車聯(lián)網(wǎng)和自動(dòng)駕駛等技術(shù)和產(chǎn)業(yè)的出現(xiàn)為汽車行業(yè)帶來了新的發(fā)展機(jī)遇,,同時(shí)也帶來了新的挑戰(zhàn),。隨著汽車向智能化,、網(wǎng)聯(lián)化的方向轉(zhuǎn)型,,汽車電子的網(wǎng)絡(luò)安全問題日益凸顯,,而因此越來越受到行業(yè)的重視,,各大廠商紛紛加快了在汽車信息安全方面的研發(fā)和布局,。威脅分析與風(fēng)險(xiǎn)評(píng)估是保障汽車電子系統(tǒng)信息安全的重要活動(dòng)環(huán)節(jié),,在J3061,、ISO 21434、GB/T 38628等指南中給出了流程和方法的介紹,。本文[1]綜合現(xiàn)有的研究成果,,結(jié)合汽車行業(yè)實(shí)踐情況,提出了一套改進(jìn)的汽車電子威脅分析與風(fēng)險(xiǎn)評(píng)估流程,,以提升其工作效率,。
引言
本文將以NIST風(fēng)險(xiǎn)管理框架、EVITA,、HEAVENS等為例介紹典型的威脅分析與風(fēng)險(xiǎn)評(píng)估方法,,并引出本文的改進(jìn)方案。
美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)推出了風(fēng)險(xiǎn)管理框架(RMF),,該框架提供了一個(gè)將安全和風(fēng)險(xiǎn)管理活動(dòng)集成到系統(tǒng)開發(fā)生命周期中的過程,,這個(gè)過程一共分為6步:分類、選擇,、實(shí)施,、評(píng)估、授權(quán)和監(jiān)控,。第一步分類,,首先要定義出系統(tǒng)邊界,然后基于該系統(tǒng)邊界,,將與該系統(tǒng)相關(guān)的所有信息類型都識(shí)別出來,;第二步是根據(jù)安全分類選擇一個(gè)初始的安全控制措施,并根據(jù)對(duì)風(fēng)險(xiǎn)和環(huán)境的評(píng)估調(diào)整和補(bǔ)充安全控制措施,該措施是信息系統(tǒng)內(nèi)負(fù)責(zé)保護(hù)系統(tǒng)及其信息的手段,;第三步是實(shí)現(xiàn)并記錄在運(yùn)營環(huán)境下是如何實(shí)施所選的安全控制措施的,;第四步要求以適當(dāng)?shù)牧鞒虂碓u(píng)估安全控制措施實(shí)現(xiàn)的正確程度,以及按照預(yù)期運(yùn)行和滿足系統(tǒng)預(yù)期安全要求的程度,;第五步在確定系統(tǒng)運(yùn)行對(duì)組織運(yùn)營和資產(chǎn),、個(gè)人、其他組織及國家?guī)淼娘L(fēng)險(xiǎn),,并確定該風(fēng)險(xiǎn)可接受的基礎(chǔ)上,,授權(quán)系統(tǒng)運(yùn)行,;最后一步,,持續(xù)監(jiān)視安全控制措施,記錄系統(tǒng)或運(yùn)行環(huán)境的變化,,對(duì)相關(guān)變化進(jìn)行安全影響分析,,并向相關(guān)組織官員報(bào)告系統(tǒng)的安全狀態(tài)。
EVITA全稱E-Safety Vehicle Intrusion ProtectedApplications,,電子安全車輛入侵防護(hù)應(yīng)用,,是歐盟第七框架計(jì)劃資助項(xiàng)目,該項(xiàng)目的主要目標(biāo)是為汽車車載網(wǎng)絡(luò)設(shè)計(jì),、驗(yàn)證和原型架構(gòu)提供參考,。在風(fēng)險(xiǎn)嚴(yán)重性方面,EVITA針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估方法來源并參考了ISO 26262中的功能安全風(fēng)險(xiǎn)評(píng)估方法,,將嚴(yán)重性等級(jí)分為5個(gè)等級(jí),,即S0到S4;從評(píng)估維度上看,,EVITA總共提供了4種評(píng)估維度:功能安全,、隱私、財(cái)產(chǎn)和操作,。操作性方面是維護(hù)所有車輛和智能交通系統(tǒng)功能所期望的操作性能,;功能安全方面是確保駕乘人員和路邊人員的功能安全;隱私方面是保護(hù)駕駛?cè)藛T,,以及車輛制造和供應(yīng)商在知識(shí)產(chǎn)權(quán)方面的私密性,;財(cái)產(chǎn)方面是保護(hù)欺騙性的經(jīng)濟(jì)損失和車輛盜竊問題。對(duì)于這四個(gè)安全目標(biāo),,EVITA開展三個(gè)階段的工作:威脅識(shí)別,、威脅分類和風(fēng)險(xiǎn)分析。威脅識(shí)別是使用場(chǎng)景和攻擊樹識(shí)別威脅,,并獲得安全需求,;威脅分類是基于威脅的嚴(yán)重性和成功攻擊的可能性對(duì)威脅進(jìn)行分類;風(fēng)險(xiǎn)分析是基于威脅的分類,提供建議的措施,。其分析流程如圖1所示,,每個(gè)具體資產(chǎn)都有其攻擊可能性,而每個(gè)攻擊目標(biāo)都有其攻擊嚴(yán)重性(包含了功能安全等方面),,以概率組合的方法就能分別計(jì)算出攻擊可能性和攻擊嚴(yán)重性,,就能進(jìn)一步計(jì)算出風(fēng)險(xiǎn)等級(jí)。圖2展示了該攻擊方法的一個(gè)實(shí)例,。
圖1 EVITA-基于攻擊樹方法的威脅分析與風(fēng)險(xiǎn)評(píng)估過程
圖2 基于攻擊樹方法的威脅分析與風(fēng)險(xiǎn)評(píng)估過程實(shí)例
HEAVENS安全模型側(cè)重于威脅分析和風(fēng)險(xiǎn)評(píng)估的方法,、過程和工具支持,其目標(biāo)是提出一個(gè)系統(tǒng)的方法來推導(dǎo)車輛電子電氣系統(tǒng)的網(wǎng)絡(luò)安全要求,。HEAVENS安全模型的工作流如圖3所示,,其主要特點(diǎn)如下:
適用于各種道路車輛,例如客車和商用車輛,。同時(shí),,該模型考慮了廣泛的利益相關(guān)者(例如,OEM,,車隊(duì)所有者,,車輛所有者,司機(jī),,乘客等)
以威脅為中心,,在汽車電子電氣系統(tǒng)中應(yīng)用了微軟的STRIDE方法。STRIDE 是從攻擊者的角度,,把威脅劃分成 6 個(gè)類別,,分別是 Spooling(仿冒)、Tampering(篡改),、Repudiation(抵賴),、InformationDisclosure(信息泄露)、Dos(拒絕服務(wù)) 和 Elevation of privilege (權(quán)限提升),。這六類的劃分是與信息安全三要素:保密性,、完整性、可用性,,和信息安全基本的三個(gè)屬性:認(rèn)證,、鑒權(quán)、審計(jì),,相關(guān),。
在威脅分析期間建立了安全屬性和威脅之間的直接映射關(guān)系,有利于評(píng)估對(duì)特定資產(chǎn)的特定威脅的技術(shù)影響(除機(jī)密性,、完整性,、可用性外,,還關(guān)注認(rèn)證、授權(quán),、不可抵賴,、隱私性、時(shí)效性等安全屬性)
將風(fēng)險(xiǎn)評(píng)估期間的安全目標(biāo)(安全,,財(cái)務(wù),,運(yùn)營,隱私和立法)與影響級(jí)別估計(jì)進(jìn)行了映射,。這有助于了解特定威脅對(duì)相關(guān)利益相關(guān)者(例如OEM)的潛在業(yè)務(wù)影響
提供了基于行業(yè)標(biāo)準(zhǔn)的影響級(jí)別參數(shù)(安全,,操作,財(cái)務(wù),,隱私和立法)的估計(jì),。例如,安全參數(shù)與功能安全標(biāo)準(zhǔn)ISO 26262一致,,財(cái)務(wù)參數(shù)基于德國BSI標(biāo)準(zhǔn),,操作參數(shù)基于汽車提出的故障模式和效應(yīng)分析(FMEA),,隱私和立法參數(shù)與德國BSI標(biāo)準(zhǔn)的“Privacy Impact Assessment Guideline”相關(guān)
圖3 HEAVENS安全模型的工作流
改進(jìn)
對(duì)于汽車電子電氣系統(tǒng)進(jìn)行威脅分析與風(fēng)險(xiǎn)評(píng)估,,無疑需要從多個(gè)維度和方面進(jìn)行系統(tǒng)化地考量,以求做到無重復(fù)無遺漏,。如圖4所示,,對(duì)于資產(chǎn)的識(shí)別,一方面是從汽車的縱深結(jié)構(gòu)上入手,,而另一方面則可以從設(shè)備的軟硬件結(jié)構(gòu)上考慮,;針對(duì)識(shí)別出的每一項(xiàng)資產(chǎn),可以參考STRIDE方法從仿冒,、篡改,、抵賴、信息泄露,、拒絕服務(wù)和提升特權(quán)這6大方面考慮可能的網(wǎng)絡(luò)安全威脅或攻擊手段,,并與并與資產(chǎn)受到影響的安全屬性一一對(duì)應(yīng),以便進(jìn)一步評(píng)估針對(duì)特定資產(chǎn)的影響嚴(yán)重程度,。在對(duì)具體資產(chǎn)的威脅分析過程中,,既要考慮類似傳統(tǒng)IT系統(tǒng)的脆弱性及攻擊手段,也要側(cè)重考慮車輛系統(tǒng)特有的脆弱性及相應(yīng)可能的攻擊手段,,并結(jié)合具體的功能用例,、工作場(chǎng)景或流程進(jìn)行分析。
圖4 面向汽車電子的威脅分析與風(fēng)險(xiǎn)評(píng)估維度與要素
綜合上述維度,,本文形成了如圖5所示的面向汽車電子網(wǎng)絡(luò)安全的威脅分析與風(fēng)險(xiǎn)評(píng)估框架,,并細(xì)化為表1的具體流程,其主要工作產(chǎn)品及配套支撐環(huán)境如圖6所示。圖5中分別從系統(tǒng)資產(chǎn)的角度使用數(shù)據(jù)流圖進(jìn)行影響等級(jí)分析,,以及從攻擊者的角度使用攻擊樹進(jìn)行威脅等級(jí)分析,,從而完成對(duì)于系統(tǒng)的威脅分析和風(fēng)險(xiǎn)評(píng)估。數(shù)據(jù)流圖分析和攻擊樹分析在“資產(chǎn)-威脅”的映射關(guān)系上是相互補(bǔ)充的,,從數(shù)據(jù)流圖分析角度得到的“資產(chǎn)-威脅”對(duì)可以補(bǔ)充到攻擊樹分析方法中,,同樣地,從攻擊樹分析方法中得到的“資產(chǎn)-威脅”對(duì)也可以補(bǔ)充到數(shù)據(jù)流圖分析方法中,,直到兩者的“資產(chǎn)-威脅”對(duì)相匹配為止,,如圖7所示。
圖5 面向汽車電子網(wǎng)絡(luò)安全的威脅分析與風(fēng)險(xiǎn)評(píng)估框架
表1 威脅分析與風(fēng)險(xiǎn)評(píng)估流程活動(dòng)說明
圖6 流程活動(dòng)的工作產(chǎn)品與支撐環(huán)境
圖7 融合數(shù)據(jù)流圖和攻擊樹方法的威脅分析過程
實(shí)例
本文以FOTA(Firmware Over-The-Air)網(wǎng)關(guān)對(duì)上述威脅分析與風(fēng)險(xiǎn)評(píng)估流程的應(yīng)用進(jìn)行說明,。其應(yīng)用場(chǎng)景和功能如表2所示,,其中,遠(yuǎn)程控制的用例圖如圖8所示,。
表2 FOTA網(wǎng)關(guān)的應(yīng)用場(chǎng)景及功能
圖8 FOTA網(wǎng)關(guān)遠(yuǎn)程控制用例圖
以用戶為核心做功能定義,,識(shí)別出功能模塊和實(shí)現(xiàn)這些功能的資產(chǎn),形成系統(tǒng)架構(gòu)圖和資產(chǎn)跟蹤記錄,,其中資產(chǎn)跟蹤記錄如表3所示,。
表3 FOTA網(wǎng)關(guān)遠(yuǎn)程控制用例的資產(chǎn)跟蹤記錄表(部分)
接下來做數(shù)據(jù)流圖分析和攻擊樹分析,分別如圖9,、圖10所示,,并交叉比對(duì),相互補(bǔ)充和完善,,歸納并填寫相應(yīng)的威脅記錄,,如表6所示。
圖9 FOTA網(wǎng)關(guān)遠(yuǎn)程控制模塊數(shù)據(jù)流圖示例
圖10 FOTA網(wǎng)關(guān)“無法控制空調(diào)”攻擊樹示例(部分)
表6 威脅綜合記錄表(威脅跟蹤記錄表的一部分)
最后,,進(jìn)行風(fēng)險(xiǎn)評(píng)估,,評(píng)估威脅等級(jí)(表7)、影響等級(jí)(表8),,然后根據(jù)兩者確定威脅的安全等級(jí)(表9),。
表7 脆弱性-攻擊潛力記錄表(威脅跟蹤記錄表的一部分)
表8 威脅影響跟蹤記錄表(威脅跟蹤記錄表的一部分)
表9 威脅-安全等級(jí)跟蹤記錄表(威脅跟蹤記錄表的一部分)
總結(jié)
本文對(duì)當(dāng)前汽車領(lǐng)域的一些威脅分析和風(fēng)險(xiǎn)評(píng)估技術(shù)方法進(jìn)行改進(jìn),提出了一套結(jié)構(gòu)化,、系統(tǒng)性的實(shí)施流程,,同時(shí)應(yīng)用數(shù)據(jù)流圖(被HEAVENS和STRIDE方法所采用)和攻擊樹(被EVITA方法所采用)兩種方法來分析系統(tǒng)資產(chǎn)可能面臨的威脅,使得對(duì)威脅的分析更加全面,。但是本流程方法的自動(dòng)化程度還不高,,未來需要進(jìn)一步提升流程的工具化和便利化程度,以及通過知識(shí)庫的形式,,實(shí)現(xiàn)分析成果的積累,,不斷為新的系統(tǒng)分析所復(fù)用,。