車聯(lián)網(wǎng)和自動駕駛等技術(shù)和產(chǎn)業(yè)的出現(xiàn)為汽車行業(yè)帶來了新的發(fā)展機遇，同時也帶來了新的挑戰(zhàn)。隨著汽車向智能化、網(wǎng)聯(lián)化的方向轉(zhuǎn)型，汽車電子的網(wǎng)絡(luò)安全問題日益凸顯，而因此越來越受到行業(yè)的重視，各大廠商紛紛加快了在汽車信息安全方面的研發(fā)和布局。威脅分析與風(fēng)險評估是保障汽車電子系統(tǒng)信息安全的重要活動環(huán)節(jié)，在J3061、ISO 21434、GB/T 38628等指南中給出了流程和方法的介紹。本文[1]綜合現(xiàn)有的研究成果，結(jié)合汽車行業(yè)實踐情況，提出了一套改進的汽車電子威脅分析與風(fēng)險評估流程，以提升其工作效率。

　　引言

　　本文將以NIST風(fēng)險管理框架、EVITA、HEAVENS等為例介紹典型的威脅分析與風(fēng)險評估方法，并引出本文的改進方案。

　　美國國家標準與技術(shù)研究所（NIST）推出了風(fēng)險管理框架（RMF），該框架提供了一個將安全和風(fēng)險管理活動集成到系統(tǒng)開發(fā)生命周期中的過程，這個過程一共分為6步：分類、選擇、實施、評估、授權(quán)和監(jiān)控。第一步分類，首先要定義出系統(tǒng)邊界，然后基于該系統(tǒng)邊界，將與該系統(tǒng)相關(guān)的所有信息類型都識別出來；第二步是根據(jù)安全分類選擇一個初始的安全控制措施，并根據(jù)對風(fēng)險和環(huán)境的評估調(diào)整和補充安全控制措施，該措施是信息系統(tǒng)內(nèi)負責(zé)保護系統(tǒng)及其信息的手段；第三步是實現(xiàn)并記錄在運營環(huán)境下是如何實施所選的安全控制措施的；第四步要求以適當(dāng)?shù)牧鞒虂碓u估安全控制措施實現(xiàn)的正確程度，以及按照預(yù)期運行和滿足系統(tǒng)預(yù)期安全要求的程度；第五步在確定系統(tǒng)運行對組織運營和資產(chǎn)、個人、其他組織及國家?guī)淼娘L(fēng)險，并確定該風(fēng)險可接受的基礎(chǔ)上，授權(quán)系統(tǒng)運行；最后一步，持續(xù)監(jiān)視安全控制措施，記錄系統(tǒng)或運行環(huán)境的變化，對相關(guān)變化進行安全影響分析，并向相關(guān)組織官員報告系統(tǒng)的安全狀態(tài)。

　　EVITA全稱E-Safety Vehicle Intrusion ProtectedApplications，電子安全車輛入侵防護應(yīng)用，是歐盟第七框架計劃資助項目，該項目的主要目標是為汽車車載網(wǎng)絡(luò)設(shè)計、驗證和原型架構(gòu)提供參考。在風(fēng)險嚴重性方面，EVITA針對信息安全風(fēng)險評估方法來源并參考了ISO 26262中的功能安全風(fēng)險評估方法，將嚴重性等級分為5個等級，即S0到S4；從評估維度上看，EVITA總共提供了4種評估維度：功能安全、隱私、財產(chǎn)和操作。操作性方面是維護所有車輛和智能交通系統(tǒng)功能所期望的操作性能；功能安全方面是確保駕乘人員和路邊人員的功能安全；隱私方面是保護駕駛?cè)藛T，以及車輛制造和供應(yīng)商在知識產(chǎn)權(quán)方面的私密性；財產(chǎn)方面是保護欺騙性的經(jīng)濟損失和車輛盜竊問題。對于這四個安全目標，EVITA開展三個階段的工作：威脅識別、威脅分類和風(fēng)險分析。威脅識別是使用場景和攻擊樹識別威脅，并獲得安全需求；威脅分類是基于威脅的嚴重性和成功攻擊的可能性對威脅進行分類；風(fēng)險分析是基于威脅的分類，提供建議的措施。其分析流程如圖1所示，每個具體資產(chǎn)都有其攻擊可能性，而每個攻擊目標都有其攻擊嚴重性（包含了功能安全等方面），以概率組合的方法就能分別計算出攻擊可能性和攻擊嚴重性，就能進一步計算出風(fēng)險等級。圖2展示了該攻擊方法的一個實例。

　　圖1  EVITA-基于攻擊樹方法的威脅分析與風(fēng)險評估過程

　　圖2  基于攻擊樹方法的威脅分析與風(fēng)險評估過程實例

　　HEAVENS安全模型側(cè)重于威脅分析和風(fēng)險評估的方法、過程和工具支持，其目標是提出一個系統(tǒng)的方法來推導(dǎo)車輛電子電氣系統(tǒng)的網(wǎng)絡(luò)安全要求。HEAVENS安全模型的工作流如圖3所示，其主要特點如下：

　　適用于各種道路車輛，例如客車和商用車輛。同時，該模型考慮了廣泛的利益相關(guān)者（例如，OEM，車隊所有者，車輛所有者，司機，乘客等）

　　 以威脅為中心，在汽車電子電氣系統(tǒng)中應(yīng)用了微軟的STRIDE方法。STRIDE 是從攻擊者的角度，把威脅劃分成 6 個類別，分別是 Spooling（仿冒）、Tampering（篡改）、Repudiation（抵賴）、InformationDisclosure（信息泄露）、Dos（拒絕服務(wù)） 和 Elevation of privilege （權(quán)限提升）。這六類的劃分是與信息安全三要素：保密性、完整性、可用性，和信息安全基本的三個屬性：認證、鑒權(quán)、審計，相關(guān)。

　　在威脅分析期間建立了安全屬性和威脅之間的直接映射關(guān)系，有利于評估對特定資產(chǎn)的特定威脅的技術(shù)影響（除機密性、完整性、可用性外，還關(guān)注認證、授權(quán)、不可抵賴、隱私性、時效性等安全屬性）

　　 將風(fēng)險評估期間的安全目標（安全，財務(wù)，運營，隱私和立法）與影響級別估計進行了映射。這有助于了解特定威脅對相關(guān)利益相關(guān)者（例如OEM）的潛在業(yè)務(wù)影響

　　 提供了基于行業(yè)標準的影響級別參數(shù)（安全，操作，財務(wù)，隱私和立法）的估計。例如，安全參數(shù)與功能安全標準ISO 26262一致，財務(wù)參數(shù)基于德國BSI標準，操作參數(shù)基于汽車提出的故障模式和效應(yīng)分析（FMEA），隱私和立法參數(shù)與德國BSI標準的“Privacy Impact Assessment Guideline”相關(guān)

　　圖3  HEAVENS安全模型的工作流

　　改進

　　對于汽車電子電氣系統(tǒng)進行威脅分析與風(fēng)險評估，無疑需要從多個維度和方面進行系統(tǒng)化地考量，以求做到無重復(fù)無遺漏。如圖4所示，對于資產(chǎn)的識別，一方面是從汽車的縱深結(jié)構(gòu)上入手，而另一方面則可以從設(shè)備的軟硬件結(jié)構(gòu)上考慮；針對識別出的每一項資產(chǎn)，可以參考STRIDE方法從仿冒、篡改、抵賴、信息泄露、拒絕服務(wù)和提升特權(quán)這6大方面考慮可能的網(wǎng)絡(luò)安全威脅或攻擊手段，并與并與資產(chǎn)受到影響的安全屬性一一對應(yīng)，以便進一步評估針對特定資產(chǎn)的影響嚴重程度。在對具體資產(chǎn)的威脅分析過程中，既要考慮類似傳統(tǒng)IT系統(tǒng)的脆弱性及攻擊手段，也要側(cè)重考慮車輛系統(tǒng)特有的脆弱性及相應(yīng)可能的攻擊手段，并結(jié)合具體的功能用例、工作場景或流程進行分析。

　　圖4  面向汽車電子的威脅分析與風(fēng)險評估維度與要素

　　綜合上述維度，本文形成了如圖5所示的面向汽車電子網(wǎng)絡(luò)安全的威脅分析與風(fēng)險評估框架，并細化為表1的具體流程，其主要工作產(chǎn)品及配套支撐環(huán)境如圖6所示。圖5中分別從系統(tǒng)資產(chǎn)的角度使用數(shù)據(jù)流圖進行影響等級分析，以及從攻擊者的角度使用攻擊樹進行威脅等級分析，從而完成對于系統(tǒng)的威脅分析和風(fēng)險評估。數(shù)據(jù)流圖分析和攻擊樹分析在“資產(chǎn)-威脅”的映射關(guān)系上是相互補充的，從數(shù)據(jù)流圖分析角度得到的“資產(chǎn)-威脅”對可以補充到攻擊樹分析方法中，同樣地，從攻擊樹分析方法中得到的“資產(chǎn)-威脅”對也可以補充到數(shù)據(jù)流圖分析方法中，直到兩者的“資產(chǎn)-威脅”對相匹配為止，如圖7所示。

　　圖5  面向汽車電子網(wǎng)絡(luò)安全的威脅分析與風(fēng)險評估框架

　　表1  威脅分析與風(fēng)險評估流程活動說明

　　圖6  流程活動的工作產(chǎn)品與支撐環(huán)境

　　圖7  融合數(shù)據(jù)流圖和攻擊樹方法的威脅分析過程

　　實例

　　本文以FOTA（Firmware Over-The-Air）網(wǎng)關(guān)對上述威脅分析與風(fēng)險評估流程的應(yīng)用進行說明。其應(yīng)用場景和功能如表2所示，其中，遠程控制的用例圖如圖8所示。

　　表2  FOTA網(wǎng)關(guān)的應(yīng)用場景及功能

　　圖8  FOTA網(wǎng)關(guān)遠程控制用例圖

　　以用戶為核心做功能定義，識別出功能模塊和實現(xiàn)這些功能的資產(chǎn)，形成系統(tǒng)架構(gòu)圖和資產(chǎn)跟蹤記錄，其中資產(chǎn)跟蹤記錄如表3所示。

　　表3  FOTA網(wǎng)關(guān)遠程控制用例的資產(chǎn)跟蹤記錄表（部分）

　　接下來做數(shù)據(jù)流圖分析和攻擊樹分析，分別如圖9、圖10所示，并交叉比對，相互補充和完善，歸納并填寫相應(yīng)的威脅記錄，如表6所示。

　　圖9  FOTA網(wǎng)關(guān)遠程控制模塊數(shù)據(jù)流圖示例

　　圖10  FOTA網(wǎng)關(guān)“無法控制空調(diào)”攻擊樹示例（部分）

　　表6  威脅綜合記錄表（威脅跟蹤記錄表的一部分）

　　最后，進行風(fēng)險評估，評估威脅等級（表7）、影響等級（表8），然后根據(jù)兩者確定威脅的安全等級（表9）。

　　表7  脆弱性-攻擊潛力記錄表（威脅跟蹤記錄表的一部分）

　　表8  威脅影響跟蹤記錄表（威脅跟蹤記錄表的一部分）

　　表9  威脅-安全等級跟蹤記錄表（威脅跟蹤記錄表的一部分）

　　總結(jié)

　　本文對當(dāng)前汽車領(lǐng)域的一些威脅分析和風(fēng)險評估技術(shù)方法進行改進，提出了一套結(jié)構(gòu)化、系統(tǒng)性的實施流程，同時應(yīng)用數(shù)據(jù)流圖（被HEAVENS和STRIDE方法所采用）和攻擊樹（被EVITA方法所采用）兩種方法來分析系統(tǒng)資產(chǎn)可能面臨的威脅，使得對威脅的分析更加全面。但是本流程方法的自動化程度還不高，未來需要進一步提升流程的工具化和便利化程度，以及通過知識庫的形式，實現(xiàn)分析成果的積累，不斷為新的系統(tǒng)分析所復(fù)用。