0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

汽车网络安全需求分析方法综述

上海控安 来源:上海控安 作者:上海控安 2023-02-01 15:45 次阅读

作者 | 郁静华 上海控安可信软件创新研究院研究员

来源 | 鉴源实验室

引言:近年来,汽车的网络安全问题逐渐被重视,在汽车产品的全生命周期中,需要进行网络安全风险管理,其主要活动包括网络安全需求分析、安全策略设计与实施、运营阶段安全监控与应急响应等。安全需求分析工作作为系统安全设计的第一步,将为系统后续的设计、开发、安全运营管理等活动起到重要的作用。安全需求分析主要是对目标对象实施分析,以获得与安全相关设计需求的活动。安全需求主要用于指导后续的安全设计,以降低安全风险,为目标对象全生命周期中的安全活动提供决策依据。

01 安全需求分析框架

本章节将基于所调研的相关标准、行业指南、论文等材料,介绍目前相关行业中,主流的网络安全需求分析方法框架。由于并非所有的方法都显式地被称为需求分析方法。因此,在调研需求分析方法时规定,只要所开展活动的目标是辨识安全需求,则认为其是所需的方法。

例如,在汽车网络安全领域中,并不常使用“安全需求分析”一词,取而代之的是“威胁分析与风险评估”(即TARA - Threat Analysis and Risk Assessment)。根据ISO 21434标准规定,在系统设计的概念阶段,需要对目标系统实施网络安全目标的辨识。根据定义,网络安全目标是指目标对象的概念层网络安全需求,该安全需求可与一个或多个威胁场景相关联。简而言之,网络安全目标即为系统设计早期进行的最上层安全需求。而具体用于实施网络安全目标辨识活动的主要工作即为大家所熟知的TARA分析,TARA分析为安全需求分析的重要工作部分。

以下为汽车及相关领域内常用的网络安全需求分析框架:

· EVITA TARA

· NIST网络安全框架

· TVRA流程

· OCTAVE Allegro

· HEAVENS TARA

· FMVEA

· STPA-Sec

EVITA(E-Safety Vehicle Intrusion Protected Applications)是一个起始于2008年、由欧盟资助的研究项目,其目标在于设计、验证并试制一个安全的车载网络架构。该项目中提出了一种系统的威胁分析及风险评估方法,其首先需辨识目标系统潜在的威胁,并从安全(safety)、隐私、经济及操作方面对所获得的威胁的严重性进行评估。然后,需评估每一个威胁实现的可能性。最后,根据风险等级映射表获得最终的风险评估结果[1]。EVITA TARA分析的输出可作为后续系统安全设计的需求输入。

NIST网络安全框架是一种由美国国家标准技术研究所(NIST:National Institute of Standards and Technology)提出的、用于管理关键设施风险的大框架,其主要包括五个核心功能,分别为:辨识、保护、发现、响应和恢复。其中,与TARA活动相关的步骤包括辨识并整理目标资产漏洞及风险、接收来自于共享资源的网络安全威胁信息、评估威胁潜在的商业影响及发生可能性等,并根据以上因素的分析结果,可最终获得相关风险的评估结果[2]。

v2-b219a118e9604fca761b4d4621f643a4_720w.webp

图1 Framework Core Structure[2]

v2-ea972d2ce0fcca9e871a0022d2b1a047_720w.webp

图2 Function and Category Unique Identifiers[2]

TVRA(Threat, Vulnerabilities, and Implementation Risks Analysis)是一个由欧洲电信标准协会(ETSI)提出的流程驱动型威胁分析及风险评估方法。TVRA中一共有十个工作步骤,包括辨识需要评估的目标(TOE: Target of Evaluation)、系统地辨识目标漏洞及威胁等级、计算攻击发生可能性及其影响等。TVRA主要基于攻击可能性及攻击对系统的影响来辨识目标系统存在的安全风险,从而采取相应的措施以避免攻击事件[3]。

v2-a2e93d23ef25c124632f697df61140c7_720w.webp

图3 Structure of Security Analysis and Development in Standards Documents[3]

OCTAVE Allegro是一个针对信息财产的流程型方法,其共有八个步骤,包括建立风险测量标准、辨识威胁场景、辨识并分析风险,以及选择减轻威胁的方法等。OCTAVE Allegro是从OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)方法变化而来的,前者优化了原有的信息安全风险评估流程,帮助组织能够在有限投入的情况下获得足够的评估结果。OCTAVE方法最早是于1999年由卡内基梅隆大学软件工程学院提出,并受到了美国国防部的资助[4]。

v2-c7ea315cadc495f51a5214c00b1264ae_720w.webp

图4 OCTAVE Allegro Roadmap[4]

HEAVENS(HEAling Vulnerabilities to ENhance Software Security and Safety)是一个针对车辆电子电器系统的系统性安全需求分析方法,其中包括了用于威胁分析及风险评估的流程及支持工具[5]。HEAVENS安全模型首先需基于功能用例分析系统的潜在威胁,并输出所辨识获得的威胁、目标资产及安全属性。然后,根据要求评定各潜在威胁的威胁等级及影响等级,并获得目标系统的安全等级评估。最终,设计者可从分析输出中提取用于指导系统安全设计的设计需求[6]。

v2-b9bda550b700a7923014b18e78cb9fa4_720w.webp

图5 Workflow of the HEAVENS Security Model[5]

FMVEA(Failure Mode, Vulnerabilities and Effects Analysis)是一种由FMEA(Failure Mode and Effects Analysis)方法演变而来的、用于辨识系统漏洞因果链的分析方法。FMVEA主要通过辨识系统的漏洞、威胁模式、威胁实施者、威胁影响、攻击概率等步骤,以最终获得目标系统的安全因果链及对各威胁模式的评价[7]。

v2-96575d61e8d3a45b0d28741ed612c1a3_720w.webp

图6 FMVEA - Analysis Flow Chart[7]

STPA-Sec是一种由STPA(System-Theoretic Process Analysis)方法演变而来的、用于分析系统安全损失场景的方法,其使用了系统理论过程分析框架,可自上而下地对系统的安全漏洞进行分析。STPA-Sec的主要步骤包括:分析目标定义、目标系统控制结构的建立、不安全控制行为的辨识以及损失场景的辨识。最终,分析者可从所辨识出的损失场景中提取系统设计的安全需求[8]。

v2-947f1c03e25f9c6da040933802b66f27_720w.webp

图7 Overview of the Basic STPA Method[8]

02 威胁分析及风险评估方法

上一章节中所介绍的安全需求分析方法均是在一个上层的流程或框架层面方法,而上述框架方法中的核心活动为对目标对象实施威胁分析及风险评估活动。针对这两项重点活动,相关领域内已有很多操作层面的技术,可以被灵活地运用于各个框架之中。在各类框架方法中,也涉及到了各类不同的操作方法。

关于威胁辨识部分,HEAVENS和FMVEA方法使用了微软的STRIDE模型[9]来辨识潜在的威胁。EVITA项目中使用了攻击树的方法进行深入的攻击分析,并获得攻击路径即场景[1]。在EVITA流程中也可使用威胁及操作性分析方法(THROP)来实施功能层面的威胁辨识[6]。美国国家公路交通安全管理局(NHTSA)提出了一个基于威胁矩阵的综合威胁模型以帮助安全分析中的威胁辨识[10]。WP.29 R155法规附录五的第一部分中枚举的共七大类32子类的威胁可作为安全威胁分析的基本引导词使用。该法规中也明确指出,在评估风险时,车辆制造商应该考虑附录五第一部分中罗列的所有威胁的风险,以及其他可能相关的风险(WP.29 R155 7.3.3条款)[11]。

关于风险评价部分,当前有以下几种主要的评价体系被使用:

EVITA项目从系统的操作性、安全性(safety)、隐私性以及经济性四个方面对系统的网络安全进行评价,结合攻击概率、攻击影响以及可控制性等因素,最终获得一个风险等级(R0至R7+,R0表示最低风险,R7+表示最高风险)[1]。

在HEAVENS流程中,通过对威胁等级以及影响等级打分评级后,根据映射矩阵最终获得系统的安全等级[6]。

Ben Sapiro提出了一个二元风险分析方法(BRA),该方法首先需回答十个是与否的问题,并将问题的回答映射到对应的输入矩阵中,如威胁范围矩阵、保护能力矩阵等,然后通过可能性评价和影响评价,最终获得目标系统的风险等级。BRA是一个轻量级的用于快速构建的定性风险评价工具,可融合于现有的风险管理框架中使用[12]。

通用漏洞评分系统(CVSS)是一个用于评价软件系统漏洞的开放框架。该系统根据相关漏洞的主要特征,生成一个可以反映该漏洞严重程度的分数以及相关解释[13]。ISO/SAE 21434标准的G.3章节中,提供了基于CVSS评分标准的攻击可行性评估方法指南[14]。

此外,ISO/SAE 21434中定义了网络安全保障等级(CAL),该等级可依据系统威胁场景的影响力及暴露水平等参数而评定。标准中还依据该CAL评级,定义了一系列系统应该满足的网络安全保障需求,并可作为在产品的网络安全工程活动的决策依据[14]。正如车辆安全完整性等级(ASIL)在车辆功能安全领域内的作用一样,CAL可为参与到车辆生命周期内的相关厂商或组织提供了一个行业内统一的交流、设计及评价标准。

03 总结

本文主要介绍了汽车及相关领域内,用于实施网络安全需求分析的方法及技术,以展示该领域内的技术概况,帮助从业者更好地了解相关方法,以在实际工作中选用合适的方法进行工作。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 汽车电子
    +关注

    关注

    3024

    文章

    7863

    浏览量

    166404
  • 网络安全
    +关注

    关注

    10

    文章

    3124

    浏览量

    59583
收藏 人收藏

    评论

    相关推荐

    爱芯元智通过ISO/SAE 21434:2021汽车网络安全流程认证

    近日,国际公认的测试、检验和认证机构SGS(以下简称"SGS")为爱芯元智半导体有限公司(以下简称:爱芯元智)颁发ISO/SAE 21434:2021汽车网络安全流程认证证书
    的头像 发表于 11-18 17:31 315次阅读

    四维图新荣获ISO/SAE 21434汽车网络安全管理体系认证

    近日,在第七届中国国际进口博览会(CIIE)期间,北京四维图新科技股份有限公司(以下简称:四维图新)荣获SGS通标标准技术服务有限公司(以下简称:SGS)颁发的ISO/SAE 21434汽车网络安全
    的头像 发表于 11-07 18:16 463次阅读

    能可瑞获颁TÜV南德ISO/SAE 21434 汽车网络安全流程认证证书

    南京2024年7月24日 /美通社/ -- 日前,南京能可瑞科技有限公司(以下简称"能可瑞")获颁TÜV南德意志集团(以下简称"TÜV南德")ISO/SAE 21434汽车网络安全流程认证证书。该
    的头像 发表于 07-25 09:39 351次阅读
    能可瑞获颁TÜV南德ISO/SAE 21434 <b class='flag-5'>汽车网络安全</b>流程认证证书

    了解 ADAS 和车舱监控系统对网络安全图像传感器的需求

    作者:Ludovic Rota,安森美产品营销经理 要让人们认识到汽车网络安全的重要性并不容易。随着汽车向半自动驾驶过渡,汽车主机厂 (OEM) 越来越关注汽车网络安全问题。对
    的头像 发表于 05-15 17:17 432次阅读
    了解 ADAS 和车舱监控系统对<b class='flag-5'>网络安全</b>图像传感器的<b class='flag-5'>需求</b>

    广电计量入选“汽车网络与数据安全行业全景图”

    评选由行业权威机构谈思实验室(Taas Labs)携手业内专家共同发起,从汽车网络安全、数据安全2大维度展开,从企业实力、产品应用、技术研发、创新专利4大维度进行评选,力争能反映行业优秀企业全貌。经过层层严格筛选,广电计量成
    的头像 发表于 05-13 09:22 1423次阅读
    广电计量入选“<b class='flag-5'>汽车网络</b>与数据<b class='flag-5'>安全</b>行业全景图”

    经纬恒润亮相AutoSec中国汽车网络安全及数据安全合规峰会

    近日,由谈思实验室、谈思汽车、上海市车联网协会联合举办的AutoSec8周年年会暨中国汽车网络安全及数据安全合规峰会在上海举办。本次大会主要聚焦数据合规、汽车网络与数据
    的头像 发表于 05-10 08:00 337次阅读
    经纬恒润亮相AutoSec中国<b class='flag-5'>汽车网络安全</b>及数据<b class='flag-5'>安全</b>合规峰会

    黑芝麻智能获得ISO/SAE 21434:2021汽车网络安全流程认证证书

    4月3日,黑芝麻智能获得 ISO/SAE 21434:2021汽车网络安全流程认证证书,标志着黑芝麻智能已建立起符合ISO/SAE 21434要求的网络安全产品开发流程体系,构筑起网络安全风险管控能力。
    的头像 发表于 04-03 17:22 653次阅读
    黑芝麻智能获得ISO/SAE 21434:2021<b class='flag-5'>汽车网络安全</b>流程认证证书

    普华基础软件荣获ISO/SAE 21434汽车网络安全管理体系认证证书

    近日,普华基础软件在网络安全领域取得了又一重大突破,成功获得了国际知名第三方检测、检验和认证机构德国莱茵TÜV颁发的汽车网络安全ISO/SAE 21434管理体系认证证书。这一荣誉的获得,标志着普华
    的头像 发表于 03-19 09:48 594次阅读

    英飞凌汽车安全控制器获ISO/SAE 21434认证,引领汽车网络安全新篇章

    近日,全球领先的半导体科技公司英飞凌宣布,其SLI37系列汽车安全控制器成功获得了ISO/SAE 21434汽车网络安全管理体系认证,成为业内首家获得此项殊荣的半导体公司。这一认证不仅彰显了英飞凌在
    的头像 发表于 03-12 10:08 749次阅读

    普华基础软件荣获ISO/SAE 21434汽车网络安全管理体系认证证书

    2024年2月26日,普华基础软件正式获得由国际独立第三方检测、检验和认证机构德国莱茵TÜV颁发的汽车网络安全ISO/SAE 21434管理体系认证证书
    的头像 发表于 03-05 09:22 1120次阅读
    普华基础软件荣获ISO/SAE 21434<b class='flag-5'>汽车网络安全</b>管理体系认证证书

    Microchip通过ISO/SAE 21434汽车网络安全标准

    随着汽车行业日益依赖无线和车载网络连接,网络安全问题日益凸显。为确保道路车辆网络安全风险得到有效管理,国际标准化组织(ISO)与国际汽车工程
    的头像 发表于 02-19 17:29 930次阅读

    汽车网络安全-挑战和实践指南

    汽车网络安全-挑战和实践指南
    的头像 发表于 02-19 16:37 490次阅读
    <b class='flag-5'>汽车网络安全</b>-挑战和实践指南

    FCA汽车网络安全风险管理

    汽车工业继续在车辆上增加连接,以满足顾客对技术的贪得无厌的需求,但汽车不仅仅是某些计算机网络上的不安全端点--一些人所描绘的--
    发表于 12-29 10:48 407次阅读
    FCA<b class='flag-5'>汽车网络安全</b>风险管理

    汽车网络安全:防止汽车软件中的漏洞

    汽车网络安全汽车开发中至关重要,尤其是在 汽车软件 日益互联的情况下。在这篇博客中,我们将分享如何防止汽车网络安全漏洞。 静态分析工具有助
    的头像 发表于 12-21 16:12 1059次阅读
    <b class='flag-5'>汽车网络安全</b>:防止<b class='flag-5'>汽车</b>软件中的漏洞

    活动回顾|Keysight汽车网络安全测试方案亮相世界汽车标准创新大会

    召开。 在本次会议活动中, 是德科技携车桩充电一致性测试方案以及汽车网络安全测试方案亮相。 是德科技自动驾驶领域全球业务经理Sven Kopacz就汽车网络安全问题目前的挑战以及测试手段发表了演讲。 从1930年代初到21世纪,汽车
    的头像 发表于 12-20 09:55 519次阅读
    活动回顾|Keysight<b class='flag-5'>汽车网络安全</b>测试方案亮相世界<b class='flag-5'>汽车</b>标准创新大会