車聯網和自動駕駛等技術和產業的出現為汽車行業帶來了新的發展機遇，同時也帶來了新的挑戰。隨著汽車向智能化、網聯化的方向轉型，汽車電子的網絡安全問題日益凸顯，而因此越來越受到行業的重視，各大廠商紛紛加快了在汽車信息安全方面的研發和布局。威脅分析與風險評估是保障汽車電子系統信息安全的重要活動環節，在J3061、ISO 21434、GB/T 38628等指南中給出了流程和方法的介紹。本文[1]綜合現有的研究成果，結合汽車行業實踐情況，提出了一套改進的汽車電子威脅分析與風險評估流程，以提升其工作效率。

　　引言

　　本文將以NIST風險管理框架、EVITA、HEAVENS等為例介紹典型的威脅分析與風險評估方法，并引出本文的改進方案。

　　美國國家標準與技術研究所（NIST）推出了風險管理框架（RMF），該框架提供了一個將安全和風險管理活動集成到系統開發生命周期中的過程，這個過程一共分為6步：分類、選擇、實施、評估、授權和監控。第一步分類，首先要定義出系統邊界，然后基于該系統邊界，將與該系統相關的所有信息類型都識別出來；第二步是根據安全分類選擇一個初始的安全控制措施，并根據對風險和環境的評估調整和補充安全控制措施，該措施是信息系統內負責保護系統及其信息的手段；第三步是實現并記錄在運營環境下是如何實施所選的安全控制措施的；第四步要求以適當的流程來評估安全控制措施實現的正確程度，以及按照預期運行和滿足系統預期安全要求的程度；第五步在確定系統運行對組織運營和資產、個人、其他組織及國家帶來的風險，并確定該風險可接受的基礎上，授權系統運行；最后一步，持續監視安全控制措施，記錄系統或運行環境的變化，對相關變化進行安全影響分析，并向相關組織官員報告系統的安全狀態。

　　EVITA全稱E-Safety Vehicle Intrusion ProtectedApplications，電子安全車輛入侵防護應用，是歐盟第七框架計劃資助項目，該項目的主要目標是為汽車車載網絡設計、驗證和原型架構提供參考。在風險嚴重性方面，EVITA針對信息安全風險評估方法來源并參考了ISO 26262中的功能安全風險評估方法，將嚴重性等級分為5個等級，即S0到S4；從評估維度上看，EVITA總共提供了4種評估維度：功能安全、隱私、財產和操作。操作性方面是維護所有車輛和智能交通系統功能所期望的操作性能；功能安全方面是確保駕乘人員和路邊人員的功能安全；隱私方面是保護駕駛人員，以及車輛制造和供應商在知識產權方面的私密性；財產方面是保護欺騙性的經濟損失和車輛盜竊問題。對于這四個安全目標，EVITA開展三個階段的工作：威脅識別、威脅分類和風險分析。威脅識別是使用場景和攻擊樹識別威脅，并獲得安全需求；威脅分類是基于威脅的嚴重性和成功攻擊的可能性對威脅進行分類；風險分析是基于威脅的分類，提供建議的措施。其分析流程如圖1所示，每個具體資產都有其攻擊可能性，而每個攻擊目標都有其攻擊嚴重性（包含了功能安全等方面），以概率組合的方法就能分別計算出攻擊可能性和攻擊嚴重性，就能進一步計算出風險等級。圖2展示了該攻擊方法的一個實例。

　　圖1  EVITA-基于攻擊樹方法的威脅分析與風險評估過程

　　圖2  基于攻擊樹方法的威脅分析與風險評估過程實例

　　HEAVENS安全模型側重于威脅分析和風險評估的方法、過程和工具支持，其目標是提出一個系統的方法來推導車輛電子電氣系統的網絡安全要求。HEAVENS安全模型的工作流如圖3所示，其主要特點如下：

　　適用于各種道路車輛，例如客車和商用車輛。同時，該模型考慮了廣泛的利益相關者（例如，OEM，車隊所有者，車輛所有者，司機，乘客等）

　　 以威脅為中心，在汽車電子電氣系統中應用了微軟的STRIDE方法。STRIDE 是從攻擊者的角度，把威脅劃分成 6 個類別，分別是 Spooling（仿冒）、Tampering（篡改）、Repudiation（抵賴）、InformationDisclosure（信息泄露）、Dos（拒絕服務） 和 Elevation of privilege （權限提升）。這六類的劃分是與信息安全三要素：保密性、完整性、可用性，和信息安全基本的三個屬性：認證、鑒權、審計，相關。

　　在威脅分析期間建立了安全屬性和威脅之間的直接映射關系，有利于評估對特定資產的特定威脅的技術影響（除機密性、完整性、可用性外，還關注認證、授權、不可抵賴、隱私性、時效性等安全屬性）

　　 將風險評估期間的安全目標（安全，財務，運營，隱私和立法）與影響級別估計進行了映射。這有助于了解特定威脅對相關利益相關者（例如OEM）的潛在業務影響

　　 提供了基于行業標準的影響級別參數（安全，操作，財務，隱私和立法）的估計。例如，安全參數與功能安全標準ISO 26262一致，財務參數基于德國BSI標準，操作參數基于汽車提出的故障模式和效應分析（FMEA），隱私和立法參數與德國BSI標準的“Privacy Impact Assessment Guideline”相關

　　圖3  HEAVENS安全模型的工作流

　　改進

　　對于汽車電子電氣系統進行威脅分析與風險評估，無疑需要從多個維度和方面進行系統化地考量，以求做到無重復無遺漏。如圖4所示，對于資產的識別，一方面是從汽車的縱深結構上入手，而另一方面則可以從設備的軟硬件結構上考慮；針對識別出的每一項資產，可以參考STRIDE方法從仿冒、篡改、抵賴、信息泄露、拒絕服務和提升特權這6大方面考慮可能的網絡安全威脅或攻擊手段，并與并與資產受到影響的安全屬性一一對應，以便進一步評估針對特定資產的影響嚴重程度。在對具體資產的威脅分析過程中，既要考慮類似傳統IT系統的脆弱性及攻擊手段，也要側重考慮車輛系統特有的脆弱性及相應可能的攻擊手段，并結合具體的功能用例、工作場景或流程進行分析。

　　圖4  面向汽車電子的威脅分析與風險評估維度與要素

　　綜合上述維度，本文形成了如圖5所示的面向汽車電子網絡安全的威脅分析與風險評估框架，并細化為表1的具體流程，其主要工作產品及配套支撐環境如圖6所示。圖5中分別從系統資產的角度使用數據流圖進行影響等級分析，以及從攻擊者的角度使用攻擊樹進行威脅等級分析，從而完成對于系統的威脅分析和風險評估。數據流圖分析和攻擊樹分析在“資產-威脅”的映射關系上是相互補充的，從數據流圖分析角度得到的“資產-威脅”對可以補充到攻擊樹分析方法中，同樣地，從攻擊樹分析方法中得到的“資產-威脅”對也可以補充到數據流圖分析方法中，直到兩者的“資產-威脅”對相匹配為止，如圖7所示。

　　圖5  面向汽車電子網絡安全的威脅分析與風險評估框架

　　表1  威脅分析與風險評估流程活動說明

　　圖6  流程活動的工作產品與支撐環境

　　圖7  融合數據流圖和攻擊樹方法的威脅分析過程

　　實例

　　本文以FOTA（Firmware Over-The-Air）網關對上述威脅分析與風險評估流程的應用進行說明。其應用場景和功能如表2所示，其中，遠程控制的用例圖如圖8所示。

　　表2  FOTA網關的應用場景及功能

　　圖8  FOTA網關遠程控制用例圖

　　以用戶為核心做功能定義，識別出功能模塊和實現這些功能的資產，形成系統架構圖和資產跟蹤記錄，其中資產跟蹤記錄如表3所示。

　　表3  FOTA網關遠程控制用例的資產跟蹤記錄表（部分）

　　接下來做數據流圖分析和攻擊樹分析，分別如圖9、圖10所示，并交叉比對，相互補充和完善，歸納并填寫相應的威脅記錄，如表6所示。

　　圖9  FOTA網關遠程控制模塊數據流圖示例

　　圖10  FOTA網關“無法控制空調”攻擊樹示例（部分）

　　表6  威脅綜合記錄表（威脅跟蹤記錄表的一部分）

　　最后，進行風險評估，評估威脅等級（表7）、影響等級（表8），然后根據兩者確定威脅的安全等級（表9）。

　　表7  脆弱性-攻擊潛力記錄表（威脅跟蹤記錄表的一部分）

　　表8  威脅影響跟蹤記錄表（威脅跟蹤記錄表的一部分）

　　表9  威脅-安全等級跟蹤記錄表（威脅跟蹤記錄表的一部分）

　　總結

　　本文對當前汽車領域的一些威脅分析和風險評估技術方法進行改進，提出了一套結構化、系統性的實施流程，同時應用數據流圖（被HEAVENS和STRIDE方法所采用）和攻擊樹（被EVITA方法所采用）兩種方法來分析系統資產可能面臨的威脅，使得對威脅的分析更加全面。但是本流程方法的自動化程度還不高，未來需要進一步提升流程的工具化和便利化程度，以及通過知識庫的形式，實現分析成果的積累，不斷為新的系統分析所復用。