汽车网络安全风险评估方法

概述

THREAT ANALYSIS & RISK ASSESSMENT AND VULNERABILITY ANALYSIS METHODS 是概念阶段用到的核心方法,也是整个系统安全的起点工程。在计算机网络发展的多年来,也提出了很多方法。本文主要介绍针对汽车工程的两个方法EVITA和HEVENS。

EVITA

E-Safety Vehicle Intrusion Protected Applications是欧盟于2008年发起的一个针对网联汽车安全的项目,其目标是设计一个车载网络的体系结构的原型,使其中与网络安全相关的组件受到保护。EVITA方法主要参考ISO/IEC 15408 (7)和ISO 26262,设立了四个安全目标:可用性(Operational),功能安全(safety),隐私(privacy)和资产(Financial)。
对于每个网络安全目标,EVITA项目考虑:
威胁识别:使用“暗面”场景和攻击树来识别一般性威胁,从而识别一般性威胁网络安全的需求。威胁分类:根据威胁结果的严重程度和成功攻击的概率,制定了对威胁风险进行分类的建议。
对于每个严重度等级可以从下表获得(与26262相比,其拓展了非功能安全相关的目标)
汽车网络安全风险评估方法_第1张图片
在EVITA中成功攻击的概率基于IT安全评估中使用的“攻击潜力”概念,并同时考虑攻击者和系统。对于攻击者,攻击潜力考虑许多因素,例如攻击者确定如何攻击系统和成功执行攻击所需的时间、攻击者所需的专业知识、系统所需的知识、对专业设备的需求等。每一个因素都应用一个矩阵表示(就像严重度一样)
最后攻击潜力由以下矩阵确定
汽车网络安全风险评估方法_第2张图片
将以上两者作为两个维度就可以合成威胁的等级,不过这个又分为了两类;一类是privacy, financial, and operational这三个no-safety的,而safety的要再考虑可控性(同26262)
汽车网络安全风险评估方法_第3张图片
可控性用于评估人类以某种方式避免与安全相关的潜在事故的可能性。可控性分类为C1- C4。其中C1表示正常的人类反应有可能避免事故,C4表示人类不能以任何方式避免事故。
汽车网络安全风险评估方法_第4张图片
最后safety类的风险矩阵为
汽车网络安全风险评估方法_第5张图片
EVITA方法是一个总体性架构。在面对特定的特征或系统层面的时候采用THROP方法,THROP方法脱胎于HAZOP (Hazard and Operability Analysis)方法,只不过将风险分析变为威胁分析。其分为三步:

  1. 确定特征的最小功能,作为分析对象
  2. 确定潜在威胁
  3. 确定“暗面”的最坏场景
    然后就按照EVITA方法进行风险等级的确定。

HEVENS

HEVENS方法也是欧洲的一个项目产生的,很多相关研究可以参考查尔姆斯理工大学的一些详细研究。
HEVENS: link.
其方法主要有三个过程:
威胁分析―――风险评估―――安全需求

威胁分析

-输入:描述的功能用例图;输出:资产与威胁的映射,威胁与安全要素的映射(采用STRIDE方法)

汽车网络安全风险评估方法_第6张图片

风险评估

-输入:资产与威胁的映射、威胁等级、影响等级;输出:风险(安全)等级
威胁等级确定:
汽车网络安全风险评估方法_第7张图片
影响等级确定(影响等级对应的四个目标与EVITA一致)
汽车网络安全风险评估方法_第8张图片
汽车网络安全风险评估方法_第9张图片
汽车网络安全风险评估方法_第10张图片
汽车网络安全风险评估方法_第11张图片
最后将以上四个合成最后的IL
汽车网络安全风险评估方法_第12张图片

最后第二步的输出为
汽车网络安全风险评估方法_第13张图片

安全需求

-输入:威胁与安全要素的映射、安全等级;输出:最高等级的安全需求(因为对同一资产可能有不同的安全等级,这里取最高的)

小结

HEVENS和EVITA明显的一个区别就是在威胁分析的时候,HEVENS是基于安全要素的,采用STRIDE而EVITA是基于场景的,采用攻击树。另外,HEVENS考虑的维度更细致,其流程更加规范。

你可能感兴趣的:(Security,系统)