一种面向智能网联车辆的信息安全风险评估方法及系统与流程

本发明属于网络安全领域，具体涉及一种面向智能网联车辆的信息安全风险评估方法及系统。
背景技术：
：目前对智能网联车辆风险分析的内容大多都是渗透测试实验和攻击路径、攻击场景分析，缺少整体的信息安全风险评估流程及计算方法，而利用信息安全风险评估方法对其信息系统资产、技术与管理手段、威胁、脆弱性等进行识别，及时发现系统的安全薄弱环节，最大程度上避免有可能发生的影响巨大的信息安全事件，有针对性的采取安全控制措施，有效提升信息安全防护水平。技术实现要素：为了克服现有技术中存在的缺陷，本发明提供一种面向智能网联车辆的信息安全风险评估方法及系统，可以准确地获取智能网联车辆的信息安全风险评估结果，为提升系统的安全防护水平提供科学指导。本发明提供一种面向智能网联车辆的信息安全风险评估方法，包括如下步骤：步骤1：定义待评估信息系统内信息资产范围，并根据域的概念将智能网联车信息系统的资产进行子系统划分；步骤2：识别待评估信息系统的资产、威胁、脆弱性、已有安全控制措施，并通过问卷形式获取资产价值、威胁行为发生的可能性、脆弱性的严重程度、已有安全控制措施有效性的评分；步骤3：利用模糊理论确定上述基本安全要素的最终分值，并结合资产价值、威胁值、脆弱性值、已有安全控制措施值计算安全事件发生的可能性和安全事件发生的损失值；步骤4：依据步骤3计算出的安全事件发生的可能性和损失值，利用二维矩阵法确定待评估信息系统的风险值，并进行风险等级划分。在上述技术方案中，所述步骤3中安全事件发生的可能性由威胁行为发生的可能性、脆弱性的可利用性、预防性安全控制措施的有效性确定。在上述技术方案中，所述步骤3中安全事件发生的损失值由资产价值、脆弱性的严重程度、保护性安全控制措施的有效性确定。在上述技术方案中，所述步骤3中安全事件发生的可能性计算公式如下：l(ni)＝l(va，ta，me1)式中，ni为待评估子系统，va为脆弱性的可利用性，ta为威胁行为发生的可能性，me1为预防性安全控制措施的有效性；其中，设评价对象为l(风险事件发生的可能性)；其因素集＝u：{u1，u2，u3}＝{漏洞的可利用性，威胁发生的可能性，预防性安全控制措施的有效性}；评判目标集＝v：{v1，v2，v3，v4，v5}＝{1级，2级，3级，4级，5级}＝{很低，低，中等，高，很高}。设ui隶属于评判等级vj的频数为fij，则ui所属评价等级的隶属度为：单评价因子的模糊评价向量：li＝(ui1，ui2，ui3，ui4，ui5)对模糊评价矩阵进行归一化处理：式中，rij是某风险事件仅就第i因素ui而言对第j级评价目标的归一化隶属度，因而可得模糊评价矩阵l；安全事件发生可能性的综合评价矩阵为b＝wol，按最大隶属度原则确定安全事件发生可能性等级，安全事件发生的可能性分为5个等级，等级越高，安全事件发生的可能性越大。在上述技术方案中，所述步骤3中安全事件发生的损失值计算公式如下：q(ni)＝q(vs，a，me2)式中，ni为待评估子系统，vs为脆弱性的严重程度，a为资产重要性，即资产价值，me2为保护性安全控制措施的有效性。其中安全事件发生的损失值的数据处理及计算过程与安全事件发生可能性的计算过程相同。在上述技术方案中，所述步骤4中待评估信息系统子系统ni的风险值r(ni)为：r(ni)＝f(a，v，t，m)＝f(l，q)＝f{l(va，ta，me1)，q(vs，a，me2)}式中，a为资产值，v为脆弱性值，t为威胁值，m为已有安全控制措施值，l为安全事件发生的可能性，q为安全事件发生的损失值；利用二维矩阵法计算安全事件的风险综合值：fij＝α*li+β*qj，α，β取任意正数，式中li为单评价因子的模糊评价向量。在上述技术方案中，所述步骤2中资产价值的计算公式为：式中，ai表示资产ni的资产价值，i1表示资产ni的保密性等级，i2表示资产ni的完整性等级，i3表示资产ni的可用性等级，i4表示资产ni的可认证性等级，i5表示资产ni的可审查性等级，round表示资产价值计算结果四舍五入。在上述技术方案中，所述步骤2威胁行为发生的可能性的计算过程如下：(1)本专利发明方法仅考虑威胁主体为人为恶意因素，包括但不限于：恶意内部人员，不满的或有预谋的内部人员对待评估系统进行破坏，采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益；外部人员攻击：外部人员利用信息系统的脆弱性，对系统的保密性、完整性、可用性、可认证性和可审查性进行破坏，以获取利益或炫耀能力；(2)将威胁类型主要分为窃听、篡改、伪造、重放、拒绝服务和提升特权等行为。在上述技术方案中，所述步骤1和步骤2中待评估信息系统攻击者的攻击潜力与威胁行为发生的可能性的对应关系为：(1)攻击潜力范围为大于等于0且小于等于9时，威胁行为发生的可能性为5；(2)攻击潜力范围为大于等于10且小于等于13时，威胁行为发生的可能性为4；(3)攻击潜力范围为大于等于14且小于等于19时，威胁行为发生的可能性为3；(4)攻击潜力范围为大于等于20且小于等于24时，威胁行为发生的可能性为2；(5)攻击潜力范围为大于等于25时，威胁行为发生的可能性为1。在上述技术方案中，获取待评估信息系统的脆弱性的可利用性和严重程度的过程如下：首先，获取总线、ecu、无线通信、t-box、车载信息娱乐系统(ivi)、云平台、移动端app七个子系统存在的脆弱性；然后，根据攻击向量、访问复杂度、身份认证3个指标计算待评估系统脆弱性的可利用性，并从安全、隐私、经济、性能4个方面评估待评估信息系统的脆弱性严重程度。在上述技术方案中，所述的智能网联车辆信息安全风险评估系统，包括以下方面：(1)资产子系统划分单元：用于获取待评估信息系统内信息资产范围(技术和管理两方面)，并根据智能网联车辆的网络架构对资产进行子系统划分；(2)安全要素参数获取单元：用于识别所述待评估信息系统的资产重要性、威胁、脆弱性以及已有安全控制措施，并获取资产价值、威胁行为发生的可能性、脆弱性值以及已有安全措施的有效性；(3)评价数据模糊处理单元：利用模糊理论确定上述基本安全要素参数数值，并结合资产价值、威胁值、脆弱性值、已有安全控制措施值计算安全事件发生的可能性和安全事件发生的损失值；(4)风险值计算单元：根据计算出的安全事件发生的可能性和损失值，利用二维矩阵法确定待评估信息系统的风险综合值，并进行风险等级划分。本发明的有益效果是：1、本发明所述方法基于智能网联车辆网络架构和/或资产功能对资产进行了子系统划分，得到以资产为单元的安全事件发生的可能性和安全事件发生的损失值，对于智能网联车辆信息资产庞大的系统，该发明方法可以更加全面、系统、有效地进行系统地安全防护；2、本发明所述方法综合资产、威胁、脆弱性以及已有安全控制措施对系统安全的影响，故可以得出更加准确的风险评估结果；3、本发明所述方法利用模糊理论处理资产、威胁等基本安全要素评估的元数据、计算安全事件发生的可能性和损失值，减少了风险评估过程中参与评估人员主观因素的影响；4、本发明最终得到7个子系统中每项资产的风险评估列表，可以更加直观地反映出系统的风险情况，根据风险评估列表采取有针对性的安全防护；5、本发明实现子系统划分以及基于子系统内各项资产确定系统的薄弱环节，同时考虑评估过程中评估人员主观因素的影响，以及资产安全事件发生的可能性和安全事件发生损失值之间的二维关系。附图说明图1为本发明一种面向智能网联车辆的信息安全风险评估方法的流程示意图；图2为本发明中待评估信息系统的资产子系统划分示意图；图3为本发明中待评估信息系统由基本安全要素计算风险值过程示意图。具体实施方式以下结合附图和具体实施例对本发明作进一步的详细描述。如图1所示，本发明实施例提供一种面向智能网联车辆的信息安全风险评估方法，包括如下步骤：步骤1：定义待评估信息系统内信息资产范围，并根据域的概念将智能网联车信息系统的资产进行子系统划分；步骤2：识别待评估信息系统的资产、威胁、脆弱性、已有安全控制措施，并通过问卷形式获取资产价值、威胁行为发生的可能性、脆弱性的严重程度、已有安全控制措施有效性的评分；步骤3：利用模糊理论确定上述基本安全要素的最终分值，并结合资产价值、威胁值、脆弱性值、已有安全控制措施值计算安全事件发生的可能性和安全事件发生的损失值；步骤4：依据步骤3计算出的安全事件发生的可能性和损失值，利用二维矩阵法确定待评估信息系统的风险值，并进行风险等级划分。步骤1中确定待评估信息系统后，即确定评估范围后，以子系统的概念对信息资产进行划分。如图2所示的资产划分是按照资产所属的逻辑网络位置(网络架构)以及资产功能进行的，根据智能网联车辆的业务特性，其中待评估信息系统划分为：总线、ecu、无线电、t-box、车载信息娱乐系统(ivi)、云平台、移动端app七个子系统。从图中可以看出，每个子系统内还包括若干资产，其中，子系统脆弱性识别过程中，渗透测试项包括但不限于图示内容。步骤2中资产的重要性(资产价值)识别如下：其中，步骤2中识别待评估信息系统内资产的重要性从资产的保密性、完整性、可用性、可认证性以及可审查性5个安全属性进行资产价值赋值，即对资产的安全属性受到破坏时对信息系统造成影响的程度进行评估。其中，资产价值的计算公式如下：式中，ai表示资产ni的资产价值，i1表示资产ni的保密性等级，i2表示资产ni的完整性等级，i3表示资产ni的可用性等级，i4表示资产ni的可认证性等级，i5表示资产ni的可审查性等级，round表示资产价值计算结果四舍五入。步骤2中待评估信息系统的威胁识别如下；其中，步骤2中识别待评估信息系统的威胁是根据智能网联车辆信息系统的实际情况确定威胁类型，本专利中将待评估信息系统面临的威胁主要分为：窃听、篡改、伪造、重放、拒绝服务、提升特权6种。计算所述待评估信息系统的所存在的威胁的发生可能性的过程如下：首先，本专利发明方法仅考虑威胁主体为人为恶意因素，包括但不限于：恶意内部人员，不满的或有预谋的内部人员对待评估系统进行破坏，采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益；外部人员攻击：外部人员利用信息系统的脆弱性，对系统的保密性、完整性、可用性、可认证性和可审查性进行破坏，以获取利益或炫耀能力；然后，将威胁类型主要分为窃听、篡改、伪造、重放、拒绝服务和提升特权等行为。根据经历时间、专业知识、对系统的了解程度、机会窗口、攻击设备等指标计算攻击潜力，得出威胁行为发生的可能性，其可能性分为：很低、低、中、高、很高5个等级。计算得到攻击潜力后，根据表1得到的威胁发生的可能性对应的等级，对系统面临的威胁进行统计，根据历史数据中威胁的发生频率来评估威胁发生的可能性。表1步骤2中待评估信息系统的脆弱性的识别如下：其中，步骤2中识别待评估信息系统的脆弱性，获取所述待评估信息系统的脆弱性的可利用性和严重程度的过程如下：首先，获取总线、ecu、无线通信、t-box、车载信息娱乐系统(ivi)、云平台、移动端app七个子系统存在的脆弱性；然后，根据攻击向量、访问复杂度、身份认证3个指标计算待评估系统脆弱性的可利用性，并从安全、隐私、经济、性能4个方面评估待评估信息系统的脆弱性严重程度。脆弱性的可利用性与脆弱性的严重程度的等级划分：按照可以利用性顺序和严重顺序将脆弱性划分为5个等级，按照从弱到强的顺序所述的5个等级对应的数值依次为：1、2、3、4、5。脆弱性等级划分如表2、表3所示。表2分值9-108-8.96-7.94-5.91.2-3.9等级54321标识极易利用容易利用较易利用稍易利用不易利用表3脆弱性严重程度等级脆弱性严重值很低1低2中3高4很高5步骤3中首先利用模糊理论处理资产、威胁等基本安全要素的评分，设置因素集、评判目标集，定义模糊隶属度函数，构造模糊评价矩阵。然后，结合资产价值、威胁值、脆弱性值、已有安全控制措施值及其相应权重计算安全事件发生的可能性和安全事件发生的损失值，构造综合模糊评价矩阵。其中，待评估子系统ni的安全事件发生的可能性计算公式如下所示：l(ni)＝l(va，ta，me1)(2)式中，va为脆弱性的可利用性，ta为威胁行为发生的可能性，me1为预防性安全控制措施的有效性；其中，设评价对象为l(风险事件发生的可能性)；其因素集＝u：{u1，u2，u3}＝{漏洞的可利用性，威胁发生的可能性，预防性安全控制措施的有效性}；评判目标集＝v：{v1，v2，v3，v4，v5}＝{1级，2级，3级，4级，5级}＝{很低，低，中等，高，很高}。设ui隶属于评判等级vj的频数为fij，则ui所属评价等级的隶属度为：单评价因子的模糊评价向量：li＝(ui1，ui2，ui3，ui4，ui5)(4)对模糊评价矩阵进行归一化处理：式中，rij是某风险事件仅就第i因素ui而言对第j级评价目标的归一化隶属度，因而可得模糊评价矩阵l。安全事件发生可能性的综合评价矩阵为b＝wol。，按最大隶属度原则确定安全事件发生可能性等级。安全事件发生的可能性分为5个等级，等级越高，安全事件发生的可能性越大。优选地，待评估子系统ni的安全事件发生的损失值计算公式如下所示：q(ni)＝q(vs，a，me2)(6)式中，vs为脆弱性的严重程度，a为资产重要性，即资产价值，me2为保护性安全控制措施的有效性。其中，安全事件发生的损失值的数据处理及计算过程与上述安全事件发生可能性的计算过程相同，本专利不在重复描述。根据公式(5)和公式(6)可以计算出系统资产安全事件发生的可能性和安全事件发生的损失值，进而计算系统资产的风险综合值如图3所示，待评估信息系统子系统ni的风险值r(ni)为：r(ni)＝f(a，v，t，m)＝f(l，q)(7)式中，a为资产值，v为脆弱性值，t为威胁值，m为已有安全控制措施值，l为安全事件发生的可能性，q为安全事件发生的损失值；根据公式(5)、(6)得出的数值确定系统资产的风险综合值，即待评估信息系统子系统ni的风险值r(ni)为：r(ni)＝f(a，v，t，m)＝f(l，q)＝f{l(va，ta，me1)，q(vs，a，me2)}(8)其中，利用二维矩阵法计算安全事件的风险综合值：fij＝α*li+β*qj，α，β取任意正数，矩阵内fij值的计算不遵循统一的计算公式，但fij值具有统一的增减趋势，fij随着li与qj值的增加而增加。根据《信息技术安全管理指南》和智能网联车信息安全的特性，本专利将待评估的各子系统的安全事件风险等级划分为5级：1、2、3、4、5，分值越高，等级越高，待评估系统的风险程度越高。本发明提供一种利用上述方法的智能网联车辆信息安全风险评估系统，包括：(1)资产划分单元：用于获取待评估信息系统内信息资产范围(技术和管理两方面)，并根据智能网联车辆的网络架构对资产进行子系统划分；(2)安全要素参数获取单元：用于识别所述待评估信息系统的资产重要性、威胁、脆弱性以及已有安全控制措施，并获取资产价值、威胁行为发生的可能性、脆弱性值以及已有安全措施的有效性；(3)评价数据模糊处理单元：利用模糊理论确定上述基本安全要素参数数值，并结合资产价值、威胁值、脆弱性值、已有安全控制措施值计算安全事件发生的可能性和安全事件发生的损失值；(4)风险值计算单元：根据计算出的安全事件发生的可能性和损失值，利用二维矩阵法确定待评估信息系统的风险综合值，并进行风险等级划分。其中，风险值越大，相应的风险等级越高，其对应的待评估信息系统的子系统越薄弱，相应的智能网联车辆的子系统资产面临的风险越高。需要强调的是，本实施例仅用于说明本发明而不限于本发明的范围，在阅读了本发明之后，该领域研究人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定，同样属于本发明的保护范围。当前第1页12