#百人创作先锋团#汽车信息安全风险评估实践

安全防护思路

为了应对信息安全风险，目前汽车ECU已经部署了若干信息安全防护措施。汽车ECU上已经在部署一定的信息安全防护技术措施了。然而，由于不同ECU的应用场景和功能定义不尽相同，不同厂商的设计开发思路不尽相同导致当前ECU的信息安全技术开发路线较难有统一的共识。而且，汽车ECU因计算能力和系统资源的限制，较难部署复杂的信息安全防护措施。在具体的开发过程中还需要考虑多种技术限制，按需选择适合的技术方案并落地实施。

此外，大多汽车ECU厂商在部署信息安全防护技术措施时仍缺乏明确的参考指导。对于网关、车载信息交互系统、车载充电系统等车载ECU而言，当前已经有明确的技术标准在制定过程中了。除此之外，车上还有很多其它功能和形态的ECU，目前在技术要求方面仍处于空白状态。

基于ISO/SAE21434标准中汽车风险评估的方法指导，已经成为行业认可的汽车信息安全评估的方法论。参考SAEJ3061和ISO21434中提到的方法，针对于特定应用场景，利用HEAVENS、STRIDE和攻击树模型等方法开展安全分析，并得出ECU的信息安全技术需求：

Step1：识别系统关键资产

Step2：围绕系统关键资产，分析并识别威胁场景

Step3：分析威胁场景的攻击路径

Step4：从威胁等级和影响等级两个维度，结合HEAVENS分析方法进行安全等级评估

Step5：根据评估得出的安全等级，制定相应的信息安全技术要求

此分析方法在功能应用场景相对固定的情况下更适用，能更有针对性地分析出该场景下的信息安全技术要求。然而针对于宏观“ECU”的定义，因涉及的ECU范围广（囊括了车内上百种ECU）、功能场景多样（不同ECU的功能各不相同，同一ECU在不同场景下功能不同）、不好提强制要求（因考虑到实施成本和开发灵活性等方面），上述分析方法存在较大的应用难度。

风险评估方法有多个，不同方法各有侧重点，相关企业可以参考现有标准的方法论的指导，根据企业及产品自身的特点选用具体的评估方法，进行风险分析，最终得出风险处置决策方案。风险评估在实践应用时会遇到很多细节问题，由于汽车产品智能化、网联化、电动化、共享化进程不断推进，汽车产品在不断更新迭代，汽车信息安全风险评估在遵循现有标准指导的基础上，根据汽车发展的情况进行调整，以将方法灵活的应用于新技术新产品的分析。

根据ECU的大致分类，推荐基础安全措施，不涉及详细的信息安全技术需求定义，避免限制开发灵活性。为了使得安全防护措施的指导性和实施性更强，定义安全防护措施时可采用如下两种思路：

A.定义通用化的安全防护措施，作为基线功能的推荐。举例说明：对于网关产品建议部署信号完整性和机密性校验措施，例如，防火墙等。

B.结合ECU的功能定义和应用场景来定义安全防护措施，区分出ECU的基本功能和增量功能，来分别定义基线功能集和增量功能集。

举例说明：对于网关产品，基础功能是完成车内的数据路由转发功能，部署防火墙功能是基线功能；而在某些场景下，增量功能可能是网关要支持远程程序升级的功能，则针对于增量功能需要部署刷新完整性和机密性校验措施，例如，刷新包的数字签名和刷新包加密存储措施。

汽车网关案例

针对网关的风险评估流程，从该零部件的功能出发，如网关的功能有车内CAN/LIN报文高速传输、车内以太网高速传输模式、车内网络行为管理、FOTA（Firmware Over-The-Air空中下载软件升级）、TSP（车载信息服务系统服务）服务-远程诊断等。按照风险评估的流程及网关功能的划分，以下针对网关的FOTA功能进行网关风险评估的流程示范。

1、功能概述

网关（GW）的作用就是为在不同的通信协议和不同的传输速度的计算机或模块之间进行通信时，建立连接和信息解码，重新编译，并将数据传输给其他系统。

FOTA是指通过云端升级技术，为具有连网功能的设备提供固件升级服务。车载电子设备，如T-Box，车载信息娱乐系统，或其他一些有升级需求的ECU，在连网后采用FOTA方式进行固件系统升级。

2、资产识别

根据项目涉及的资产，列出资产清单，并进行用例描述，分析已有的安全机制。网关FOTA功能资产识别示例如表。

资产识别

根据资产信息，首先进行威胁分析：进行安全属性识别，建立STRIDE威胁模型（包括：欺骗、篡改、抵赖、信息泄露、拒绝服务、提权），并分析出损害场景及潜在的车辆威胁场景、攻击路径；然后进行风险评估：包括威胁分析及威胁等级计算，影响分析及影响等级计算。

3、威胁分析

进行威胁分析要从安全属性出发，安全属性有真实性、完整性、不可抵赖性、机密性、可用性、权限、时效性、隐私8个属性。基于安全属性的划分，分别分析损害场景、建立STRIDE威胁模型、分析潜在的车辆威胁场景及攻击路径。如对应FOTA功能的“真实性”的安全属性，可能存在的损害场景为破坏网关MPU的安全性能，通过发送自制的软件升级包舞蹈MPU对转向ECU进行错误更新，导致车辆在行驶中意外转向。该损害场景及安全属性对应的STRIDE模型为“欺骗”，对应的潜在的车辆威胁场景为：攻击者使用伪造的软件升级数据，破坏MPU的安全性能，导致GW进行错误更新，通过发送自制的软件升级包误导GW对转向ECU进行错误更新，导致车辆行驶中意外转向。存在的攻击路径为：攻击者攻入汽车企业APN专网，明确车辆信息后，穿透Tbox安全机制，向车辆发送FOTA流程。

4、风险评估

1)威胁评估

威胁评估根据威胁分析得出的威胁情况，从专业水平、对目标的知识度、机会窗口、设备的角度进行威胁评估，并得出各方面的指标值。如要实现上节所述的攻击路径，需要的专业水平为“Expert”，因为伪造数据需要满足接口特征，该方面对应的指标值为2；需要的对目标的知识度为“Sensitive”，因为需要对升级接口有深入了解，对应的指标值为2；需要的机会窗口为“Critical”，因为网关属于半开放接口，对应的指标值为0；设备水平为“Bespoke”，因为需要定制设备，对应的指标值为2。

2)威胁等级计算

威胁计算时可根据实际情况换算，本文中威胁水平参数值等于各指标值相加。TV=2+2+0+2=6

威胁等级评估规律如表，根据对应关系可以得出威胁等级为中等，威胁等级值为2。

威胁等级评估表

      5、影响分析

根据威胁分析的结果，对损害场景所造成的影响从安全、经济、操作、隐私和法律（SFOP）四个方面进行分析，并得出每个影响的指标值。如损害场景所造成的影响，在安全方面为“S3”级，因为车辆行驶中意外转向，会威胁生命安全，并且伤害不确定是否会生存，是否会有致命伤害，所以对应的指标值为1000；造成的经济损失为“Medium”，因为所造成的损害会导致重大的财务损失，但不会威胁到组织的生存，所以指标值为100；对车辆运转造成的影响为“High”，应为未能满足安全或监管要求，所以指标值为100；在隐私和法律角度造成的影响为“High”，因为违反了法律，所以对应的指标值为100。

6、影响等级计算

影响计算时可根据实际情况计算，本文中影响参数值等于各指标值相加。

IV=1000+100+100+100=1300

影响等级评估规律如表，根据对应关系，可知影响等级为严重，影响等级值为4。

影响等级评

7、风险处置决策

当进行威胁评估与影响分析之后，需要对两者的结果进行汇总，得出整体的安全等级。根据安全等级决定风险处置决策，并得出安全目标或高级别安全要求，对于未选择风险降级的风险处理决策，涵盖理由和结论在内的信息安全声明应被视为项目的安全参照。对于安全等级的评价本文使用矩阵法。

安全等级评估矩阵

如对上述的威胁等级值为2，影响等级值为4，根据矩阵法对应的安全等级为高，风险处置决策为：风险缓解，安全目标/高级别安全要求为：设置完整性校验如写入代码签名，具备强安全校验以保证安全性；配置访问控制列表，为外来信息授予权限，缓解由于以太网欺骗而导致的车辆安全风险。

8、威胁等级参数

威胁等级参数见表

9、影响等级参数

影响等级参数见表

10、风险处置建议

风险处置建议见表。

文章转载自公众号：智车Robot