日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

首頁 > 汽車技術 > 正文

車載智能終端威脅分析與風險評估方法之HEAVENS-上篇

2021-03-02 12:38:57·  來源:燃云汽車  
 
車載智能終端威脅分析與 風險評估方法之HEAVENS 上篇 1????背景 隨著車聯(lián)網(wǎng)的迅速發(fā)展,智能汽車逐漸融合現(xiàn)代通信與網(wǎng)絡技術,基于車載智能終端的“互聯(lián)網(wǎng)+”場景應用越發(fā)廣泛,車載智能終端面臨的各種信息安全風險與威脅也隨之大增。如何確保車載智能終端的
 
1    背景
隨著車聯(lián)網(wǎng)的迅速發(fā)展,智能汽車逐漸融合現(xiàn)代通信與網(wǎng)絡技術,基于車載智能終端的“互聯(lián)網(wǎng)+”場景應用越發(fā)廣泛,車載智能終端面臨的各種信息安全風險與威脅也隨之大增。如何確保車載智能終端的安全性成為一個急待解決的問題。以此為背景,在車載智能終端的設計開發(fā)中,不僅需要考慮業(yè)務需求,終端的網(wǎng)絡安全需求也是必不可少的重要組成部分。而車載智能終端的威脅分析與風險評估(TARA:Threat Analysis and Risk Assessment)則作為終端網(wǎng)絡安全需求的開始,從SAE J3061到ISO 21434,均被作為核心的網(wǎng)絡安全分析方法,已成為智能汽車網(wǎng)絡安全功能開發(fā)實施與測試的前提和基礎。
 
TARA分析方法可以幫助識別車載智能終端潛在的威脅和安全漏洞,通過對威脅的風險量化評估與優(yōu)先級排序,形成一份高層級的網(wǎng)絡安全需求,用于指導后續(xù)的設計與開發(fā),進而保障車載智能終端的安全性。國際主流的TARA分析方法包括OCTAVE、TVRA、EVITA、HEAVENSE等。在J3061中有關于這4種方法的介紹,其中對EVITA和HEAVENSE有較為詳細的介紹。EVITA參考了ISO 26262中的功能安全評估方式,同時結合信息安全特點進行了擴展,將非功能安全和多車場景納入其中。HEAVENS是針對汽車電子電氣系統(tǒng)威脅分析和風險評估的方法,同時也提供了完整的評估流程,其目標是提出一種系統(tǒng)方法,以便可以獲得汽車電子電氣系統(tǒng)的信息安全需求。相對而言,HEAVENS相對于EVITA來說更加完整,除了評估方法外,還提供了一整套評估流程。在此我們主要介紹比較適合車載智能終端的HEAVENSE評估方法。
 
 
2    HEAVENS安全模型
01、HEAVENS簡介
 
HEAVENS(HEAling Vulnerabilities to ENhance Software Security and Safety)安全模型專注于為車輛電子電氣系統(tǒng)進行威脅分析和風險評估時使用的的方法、過程和工具。其目的是提出一種系統(tǒng)的方法來獲取車輛電子電氣系統(tǒng)的網(wǎng)絡安全要求。HEAVENS具有四個主要的特點:
  1. 適用范圍廣泛,可以同時適用于乘用車和商用車;且考慮了廣泛的利益相關方(例如,OEM、車隊擁有者、車主、司機、乘客等等);
  2. 以威脅為中心,同時采用微軟的STRIDE方法對汽車電子電氣系統(tǒng)進行威脅評估;
  3. 在威脅分析過程中建立了安全屬性與威脅之間的直接映射。有助于及早評估特定資產(chǎn)對特定技術的影響程度,這種影響程度包括機密性、完整性和可用性;
  4. 將安全目標(例如信息安全、財產(chǎn)、操作性、隱私和法規(guī)等)與威脅分析期間的影響程度相結合,有助于評估威脅對于相關利益方潛在業(yè)務的影響。
HEAVENSE的工作流如下圖所示:
 
首先由干系人(如客戶,車機廠商等)明確自己的安全屬性安全目標并提供評估對象的典型應用場景。根據(jù)干系人提供的信息,安全人員展開安全評估工作,評估流程包括三個階段:威脅分析、風險評估和安全需求。威脅分析主要通過評估對象或功能典型應用場景,將威脅與評估對象、安全屬性進行映射,形成對應關系;風險評估主要對威脅與評估對象進行等級劃分,具體是通過綜合考慮威脅和影響等級兩個維度實現(xiàn)安全等級劃分;最后再將威脅、評估對象、安全屬性和安全等級這四個維度進行整合形成安全需求。開發(fā)人員根據(jù)安全需求與安全等級最終確定開發(fā)優(yōu)先級。
 
接下來對每個階段的評估內(nèi)容進行詳細描述。
 
02、威脅分析
威脅分析是指識別與評估資產(chǎn)相關威脅以及威脅與安全屬性的映射。
 
威脅分析的輸入為TOE描述與功能應用場景,產(chǎn)生兩個輸出:(a)威脅和資產(chǎn)之間的映射關系,(b)威脅和安全屬性之間的映射關系,以確定資產(chǎn)上下文中的特定威脅會影響哪些安全屬性。
 
HEAVENSE采用的是微軟的STRIDE方法對威脅進行分析,STRIDE是一種結構化和定性的安全方法,用于在軟件系統(tǒng)中發(fā)現(xiàn)和枚舉當前的威脅,目前其適用性已經(jīng)擴展到汽車電子電氣領域。STRIDE通過將威脅與安全屬性關聯(lián)起來,提供了擴展CIA(機密性,完整性,可用性)原始模型的機會(真實性、完整性、不可抵賴性、機密性、可用性、新鮮度和授權)。每一類的STRIDE威脅被靜態(tài)的映射到一組安全屬性,用于表示在風險評估期間,一旦在風險評估期間確定了特定(威脅-資產(chǎn))對的安全等級,就可用于制定網(wǎng)絡安全需求。STRIDE威脅和安全屬性之間的映射如下所示:
 
以支持V2X業(yè)務的車載智能終端為例,識別資產(chǎn)和威脅業(yè)務場景之后,得到如下數(shù)據(jù)流圖(示例):
 
使用STRIDE安全規(guī)則,對數(shù)據(jù)流中的所有元素進行威脅分析,得到所有車載智能終端對應資產(chǎn)所面臨的的威脅,如下列所示 (示例):
 
通過對“資產(chǎn)-威脅”對進行詳細分析,可得到所有車載智能終端面臨的威脅:
 
通常情況下,一個車載智能終端面臨的威脅在幾百到幾千條之間,越是復雜的系統(tǒng),面臨的威脅越多。當然其中有一些威脅本身并沒有什么風險,這就需要對每條威脅進行風險評估,篩選出其中風險最高的威脅進行防護。

由于篇幅原因,本篇先介紹到威脅分析相關的內(nèi)容,
剩余內(nèi)容放到下篇介紹。
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25