广告
车载智能终端威胁分析与风险评估方法之HEAVENS-下篇
2021-03-02 12:38:04· 来源:燃云汽车
2HEAVENS安全模型03、风险评估风险评估是指对威胁进行排序。在基于STRIDE方法识别特定用例的威胁资产对之后,继续进行对威胁进行排序的风险评估,确定每个(威胁
2 HEAVENS安全模型
风险评估是指对威胁进行排序。在基于STRIDE方法识别特定用例的威胁资产对之后,继续进行对威胁进行排序的风险评估,确定每个(威胁-资产)对的安全等级。安全等级(Security Level, SL) 用于衡量安全相关资产满足特定安全级别所需的安全机制强度。
风险评估包括三个步骤:
(a)威胁等级的确定(TL):对应“可能性”分量的估计风险;
(b)测定的影响水平(IL):对应“影响”等级的估计的风险;
(c)测定安全等级(SL):对应于最后的风险评级;
威胁等级(Threat Level)主要通过四个参数进行评估,即经验、评估对象的知识、所需设备和机会窗口,针对这四个参数进行分值评估,每个参数从易到难分为4个等级,分值从低到高分为0,1,2,3。
对于每个威胁-资产对,将每个参数的值相加并定义范围,以确定对应于每个已识别范围的威胁级别,采用5个不同的威胁等级(无、低、中、高、严重),同时得出TL具体分值,分值越高,表示攻击难度越大,威胁等级越低;分值越低,表示攻击难度越低,威胁等级越高。
影响等级(Impact Level)主要是指确保车辆使用者、道路使用者和基础设施安全的要求。针对于这部分的评估参数主要由“功能安全、财产损失、操作性和隐私及法规”这四部分构成。这部分的评估相对会比较复杂,参考的标准较多,除了ISO26262外,还会参考BSI的相关标准。
在HEAVENSE模型中,不同的影响参数被赋予了不同的权重。“功能安全”与“财务损失”在估算总体影响水平时,参数具有相同的权重, “操作性”以及“隐私和法规”参数对总体评价的影响相对较低。因此在评估“操作性”和“隐私及法规”时,其分值权重会相应降低。
关于“功能安全”,借鉴了ISO 26262-3概念阶段中HARA的评估参数,即严重性(Severity)来实现。从对人身造成的伤害程度,分为4个等级,分值分别为:0,10,100,1000。
“财务损失”主要指的是利益相关方,比如整车厂的财产损失,这个和整车厂的财务实力有关。这部分评估借鉴了BSI-100-4中的内容。从风险造成的损失,分为4个等级,分值分别为:0,10,100,1000。
“操作性”主要是通过车辆缺陷程度对其进行评估,可以借鉴功能安全中的FMEA方法来实现。从车辆可使用性进行判别,分为4个等级,分值分别为:0,10,100,1000。
“隐私和法规”是两个概念,隐私指的针对车主、车辆运营方和驾驶员等的隐私侵犯;法规是指车主、车辆运营方和驾驶员等因为驾驶违背了相关法律法规,比如环境和交通法规等。具体隐私和法规的相关评估内容如下表所示,该部分评估内容主要与BSI中的“隐私影响评估指南”保持一致。从隐私暴露和合法性的角度,分为4个等级,分值分别为:0,1,10,100。
经过上面的“安全、财产损失、操作性及隐私和法规”这四部分的评估,将所有分值进行相加,可以评估出影响等级(Impact Level),具体分级如下所示。分值越高表示风险越大。
通过上面的评估,完成威胁等级和影响等级评估获得TL和IL分值后,就可以通过两个参数的矩阵共同决定安全等级(Security Level),具体评估如下所示。风险等级分为:QM(无影响),低,中,高,严重。
每个参数的详细评分标准可参考 J3061,在此不再展开描述。以车载智能终端 SSH 服务面临的抵赖风险为例:
通过风险评估得出,其TL参数总和为5分,对应表4威胁等级定级为中,TL分值为2:TL=2(专家)+2(敏感)+0(标准)+1(中)=5分,
其IL参数总和为20分,对应表5影响等级为中级,IL分值为2:IL=0(无伤害)+10(低)+0(无效)+10(中)=20分。最终查询表6可得到此威胁的最终安全等级为中级。
通常情况下,我们会根据安全等级的严重程度,进行优先级排序,作为安全需求整理的输入,优先处理安全等级高的威胁。
HAVENSE安全模型的最后一部分是基于资产、威胁、安全属性和安全等级来推导安全需求。
此时一定要综合各方面的因素,并考虑最初的安全目标以及具有安全等级的威胁。在满足安全目标的前提下,按照安全等级,从高到底整理安全需求。
以SSH服务面临的抵赖风险为例,通过风险评估,得出此威胁的最终安全等级为中级,因此我们可以针对此风险设定相关的安全需求:要求SSH服务必须提供安全审计功能,对所有SSH的登陆登出操作,以及Shell历史进行安全审计,防止抵赖。
注意,一个资产可能存在多个威胁,因此,这个资产相关的所有威胁可能应对多个安全等级。确定资产整体安全级别的一种方法是考虑与资产相关的所有威胁的所有安全级别中最高的安全级别。另一种选择是考虑最高威胁等级和影响等级,以定义资产的安全级别。
最终的安全需求除了需要覆盖最初的安全目标之外,还需要考虑当地的法律法规,以及业界认可的最佳实践、企业以往项目的经验教训等方面的内容。
之前已经提到HEAVENS安全模型专注于威胁分析与安全评估时使用的方法、流程与工具。由于有明确的方法、流程和工具,所以HEAVENS是非常适合工具化的安全模型。
根据HEAVENS的方法与流程,首先由利益相关方提出安全属性与安全目标,然后梳理出评估目标以及对应的功能应用场景。这部分通常需要以咨询的方式展开,借助格式化文档等工具收集必要的信息。
随后的威胁分析和风险评估流程以及其中使用到的工具(STRIDE,评分标准等)均可以实现工具化。同时威胁分析与风险评估报告完全可以自动化生成。根据威胁分析与风险评估报告也可自动化生成安全需求文档,从而大大的缩短分析与评估的时间周期,加快项目推进,节省人力资源,保证分析与评估的质量。
关于HEAVENS的工具化,帆一尚行安全团队已经开发出了一款适用于车联网应用场景的威胁建模工具,可以完全匹配HEAVENS安全模型并且能够达到上述的要求,而且操作非常方便,我们会在接下来的文章中介绍给大家。
3 小结
智能网联汽车信息安全建设需要在规划阶段开始,威胁分析与风险评估是整个信息安全建设的基石,可以采用HEAVENS作为J3061/ISO21434在车厂信息安全威胁分析与风险评估的实践落地,采用该方法同EVITA、ISO 26262等标准相结合的方式进行安全评估,具有较强的借鉴意义。HEAVENS安全模型的工具化则可以极大的提高威胁分析和风险评估的效率,避免人为因素导致的威胁场景遗漏或风险评级产生波动等情况发生,高效、高质量的完成车联网终端的威胁分析与风险评估工作。
广告
广告
编辑推荐
最新资讯
-
直播|革新汽车仿真:探索 VI-grade 2025.1
2024-11-05 16:03
-
用于高压电池测试的加速度计
2024-11-05 14:44
-
卡特彼勒新一代240吨电动矿卡投入使用
2024-11-05 14:43
-
[法规] 欧盟发布重型车辆事件数据记录仪(E
2024-11-05 14:43
-
城无界野无疆 柴油混动火星9越野版曝时尚越
2024-11-05 12:02
广告
广告
