车载智能终端威胁分析与风险评估方法之HEAVENS-上篇

车载智能终端威胁分析与

风险评估方法之HEAVENS

1    背景

随着车联网的迅速发展,智能汽车逐渐融合现代通信与网络技术,基于车载智能终端的“互联网+”场景应用越发广泛,车载智能终端面临的各种信息安全风险与威胁也随之大增。如何确保车载智能终端的安全性成为一个急待解决的问题。以此为背景,在车载智能终端的设计开发中,不仅需要考虑业务需求,终端的网络安全需求也是必不可少的重要组成部分。而车载智能终端的威胁分析与风险评估(TARA:Threat Analysis and Risk Assessment)则作为终端网络安全需求的开始,从SAE J3061到ISO 21434,均被作为核心的网络安全分析方法,已成为智能汽车网络安全功能开发实施与测试的前提和基础。

TARA分析方法可以帮助识别车载智能终端潜在的威胁和安全漏洞,通过对威胁的风险量化评估与优先级排序,形成一份高层级的网络安全需求,用于指导后续的设计与开发,进而保障车载智能终端的安全性。国际主流的TARA分析方法包括OCTAVE、TVRA、EVITA、HEAVENSE等。在J3061中有关于这4种方法的介绍,其中对EVITA和HEAVENSE有较为详细的介绍。EVITA参考了ISO 26262中的功能安全评估方式,同时结合信息安全特点进行了扩展,将非功能安全和多车场景纳入其中。HEAVENS是针对汽车电子电气系统威胁分析和风险评估的方法,同时也提供了完整的评估流程,其目标是提出一种系统方法,以便可以获得汽车电子电气系统的信息安全需求。相对而言,HEAVENS相对于EVITA来说更加完整,除了评估方法外,还提供了一整套评估流程。在此我们主要介绍比较适合车载智能终端的HEAVENSE评估方法。

2    HEAVENS安全模型

01

HEAVENS简介

HEAVENS(HEAling Vulnerabilities to ENhance Software Security and Safety)安全模型专注于为车辆电子电气系统进行威胁分析和风险评估时使用的的方法、过程和工具。其目的是提出一种系统的方法来获取车辆电子电气系统的网络安全要求。HEAVENS具有四个主要的特点:

  1. 适用范围广泛,可以同时适用于乘用车和商用车;且考虑了广泛的利益相关方(例如,OEM、车队拥有者、车主、司机、乘客等等);

  2. 以威胁为中心,同时采用微软的STRIDE方法对汽车电子电气系统进行威胁评估;

  3. 在威胁分析过程中建立了安全属性与威胁之间的直接映射。有助于及早评估特定资产对特定技术的影响程度,这种影响程度包括机密性、完整性和可用性;

  4. 将安全目标(例如信息安全、财产、操作性、隐私和法规等)与威胁分析期间的影响程度相结合,有助于评估威胁对于相关利益方潜在业务的影响。

HEAVENSE的工作流如下图所示:

首先由干系人(如客户,车机厂商等)明确自己的安全属性安全目标并提供评估对象的典型应用场景。根据干系人提供的信息,安全人员展开安全评估工作,评估流程包括三个阶段:威胁分析、风险评估和安全需求。威胁分析主要通过评估对象或功能典型应用场景,将威胁与评估对象、安全属性进行映射,形成对应关系;风险评估主要对威胁与评估对象进行等级划分,具体是通过综合考虑威胁和影响等级两个维度实现安全等级划分;最后再将威胁、评估对象、安全属性和安全等级这四个维度进行整合形成安全需求。开发人员根据安全需求与安全等级最终确定开发优先级。

接下来对每个阶段的评估内容进行详细描述。

02

威胁分析

威胁分析是指识别与评估资产相关威胁以及威胁与安全属性的映射。

威胁分析的输入为TOE描述与功能应用场景,产生两个输出:(a)威胁和资产之间的映射关系,(b)威胁和安全属性之间的映射关系,以确定资产上下文中的特定威胁会影响哪些安全属性。

HEAVENSE采用的是微软的STRIDE方法对威胁进行分析,STRIDE是一种结构化和定性的安全方法,用于在软件系统中发现和枚举当前的威胁,目前其适用性已经扩展到汽车电子电气领域。STRIDE通过将威胁与安全属性关联起来,提供了扩展CIA(机密性,完整性,可用性)原始模型的机会(真实性、完整性、不可抵赖性、机密性、可用性、新鲜度和授权)。每一类的STRIDE威胁被静态的映射到一组安全属性,用于表示在风险评估期间,一旦在风险评估期间确定了特定(威胁-资产)对的安全等级,就可用于制定网络安全需求。STRIDE威胁和安全属性之间的映射如下所示:

以支持V2X业务的车载智能终端为例,识别资产和威胁业务场景之后,得到如下数据流图(示例):

使用STRIDE安全规则,对数据流中的所有元素进行威胁分析,得到所有车载智能终端对应资产所面临的的威胁,如下列所示 (示例):

通过对“资产-威胁”对进行详细分析,可得到所有车载智能终端面临的威胁:

通常情况下,一个车载智能终端面临的威胁在几百到几千条之间,越是复杂的系统,面临的威胁越多。当然其中有一些威胁本身并没有什么风险,这就需要对每条威胁进行风险评估,筛选出其中风险最高的威胁进行防护。

由于篇幅原因,

本篇先介绍到威胁分析相关的内容,

剩余内容放到下篇介绍。

-TBC-

声明:本文内容及图片由BC-AUTO转载至网络,信息来源于公众号帆一尚行。

(0)

相关推荐

  • 车路协同云/边缘云服务平台概要【原创】

    车路协同云/边缘云服务平台概要【原创】

  • 360、奇安信、腾讯、华为们“拥堵”在智能汽车安全的风口

    智能汽车越来越像一个科技产品,伴随着车联网速率的提升,汽车拥有了更多智能化的功能和表现,同时也带来了诸多生态性的问题,其中接轨互联网所带来的安全问题就是未来汽车发展需要面对的一大焦点. 据中国汽车技术 ...

  • 动态评估安全风险,步步为营精准防控

    动态评估安全风险,步步为营精准防控

  • 五大策略应对网络安全威胁

    编者按 2015年7月1日,新国家安全法施行,规定每年4月15日为全民国家安全教育日.聚焦网络安全现状及高校网络安全建设,<中国教育网络>特邀多位专家学者撰文,针对网络安全领域的现状与挑战 ...

  • 投资专项风险评估方法

    投资专项风险评估 即由投资部门和其他投资相关部门共同参与,根据公司各业务板块风险评估框架对股权投资项目风险进行系统化辨识和分析,确认项目重大风险并研究应对措施. 借助专项风险评估框架的运用,明确各部门 ...

  • 《综合能力》教材考点:风险评估方法

    评估范例 一.火灾风险评估方法 (一)火灾风险评估指标体系 某市城市区域火灾风险评估体系分为火灾危险源评估系统.城市基础信息评估系统.消防力量评估系统.火灾预警防控评估系统和社会面防控能力评估系统五部 ...

  • 车载智能终端JT/T 905标准过检

    JT/T 905的本部分规定了市级客运出租汽车服务管理信息系统宇省部平台之间数据交换的技术要求,包括通信方式.安全认证.功能实现流程协议消息格式和数据实体格式等内容.本部分适用于出租汽车服务管理信息系 ...

  • 科技动态|城市污水干管运行风险评估方法指标体系与评估准则的研究

    消息太多? 找不到我们? 别着急! 长按设置星标 不再烦恼! <净水技术> 中国科技核心期刊 追踪行业热点与焦点,让你每天比别人知道多一点 关注 近期征稿火热进行中 1 净水技术|< ...

  • 从典型案例看大型专业施工央企法律风险及其防范(上篇)

    <从典型案例看大型专业施工央企法律风险及其防范>一文为朱树英主任在大桥局的讲课内容,此篇为上篇. 一.从两个案例看国际工程承包市场中合同风险防控的重要性. 实施我国"一带一路&q ...

  • 汽车化数字化加速,车载系统成为超级智能终端

    随着汽车智能化的加速,中控的数字化成为一个重要的展示位置.传统的汽车中控台开始逐步退出历史舞台,开始被数字化,智能化,大屏化所代替.这个趋势也正符合年轻人的需求,同时新能源车的到来也加速了这个进程.现 ...

  • 我国政策评估方法选择和评估指标体系构建的思路和建议

    对于重大政策效果进行评估,我国在中央和地方层面都做了广泛的尝试,但当前开展的政策评估仍以相关部门自评为主,独立性和客观性略显不足,进而影响评估结果的公信度和施政参考价值.未来应着力提高政策评估工作的专 ...

  • 合伙企业类合同的风险与应对 |《民法典》新视角

    编者按: 本文将采用 <标准合同课>"三观分析法",综合合伙协议.入伙协议.合伙份额转让协议的共性,从宏观角度,探讨分析合伙企业类合同,包括以下几点: 宏观-合同类型 ...

  • 这颗药可降低31%的冠心病风险

    1971年,瑞典药理学家在动物试验中发现,两种常用的血管扩张药普尼拉明(心可定)和维拉帕米(异搏定)对冠状动脉有舒张作用和减缓心脏肌力作用,证实其作用机制是抑制钙离子经电压调控的钙离子通道内流,减少钙 ...