智能网联汽车风险评估方法EVITA

EVITA全称E-Safety Vehicle Intrusion Protected Applications，电子安全车辆入侵防护应用。EVITA本身是由欧盟委员会资助的一个项目，始于2008年，起初该项目的参与者都是欧洲的整车厂和汽车电子产业相关的厂商，比如宝马、博世、大陆、ESCRYPT、富士通和英飞凌等。该项目的主要目标是为汽车车载网络设计、验证和原型架构提供参考，依据和参考ISO/IEC 15408和ISO/DIS 26262相关标准，保护重要电控单元免受篡改，并且也会保护其敏感数据免受损害。

在风险严重性方面，EVITA针对信息安全风险评估方法来源并参考了ISO 26262中的功能安全风险评估方法。由于ISO 26262只是针对于单车和功能安全，因此EVITA便将其扩展到多车和非功能安全上，具体风险严重性分类如下图所示，其中黑色字体部分来自ISO 26262，红色字体部分是EVITA扩展出来的。

从严重性等级上来看，EVITA将其分为5个等级，即S0到S4；从评估维度上看，EVITA总共提供了4种评估维度：功能安全、隐私、财产和操作。整个风险严重性等级的划分有效的将功能安全和信息安全结合在一起，即将功能安全与非功能安全结合在一起。这就如同J3061中所阐述的一样，功能安全与信息安全相互包含，又相互独立且相互有交集。

从关键系统角度上看，信息安全关键系统通常会包含功能安全关键系统，很多针对信息安全关键系统的攻击很有可能相当于攻击了功能安全关键系统，比如针对制动系统的攻击，可能是通过IVI上某个浏览器漏洞实现的。但是并不是所有对信息安全关键系统的攻击都可能会造成功能安全，比如对GPS行车轨迹的泄露，并不会造成功能安全的缺失，但是却是信息安全所无法接受的。从工程学角度上看，信息安全与功能安全都有各自独立的开发流程，但是又并不代表这两个流程没有任何交集，在处理有些问题的时候是需要相互交流的，比如针对ADAS辅助驾驶的攻击，将恶意程序注入到辅助驾驶系统中，这部分既涉及到信息安全也涉及到功能安全，因此在做处理的时候需要让两个开发流程中的人相互交流和融合，共同探讨出合适的解决方案。

在攻击可能性方面，EVITA采用了基于IT安全评估中所使用的“攻击潜力”这一概念，并会考虑攻击者和他所要攻击的系统。对于攻击者而言，攻击潜力考虑了许多因素，例如攻击者确定如何攻击系统和执行成功攻击所需的时间、攻击者所需的专业知识、所需系统的知识、需求对于专业设备的需求等。每个因素都有许多类，每个类都赋有一个数值，例如，攻击者专业知识的类和相应的数值是：外行（0）、熟练（3）、专家（6）和多个专家（8）。基于分配给每个因素数值总和的范围，攻击可能性也被分成类别。攻击潜力的类别包括：基本、增强基本、中等、高和超高。攻击潜力范围从基本（意味着容易被攻击）到超越高（意味着极难被攻击）。

在对风险严重性和该风险可能被攻击的概率评估完成后，使用“风险图”的方法将这两个进行组合，从而识别每个威胁的安全风险。该方法类似于ISO 26262第3部分的表4“ASIL测定”。但是EVITA与ISO 26262中的ASIL测定是不同的，ISO 26262的严重性等级分为3级，而EVITA信息安全严重性则分了4级（S1-S4，其中S0为无安全风险）。在进行风险评估时，EVITA采用了将功能安全与非功能安全分开评估的方法。下图是非功能安全风险图。

表中显示的严重性Si分别是Sp，Sf和So，其中Sp表示隐私威胁的严重性，Sf表示财产威胁的严重性，So表示操作威胁的严重性。确定的每个潜在威胁的严重程度将映射到表中显示的适当分类（1-4），以及确定的攻击概率（A=1-5）。通过严重性和攻击概率矩阵中的交集确定风险（R0-R6），针对潜在的威胁评估，其中R0代表最低风险，R6代表最高风险。

功能安全威胁的风险图稍微复杂一些，这主要是由于在进行风险评估时必须将可控性纳入到考虑范围中。可控性分类用于评估人类采取行动的可能性，以避免与功能安全相关的威胁相关的潜在事故。可控性被归类为C1-C4，其中C1表示正常的人类响应可以避免事故，C4表示人类不能以避免事故的方式行事，如下所示。

功能安全相关威胁的风险图由四个子矩阵组成，每个可控性可划分为一个矩阵。因此，对于与功能安全相关的威胁、风险评估则是由可控性、严重性和攻击概率共同组合而成的组合，具体如下所示。

同非功能安全风险图类似，通过可控性、严重性和攻击概率矩阵中的交集确定风险（R1-R7+），针对潜在的威胁进行评估，其中R1代表最低风险，R7+代表最高风险。

在风险评估完成后，需要将风险转换成相应的功能，同时高优先级安全功能应该在开发和验证时得到重点关注。EVITA在功能阶段时也提供了相应的分析方法——THROP（威胁和可操作性分析），该方法源自于在功能安全中常用的HAZOP（危险和操作性分析）。THROP类似于HAZOP，只是它考虑潜在威胁而不是潜在危险。类似于HAZOP，THROP针对特定功能，从功能角度解决风险，具体THROP评估方法如下所示。

可以通过应用上文中描述的EVITA风险评估方法来评估潜在威胁，然后可以根据风险等级对已识别的潜在威胁进行排名，以便进一步将分析的重点放在最高风险威胁上，接着可以针对最高风险威胁确定网络安全目标，并且可以分配唯一标识ID，并用于识别每个网络安全目标。

智能网联汽车信息安全建设是需要在规划阶段开始的，威胁分析与风险评估是整个信息安全建设的基石，EVITA这个评估方法具有非常强的实践性和落地性，未来在相关国家标准尚未出台前，可以作为车厂信息安全威胁分析与风险评估的方法。

转自：
智能网联汽车TARA系列之——智能网联汽车风险评估方法EVITA

智能网联汽车风险评估方法EVITA相关推荐

智能网联汽车-网联功能与应用（CFA）标准制定路线图
智能网联汽车-网联功能与应用(CFA)标准制定路线图智能网联汽车-网联功能与应用(CFA)标准制定路线图摘要一.分析国内外汽车网联技术发展战略.应用状态和标准法规进展情况. 二.明确汽车网联技术 ...
智能网联汽车高精地图白皮书(2020)
1. 前言高精地图的发展与智慧交通.智能网联汽车紧密相关,从智能网联汽车上路伊始,高精地图产业就应势而生并飞速发展.相对于以往的导航地图,高精地图是智能网联汽车交通的共性基础技术,其服务的对象并非仅 ...
智能网联汽车到底该怎么玩？腾讯在成都放了个大招
文丨朱翊 "冬,终也,万物收藏也!" 与这句谚语一脉相承的,正是信息技术带来的技术更迭趋势,如同汽车领域的燃油车未来方向变冷等迹象,正预示了一个传统时代的过去和终结:在其他领域,这 ...
智能网联汽车——深度学习与无人驾驶（一）
前面留下关于智能网联汽车环境感知部分基于深度学习的目标检测的坑还没填,接下来两篇推送就来梳理一下基于深度学习的目标检测的具体实现,顺便再介绍下深度学习的发展历程.当然,这一切得先从人工智能开始谈起. ...
朱西产：智能网联汽车与未来出行变革
8月21日,由深圳市坪山区委区政府主办,深圳市未来智能网联交通系统产业创新中心.深圳市智能网联汽车产业创新促进会承办的"2020年深圳(坪山)智能网联汽车产业高峰研讨会"上,深圳市 ...
智能网联汽车自动驾驶地图数据质量规范
1 范围本文件规定了全场景下的自动驾驶地图数据质量检测的基本要求.质量检测内容.质量检测指标.质量检测流程.质量检测方法.质量检测结果的判定与质量报告编写的要求等. 本文件适用于自动驾驶地图产品的质 ...
智能网联汽车网络安全浅析（下）
本文由李玉峰,陆肖元,曹晨红,李江涛,朱泓艺,孟楠联合创作 1 网络安全威胁与防御技术自动驾驶和联网使汽车变成非常复杂的网络物理系统21,也使攻击者看到了新网络空间的更多攻击面,本文总结了CAV的攻 ...
政策频繁出台，智能网联汽车安全如何“驾驭”？
编者按智能网联汽车是新一代信息技术与汽车领域深度融合的产物,汽车已成为数据的重要生产者和使用者.统计数据显示,全球已有超过140个国家和地区制定了隐私和数据保护的相关法律法规,智能网联汽车的数据安全 ...
重庆：智能网联汽车驶入“快车道”，中国“底特律”走向复兴？
[编者按]谁都知道,智能汽车是通向未来产业高地的必经之路,无数人为之疯狂. 对于这场有关未来的竞争,我们可以将其一分为二,微观上是市场层面,各个企业公司之间的竞争:宏观上是产业层面,各个城市与地方政府 ...

智能网联汽车风险评估方法EVITA

智能网联汽车风险评估方法EVITA相关推荐

最新文章

热门文章