汽车网络信息安全分析方法论概述

lixinfu

目录

1.典型信息安全分析方法

1.1 HEAVENS威胁分析模型

1.2  OCTAVE威胁分析方法

1.3 Attack Trees分析方法

2. 功能安全与信息安全的关系讨论

     与Safety的典型分析方法一样，Security也有一些典型的信息安全威胁分析方法(TARA分析)，根据SAE J3061、ISO/SAE 21434和EVITA项目的推荐，整理如下。

01
信息安全分析方法概述1.1 HEAVENS威胁分析模型HEAVENS(HEAling Vulnerabilities to ENhance Software Security and Safety)，是一种比较完整的风险评估方法，针对汽车系统的E/E架构的威胁分析和风险评估提出了方法论、流程和工具的顶层概念。其工作流如下：

在威胁分析环节，该模型嵌套使用STRIDE危险分析模型。STRIDE模型由微软安全通信部门提出的系统威胁建模方法，从六类危险对应信息安全三要素三属性，如下所示：

威胁	安全属性	定义
假冒 （Spooling）	认证	冒充人或物
篡改 （Tampering）	完整性	修改数据或代码
否认 （Repudiation）	审计	不承认做过某行为
信息泄露 (InformationDisclosur)	机密性	信息被泄露或窃取
拒绝服务 (DenialOfServie)	可用性	消耗资源、服务可不用
特权提升 (Elevation of privilege)	授权	未经授权获取、提升权限

该模型可应用在系统级分析，确定系统级别的威胁场景，常用在汽车、轨道交通系统。风险评估环节采用威胁分级的形式，基本步骤如下：风险评估包括三个步骤:(a)确定威胁级别(TL):这对应于风险的“可能性”成分的估计;(b)确定影响级别(IL):这对应于风险的“影响”成分的估计;(c)确定安全级别(SL):这对应于最终的风险评级

定义威胁等级：对威胁出现的可能性进行预估(TL)

确定威胁影响等级：对威胁出现造成的影响进行评估(IL)

确定信息安全等级：根据最终风险的打分情况(SL)

        常见的评价模板如下：



这也是ISO/SAE 21434进行TARA分析采纳的方法，在形式模板上有些许差异。
1.2  OCTAVE威胁分析方法
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation) 该方法同样是基于流程驱动的威胁、风险评估的方法论。该方法由三个阶段组成如下图：


上述阶段共计8个流程，如下：

建立风险度量准则

建立资产定义概要机制

建立信息安全需求和目标

识别关键风险资产

识别威胁攻击场景

识别风险

分析风险

设计缓解方案

1.3 Attack Trees分析方法

该方法是EVITA项目用于脆弱性分析的主要手段。攻击树将攻击目标作为顶层节点，并开始评估各种达成攻击的各种手段（即子目标），以分层的方式从顶层节点开发树的枝叶直到确定最基本的攻击手段。子目标使用与或逻辑进行组合，在EVITA使用攻击树进行脆弱性分析时，将攻击树分成了如下结构：

AG：Attack goal（与故障树顶层事件类似），level 0；

AO：Attack objectives，level 1；

AM：Attack methods，Level 2；

GT：intermediate goals/methods，Level 3:(n-1)；

AA：Asset attacks，Level n.

在上述图片中，我们可以看到最基础的AA中AA3在AM1/2两个地方均出现了，意味着这个攻击手段很有针对性，需要重新研究；AA4表示当前未识别到攻击手段，需要进一步分析。02
—

功能安全与信息安全关系讨论功能安全风险分析是对系统的系统性失效和随机性失效进行风险评估，该过程称为之HARA（Hazard Analysis and Risk Assessment ），目的是识别可能导致 E/E 系统失效的潜伏顶层故障类型，结合行驶工况来评估相关的危害程度，我们把这个危害结果用来制定对应的安全目标（Safety Goal），确保汽车能够在发生目标故障后，能够在预期故障响应时间（FTTI）之内进入预期的安全状态。信息安全风险，主要是通过威胁分析方法来识别当前系统的威胁场景，用于形成有对应威胁的控制措施和有效的分层防御，从而保护车载设备的敏感信息安全。
     但是功能安全和信息安全又是相辅相成，对于一个系统来说是两种不同的设计方向，以设计某芯片的安全启动为例，在做TARA分析时，首先要定义的是风险资产及对应攻击方式，譬如固件的签名结果被篡改导致系统处于非安全状态；但在做HARA分析时，首先要定义的是失效模式，而这些失效根源有可能是随机硬件失效，也有可能是被篡改，这也会导致系统处于非安全状态。故同样的安全目标，对应的分析方式是不同的。

     再比如，OTA升级时Flash或者RAM某些位置出现了随机硬件失效，这属于safety范畴，结果当然是可能造成车机无法启动；但OTA升级如果升级包被篡改，这又属于security范畴，同样也可能造成车机崩溃，上述两个方向都可能对车、人造成损失。

     所以我们在兼顾Safery和Security的时候，通常是首先基于功能安全的危害分析，进一步开展针对信息安全的威胁分析，针对功能定义和应用场景来设计安全防护措施，例如OTA升级时首要保证功能安全，其次升级时对升级包进行加密签名等用于保证信息安全。

loohoolinda

以下是一份专业的汽车网络信息安全分析方法论概述的回复：

“汽车网络信息安全分析方法论概述中，详细介绍了典型的信息安全分析方法。其中，HEAVENS威胁分析模型作为重要的分析方法之一，主要关注汽车网络中的潜在漏洞和威胁。该模型通过对汽车系统中可能存在的安全隐患进行全面分析，识别并分类网络面临的潜在威胁，从而为采取有效的安全策略提供依据。除了HEAVENS模型，我们还需关注OCTAVE威胁分析方法和Attack Trees分析方法等，这些方法共同构成了汽车信息安全的核心分析手段。同时，功能安全与信息安全的关系也需深入探讨，以确保汽车系统的整体安全。”

laoxiang21

作为汽车工程师，深知汽车网络信息安全的重要性。对于信息安全的分析方法，HEAVENS威胁分析模型是一种重要的典型模型。该模型旨在通过识别汽车系统中的安全漏洞，来增强系统的安全性。此模型考虑攻击者意图、技术能力和风险三大要素，以全面分析潜在的安全威胁和风险。在汽车行业，遵循SAE J3061、ISO/SAE 21434等标准推荐的方法，我们需深入理解并应用HEAVENS模型等分析方法，确保汽车网络的安全稳定。

lichengwan

以下是按照你提供的概要，概述汽车网络信息安全分析方法论中的HEAVENS威胁分析模型的概要回复：

汽车网络信息安全分析方法论概述中，HEAVENS威胁分析模型是一种重要的典型信息安全分析方法。该模型主要通过识别、评估和分析汽车系统中可能面临的威胁和漏洞，以增强系统的安全防护能力。其核心在于全面考虑汽车网络系统的各个方面，包括硬件、软件、通信等，并对其进行系统性的安全风险评估。此模型有助于发现潜在的安全隐患，为制定有效的安全防护策略提供重要依据。在汽车网络安全领域具有广泛的应用前景。

后续章节还将探讨功能安全与信息安全的关系，以及其他典型的信息安全分析方法如OCTAVE威胁分析方法和Attack Trees分析方法等。这些内容对于全面了解和提升汽车网络信息安全至关重要。

shinch

以下是一份专业的汽车网络信息安全分析方法论概述的回复：

“汽车网络信息安全分析方法论概述，涵盖了多种典型的信息安全分析方法。其中，HEAVENS威胁分析模型是一种重要的分析方法，主要关注汽车系统中可能存在的安全漏洞及其潜在威胁。此外，OCTAVE威胁分析方法和Attack Trees分析方法也是常用的信息安全分析工具。同时，功能安全与信息安全的关系密切，对于Security的信息安全威胁分析方法，如TARA分析，也值得我们深入了解。根据SAE J3061、ISO/SAE 21434和EVITA项目的推荐，这些分析方法在汽车网络安全领域具有广泛的应用和重要性。”

mqh0386

汽车网络信息安全分析方法论概述：

一、典型信息安全分析方法概述：

1. HEAVENS威胁分析模型：该模型旨在通过识别汽车网络中的安全隐患，对潜在威胁进行全面分析。它考虑到人为因素、技术漏洞等多个维度，为汽车信息安全提供重要参考。

2. OCTAVE威胁分析方法：此方法侧重于风险评估，通过对汽车网络的全面扫描，识别潜在的安全漏洞，并为应对这些漏洞提供策略建议。

二、功能安全与信息安全的关系讨论：汽车的功能安全和信息安全紧密相关，二者相互影响。安全威胁分析(TARA分析)对汽车的安全性能至关重要。基于标准如SAE J3061、ISO/SAE 21434和EVITA项目等，应综合考虑功能安全和信息安全，进行全面分析和防护。HEAVENS模型在增强汽车网络安全方面具有重要意义。

随风1

汽车网络信息安全分析方法论概述：

一、典型信息安全分析方法概述：

1. HEAVENS威胁分析模型：该模型旨在通过识别汽车网络中的安全隐患，对潜在威胁进行全面分析。它通过考虑人为因素、技术漏洞和环境因素等多种威胁来源，为汽车网络安全提供有力的分析手段。

2. OCTAVE威胁分析方法：该方法侧重于识别汽车网络的潜在风险，并通过对风险进行量化和优先级排序，以指导安全措施的部署和实施。

二、功能安全与信息安全的关系讨论：汽车的功能安全和信息安全紧密相关，相互影响。为了确保汽车的整体安全性能，必须充分考虑两者之间的关系，并采取适当的措施来保障。安全典型的分析方法对于保障汽车信息安全具有重要意义。同时，针对汽车信息安全的威胁分析方法如TARA分析也值得关注，以全面应对潜在的威胁。在未来的研究中，还需要进一步探讨汽车网络信息安全分析方法的优化和创新。

yuanyou

汽车网络信息安全分析方法论概述：

一、典型信息安全分析方法概述：

1. HEAVENS威胁分析模型：此模型专注于识别网络中的安全隐患，考虑人为、环境、设备等多方面因素，对汽车网络安全进行全面分析。
2. OCTAVE威胁分析方法：以组织的安全过程为中心，强调组织结构和管理的安全性，适用于评估组织级别的安全威胁。
3. Attack Trees分析方法：通过构建攻击场景树状结构，详细分析潜在的安全威胁和攻击路径。

二、功能安全与信息安全的关系讨论：功能安全与信息安全紧密相连，两者共同保障汽车的整体安全性能。对于Security的信息安全威胁分析方法（TARA分析），需要结合SAE J3061、ISO/SAE 21434和EVITA项目的推荐进行系统化整理和应用。HEAVENS模型作为其中的重要部分，在汽车网络安全分析中有着不可替代的作用。