对汽车零部件信息安全候选功能项进行信息安全特征分析,具体步骤如下(如下图2):
第一步:根据以下原则,判定汽车零部件信息安全候选功能项是否具备信息安全特征:
(1)是否存在3项(含)以上直接暴露的Debug、CAN、LIN、FlexRay、Ethernet、Serial、USB、HDMI、OBD等硬件接口。
(2)是否存在包含CVE高危漏洞的软件代码,如操作系统、软件组件、应用程序等[5]。
(3)是否存在2种(含)以上的公开通信协议,如公开的CAN通信协议、LIN通信协议、Wi-Fi通信协议、蓝牙通信协议等。当汽车零部件信息安全候选功能项具备以上任意2种(含)以上信息安全特征时,进入第二步;否则,结束本流程,认定该汽车零部件信息安全风险等级为“低风险”。
第二步:判定该汽车零部件信息安全候选功能项为汽车零部件信息安全功能项。
2.3量化攻击潜力分析
攻击潜力计算方法如下图3所示。针对汽车零部件信息安全功能项,从以下5个方面计算攻击潜力评估值AL,参数:AR、PE、KT、WO、EM。
如下表2所示:利用公式:AL=AR*1.905+PE*0.952+KT*0.952+WO*1.905+EM*1.905(0<=AL<=73.3)攻击潜力等级划分如下表3所示:针对汽车零部件进行信息安全风险等级划分,具体步骤如下:
第一步:对该汽车零部件信息安全功能项进行攻击潜力量化分析计算[6]。当攻击潜力等级为“低”或“中”时,进入第二步;当攻击潜力等级为“高”时,进入第三步;当攻击潜力等级为“极高”时,进入第四步[7]。
第二步:判定该汽车零部件信息安全风险等级为“中风险”。
第三步:判定该汽车零部件信息安全风险等级为“高风险”。
第四步:判定该汽车零部件信息安全风险等级为“严重风险”。
2.4 T-BOX实例验证
(1)T-BOX功能项识别
依据汽车信息安全风险分级方法(如表4),由于T-BOX包含5项信息安全关键功能,且存在大于一项的安全功能分类,因此该对象被列入信息安全候选功能项列表[8]。
(2)T-BOX信息安全特征分析
依据汽车信息安全风险分级方法(如表5),由于T-BOX的信息安全候选功能项具备5种信息安全特征,因此认定T-BOX的这5项功能均为汽车信息安全功能项。3.3T-BOX量化攻击潜力分析由5位风险评估与安全分析专家组,对T-BOX的5个信息安全功能项利用基于攻击潜力的计算估值(如表6),并计算得出其攻击潜力。依据汽车信息安全风险分级方法,得出T-BOX信息安全风险等级为“高风险”[9]
4.1.2 自动紧急刹车系统案例
这个例子展示如何依据自动紧急刹车来做信息安全的风险评估。为简明起见,把感知和决策放在一起。那么整个功能由三个部分组成:
1. 感知和决策系统,判断前方是否有紧急情况,以及车辆应该如何响应。
2. 车内通讯,感知和决策系统通过车内通讯,发送指令给执行系统。
3. 刹车系统,根据感知和决策系统发过来的指令,执行相应的车辆紧急制动。
4.1.3 汽车网关案例
针对零部件——网关的风险评估流程,从该零部件的功能出发,如网关的功能有车内 CAN/LIN 报文高速传输、车内以太网高速传输模式、车内网络行为管理、 FOTA(Firmware Over-The-Air 空中下载软件升级)、 TSP(车载信息服务系统服务)服务-远程诊断等。
按照风险评估的流程及网关功能的划分,本文针对网关的 FOTA 功能进行网关风险评估的流程示范。
(1)功能概述
网关(GW)的作用就是为在不同的通信协议和不同的传输速度的计算机或模块之间进行通信时,建立连接和信息解码,重新编译,并将数据传输给其他系统。
FOTA 是指通过云端升级技术,为具有连网功能的设备提供固件升级服务。车载电子设备,如 T-Box,车载信息娱乐系统,或其他一些有升级需求的 ECU,在连网后采用 FOTA 方式进行固件系统升级。
(2)资产识别
根据项目涉及的资产,列出资产清单,并进行用例描述,分析已有的安全机制。网关 FOTA 功能资产识别示例如下。
表 3.4 资产识别
功能 | 资产 ID | 资产类型 | 资产名称 | 用例描述 | 已有的安全机制 |
Fn_01 | As_001 | 网关-芯片 (如 MPU) | MPU-NXP | 收到软件数据包,写入网关,通过网关内部各个模块协作进行,将数 据传送至各系统 ECU。 | 1.安全启动 |
根据资产信息,首先进行威胁分析:进行安全属性识别,建立 STRIDE 威胁模型(包括:欺骗、篡改、抵赖、信息泄露、拒绝服务、提权),并分析出损害场景及潜在的车辆威胁场景、攻击路径;然后进行风险评估:包括威胁分析及威胁等级计算,影响分析及影响等级计算。
(3)威胁分析
进行威胁分析要从安全属性出发,安全属性有真实性、完整性、不可抵赖性、机密性、可用性、权限、时效性、隐私 8 个属性。基于安全属性的划分,分别分析损害场景、建立 STRIDE 威胁模型、分析潜在的车辆威胁场景及攻击路径。
如对应FOTA功能的“真实性”的安全属性,可能存在的损害场景为破坏网关MPU 的安全性能,通过发送自制的软件升级包舞蹈 MPU 对转向 ECU 进行错误更新,导致车辆在行驶中意外转向。该损害场景及安全属性对应的 STRIDE 模型为“欺骗”,对应的潜在的车辆威胁场景为:攻击者使用伪造的软件升级数据,破坏 MPU 的安全性能,导致 GW 进行错误更新,通过发送自制的软件升级包误导GW 对转向 ECU 进行错误更新,导致车辆行驶中意外转向。存在的攻击路径为:攻击者攻入汽车企业 APN 专网,明确车辆信息后,穿透 Tbox 安全机制,向车辆发送 FOTA 流程。
(4)风险评估
1、威胁评估
威胁评估根据威胁分析得出的威胁情况,从专业水平、对目标的知识度、机会窗口、设备的角度进行威胁评估,并得出各方面的指标值。
如要实现上节所述的攻击路径,需要的专业水平为“Expert”,因为伪造数据需要满足接口特征,该方面对应的指标值为 2;需要的对目标的知识度为“Sensitive”,因为需要对升级接口有深入了解,对应的指标值为 2;需要的机会窗口为“Critical”,因为网关属于半开放接口,对应的指标值为 0;设备水平为“Bespoke”,因为需要定制设备,对应的指标值为 2。
2、威胁等级计算
威胁计算时可根据实际情况换算,本文中威胁水平参数值等于各指标值相加。
TV = 2+2+0+2=6
威胁等级评估规律如下表所示:
威胁水平参数总值 | 威胁等级 | 威胁等级值 |
>9 | 无 | 0 |
7-9 | 低 | 1 |
4-6 | 中 | 2 |
2-3 | 高 | 3 |
0-1 | 严重 | 4 |
根据上表的对应关系可以得出威胁等级为中等,威胁等级值为 2。
(5)影响分析
根据威胁分析的结果,对损害场景所造成的影响从安全、经济、操作、隐私和法律(SFOP)四个方面进行分析,并得出每个影响的指标值。
如损害场景所造成的影响,在安全方面为“S3”级,因为车辆行驶中意外转向,会威胁生命安全,并且伤害不确定是否会生存,是否会有致命伤害,所以对应的指标值为 1000;造成的经济损失为“Medium”,因为所造成的损害会导致重大的财务损失,但不会威胁到组织的生存,所以指标值为 100;对车辆运转造成的影响为“High”,应为未能满足安全或监管要求,所以指标值为 100;在隐
私和法律角度造成的影响为“High”,因为违反了法律,所以对应的指标值为 100。
(6)影响等级计算
影响计算时可根据实际情况计算,本文中影响参数值等于各指标值相加。
IV =1000+100+100+100=1300
影响等级评估规律如下表所示:
表 3.6 影响等级评
影响参数总值 | 影响等级 | 影响等级值 |
0 | 无 | 0 |
1-19 | 低 | 1 |
20-99 | 中 | 2 |
100-999 | 高 | 3 |
>=1000 | 严重 | 4 |
根据上表的对应关系,可知影响等级为严重,影响等级值为 4。
(7)风险处置决策
当进行威胁评估与影响分析之后,需要对两者的结果进行汇总,得出整体的安全等级。根据安全等级决定风险处置决策,并得出安全目标或高级别安全要求,对于未选择风险降级的风险处理决策,涵盖理由和结论在内的信息安全声明应被视为项目的安全参照。对于安全等级的评价本文使用矩阵法,,如下表所示:
表 3.7 安全等级评估矩阵
安全等级 | 影响等级 | |||||
威胁等级 | 0 | 1 | 2 | 3 | 4 | |
0 | 无 | 无 | 无 | 无 | 低 | |
1 | 无 | 低 | 低 | 低 | 中 | |
2 | 无 | 低 | 中 | 中 | 高 | |
3 | 无 | 低 | 中 | 高 | 高 | |
4 | 低 | 中 | 高 | 高 | 严重 |
如对上述的威胁等级值为 2,影响等级值为 4,根据矩阵法对应的安全等级为高,风险处置决策为:风险缓解,安全目标/高级别安全要求为:设置完整性校验如写入代码签名,具备强安全校验以保证安全性;配置访问控制列表,为外来信息授予权限,缓解由于以太网欺骗而导致的车辆安全风险。
需要威胁等级参数表、影响等级参数表、以及风险处置建议表。
4.2 云端/路端(传统主机)
云端和路端所涉及到的资产主要是linux系统。
所以一起做分析和举例。
首先要评估出资产脆弱性、资产的威胁值及资产价值。
脆弱性 | |||
决定性因素 | 由主机漏洞情况及配置不符合项情况决定 | ||
计算方法 | 由主机系统的所有漏洞风险加权和决定 | ||
计算需要的元素 | 单个漏洞的评分(可以用CVSS评分,或者自定义) | ||
五、信息安全风险评估理论与工具
当前,国际上提出了一些广义的、传统的风险评估理论
六、汽车信息安全
iso 21434 文件论述了道路车辆内电气和电子系统工程中的网络安全问题,提供了与网络安全工程相关的词汇、目标、要求和指导方针,作为整个供应链共同理解的基础。企业可以用其来:
确定网络安全政策和流程;
管理网络安全风险;
培养一种网络安全文化
该文件可用于实施网络安全管理系统, 包括网络安全风险管理。
六、总结
第一,基于 ISO/SAE 21434 标准中汽车风险评估的方法指导,融合了 EVITA和 HEAVENS 的方法特点,成为行业认可的汽车信息安全评估的方法论。国内,汽标委智能网联汽车分标委下设汽车信息安全标准工作组,正在进行国际标准转化,形成推荐性国家标准 GB/T 《道路车辆 信息安全工程》,可以用于指导汽车全生命周期的风险评估相关活动及流程,目前暂时不建议单独编制一个汽车信息安全风险评估标准,对汽车风险评估进行统一要求。
第二,风险评估方法有多个,不同方法各有侧重点,相关企业可以参考现有标准的方法论的指导,根据企业及产品自身的特点选用具体的评估方法,进行风险分析,最终得出风险处置决策方案。
第三,风险评估在实践应用时会遇到很多细节问题,由于汽车产品智能化、网联化、电动化、共享化进程不断推进,汽车产品在不断更新迭代,汽车信息安全风险评估在遵循现有标准指导的基上,根据汽车发展的情况进行调整,以将方法灵活的应用于新技术新产品的分析。