面向智能网联汽车全生命周期的信息安全风险评估方法与流程

本发明涉及一种评估方法，更具体的说是涉及一种面向智能网联汽车全生命周期的信息安全风险评估方法。

背景技术：

随着汽车智能化、网联化和电动化程度的不断提高，智能网联汽车信息安全问题日益严峻，信息篡改、病毒入侵等手段已成功被黑客应用于汽车攻击中。而车辆系统设计之初考虑的是功能实现，往往只关注可靠性和实时性，信息安全被长期忽略，且传统信息系统上的入侵检测、防火墙等技术手段由于兼容性问题，很难不做更改地在车载网络内进行部署，导致车辆难以得到有效的防护。智能网联汽车的信息安全危机不仅能够造成个人隐私、企业经济损失，甚至还能造成车毁人亡的严重后果，目前已经上升为国家公共安全问题。加强智能网联汽车的信息安全保护工作已迫在眉睫，而对于智能网联汽车的风险评估研究是信息安全工作的重要基础和保障。

与传统的信息系统相比，车辆系统有很大的不同。车辆系统从系统的特点上来看，是集深度嵌入网络通信、计算控制、物理过程于一体的复杂信息物理融合系统。信息系统更加关注信息安全，而车辆系统除了考虑信息之外，更加关注对车辆的控制安全。网络信息攻击可严重影响系统或组件的可用性，发生安全事故。智能网联汽车的信息安全的主要风险来源于信息攻击而引起可用性损失，并且重点关注由此导致的安全、财产、等损失。传统信息安全风险评估方法不能完全适用于智能网联汽车信息安全风险评估，目前汽车信息安全领域提出了一种通用的汽车信息安全风险评估方法。

风险评估应贯穿于智能网联汽车生命周期的各个阶段。智能网联汽车生命周期各阶段中涉及的风险评估的原则和方法是一致的，但由于各个阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方面也有所不同。

但目前汽车信息安全领域尚未提出一种面向智能网联汽车全生命周期信息安全风险评估的具体实施方法。生命周期的各个阶段的安全活动有所不同，每个阶段风险评估的具体实施应根据该阶段的特点有所侧重的进行。

技术实现要素：

针对现有技术存在的不足，本发明的目的在于提供一种面向智能网联汽车全生命周期的信息安全风险评估方法。本方法在明确了各个阶段的信息安全活动以及各阶段进行风险评估的目的的基础上，确定了智能网联汽车信息安全风险评估在各个阶段的具体实施内容、实施节点以及输入要求，是一种适合智能网联汽车全生命周期风险评估的方法。

为实现上述目的，本发明提供了如下技术方案：一种面向智能网联汽车全生命周期的信息安全风险评估方法，包括如下步骤：

步骤一，将智能网联汽车划分为五个生命周期，分别为：概念阶段、开发阶段、生产阶段、运维阶段和报废阶段；

步骤二，针对步骤一中所划分的五个生命周期，对每个生命周期中的汽车进行风险评估，其中对处于生产阶段和报废阶段的汽车不进行风险评估。

作为本发明的进一步改进，所述步骤二中对于概念阶段进行风险评估的步骤如下：

步骤二一，对汽车进行资产识别，识别资产、安全属性及损害场景；

步骤二二，识别可能损害资产的信息安全特性的威胁场景；

步骤二三，评估被分析资产的信息安全属性受到损害而造成的损害程度；

步骤二四，识别和/或更新攻击路径，以实现威胁场景；

步骤二五，评估确定的攻击路径可以被利用的难易程度；

步骤二六，根据影响等级和攻击可行性等级确定威胁场景的风险级别。

作为本发明的进一步改进，所述步骤二中对于开发阶段进行风险评估的步骤具体包括对于汽车处于设计和验证阶段的风险评估步骤和在整车级项目信息安全验证以后的残余风险评估步骤。

作为本发明的进一步改进，所述对于汽车处于设计和验证阶段的风险评估步骤包括：

步骤1，对汽车进行资产识别，识别资产、安全属性及损害场景；

步骤2，识别可能损害资产的信息安全特性的威胁场景；

步骤3，评估被分析资产的信息安全属性受到损害而造成的损害程度；

步骤4，识别和分析信息安全脆弱性；

步骤5，识别和/或更新攻击路径，以实现威胁场景；

步骤6，评估确定的攻击路径可以被利用的难易程度；

步骤7，根据影响等级和攻击可行性等级确定威胁场景的风险级别。

作为本发明的进一步改进，所述在整车级项目信息安全验证以后的残余风险评估步骤包括：

步骤11，识别和分析信息安全脆弱性；

步骤12，识别和/或更新攻击路径，以实现威胁场景；

步骤13，评估确定的攻击路径可以被利用的难易程度；

步骤14，根据影响等级和攻击可行性等级确定威胁场景的风险级别。

作为本发明的进一步改进，所述步骤二中对于运维阶段的汽车进行风险评估时，是先评估信息安全事件，然后在基于信息安全事件的基础上对信息安全事件进行评估，其中对信息安全事件进行评估的具体步骤如下；

步骤21，对汽车进行资产识别，识别资产、安全属性及损害场景；

步骤22，识别可能损害资产的信息安全特性的威胁场景；

步骤23，评估被分析资产的信息安全属性受到损害而造成的损害程度；

步骤24，识别和分析信息安全脆弱性；

步骤25，识别和/或更新攻击路径，以实现威胁场景；

步骤26，评估确定的攻击路径可以被利用的难易程度；

步骤27，根据影响等级和攻击可行性等级确定威胁场景的风险级别。

本发明的有益效果，本发明明确了智能网联汽车全生命周期各阶段的信息安全活动以及各阶段进行信息安全风险评估的目的。根据全生命周期各阶段的特点对通用的智能网联汽车信息安全风险评估方法进行适当的裁剪，提出了一种智能网联汽车全生命周期的信息安全风险评估方法，明确了各阶段风险评估的实施节点与输入要求，为智能网联汽车信息安全风险评估后续工作打下坚实的基础。

附图说明

图1为汽车信息安全领域提出的通用的信息安全风险评估方法；

图2为智能网联汽车全生命周期各阶段信息安全活动概述图；

图3为智能网联汽车全生命周期信息安全风险评估方法。

具体实施方式

下面将结合附图所给出的实施例对本发明做进一步的详述。

参照图1所示，本实施例的一种通用的信息安全风险评估方法，包括：资产识别、威胁分析、影响评估、脆弱性分析、攻击分析、攻击可行性评估、风险确定。

具体的，

资产识别：识别资产、安全属性及损害场景；

威胁分析：识别可能损害资产的信息安全特性的威胁场景；

影响评估：评估被分析资产的信息安全属性受到损害而造成的损害程度；

脆弱性分析：识别和分析信息安全脆弱性；

攻击分析：识别和/或更新攻击路径，以实现威胁场景；

攻击可行性评估：评估确定的攻击路径可以被利用的难易程度；

风险确定：根据影响等级和攻击可行性等级确定威胁场景的风险级别。

智能网联汽车全生命周期包括概念、开发、生产、运维、报废5个阶段，各个阶段都具有相应的信息安全活动，每个阶段实施的内容、对象、安全需求不同。具体的如图2所示：

概念阶段：信息安全关联性评估、信息安全相关项定义、信息安全目标确定、信息安全概念开发、概念阶段评审；

开发阶段：

（1）设计和验证（系统/软件/硬件）：信息安全需求细化、信息安全架构设计、信息安全需求分配、脆弱性分析、组件或系统的配置与集成、信息安全测试/验证；

（2）整车级项目信息安全验证：信息安全验证/确认、残余风险评估；

（3）生产前准备：开发后期信息安全需求释放、信息安全生产批准及释放

生产阶段：信息安全生产计划、信息安全生产管理；

运维阶段：信息安全监控、信息安全事件评估、信息安全应急响应、安全更新；

报废阶段：整车报废、零部件报废。

全生命周期的各个阶段的信息安全活动有所不同，因此风险评估的对象、目的、要求等各方面也有所不同，各个阶段风险评估的具体实施根据该阶段的特点将会有所侧重。本发明从整车厂考虑智能网联汽车信息安全风险评估，侧重于产品信息安全风险评估，重点关注信息安全技术方面，而且整车厂对现场的车辆何时报废没有可视性，因此本方法不包括生产阶段和报废阶段的风险评估。

各阶段进行风险评估的目的：

概念阶段：通过概念阶段风险评估以确定系统的信息安全目标，明确智能网联汽车在可用性、完整性、机密性等方面的安全需求目标。

开发阶段：

（1）设计和验证：评估细化的信息安全需求和架构设计是否符合概念阶段的信息安全要求，识别设计过程中存在的脆弱性、威胁等，进行风险判断。

（2）整车级项目信息安全验证：根据开发阶段信息安全需求和运行环境对产品开发、实施过程进行风险识别，并对车辆的安全功能进行验证，在验收时进行质量控制。

运维阶段：基于车辆运维阶段的信息安全监控信息（配置信息、威胁情报等）进行风险评估，在运行过程中了解和控制风险。

全生命周期信息安全风险评估方法如图3所示，具体的：

概念阶段：完成相关项定义后，进行风险评估，包括：资产识别、威胁分析、影响评估、攻击路径分析、攻击可行性分析、风险确定。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，在概念阶段可能很少涉及脆弱性分析。该阶段风险评估的输入包括：项目定义、运行环境信息。

开发阶段：

（1）设计和验证：完成信息安全需求分配后，进行风险评估，包括：资产识别、威胁分析、影响评估、脆弱性分析、攻击路径分析、攻击可行性识别、风险确定七个模块，其中资产识别、威胁场景识别、影响评估活动基于概念阶段相应活动进行迭代。重点为脆弱性分析、攻击分析等内容，该阶段风险评估的输入为：概念阶段风险评估报告、细化的信息安全需求、信息安全架构设计、信息安全需求的分配。

（2）整车级项目信息安全验证：整车级信息安全验证后期进行残余风险评估，残余风险评估可从脆弱性分析模块开始，攻击分析、攻击可行性评估等内容基于上一阶段风险评估进行相应迭代。本阶段风险评估的输入为：设计阶段的风险评估报告、运行环境、设计和验证阶段信息安全测试验证报告。

运维阶段：基于车辆运维阶段的信息安全监控信息（配置信息、威胁情报、事件情报等），进行资产识别、威胁分析、影响评估、脆弱性分析（涉及概念、开发阶段的脆弱性或运行过程中面临的0day漏洞）、攻击分析、攻击可行性评估活动，确定风险等级。本阶段风险评估输入为：开发阶段残余风险评估报告、信息安全监控信息（配置信息、威胁情报、事件情报等）。

由此，完成了智能网联汽车全生命周期信息安全风险评估。

以上所述仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。