基于威脅分析的智能網(wǎng)聯(lián)汽車信息安全風(fēng)險(xiǎn)評估方法

李木犀 陳博 李康 戚巖 陳雷爽

（中國第一汽車集團(tuán)有限公司 智能網(wǎng)聯(lián)開發(fā)院，長春市，130011）

主題詞：威脅分析 攻擊樹 風(fēng)險(xiǎn)評估 攻擊潛力

1 前言

1.1 智能網(wǎng)聯(lián)汽車

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、人工智能等技術(shù)的發(fā)展和應(yīng)用，智能網(wǎng)聯(lián)汽車應(yīng)運(yùn)而生，并逐漸成為全球汽車產(chǎn)業(yè)關(guān)注的焦點(diǎn)。未來，汽車將會(huì)成為互聯(lián)網(wǎng)社會(huì)的智能終端之一。在政策和市場的共同作用下，我國的智能網(wǎng)聯(lián)汽車技術(shù)將發(fā)展迅猛。

智能網(wǎng)聯(lián)汽車是搭載先進(jìn)的車載傳感器、控制器、執(zhí)行器等裝置，融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)車與X（人、車、路、后臺(tái)等）智能信息交換共享，具備復(fù)雜的環(huán)境感知、智能決策、協(xié)同控制和執(zhí)行等功能，實(shí)現(xiàn)安全、舒適、節(jié)能、高效行駛，并最終可替代人來操作的新一代汽車[1]。但在人們享受智能網(wǎng)聯(lián)汽車所帶來的更多、更新、更便捷的體驗(yàn)同時(shí)，智能化和網(wǎng)聯(lián)化所導(dǎo)致的信息安全問題也向智能網(wǎng)聯(lián)汽車提出了新的挑戰(zhàn)。

1.2 信息安全開發(fā)流程

近年來，智能網(wǎng)聯(lián)汽車被破解攻擊事件頻頻發(fā)生，國內(nèi)、外的整車廠和相關(guān)管理部門逐步開始關(guān)注到智能網(wǎng)聯(lián)汽車信息安全的重要性，并開始規(guī)劃和部署自己的信息安全管理部門。業(yè)界普遍認(rèn)為智能網(wǎng)聯(lián)汽車的信息安全應(yīng)是貫穿于整個(gè)汽車開發(fā)流程的，針對每個(gè)整車開發(fā)階段信息安全都應(yīng)有相應(yīng)的解決方案。

本論文根據(jù)智能網(wǎng)聯(lián)汽車整車開發(fā)過程中的信息安全工作經(jīng)驗(yàn)，整理出以下信息安全開發(fā)流程：

1)威脅分析：在汽車產(chǎn)品需求分析階段，要進(jìn)行信息安全威脅分析，包括風(fēng)險(xiǎn)建模、安全資產(chǎn)劃分、風(fēng)險(xiǎn)評估、攻擊路徑分析等內(nèi)容。

2)需求分析：在汽車產(chǎn)品功能設(shè)計(jì)階段，結(jié)合汽車產(chǎn)品裝備定義、功能分配及信息安全威脅分析結(jié)果，定義出整車產(chǎn)品涉及的整個(gè)智能網(wǎng)聯(lián)體系的信息安全需求。

3)信息安全方案設(shè)計(jì)：在車輛產(chǎn)品系統(tǒng)設(shè)計(jì)階段，結(jié)合需求分析，對各零部件有針對性地提出信息安全設(shè)計(jì)方案。在車輛產(chǎn)品設(shè)計(jì)階段，對部件級(jí)信息安全設(shè)計(jì)中提到的某些較獨(dú)立完整的信息安全功能進(jìn)行組件設(shè)計(jì)。

4)功能開發(fā)：在汽車產(chǎn)品開發(fā)階段，實(shí)施信息安全設(shè)計(jì)的開發(fā)工作。

5)信息安全功能測試：在汽車產(chǎn)品功能測試階段，完成信息安全功能正向驗(yàn)證測試以及結(jié)合產(chǎn)品功能的聯(lián)合測試。

6)信息安全滲透驗(yàn)證：在汽車產(chǎn)品功能測試階段，以模擬黑客對汽車產(chǎn)品信息安全進(jìn)行攻擊的黑盒測試方式，驗(yàn)證信息安全開發(fā)是否能夠達(dá)到預(yù)期效果，并查找是否存在信息安全設(shè)計(jì)階段遺漏的安全漏洞和隱患。

7)最后針對驗(yàn)證報(bào)告對開發(fā)進(jìn)行修復(fù)調(diào)整。

本文主要針對第一部分的設(shè)計(jì)方法進(jìn)行工作流程和方法的描述和介紹。

2 威脅和風(fēng)險(xiǎn)

2.1 信息安全威脅對比

威脅是對信息系統(tǒng)的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。威脅可能源于對信息系統(tǒng)直接或間接的攻擊，在機(jī)密性、完整性或可用性等方面造成損害。威脅可能源于偶發(fā)的或蓄意的事件。一般來說，威脅總是要利用信息系統(tǒng)中的操作系統(tǒng)、應(yīng)用程序或服務(wù)的弱點(diǎn)才可能成功地對資產(chǎn)造成傷害。智能網(wǎng)聯(lián)汽車的信息安全借鑒傳統(tǒng)信息系統(tǒng)的安全威脅和攻擊手段，并衍生智能網(wǎng)聯(lián)汽車獨(dú)有的信息安全。

智能網(wǎng)聯(lián)汽車與傳統(tǒng)信息系統(tǒng)因目標(biāo)對象不同、目標(biāo)對象的系統(tǒng)性能不同，所以安全威脅不完全相同，其入侵目的和攻擊手段也略有不同。下文從入侵目的和攻擊手段兩方面對比傳統(tǒng)信息系統(tǒng)和智能網(wǎng)聯(lián)汽車的安全威脅。

2.1.1 入侵目的

對于信息系統(tǒng)的入侵目的，總結(jié)為七類：執(zhí)行進(jìn)程、獲取文件和數(shù)據(jù)、進(jìn)行非授權(quán)操作、獲取超級(jí)用戶權(quán)限、使系統(tǒng)拒絕服務(wù)（使目標(biāo)系統(tǒng)中斷或者完全拒絕對合法用戶、網(wǎng)絡(luò)、系統(tǒng)或其他資源的服務(wù)）、篡改信息、披露信息。對于智能網(wǎng)聯(lián)汽車的入侵目的，總結(jié)為六類行為：增進(jìn)影響力進(jìn)行的研究行為、為了獲取用戶數(shù)據(jù)信息的行為、為了獲取車輛設(shè)計(jì)信息的行為、為了進(jìn)行惡意遠(yuǎn)程控制的攻擊行為、為了獲取行駛數(shù)據(jù)或增加隱性消費(fèi)的行為。

2.1.2 攻擊手段

攻擊可以按照不同的類型分類，比如攻擊者身份、使用的工具、存在的缺陷、攻擊目標(biāo)、攻擊方式、未授權(quán)的結(jié)果、攻擊目的等[2]。對于信息系統(tǒng)的攻擊手段，總結(jié)為五類：口令攻擊、拒絕服務(wù)攻擊DOS、利用性攻擊、信息收集型攻擊、假消息攻擊。有些攻擊手段可以直接應(yīng)用于智能網(wǎng)聯(lián)汽車上，但也有一些針對汽車的特殊攻擊手段，比如CAN網(wǎng)絡(luò)接入攻擊、OBD接口攻擊等。

2.2 智能網(wǎng)聯(lián)汽車信息安全威脅

隨著智能網(wǎng)聯(lián)汽車不斷壯大發(fā)展，各大汽車廠家紛紛推出具有車聯(lián)網(wǎng)功能的汽車，但與此同時(shí)也讓汽車信息安全面臨著威脅。通過近年來出現(xiàn)的各類汽車安全事件的搜集、分析和整理，結(jié)合我國汽車產(chǎn)業(yè)界發(fā)展中面臨到的實(shí)際問題，以及結(jié)合汽車電子電氣系統(tǒng)和傳統(tǒng)信息系統(tǒng)的不同之處，本文從車內(nèi)到車外，按照基礎(chǔ)芯片元器件、關(guān)鍵控制器軟硬件設(shè)備、內(nèi)部通信網(wǎng)絡(luò)、車載操作系統(tǒng)及應(yīng)用、外接終端設(shè)備和云服務(wù)平臺(tái)六個(gè)層面歸納出汽車領(lǐng)域當(dāng)前面臨的主要信息安全威脅。

2.2.1 基礎(chǔ)芯片元器件層面

智能網(wǎng)聯(lián)汽車中大量使用的傳感器、控制器的處理芯片等本身就可能存在設(shè)計(jì)上的缺陷或者漏洞，諸如信號(hào)干擾、緩沖區(qū)溢出、缺乏簽名校驗(yàn)機(jī)制等。

2.2.2 關(guān)鍵控制器軟硬件設(shè)備層面

智能網(wǎng)聯(lián)汽車控制器，比如車載遠(yuǎn)程通信終端、中央網(wǎng)關(guān)這類關(guān)鍵設(shè)備在認(rèn)證、鑒權(quán)、逆向信號(hào)分析等方面都可能存在較高安全風(fēng)險(xiǎn)，能夠被攻擊者操控利用。傳統(tǒng)安全機(jī)制由于在復(fù)雜度和實(shí)時(shí)性方面不適用于汽車電子應(yīng)用場景而無法直接部署應(yīng)用。

2.2.3 內(nèi)部通信網(wǎng)絡(luò)層面

智能網(wǎng)聯(lián)汽車的CAN總線，是一種事件驅(qū)動(dòng)的控制器網(wǎng)絡(luò)，CAN控制器能夠?qū)⑺鼈兊男畔鞑サ剿羞B接節(jié)點(diǎn)和所有接收節(jié)點(diǎn)，從而獨(dú)立的判斷它們是否在處理信息。CAN網(wǎng)絡(luò)優(yōu)先級(jí)驅(qū)動(dòng)CSMA/CD訪問控制方法使得CAN網(wǎng)絡(luò)在遭受攻擊的時(shí)候通信信道會(huì)被堵塞[3]。CAN的機(jī)制設(shè)計(jì)及其不安全，缺乏必要的加密和訪問控制機(jī)制，通信不認(rèn)證，消息不校驗(yàn)，面臨消息偽造、拒絕服務(wù)、重放攻擊等一系列風(fēng)險(xiǎn)。

2.2.4 車載操作系統(tǒng)及應(yīng)用層面

車載信息娛樂系統(tǒng)的操作系統(tǒng)一般使用傳統(tǒng)信息系統(tǒng)的軟件版本，比如：安卓系統(tǒng)、Linux系統(tǒng)等。系統(tǒng)本身存在各種已知或未知的漏洞威脅，且易于被攻擊者利用安裝未知應(yīng)用程序，竊取各類數(shù)據(jù)。嚴(yán)重時(shí)，甚至可能將風(fēng)險(xiǎn)傳導(dǎo)至車內(nèi)網(wǎng)絡(luò)中的其他控制器，對駕駛安全造成一定隱患。

2.2.5 外接終端設(shè)備層面

一是外接終端設(shè)備安全水平的參差不齊引入安全風(fēng)險(xiǎn)的不確定性，帶來了更多的未知安全隱患；二是部分接入終端設(shè)備可以利用OBD接口直接讀寫車內(nèi)總線數(shù)據(jù)，發(fā)送偽造控制信息指令，嚴(yán)重干擾汽車正常功能。

2.2.6 云服務(wù)平臺(tái)層面

智能網(wǎng)聯(lián)汽車的云服務(wù)平臺(tái)負(fù)責(zé)車輛控制和敏感數(shù)據(jù)的傳輸存儲(chǔ)，一般都存在傳統(tǒng)操作系統(tǒng)的漏洞及虛擬資源調(diào)度問題，大部分平臺(tái)目前訪問策略偏弱，攻擊者能夠偽造憑證訪問并獲取大量數(shù)據(jù)，對車輛本身及用戶數(shù)據(jù)隱私構(gòu)成威脅，甚至影響到部分可遠(yuǎn)程控制的車輛功能。

3 風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)管理是信息安全的全生命周期開發(fā)過程中貫穿始終的針對風(fēng)險(xiǎn)問題的管理方法，即針對智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的流程。風(fēng)險(xiǎn)管理流程中包括制定不同層級(jí)運(yùn)用風(fēng)險(xiǎn)管理的方案、制定風(fēng)險(xiǎn)評估在業(yè)務(wù)鏈上和不同開發(fā)情景中的分工、定義風(fēng)險(xiǎn)威脅管理的步驟和概要內(nèi)容、定義風(fēng)險(xiǎn)評估的具體步驟等。智能網(wǎng)聯(lián)汽車信息安全風(fēng)險(xiǎn)管理的主要目的是識(shí)別風(fēng)險(xiǎn)并對風(fēng)險(xiǎn)進(jìn)行評估，風(fēng)險(xiǎn)評估的結(jié)果是風(fēng)險(xiǎn)管理的必要輸出也是智能網(wǎng)聯(lián)汽車信息安全開發(fā)過程中信息安全方案設(shè)計(jì)的基礎(chǔ)。本文介紹的基于威脅分析的智能網(wǎng)聯(lián)汽車信息安全風(fēng)險(xiǎn)評估方法屬于風(fēng)險(xiǎn)管理流程中前兩個(gè)步驟的設(shè)計(jì)方法。風(fēng)險(xiǎn)管理流程如圖1所示。

圖1 風(fēng)險(xiǎn)管理流程

3.1 風(fēng)險(xiǎn)識(shí)別方法

智能網(wǎng)聯(lián)汽車信息安全風(fēng)險(xiǎn)識(shí)別基于三個(gè)步驟實(shí)現(xiàn)：

首先要基于智能網(wǎng)聯(lián)汽車目標(biāo)對象的功能和場景進(jìn)行安全資產(chǎn)識(shí)別，在該過程中明確具有信息安全風(fēng)險(xiǎn)且需要保護(hù)的對象；

其次是針對安全資產(chǎn)進(jìn)行分析，是明確安全資產(chǎn)具體安全屬性的過程；

最后針對資產(chǎn)進(jìn)行基于攻擊樹模型的威脅分析，識(shí)別出針對該資產(chǎn)的全部風(fēng)險(xiǎn)和攻擊方法。

3.2 資產(chǎn)識(shí)別

早期的智能網(wǎng)聯(lián)汽車是在傳統(tǒng)車的電子電氣架構(gòu)基礎(chǔ)上增加了智能和網(wǎng)聯(lián)的功能，隨著自動(dòng)駕駛技術(shù)和網(wǎng)聯(lián)信息化技術(shù)的發(fā)展，目前智能網(wǎng)聯(lián)汽車幾乎都是在高速網(wǎng)絡(luò)通信要求、自動(dòng)駕駛功能要求、功能安全要求、信息安全要求等技術(shù)功能需求基礎(chǔ)上建立的全新的電子電氣架構(gòu)平臺(tái)。對于智能網(wǎng)聯(lián)汽車的資產(chǎn)識(shí)別一般也是從電子電氣架構(gòu)入手。從資產(chǎn)實(shí)體的分布形式識(shí)別，資產(chǎn)可以分為：傳感器、執(zhí)行器、控制器、網(wǎng)關(guān)、車內(nèi)網(wǎng)絡(luò)等。從資產(chǎn)的表現(xiàn)形式識(shí)別，資產(chǎn)可以分為數(shù)據(jù)、軟件、硬件、服務(wù)等，而從需要保護(hù)的業(yè)務(wù)過程和活動(dòng)以及所關(guān)注信息的角度來識(shí)別，資產(chǎn)類型可包括基于ECU的控制功能、與特定車輛相關(guān)的信息、車輛狀態(tài)信息、用戶信息、配置信息、特定的軟件、內(nèi)容等[4]。

資產(chǎn)識(shí)別主要是對整車、車輛子系統(tǒng)、零部件、控制器、硬件、軟件、處理器等進(jìn)行信息安全相關(guān)性的識(shí)別。經(jīng)過資產(chǎn)識(shí)別可以得到明確的與信息安全相關(guān)的資產(chǎn)，進(jìn)而針對這些資產(chǎn)進(jìn)行資產(chǎn)分析，從而確定資產(chǎn)面臨的威脅。資產(chǎn)識(shí)別的輸入輸出關(guān)系如圖2所示。

圖2 資產(chǎn)識(shí)別關(guān)系圖

資產(chǎn)識(shí)別的過程在于確定資產(chǎn)范圍中的內(nèi)容是否具有攻擊面。攻擊面指的是攻擊一個(gè)資產(chǎn)目標(biāo)可以采用的所有方式，尋找資產(chǎn)目標(biāo)的攻擊面可以判斷該資產(chǎn)是否是與信息安全具有相關(guān)性。主要采用以下方法對系統(tǒng)、子系統(tǒng)或部件級(jí)的資產(chǎn)的攻擊面進(jìn)行識(shí)別：

1)該資產(chǎn)是否與外部網(wǎng)絡(luò)有基于物理連接或無線連接的通信傳輸通道？比如移動(dòng)互聯(lián)網(wǎng)絡(luò)、Wi-Fi接口、藍(lán)牙接口等；

2)該資產(chǎn)是否與內(nèi)部網(wǎng)絡(luò)有基于物理連接或無線連接的通信傳輸通道？比如CAN、以太網(wǎng)；

3)該資產(chǎn)是否具有診斷接口；

4)該資產(chǎn)是否具備電子設(shè)備或硬件產(chǎn)品；

5)該資產(chǎn)是否帶有軟件；

6)該資產(chǎn)是否帶有傳感器；

7)該資產(chǎn)是否是電動(dòng)的，是否需要充電。

與信息安全要求相關(guān)的資產(chǎn)是需要進(jìn)行保護(hù)的安全資產(chǎn)，比如：車輛信息、敏感數(shù)據(jù)信息、密鑰信息、車內(nèi)通信和診斷、升級(jí)過程、控制過程、配置和記錄信息等。與信息安全要求不相關(guān)的資產(chǎn)不需要進(jìn)行安全保護(hù)，比如基于機(jī)械控制的子系統(tǒng)，它不具備信息安全的攻擊面。

3.3 資產(chǎn)分析

在確定信息安全相關(guān)資產(chǎn)后進(jìn)行資產(chǎn)分析，明確安全目標(biāo)，并根據(jù)資產(chǎn)的信息安全關(guān)聯(lián)性確定資產(chǎn)具備的信息安全屬性。資產(chǎn)分析的輸入輸出關(guān)系圖如圖3所示。

圖3 資產(chǎn)分析關(guān)系圖

信息安全屬性包括機(jī)密性、完整性、可用性。安全性相關(guān)的影響包括安全影響、隱私影響、經(jīng)濟(jì)影響、執(zhí)行影響等。每一個(gè)屬性的含義見表1，影響的說明見表2。

表1 安全相關(guān)屬性

表2 安全相關(guān)影響

資產(chǎn)分析的過程是針對每一個(gè)與信息安全相關(guān)的資產(chǎn)的安全屬性的識(shí)別。識(shí)別方法主要依賴于對安全資產(chǎn)的功能或者性質(zhì)的分析。主要依據(jù)的步驟是：

1)該資產(chǎn)是否具有機(jī)密性要求；

2)該資產(chǎn)是否具有完整性要求；

3)該資產(chǎn)是否對可用性有要求。

經(jīng)過資產(chǎn)識(shí)別和資產(chǎn)分析之后，可以明確威脅分析的范圍，明確智能網(wǎng)聯(lián)汽車中哪個(gè)系統(tǒng)、子系統(tǒng)、部件等需要進(jìn)行信息安全防護(hù)。這樣的分析過程規(guī)定了對資產(chǎn)的梳理過程，可以有效避免對于安全資產(chǎn)的遺漏，避免信息安全風(fēng)險(xiǎn)分析的缺失。

3.4 威脅分析方法

威脅分析是對資產(chǎn)的信息安全風(fēng)險(xiǎn)進(jìn)行識(shí)別，分析風(fēng)險(xiǎn)和威脅對資產(chǎn)的破壞性。威脅分析以信息安全資產(chǎn)分析的結(jié)果作為輸入條件。威脅分析的輸入輸出關(guān)系圖如圖4所示。

圖4 威脅分析關(guān)系圖

對于攻擊路徑的識(shí)別基于攻擊樹的分析方法，它明確了攻擊目的、攻擊目標(biāo)、攻擊方法等。攻擊樹分析方法是信息安全行業(yè)中較常用的分析方法，它的使用一般會(huì)結(jié)合攻擊場景的分析。智能網(wǎng)聯(lián)汽車體系的復(fù)雜性決定了它具有較多的攻擊場景和攻擊路徑，因此基于攻擊樹的分析也更加復(fù)雜。攻擊樹模型如圖5所示。

圖5 攻擊樹模型

結(jié)合攻擊樹和攻擊場景進(jìn)行威脅分析的具體方法步驟是：

1)資產(chǎn)分析的結(jié)果作為輸入項(xiàng)；

2)選擇攻擊該資產(chǎn)的安全屬性作為攻擊目的；

3)針對攻擊目的，分析不同的攻擊方法；

4)進(jìn)一步明確攻擊方法的實(shí)現(xiàn)路徑；

5)選擇攻擊該資產(chǎn)的其他安全屬性作為攻擊目的；

6)針對攻擊目的，分析不同的攻擊方法；

7)循環(huán)上述步驟，直至完成全部安全資產(chǎn)的分析。

在完成全部的攻擊樹分析后，應(yīng)進(jìn)行潛在威脅分析評估。潛在威脅分析評估指的是針對一條攻擊鏈中的每一個(gè)攻擊方法的攻擊潛力進(jìn)行評估。攻擊潛力即實(shí)現(xiàn)一個(gè)攻擊方法的難易程度，結(jié)果可能是潛力高亦或是沒有潛力。評價(jià)攻擊潛力主要依據(jù)以下五個(gè)要素：

1)時(shí)間代價(jià)，即攻擊需要花費(fèi)的時(shí)間；

2)專家專業(yè)知識(shí)，即是否具備專業(yè)的技術(shù)能力；

3)對目標(biāo)的了解，即是否熟悉攻擊目標(biāo)的相關(guān)知識(shí)內(nèi)容；

4)有利時(shí)機(jī)，即是否具備攻擊的適宜的時(shí)機(jī)；

5)設(shè)備，即是否需要硬件工具、軟件工具或其他設(shè)備。

結(jié)合五個(gè)影響要素能夠得出攻擊潛力的不同結(jié)果。以CAN網(wǎng)絡(luò)通信的機(jī)密性舉例。因?yàn)镃AN網(wǎng)絡(luò)通信在設(shè)計(jì)之初沒有考慮到任何的信息安全問題，從當(dāng)時(shí)的設(shè)計(jì)思路來看，車輛是一個(gè)封閉的個(gè)體，CAN通信不會(huì)面臨數(shù)據(jù)或報(bào)文的安全問題，所以導(dǎo)致現(xiàn)在車內(nèi)的CAN網(wǎng)絡(luò)存在明文數(shù)據(jù)、報(bào)文廣播式、報(bào)文無完整性校驗(yàn)、無身份認(rèn)證識(shí)別等信息安全問題。對它的攻擊可以通過OBD接口，所需攻擊時(shí)間較少、不需要專家級(jí)的技術(shù)人員、CAN總線的技術(shù)難度低、攻擊時(shí)機(jī)較多、不需要特殊或高成本的設(shè)備工具，因此其攻擊潛力是高的，也成為基礎(chǔ)型攻擊。

攻擊樹中一個(gè)層級(jí)的攻擊潛力的最高程度代表了這個(gè)層級(jí)的上一層級(jí)節(jié)點(diǎn)的攻擊潛力。依次類推，可以得到安全資產(chǎn)的攻擊潛力。攻擊潛力是進(jìn)行風(fēng)險(xiǎn)評估的主要輸入條件。

綜上所述，威脅分析明確了威脅和風(fēng)險(xiǎn)存在的具體形式、攻擊方法和攻擊鏈路。威脅分析的結(jié)果，即攻擊潛力可以作為下一步風(fēng)險(xiǎn)評估的輸入。

3.5 風(fēng)險(xiǎn)評估方法

在智能網(wǎng)聯(lián)汽車的產(chǎn)品生命周期中，需要在產(chǎn)品生命周期的不同環(huán)節(jié)進(jìn)行信息安全風(fēng)險(xiǎn)評估。比如產(chǎn)品功能概要設(shè)計(jì)階段、產(chǎn)品詳細(xì)設(shè)計(jì)階段、產(chǎn)品量產(chǎn)前的階段等。風(fēng)險(xiǎn)是一直貫穿信息安全設(shè)計(jì)開發(fā)過程的關(guān)鍵索引，對于風(fēng)險(xiǎn)的策略制定、風(fēng)險(xiǎn)的防護(hù)措施、風(fēng)險(xiǎn)的留存等過程都需要一個(gè)合理的風(fēng)險(xiǎn)評估結(jié)果的支撐。

通過風(fēng)險(xiǎn)評估明確風(fēng)險(xiǎn)策略，進(jìn)而才能確定風(fēng)險(xiǎn)應(yīng)對措施。風(fēng)險(xiǎn)評估的輸入輸出關(guān)系圖見圖6。

圖6 風(fēng)險(xiǎn)評估關(guān)系

風(fēng)險(xiǎn)評估是根據(jù)威脅分析的結(jié)果對智能網(wǎng)聯(lián)汽車目標(biāo)對象的風(fēng)險(xiǎn)進(jìn)行整體的評價(jià)，主要是識(shí)別風(fēng)險(xiǎn)發(fā)生的場景、對道路使用者或者乘客的影響以及攻擊成功的可能性。評價(jià)因素包括上一階段威脅分析的結(jié)果即攻擊潛力和破壞潛力的整體評價(jià)。

智能網(wǎng)聯(lián)汽車的信息安全風(fēng)險(xiǎn)評估方法如下：

1)針對一個(gè)風(fēng)險(xiǎn)場景，分析與該風(fēng)險(xiǎn)場景相關(guān)的所有威脅，并且列出全部威脅對應(yīng)的攻擊潛力。

2)通過攻擊潛力的比對，可以明確這個(gè)風(fēng)險(xiǎn)場景的攻擊潛力的高低。同樣針對該風(fēng)險(xiǎn)場景，可以明確破壞潛力的高低。從而得到最終的風(fēng)險(xiǎn)評估結(jié)果。

針對不同的風(fēng)險(xiǎn)評估結(jié)果應(yīng)依據(jù)風(fēng)險(xiǎn)策略的定義，制定不同的設(shè)計(jì)手段規(guī)避風(fēng)險(xiǎn)，從而能最終達(dá)到信息安全設(shè)計(jì)目標(biāo)。

4 應(yīng)用實(shí)例

以具備智能網(wǎng)聯(lián)功能的紅旗車型的基于威脅分析的信息安全風(fēng)險(xiǎn)評估過程為例，介紹產(chǎn)品開發(fā)過程中的應(yīng)用方法。

在經(jīng)過對整車資產(chǎn)的識(shí)別后，可以得出車輛或用戶的敏感數(shù)據(jù)是一個(gè)典型的安全資產(chǎn)。以這個(gè)安全資產(chǎn)為例，進(jìn)行資產(chǎn)分析。

在資產(chǎn)分析階段可以明確車輛或用戶的敏感數(shù)據(jù)具備的安全目標(biāo)包括：機(jī)密性、完整性和可用性要求。

針對機(jī)密性目標(biāo)，進(jìn)行車輛或用戶的敏感數(shù)據(jù)機(jī)密性的威脅分析，基于攻擊方法、攻擊路徑的匯總得出攻擊樹，見圖7。

圖7 敏感信息機(jī)密性分析攻擊樹

對攻擊樹的每一個(gè)攻擊方法和每一條攻擊路徑進(jìn)行分析，可以得到車輛或用戶的敏感數(shù)據(jù)機(jī)密性的攻擊潛力，見表3。

表3 安全相關(guān)屬性

以用戶隱私的非法獲取作為攻擊場景為例，這個(gè)場景涵蓋的威脅包括車輛或用戶的敏感數(shù)據(jù)機(jī)密性的攻擊等，綜合分析所有威脅的攻擊潛力，評估用戶隱私場景的攻擊潛力為高。

結(jié)合攻擊影響：安全影響、隱私影響、經(jīng)濟(jì)影響、操作影響，確定用戶隱私與隱私影響和經(jīng)濟(jì)影響有關(guān)，評估其破壞潛力影響為中級(jí)。

綜合攻擊潛力和破壞潛力的分析結(jié)果，評估其信息安全風(fēng)險(xiǎn)為高。

5 結(jié)束語

隨著網(wǎng)聯(lián)信息化和自動(dòng)駕駛智能化的發(fā)展，車輛的信息安全防護(hù)技術(shù)也被推到了技術(shù)前沿，作為基礎(chǔ)保障性技術(shù)得到了越來越多的重視。對整車的信息安全防護(hù)的廣度和深度完全依賴于信息安全風(fēng)險(xiǎn)評估的準(zhǔn)確性、風(fēng)險(xiǎn)策略制定的合理性等因素。所以，針對整車以及整車相關(guān)的網(wǎng)聯(lián)和智能功能進(jìn)行有效的風(fēng)險(xiǎn)評估是至關(guān)重要的，而基于威脅分析的信息安全風(fēng)險(xiǎn)評估方法能夠提供一個(gè)合理且規(guī)范的評價(jià)準(zhǔn)則。