亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

我們曾在文章“智能網聯汽車風險評估方法EVITA”中，介紹了智能網聯汽車信息安全風險評估的實踐方法，同時也實現了將功能安全和信息安全的有機結合。

在風險評估方面，EVITA參考了ISO 26262中的功能安全評估方式，同時也結合信息安全特點進行了擴展，將非功能安全和多車場景納入其中。最后使用THROP評估方法將所有的威脅和風險進行統一整理，并最終形成信息安全開發優先級，在保證整車總體信息安全基礎上，合理分配研發資源。除了EVITA評估方法，J3061還重點介紹了HEAVENS評估方法，鑒于當前智能網聯汽車信息安全風險評估具體指導意見、方法和標準尚未出臺，梆梆安全研究院建議可以根據車廠的實際情況，采用EVITA、HEAVENS或者其他方法對智能汽車信息安全風險進行評估。

HEAVENS是針對汽車電子電氣系統威脅分析和風險評估的方法，同時也提供了完整的評估流程，其目標是提出一種系統方法，以便可以獲得汽車電子電氣系統的信息安全需求。

HEAVENS具有四個主要的特點：

1. 適用性范圍廣泛，可以適用于乘用車和商用車；

2. 以威脅為中心，同時采用微軟的STRIDE方法對汽車電子電氣系統進行威脅評估；

3. 在威脅分析期間建立了安全屬性與威脅之間的直接映射關系，有助于及早評估特定資產對特定技術的影響程度，這種影響程度包括機密性、完整性和可用性；

4. 將安全目標（例如信息安全、財產、操作、隱私和法規等）與威脅分析期間的影響程度相結合，有助于評估威脅對于相關利益方，比如整車制造商的潛在業務影響。因此HEAVENS是一個非常適用于評估整車電子電氣系統信息安全風險的評估方法。

HEAVENS相比于EVITA來說更加完整，除了評估方法外，還提供了一整套評估流程，具體流程如下所示，功能安全評估流程包括三個階段：威脅分析、風險評估和安全需求。

該流程主要應用于信息安全規劃階段，流程大概思路是：首先相關利益方（主要是整車廠）明確自己的安全屬性和安全目標，同時提供相應評估對象或功能的典型應用場景，作為整個流程的起始；接著進行威脅分析，通過評估對象或功能典型應用場景，將威脅與評估對象、安全屬性進行映射，形成對應關系；然后對威脅與評估對象進行等級劃分，具體是通過綜合考慮威脅和影響級別兩個維度實現安全等級劃分；最后再將威脅、評估對象、安全屬性和安全等級這四個維度進行整合形成安全需求。開發人員拿到這些需求，根據安全等級最終確定開發優先級。下面對每個階段的評估內容進行詳細描述。

威脅分析

威脅分析是指識別與評估資產相關威脅以及威脅與安全屬性的映射。在該階段中使用了微軟的STRIDE方法對威脅進行分析，雖然STRIDE方法主要應用于軟件領域，但是目前已經擴展到汽車電子電氣領域。STRIDE將威脅與安全屬性，即真實性、完整性、不可否認性、機密性、可用性等相關聯，每個類別映射到一組安全屬性中。具體威脅與映射關系如下表所示：

在這個階段中，需要明確評估對象或功能典型應用場景，并且將這些場景與威脅和安全屬性形成對應關系，為后續風險評估階段做準備。

風險評估

在基于STRIDE方法識別特定資產和威脅之后，需要對風險進行評估，即對威脅進行排名，也就是說要導出每個威脅和資產對應的安全等級（Security Level）。安全等級用于衡量安全相關資產滿足特定安全級別所需的安全機制強度。安全級別的是通過確定威脅等級（Threat Level），即對應于風險的“可能性”，和影響等級（Impact Level），即風險的“影響”程度，這兩個維度共同確定的。

威脅等級（Threat Level）主要通過四個參數進行評估，即經驗、評估對象的知識、所需設備和機會窗口，針對這四個參數進行分值評估。這四個參數在EVITA中也有提及，但是評估內容有所區別。具體評估列表如下所示：

通過使用這些參數對評估對象的威脅進行評估，然后根據參數值進行等級劃分，具體劃分原則如下所示。采用無、低、中、高和嚴重，這五個等級，同時得出TL具體分值。

影響等級（Impact Level）主要是指確保車輛乘客、道路和基礎設施安全的要求。針對于這部分的評估參數主要由功能安全、財產損失、操作和隱私及法規這四部分構成。這部分的評估相對會比較復雜，既涉及到功能安全，又涉及到信息安全隱私，甚至還需要和法規有關系，因此該部分參考的標準較多，除了ISO26262外，還會參考BSI的相關標準。

功能安全借鑒了ISO 26262-3概念階段中HARA的評估參數，即嚴重性（Severity）來實現，具體評估內容如下表所示。嚴重性在實踐落地中可以采用AIS進行參考，這也是ISO 26262中所推薦的。

財務損失主要指的是相關利益方，比如整車廠的財產損失，這個和整車廠的財務實力有關。HEAVENS將限額表示為總銷售額、總利潤或類似基值的百分比，并且需要將損害定性地分類而不是定量計算損失。這部分評估借鑒了BSI-100-4中的內容。具體評估內容如下表所示。

操作性主要是通過車輛缺陷程度對其進行評估，可以借鑒功能安全中的FMEA方法來實現，具體評估內容如下所示。

隱私和法規是兩個概念，隱私指的針對車主、車輛運營方和駕駛員等的隱私侵犯；法規是指車主、車輛運營方和駕駛員等因為駕駛違背了相關法律法規，比如環境和交通法規等。具體隱私和法規的相關評估內容如下表所示，該部分評估內容主要與BSI中的“隱私影響評估指南”保持一致。

經過上面的功能安全、財產損失、操作和隱私及法規這四部分的評估，可以評估出影響等級（Impact Level），具體分級如下所示。

通過上面的評估，完成威脅等級和影響等級評估獲得TL和IL分值后，就可以通過兩個參數的矩陣共同決定安全等級（Security Level），具體評估如下所示。

安全需求

HEAVENS的最后部分是安全需求，即對資產、威脅、安全屬性和安全級別進行評估的列表，研發人員根據列表中的安全級別，確定開發優先級。需要注意的是，有可能存在一個資產會存在多個威脅，因此這個資產也會有多個安全等級，在進行開發的時候，通常的做法是關注安全等級最高的。下面給出兩個最終評估完成的例子，供參考。

梆梆安全研究院認為HEAVENS和EVITA相比具有如下相同點：首先，二者都是同功能安全相結合，并且借鑒了ISO 26262-3中的HARA評估方法和思路；其次，二者都可以應用于汽車電子電氣系統的信息安全評估；最后，二者都關注財產和隱私，而這兩個也正是信息安全關注的核心。

梆梆安全研究院認為HEAVENS和EVITA相比也有不少不同點：首先，HEAVENS除了評估方法外，還形成了一整套評估流程；其次，HEAVENS在影響等級評估方面除了隱私和財產外，還將操作性和法規納入到影響度評估范圍中，評估的維度比EVITA要大；最后，HEAVENS的評估內容除了參考ISO 26262外，還借鑒了BSI相關標準，使得評估的可信程度得到了一定的提高。

智能網聯汽車信息安全建設需要在規劃階段開始，威脅分析與風險評估是整個信息安全建設的基石，梆梆安全研究院認為可以采用HEAVENS作為J3061在車廠信息安全威脅分析與風險評估的實踐落地，梆梆安全研究院同時也在多個智能網聯汽車項目中，采用該方法同EVITA、ISO 26262等標準相結合的方式進行安全評估，因此具有較強的借鑒意義。