五月天高清无码,国产大全五月天成人专区,久久这里只有精品6

引言

強(qiáng)標(biāo)《汽車整車信息安全技術(shù)要求》（以下簡(jiǎn)稱GB整車強(qiáng)標(biāo)）在第6章車輛信息安全一般要求中提到：“車輛生產(chǎn)企業(yè)應(yīng)識(shí)別車輛的關(guān)鍵要素，對(duì)車輛進(jìn)行風(fēng)險(xiǎn)評(píng)估，并管理已識(shí)別的風(fēng)險(xiǎn)。”

GB整車強(qiáng)標(biāo)雖未正式發(fā)布，但已在本月順利通過(guò)審查。對(duì)智能網(wǎng)聯(lián)汽車制造商而言，已經(jīng)到了必須采取行動(dòng)的緊迫階段。而作為智能汽車網(wǎng)絡(luò)安全開(kāi)發(fā)的起點(diǎn)和關(guān)鍵基石，汽車威脅分析與風(fēng)險(xiǎn)評(píng)估也成了車廠首要任務(wù)，無(wú)論是進(jìn)行風(fēng)險(xiǎn)管理還是安全測(cè)試，威脅分析和風(fēng)險(xiǎn)評(píng)估都是最基礎(chǔ)的一步。

方法論概述

GB整車強(qiáng)標(biāo)雖然對(duì)威脅分析與風(fēng)險(xiǎn)評(píng)估提出了要求，但是并未給出具體的方法論，在具體的工程實(shí)踐中，還是應(yīng)該參考ISO/SAE 21434中提出的威脅分析和風(fēng)險(xiǎn)評(píng)估的方法及流程，其內(nèi)容概要如圖1-1所示：

（圖1-1）

完整的TARA分析流程在確定分析對(duì)象后，就要對(duì)對(duì)象進(jìn)行資產(chǎn)識(shí)別，明確我們要分析的網(wǎng)絡(luò)安全財(cái)產(chǎn)，然后針對(duì)這些網(wǎng)絡(luò)安全財(cái)產(chǎn)進(jìn)行損害場(chǎng)景識(shí)別和威脅場(chǎng)景識(shí)別。

損害場(chǎng)景即站在車輛制造商或道路使用者的角度分析資產(chǎn)的安全屬性被破壞后所造成的影響，通過(guò)損害場(chǎng)景對(duì)車輛制造商或道路使用者造成的影響大小進(jìn)行評(píng)分得出影響等級(jí)。

威脅場(chǎng)景是站在攻擊者的角度分析通過(guò)采取何種手段，利用什么漏洞可以破壞資產(chǎn)的各個(gè)安全屬性并造成影響，根據(jù)完成攻擊的難易程度進(jìn)行評(píng)分，得出攻擊可行性等級(jí)。

最后綜合影響等級(jí)和攻擊可行性等級(jí)結(jié)果計(jì)算最終的風(fēng)險(xiǎn)值，并給出不同的風(fēng)險(xiǎn)處置策略。

本文將結(jié)合以往項(xiàng)目經(jīng)驗(yàn)，并以ISO/SAE 21434中的方法論為例，對(duì)汽車威脅分析與風(fēng)險(xiǎn)評(píng)估方法論中的關(guān)鍵步驟進(jìn)行解讀。

評(píng)估對(duì)象確認(rèn)

確認(rèn)評(píng)估對(duì)象的輸入是整個(gè)TARA分析的起點(diǎn)，需要根據(jù)業(yè)務(wù)場(chǎng)景明確相關(guān)的分析對(duì)象、分析的邊界、功能及系統(tǒng)架構(gòu)。在此階段的依賴輸入為item definition（項(xiàng)目定義文檔）。

資產(chǎn)識(shí)別

完成一個(gè)高質(zhì)量的TARA分析的先決條件就是要準(zhǔn)確識(shí)別網(wǎng)絡(luò)安全相關(guān)資產(chǎn)，所謂資產(chǎn)就是具有一個(gè)或多個(gè)網(wǎng)絡(luò)安全屬性的有價(jià)值的數(shù)據(jù)、組件或功能等。

常見(jiàn)安全屬性包括保密性、完整性和可用性，也可根據(jù)實(shí)際情況進(jìn)行擴(kuò)展如：真實(shí)性、抗抵賴性、授權(quán)和新鮮性等，安全屬性的破壞會(huì)導(dǎo)致評(píng)估對(duì)象的信息安全造成損害的，我們可以認(rèn)定其為資產(chǎn)，資產(chǎn)也可根據(jù)應(yīng)用場(chǎng)景的不同分為不同的類型，不同類型的資產(chǎn)也會(huì)有其特殊的網(wǎng)絡(luò)安全屬性，資產(chǎn)及其安全屬性是我們進(jìn)行威脅與風(fēng)險(xiǎn)評(píng)估的關(guān)鍵基礎(chǔ)。

損害場(chǎng)景分析

資產(chǎn)識(shí)別完成后，我們會(huì)得到帶有網(wǎng)絡(luò)安全屬性的資產(chǎn)清單，根據(jù)不同安全屬性被破壞后對(duì)車輛制造商、道路使用者或其他實(shí)體所造成的影響確定最終的損害場(chǎng)景。

注：一個(gè)安全屬性可以對(duì)應(yīng)多個(gè)損害場(chǎng)景。

影響評(píng)級(jí)分析

影響評(píng)級(jí)主要從以下四個(gè)維度來(lái)進(jìn)行判斷：安全（Safety）、財(cái)產(chǎn)（Financial）、操作（Operational）、隱私（Privacy），每個(gè)維度包含四個(gè)等級(jí)，嚴(yán)重（Severe）、主要（Major）、中等（Moderate）、可忽略（Negligible），具體評(píng)分標(biāo)準(zhǔn)可參考圖1-2：

（圖1-2）

我們?cè)谂袛嘤绊懙燃?jí)的時(shí)候，四個(gè)維度中有一項(xiàng)是嚴(yán)重的，那么最終的影響級(jí)別就是高，我們可以直接選取最嚴(yán)重的結(jié)果作為最終的判定結(jié)果。

威脅場(chǎng)景分析

威脅場(chǎng)景分析需要識(shí)別和判斷攻擊者使用何種方式破壞資產(chǎn)的安全屬性導(dǎo)致?lián)p害場(chǎng)景的產(chǎn)生。我們應(yīng)站在攻擊者視角，盡可能全面地識(shí)別和發(fā)現(xiàn)攻擊方法。

識(shí)別威脅場(chǎng)景我們可以借助一些威脅分析模型，比如：STRIDE、EVITA、TVRA、DREAD等，幾種模型各有優(yōu)勢(shì)及側(cè)重點(diǎn)，針對(duì)汽車行業(yè)的威脅分析與風(fēng)險(xiǎn)評(píng)估，推薦使用微軟的STRIDE模型，通過(guò)將資產(chǎn)的安全屬性與威脅相匹配，進(jìn)而根據(jù)威脅的定義識(shí)別出與資產(chǎn)相關(guān)的威脅，確保在分析過(guò)程中不會(huì)忽略已知的攻擊。

注：一個(gè)損害場(chǎng)景可以對(duì)應(yīng)多個(gè)威脅場(chǎng)景，一個(gè)威脅場(chǎng)景也可以導(dǎo)致多個(gè)損害場(chǎng)景。

攻擊路徑分析

攻擊路徑分析就是將威脅場(chǎng)景中的攻擊方法展開(kāi)分析；傳統(tǒng)IT行業(yè)攻擊思路通常是信息搜集外網(wǎng)打點(diǎn)，從外網(wǎng)進(jìn)入內(nèi)網(wǎng)獲取服務(wù)器控制權(quán)限，再通過(guò)橫向擴(kuò)展獲取局域網(wǎng)內(nèi)更多服務(wù)器的控制權(quán)限及數(shù)據(jù)；智能網(wǎng)聯(lián)汽車的攻擊思路亦是如此，基于整車來(lái)講，攻擊者的攻擊入口基本上是比較確定的，首先要具備接入車內(nèi)網(wǎng)絡(luò)的權(quán)限或者控制云端后臺(tái)直接實(shí)現(xiàn)遠(yuǎn)程控制車輛，當(dāng)攻擊者獲取接入車內(nèi)網(wǎng)絡(luò)權(quán)限后，便可以實(shí)施車內(nèi)網(wǎng)絡(luò)分析、車內(nèi)控制器權(quán)限控制、固件及數(shù)據(jù)的提取。

針對(duì)攻擊路徑的分析有兩種方法：自頂向下和自底向上。

自頂向下：根據(jù)已知漏洞或相似的組件，推斷出資產(chǎn)或組件的攻擊路徑，可將其視為一種公式化的分析方法，該方法適用于我們分析的對(duì)象還未實(shí)現(xiàn)，處在概念設(shè)計(jì)階段的時(shí)候較為實(shí)用。

自底向上：適用于已經(jīng)掌握分析對(duì)象的詳細(xì)架構(gòu)設(shè)計(jì)、SBOM及HBOM等的場(chǎng)景，此時(shí)可以依據(jù)掌握的信息識(shí)別出各個(gè)分析對(duì)象的具體漏洞，通過(guò)具體的漏洞信息判斷實(shí)際的攻擊路徑。

攻擊可行性分析

攻擊可行性分析主要有三種方法基于攻擊向量、基于攻擊潛力和基于CVSS的方法。

攻擊向量

基于攻擊向量的方法主要是從發(fā)起攻擊的位置進(jìn)行判斷，包含四個(gè)方面：遠(yuǎn)程（network）、近場(chǎng)（adjacent）、本地（local）、物理（physical）。

攻擊潛力

基于攻擊潛力的方法主要包含五個(gè)方面：

1、經(jīng)歷時(shí)間（elapsed time）：從識(shí)別漏洞到完成攻擊所花費(fèi)的時(shí)間（專家）

2、專業(yè)知識(shí)（specialist expertises）：攻擊者的專業(yè)技能和經(jīng)驗(yàn)水平

3、對(duì)象或組件的知識(shí)（knowledg of the item or component）：對(duì)目標(biāo)信息的了解程度

4、攻擊窗口（window of opportunity）：完成攻擊所需要的條件

5、設(shè)備（equipment）：攻擊者完成攻擊所需要的工具

具體評(píng)分標(biāo)準(zhǔn)參考圖1-3：

（圖1-3）

基于攻擊潛力的方法比較全面但不夠具體，所以當(dāng)我們采用上文所說(shuō)的自頂向下的攻擊路徑分析方法時(shí)，推薦采用基于攻擊潛力的評(píng)分方式。

?CVSS

基于CVSS的方法主要包含四個(gè)方面：

1、攻擊向量（attack vector）：遠(yuǎn)程、近場(chǎng)、本地、物理

2、攻擊復(fù)雜度（attack complexity）：高、低

3、攻擊權(quán)限要求（privileges required）：高、低、無(wú)

4、是否需要用戶交互（user interaction）：需要、不需要

具體評(píng)分標(biāo)準(zhǔn)參考圖1-4：

（圖1-4）

基于CVSS的方法更適用于針對(duì)每個(gè)詳細(xì)的漏洞和攻擊方法進(jìn)行評(píng)分，對(duì)于確定的攻擊方式評(píng)分更加準(zhǔn)確具體，所以這種方法適用于上文中提到的自底向上的攻擊路徑分析方式。

風(fēng)險(xiǎn)定級(jí)

在完成資產(chǎn)識(shí)別和威脅分析之后，我們將使用合適的方法和工具來(lái)評(píng)估威脅如何導(dǎo)致安全事件的發(fā)生，即攻擊的可行性。然后，結(jié)合相關(guān)損害場(chǎng)景的影響等級(jí)，我們可以評(píng)估安全事件可能造成的損失，從而確定安全風(fēng)險(xiǎn)。

根據(jù)計(jì)算出的相關(guān)損害場(chǎng)景的影響等級(jí)與相應(yīng)攻擊路徑的攻擊可行性，計(jì)算風(fēng)險(xiǎn)值，風(fēng)險(xiǎn)值的計(jì)算方法通常采用矩陣法，通過(guò)查詢風(fēng)險(xiǎn)矩陣得出最終的安全風(fēng)險(xiǎn)值。具體風(fēng)險(xiǎn)矩陣可參考圖1-5：

（圖1-5）

風(fēng)險(xiǎn)處置決策

在完成風(fēng)險(xiǎn)定級(jí)后，根據(jù)風(fēng)險(xiǎn)矩陣得出了相應(yīng)的風(fēng)險(xiǎn)值，對(duì)于不同的風(fēng)險(xiǎn)值應(yīng)該采取不同的處置策略，從而確定風(fēng)險(xiǎn)整改的緊急性和必要性，風(fēng)險(xiǎn)處置決策主要包含以下幾個(gè)方面：

1、規(guī)避風(fēng)險(xiǎn)（Avoiding the risk）：通過(guò)消除風(fēng)險(xiǎn)源來(lái)避免風(fēng)險(xiǎn)的產(chǎn)生

2、緩解風(fēng)險(xiǎn)（Reducing the risk）：通過(guò)網(wǎng)絡(luò)安全目標(biāo)和網(wǎng)絡(luò)安全需求降低風(fēng)險(xiǎn)的影響

3、轉(zhuǎn)移風(fēng)險(xiǎn)（Sharing the risk）：通過(guò)合同分擔(dān)風(fēng)險(xiǎn)或通過(guò)購(gòu)買保險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)

4、保留風(fēng)險(xiǎn)（Retaining the risk）：風(fēng)險(xiǎn)影響較小或無(wú)影響，通過(guò)網(wǎng)絡(luò)安全聲明說(shuō)明保留原因

詳細(xì)的風(fēng)險(xiǎn)處置方式介紹將于另外篇幅中進(jìn)行說(shuō)明。

網(wǎng)絡(luò)安全目標(biāo)

在經(jīng)過(guò)資產(chǎn)識(shí)別、損害場(chǎng)景識(shí)別、損害影響評(píng)級(jí)、威脅場(chǎng)景識(shí)別、攻擊路徑分析以及攻擊可行性分析后，我們最終得到了資產(chǎn)的相關(guān)風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)會(huì)導(dǎo)致資產(chǎn)的網(wǎng)絡(luò)安全屬性被破壞，通過(guò)確定網(wǎng)絡(luò)安全目標(biāo)來(lái)保證資產(chǎn)的安全屬性不被破壞，同時(shí)也為后續(xù)制定網(wǎng)絡(luò)安全需求提供了方向。

網(wǎng)絡(luò)安全需求

安全需求顧名思義，就是控制器要滿足網(wǎng)絡(luò)安全需要采取的措施，在經(jīng)過(guò)威脅分析和風(fēng)險(xiǎn)評(píng)估后，得出了控制器或組件需要采取的控制措施，這些措施是為了保護(hù)汽車系統(tǒng)免受網(wǎng)絡(luò)攻擊和潛在威脅的影響而需要滿足的一系列技術(shù)要求如：機(jī)密性、完整性、可用性、身份認(rèn)證和訪問(wèn)控制、安全遠(yuǎn)程訪問(wèn)，以及惡意行為檢測(cè)和響應(yīng)等。

提出網(wǎng)絡(luò)安全需求后還應(yīng)對(duì)網(wǎng)絡(luò)安全需求能否達(dá)成網(wǎng)絡(luò)安全目標(biāo)進(jìn)行確認(rèn)，通過(guò)滿足網(wǎng)絡(luò)安全需求可以提高汽車系統(tǒng)的網(wǎng)絡(luò)安全性，確保車輛和乘客的安全。

GB整車強(qiáng)標(biāo)對(duì)整車提出了車輛信息安全技術(shù)要求，包含外部連接安全要求、通信安全要求、軟件升級(jí)安全要求、數(shù)據(jù)安全要求這幾個(gè)方面，車輛制造商和供應(yīng)商可根據(jù)威脅與風(fēng)險(xiǎn)評(píng)估結(jié)果中得出的網(wǎng)絡(luò)安全需求，結(jié)合GB整車強(qiáng)標(biāo)中的信息安全技術(shù)要求，形成自己的安全需求規(guī)范，用以指導(dǎo)后續(xù)項(xiàng)目的開(kāi)發(fā)。

INCHTEK·云馳未來(lái)

云馳未來(lái)秉承著“讓人與機(jī)器安全和諧相處”的理念，專注于為未來(lái)的智能汽車提供全生命周期的信息安全解決方案和產(chǎn)品。具備ECU/DCU信息安全開(kāi)發(fā)、整車信息安全正向開(kāi)發(fā)能力，并結(jié)合自動(dòng)駕駛和軟件定義汽車等關(guān)鍵技術(shù)，基于軟硬結(jié)合、車云一體思路，構(gòu)建智能汽車縱深防御的信息安全體系。

作為智能汽車信息安全技術(shù)的引領(lǐng)者，云馳未來(lái)已為寶馬、東風(fēng)汽車、賽力斯、金龍等OEM主機(jī)廠和保隆霍富、海拉、恩井汽車、億緯鋰能等Tier1，百度Apollo、京東物流、滴滴、圖森未來(lái)、阿里達(dá)摩院、三一智礦、文遠(yuǎn)知行、輕舟智航、九識(shí)智能、云創(chuàng)智行等自動(dòng)駕駛公司，以及智能網(wǎng)聯(lián)示范區(qū)提供信息安全整體解決方案。累計(jì)為20余家自動(dòng)駕駛公司、14余家OEM及Tier1提供產(chǎn)品與服務(wù)。

圍繞智能汽車信息安全產(chǎn)業(yè)，公司積極參與國(guó)家智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系和產(chǎn)業(yè)生態(tài)建設(shè)，先后成為汽標(biāo)委、信安標(biāo)委、通標(biāo)委會(huì)員單位，入選工信部車聯(lián)網(wǎng)安全工作專班，承擔(dān)國(guó)家級(jí)車聯(lián)網(wǎng)安全試點(diǎn)項(xiàng)目；與CICV創(chuàng)新中心、芯馳科技、地平線、TUV萊茵、曹操出行、易咖智車、北京交通大學(xué)等行業(yè)伙伴達(dá)成深度戰(zhàn)略合作；與CICV創(chuàng)新中心、東風(fēng)商用車成立車路云一體化聯(lián)合創(chuàng)新實(shí)驗(yàn)室。