車聯(lián)網(wǎng)和自動駕駛等技術(shù)和產(chǎn)業(yè)的出現(xiàn)為汽車行業(yè)帶來了新的發(fā)展機(jī)遇，同時也帶來了新的挑戰(zhàn)。隨著汽車向智能化、網(wǎng)聯(lián)化的方向轉(zhuǎn)型，汽車電子的網(wǎng)絡(luò)安全問題日益凸顯，而因此越來越受到行業(yè)的重視，各大廠商紛紛加快了在汽車信息安全方面的研發(fā)和布局。威脅分析與風(fēng)險(xiǎn)評估是保障汽車電子系統(tǒng)信息安全的重要活動環(huán)節(jié)，在J3061、ISO 21434、GB/T 38628等指南中給出了流程和方法的介紹。本文[1]綜合現(xiàn)有的研究成果，結(jié)合汽車行業(yè)實(shí)踐情況，提出了一套改進(jìn)的汽車電子威脅分析與風(fēng)險(xiǎn)評估流程，以提升其工作效率。

　　引言

　　本文將以NIST風(fēng)險(xiǎn)管理框架、EVITA、HEAVENS等為例介紹典型的威脅分析與風(fēng)險(xiǎn)評估方法，并引出本文的改進(jìn)方案。

　　美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）推出了風(fēng)險(xiǎn)管理框架（RMF），該框架提供了一個將安全和風(fēng)險(xiǎn)管理活動集成到系統(tǒng)開發(fā)生命周期中的過程，這個過程一共分為6步：分類、選擇、實(shí)施、評估、授權(quán)和監(jiān)控。第一步分類，首先要定義出系統(tǒng)邊界，然后基于該系統(tǒng)邊界，將與該系統(tǒng)相關(guān)的所有信息類型都識別出來；第二步是根據(jù)安全分類選擇一個初始的安全控制措施，并根據(jù)對風(fēng)險(xiǎn)和環(huán)境的評估調(diào)整和補(bǔ)充安全控制措施，該措施是信息系統(tǒng)內(nèi)負(fù)責(zé)保護(hù)系統(tǒng)及其信息的手段；第三步是實(shí)現(xiàn)并記錄在運(yùn)營環(huán)境下是如何實(shí)施所選的安全控制措施的；第四步要求以適當(dāng)?shù)牧鞒虂碓u估安全控制措施實(shí)現(xiàn)的正確程度，以及按照預(yù)期運(yùn)行和滿足系統(tǒng)預(yù)期安全要求的程度；第五步在確定系統(tǒng)運(yùn)行對組織運(yùn)營和資產(chǎn)、個人、其他組織及國家?guī)淼娘L(fēng)險(xiǎn)，并確定該風(fēng)險(xiǎn)可接受的基礎(chǔ)上，授權(quán)系統(tǒng)運(yùn)行；最后一步，持續(xù)監(jiān)視安全控制措施，記錄系統(tǒng)或運(yùn)行環(huán)境的變化，對相關(guān)變化進(jìn)行安全影響分析，并向相關(guān)組織官員報(bào)告系統(tǒng)的安全狀態(tài)。

　　EVITA全稱E-Safety Vehicle Intrusion ProtectedApplications，電子安全車輛入侵防護(hù)應(yīng)用，是歐盟第七框架計(jì)劃資助項(xiàng)目，該項(xiàng)目的主要目標(biāo)是為汽車車載網(wǎng)絡(luò)設(shè)計(jì)、驗(yàn)證和原型架構(gòu)提供參考。在風(fēng)險(xiǎn)嚴(yán)重性方面，EVITA針對信息安全風(fēng)險(xiǎn)評估方法來源并參考了ISO 26262中的功能安全風(fēng)險(xiǎn)評估方法，將嚴(yán)重性等級分為5個等級，即S0到S4；從評估維度上看，EVITA總共提供了4種評估維度：功能安全、隱私、財(cái)產(chǎn)和操作。操作性方面是維護(hù)所有車輛和智能交通系統(tǒng)功能所期望的操作性能；功能安全方面是確保駕乘人員和路邊人員的功能安全；隱私方面是保護(hù)駕駛?cè)藛T，以及車輛制造和供應(yīng)商在知識產(chǎn)權(quán)方面的私密性；財(cái)產(chǎn)方面是保護(hù)欺騙性的經(jīng)濟(jì)損失和車輛盜竊問題。對于這四個安全目標(biāo)，EVITA開展三個階段的工作：威脅識別、威脅分類和風(fēng)險(xiǎn)分析。威脅識別是使用場景和攻擊樹識別威脅，并獲得安全需求；威脅分類是基于威脅的嚴(yán)重性和成功攻擊的可能性對威脅進(jìn)行分類；風(fēng)險(xiǎn)分析是基于威脅的分類，提供建議的措施。其分析流程如圖1所示，每個具體資產(chǎn)都有其攻擊可能性，而每個攻擊目標(biāo)都有其攻擊嚴(yán)重性（包含了功能安全等方面），以概率組合的方法就能分別計(jì)算出攻擊可能性和攻擊嚴(yán)重性，就能進(jìn)一步計(jì)算出風(fēng)險(xiǎn)等級。圖2展示了該攻擊方法的一個實(shí)例。

　　圖1  EVITA-基于攻擊樹方法的威脅分析與風(fēng)險(xiǎn)評估過程

　　圖2  基于攻擊樹方法的威脅分析與風(fēng)險(xiǎn)評估過程實(shí)例

　　HEAVENS安全模型側(cè)重于威脅分析和風(fēng)險(xiǎn)評估的方法、過程和工具支持，其目標(biāo)是提出一個系統(tǒng)的方法來推導(dǎo)車輛電子電氣系統(tǒng)的網(wǎng)絡(luò)安全要求。HEAVENS安全模型的工作流如圖3所示，其主要特點(diǎn)如下：

　　適用于各種道路車輛，例如客車和商用車輛。同時，該模型考慮了廣泛的利益相關(guān)者（例如，OEM，車隊(duì)所有者，車輛所有者，司機(jī)，乘客等）

　　 以威脅為中心，在汽車電子電氣系統(tǒng)中應(yīng)用了微軟的STRIDE方法。STRIDE 是從攻擊者的角度，把威脅劃分成 6 個類別，分別是 Spooling（仿冒）、Tampering（篡改）、Repudiation（抵賴）、InformationDisclosure（信息泄露）、Dos（拒絕服務(wù)） 和 Elevation of privilege （權(quán)限提升）。這六類的劃分是與信息安全三要素：保密性、完整性、可用性，和信息安全基本的三個屬性：認(rèn)證、鑒權(quán)、審計(jì)，相關(guān)。

　　在威脅分析期間建立了安全屬性和威脅之間的直接映射關(guān)系，有利于評估對特定資產(chǎn)的特定威脅的技術(shù)影響（除機(jī)密性、完整性、可用性外，還關(guān)注認(rèn)證、授權(quán)、不可抵賴、隱私性、時效性等安全屬性）

　　 將風(fēng)險(xiǎn)評估期間的安全目標(biāo)（安全，財(cái)務(wù)，運(yùn)營，隱私和立法）與影響級別估計(jì)進(jìn)行了映射。這有助于了解特定威脅對相關(guān)利益相關(guān)者（例如OEM）的潛在業(yè)務(wù)影響

　　 提供了基于行業(yè)標(biāo)準(zhǔn)的影響級別參數(shù)（安全，操作，財(cái)務(wù)，隱私和立法）的估計(jì)。例如，安全參數(shù)與功能安全標(biāo)準(zhǔn)ISO 26262一致，財(cái)務(wù)參數(shù)基于德國BSI標(biāo)準(zhǔn)，操作參數(shù)基于汽車提出的故障模式和效應(yīng)分析（FMEA），隱私和立法參數(shù)與德國BSI標(biāo)準(zhǔn)的“Privacy Impact Assessment Guideline”相關(guān)

　　圖3  HEAVENS安全模型的工作流

　　改進(jìn)

　　對于汽車電子電氣系統(tǒng)進(jìn)行威脅分析與風(fēng)險(xiǎn)評估，無疑需要從多個維度和方面進(jìn)行系統(tǒng)化地考量，以求做到無重復(fù)無遺漏。如圖4所示，對于資產(chǎn)的識別，一方面是從汽車的縱深結(jié)構(gòu)上入手，而另一方面則可以從設(shè)備的軟硬件結(jié)構(gòu)上考慮；針對識別出的每一項(xiàng)資產(chǎn)，可以參考STRIDE方法從仿冒、篡改、抵賴、信息泄露、拒絕服務(wù)和提升特權(quán)這6大方面考慮可能的網(wǎng)絡(luò)安全威脅或攻擊手段，并與并與資產(chǎn)受到影響的安全屬性一一對應(yīng)，以便進(jìn)一步評估針對特定資產(chǎn)的影響嚴(yán)重程度。在對具體資產(chǎn)的威脅分析過程中，既要考慮類似傳統(tǒng)IT系統(tǒng)的脆弱性及攻擊手段，也要側(cè)重考慮車輛系統(tǒng)特有的脆弱性及相應(yīng)可能的攻擊手段，并結(jié)合具體的功能用例、工作場景或流程進(jìn)行分析。

　　圖4  面向汽車電子的威脅分析與風(fēng)險(xiǎn)評估維度與要素

　　綜合上述維度，本文形成了如圖5所示的面向汽車電子網(wǎng)絡(luò)安全的威脅分析與風(fēng)險(xiǎn)評估框架，并細(xì)化為表1的具體流程，其主要工作產(chǎn)品及配套支撐環(huán)境如圖6所示。圖5中分別從系統(tǒng)資產(chǎn)的角度使用數(shù)據(jù)流圖進(jìn)行影響等級分析，以及從攻擊者的角度使用攻擊樹進(jìn)行威脅等級分析，從而完成對于系統(tǒng)的威脅分析和風(fēng)險(xiǎn)評估。數(shù)據(jù)流圖分析和攻擊樹分析在“資產(chǎn)-威脅”的映射關(guān)系上是相互補(bǔ)充的，從數(shù)據(jù)流圖分析角度得到的“資產(chǎn)-威脅”對可以補(bǔ)充到攻擊樹分析方法中，同樣地，從攻擊樹分析方法中得到的“資產(chǎn)-威脅”對也可以補(bǔ)充到數(shù)據(jù)流圖分析方法中，直到兩者的“資產(chǎn)-威脅”對相匹配為止，如圖7所示。

　　圖5  面向汽車電子網(wǎng)絡(luò)安全的威脅分析與風(fēng)險(xiǎn)評估框架

　　表1  威脅分析與風(fēng)險(xiǎn)評估流程活動說明

　　圖6  流程活動的工作產(chǎn)品與支撐環(huán)境

　　圖7  融合數(shù)據(jù)流圖和攻擊樹方法的威脅分析過程

　　實(shí)例

　　本文以FOTA（Firmware Over-The-Air）網(wǎng)關(guān)對上述威脅分析與風(fēng)險(xiǎn)評估流程的應(yīng)用進(jìn)行說明。其應(yīng)用場景和功能如表2所示，其中，遠(yuǎn)程控制的用例圖如圖8所示。

　　表2  FOTA網(wǎng)關(guān)的應(yīng)用場景及功能

　　圖8  FOTA網(wǎng)關(guān)遠(yuǎn)程控制用例圖

　　以用戶為核心做功能定義，識別出功能模塊和實(shí)現(xiàn)這些功能的資產(chǎn)，形成系統(tǒng)架構(gòu)圖和資產(chǎn)跟蹤記錄，其中資產(chǎn)跟蹤記錄如表3所示。

　　表3  FOTA網(wǎng)關(guān)遠(yuǎn)程控制用例的資產(chǎn)跟蹤記錄表（部分）

　　接下來做數(shù)據(jù)流圖分析和攻擊樹分析，分別如圖9、圖10所示，并交叉比對，相互補(bǔ)充和完善，歸納并填寫相應(yīng)的威脅記錄，如表6所示。

　　圖9  FOTA網(wǎng)關(guān)遠(yuǎn)程控制模塊數(shù)據(jù)流圖示例

　　圖10  FOTA網(wǎng)關(guān)“無法控制空調(diào)”攻擊樹示例（部分）

　　表6  威脅綜合記錄表（威脅跟蹤記錄表的一部分）

　　最后，進(jìn)行風(fēng)險(xiǎn)評估，評估威脅等級（表7）、影響等級（表8），然后根據(jù)兩者確定威脅的安全等級（表9）。

　　表7  脆弱性-攻擊潛力記錄表（威脅跟蹤記錄表的一部分）

　　表8  威脅影響跟蹤記錄表（威脅跟蹤記錄表的一部分）

　　表9  威脅-安全等級跟蹤記錄表（威脅跟蹤記錄表的一部分）

　　總結(jié)

　　本文對當(dāng)前汽車領(lǐng)域的一些威脅分析和風(fēng)險(xiǎn)評估技術(shù)方法進(jìn)行改進(jìn)，提出了一套結(jié)構(gòu)化、系統(tǒng)性的實(shí)施流程，同時應(yīng)用數(shù)據(jù)流圖（被HEAVENS和STRIDE方法所采用）和攻擊樹（被EVITA方法所采用）兩種方法來分析系統(tǒng)資產(chǎn)可能面臨的威脅，使得對威脅的分析更加全面。但是本流程方法的自動化程度還不高，未來需要進(jìn)一步提升流程的工具化和便利化程度，以及通過知識庫的形式，實(shí)現(xiàn)分析成果的積累，不斷為新的系統(tǒng)分析所復(fù)用。