首页 > 梆梆资讯 > 智能网联汽车TARA系列之 ——智能网联汽车风险评估方法EVITA

智能网联汽车TARA系列之 ——智能网联汽车风险评估方法EVITA

2018-09-25 安全资讯190

在上一篇文章“智能网联汽车安全风险评估思路”中,主要介绍了智能网联汽车风险评估的思路,可以通过五个维度对所获得的威胁进行风险评估,从而得到风险的优先级,为整车信息安全功能规划和开发打下坚实的基础,毕竟在J3061中也是同样建议汽车信息安全需要在整车规划阶段予以考虑,并在其他阶段予以落实和审查,确保所有安全功能落地。当前针对智能网联汽车风险评估的具体指导意见和方法暂时还没有出台,因此梆梆安全研究院建议可以参考并借鉴J3061中的风险评估方法。J3061中总共介绍了4种风险评估方法:EVITA、TVRA、OCTAVE和HEAVENS,其中EVITA和HEAVENS在J3061中也是介绍的最为详尽的,同样也是梆梆安全研究院推荐的两种风险评估方法。本期将对EVITA进行详细介绍,在下一篇文章中将重点介绍HEAVENS。


EVITA全称E-Safety Vehicle Intrusion Protected Applications,电子安全车辆入侵防护应用。EVITA本身是由欧盟委员会资助的一个项目,始于2008年,起初该项目的参与者都是欧洲的整车厂和汽车电子产业相关的厂商,比如宝马、博世、大陆、ESCRYPT、富士通和英飞凌等。该项目的主要目标是为汽车车载网络设计、验证和原型架构提供参考,依据和参考ISO/IEC 15408和ISO/DIS 26262相关标准,保护重要电控单元免受篡改,并且也会保护其敏感数据免受损害。


在风险严重性方面,EVITA针对信息安全风险评估方法来源并参考了ISO 26262中的功能安全风险评估方法。由于ISO 26262只是针对于单车和功能安全,因此EVITA便将其扩展到多车和非功能安全上,具体风险严重性分类如下图所示,其中黑色字体部分来自ISO 26262,红色字体部分是EVITA扩展出来的。

从严重性等级上来看,EVITA将其分为5个等级,即S0到S4;从评估维度上看,EVITA总共提供了4种评估维度:功能安全、隐私、财产和操作。整个风险严重性等级的划分有效的将功能安全和信息安全结合在一起,即将功能安全与非功能安全结合在一起。这就如同J3061中所阐述的一样,功能安全与信息安全相互包含,又相互独立且相互有交集。


从关键系统角度上看,信息安全关键系统通常会包含功能安全关键系统,很多针对信息安全关键系统的攻击很有可能相当于攻击了功能安全关键系统,比如针对制动系统的攻击,可能是通过IVI上某个浏览器漏洞实现的。但是并不是所有对信息安全关键系统的攻击都可能会造成功能安全,比如对GPS行车轨迹的泄露,并不会造成功能安全的缺失,但是却是信息安全所无法接受的。从工程学角度上看,信息安全与功能安全都有各自独立的开发流程,但是又并不代表这两个流程没有任何交集,在处理有些问题的时候是需要相互交流的,比如针对ADAS辅助驾驶的攻击,将恶意程序注入到辅助驾驶系统中,这部分既涉及到信息安全也涉及到功能安全,因此在做处理的时候需要让两个开发流程中的人相互交流和融合,共同探讨出合适的解决方案。


在攻击可能性方面,EVITA采用了基于IT安全评估中所使用的“攻击潜力”这一概念,并会考虑攻击者和他所要攻击的系统。对于攻击者而言,攻击潜力考虑了许多因素,例如攻击者确定如何攻击系统和执行成功攻击所需的时间、攻击者所需的专业知识、所需系统的知识、需求对于专业设备的需求等。每个因素都有许多类,每个类都赋有一个数值,例如,攻击者专业知识的类和相应的数值是:外行(0)、熟练(3)、专家(6)和多个专家(8)。基于分配给每个因素数值总和的范围,攻击可能性也被分成类别。攻击潜力的类别包括:基本、增强基本、中等、高和超高。攻击潜力范围从基本(意味着容易被攻击)到超越高(意味着极难被攻击)。



在对风险严重性和该风险可能被攻击的概率评估完成后,使用“风险图”的方法将这两个进行组合,从而识别每个威胁的安全风险。该方法类似于ISO 26262第3部分的表4“ASIL测定”。但是EVITA与ISO 26262中的ASIL测定是不同的,ISO 26262的严重性等级分为3级,而EVITA信息安全严重性则分了4级(S1-S4,其中S0为无安全风险)。在进行风险评估时,EVITA采用了将功能安全与非功能安全分开评估的方法。下图是非功能安全风险图。



表中显示的严重性Si分别是Sp,Sf和So,其中Sp表示隐私威胁的严重性,Sf表示财产威胁的严重性,So表示操作威胁的严重性。确定的每个潜在威胁的严重程度将映射到表中显示的适当分类(1-4),以及确定的攻击概率(A=1-5)。通过严重性和攻击概率矩阵中的交集确定风险(R0-R6),针对潜在的威胁评估,其中R0代表最低风险,R6代表最高风险。


 功能安全威胁的风险图稍微复杂一些,这主要是由于在进行风险评估时必须将可控性纳入到考虑范围中。可控性分类用于评估人类采取行动的可能性,以避免与功能安全相关的威胁相关的潜在事故。可控性被归类为C1-C4,其中C1表示正常的人类响应可以避免事故,C4表示人类不能以避免事故的方式行事,如下所示。



功能安全相关威胁的风险图由四个子矩阵组成,每个可控性可划分为一个矩阵。 因此,对于与功能安全相关的威胁、风险评估则是由可控性、严重性和攻击概率共同组合而成的组合,具体如下所示。



同非功能安全风险图类似,通过可控性、严重性和攻击概率矩阵中的交集确定风险(R1-R7+),针对潜在的威胁进行评估,其中R1代表最低风险,R7+代表最高风险。


在风险评估完成后,需要将风险转换成相应的功能,同时高优先级安全功能应该在开发和验证时得到重点关注。EVITA在功能阶段时也提供了相应的分析方法——THROP(威胁和可操作性分析),该方法源自于在功能安全中常用的HAZOP(危险和操作性分析)。THROP类似于HAZOP,只是它考虑潜在威胁而不是潜在危险。类似于HAZOP,THROP针对特定功能,从功能角度解决风险,具体THROP评估方法如下所示。


可以通过应用上文中描述的EVITA风险评估方法来评估潜在威胁,然后可以根据风险等级对已识别的潜在威胁进行排名,以便进一步将分析的重点放在最高风险威胁上,接着可以针对最高风险威胁确定网络安全目标,并且可以分配唯一标识ID,并用于识别每个网络安全目标。


智能网联汽车信息安全建设是需要在规划阶段开始的,威胁分析与风险评估是整个信息安全建设的基石,梆梆安全研究院认为可以采用EVITA作为J3061在车厂信息安全威胁分析与风险评估的实践落地,并且梆梆安全研究院同时也在多个智能网联汽车项目中,采用该方法对整车信息安全进行评估。因此可以看出EVITA这个评估方法具有非常强的实践性和落地性,未来在相关国家标准尚未出台前,可以作为车厂信息安全威胁分析与风险评估的方法。


  • 渠道商申请
  • 真诚期待各位合作伙伴加盟,同梆梆安全一起塑造辉煌
  • 立即申请 > >
  • 服务热线
  • 在使用过程中遇到的任何问题,请随时联系梆梆安全客服人员,我们将第一时间为您解答
  • 4008-881-881
  • 在线反馈
  • 用心聆听用户声音,您的建议、评价、吐槽,是我们产品前进的动力
  • 我要反馈 > >
  • 帮助中心
  • 为您提供产品描述、功能介绍、使用方法、常见问题解答等内容,便于快速了解梆梆各项产品服务
  • 点击前往 > >