可视化威胁分析和风险评估系统及信息安全评估方法与流程

1.本技术涉及信息安全技术领域，具体涉及一种可视化威胁分析和风险评估系统及信息安全评估方法。


背景技术：

2.随着智能网联车技术的高速发展，网联车中各个部件已高度智能化，且网联车可融合多种智能设备与外界进行信息交互，这给网联车带来很多技术革新以及便利，但同时也对网联车的信息安全提出了极大的挑战，使得涉及车辆功能安全、驾驶人身安全、财产、个人隐私等敏感信息存在泄漏或篡改的风险，从而造成个人隐私、企业经济损失，还可能对人身安全造成严重的后果。
3.威胁分析和风险评估(threat analysis and risk assessment,简称tara)是通过提供系统化的分析和评估方法，用以确定网络安全风险的程度，从而得出相应的网络安全目标，为后续形成网络安全需求，输入给设计开发提供基础，以期在概念设计阶段，最大程度上降低网联车信息安全漏洞的存在；在开发和后开发阶段，对于已经暴露的漏洞，进行风险等级的评估以及处理决策的确定。
4.但是，目前还没有一套完整的技术或系统，能够有效的落地实现上述威胁分析和风险评估tara方法。


技术实现要素：

5.本技术实施例针对上述情况，提出了一种可视化威胁分析和风险评估系统及信息安全评估方法，该系统将包括多个模块，可提供可视化的前端界面，以供用户使用，快速、准确、全面实现威胁分析和风险评估tara方法，为网联车的设计和优化提供指导意见。
6.第一方面，本技术实施例提供了一种可视化威胁分析和风险评估系统，所述系统包括相互连接的应用层和功能层；其中，所述功能层用于将各种威胁分析和风险评估功能模块化并提供至所述应用层，所述应用层用于将所述功能层提供的各种功能集成为前端工具，以及对应用和项目进行管理；
7.其中，所述功能层包括：系统建模单元、威胁分析单元、风险评估及处置单元、以及结果报告生成单元；
8.其中，所述系统建模单元包括：图文建模模块、资产管理和识别模块；
9.所述威胁分析单元包括：损害场景管理和分析模块、威胁场景管理和分析模块、以及攻击管理和分析模块；
10.所述风险评估以及处置单元包括：风险分数评估模块、以及风险处置模块。
11.可选的，在上述系统中，所述图文建模模块，用于提供图文建模界面并显示于所述前端工具，并响应于对所述图文建模界面的用户操作，建立联网车的威胁分析和风险评估模型；
12.其中，所述前端图文建模界面包括画布栏、步骤条栏、左边栏、右边栏、下边栏；
13.所述步骤栏包括：系统建模步骤、网络安全资产识别步骤、损害场景步骤、威胁场景步骤、攻击树建模步骤、风险评估步骤、安全目标步骤、以及导出报告步骤；
14.所述左边栏包括：元素栏、组件栏、以及项目文件栏；其中，所述元素栏包括：数据元素、数据流元素、部件元素、信道元素、以及系统边界元素；所述组件栏包括：个人组件、项目组件、应用组件、第三方组件、以及自定义组件；
15.所述下边栏包括：元素列表、以及功能列表；
16.所述右边栏包括：部件编辑器、数据编辑器、信道编辑器、以及功能编辑器；
17.所述画布栏包括：元素创建项、画布工具项、缩略图项、拖动画布项、框选项、以及画布下钻项。
18.可选的，在上述系统中，所述资产管理和识别模块，用于提供资产管理界面并显示于所述前端工具，并响应于对所述资产管理界面的用户操作，对各所述元素栏中各元素进行资产管理，以及对建立的威胁分析和风险评估模型中的各元素进行资产认定；
19.所述资产管理界面包括：元素名、元素类型、元素描述、资产或非资产、以及与所述资产关联的安全属性和利益相关者；其中，所述安全属性包括机密性、完整性、以及可用性。
20.可选的，在上述系统中，所述损害场景管理和分析模块，用于提供损害场景管理界面并显示于所述前端工具，并响应于对所述损害场景管理界面的用户操作，对损害场景进行管理、对建立的威胁分析和风险评估模型中的各元素进行损害场景关联、以及根据所述损害场景管理和分析模块的输出，对建立的威胁分析和风险评估模型存在的至少一项风险进行影响评级，所述影响评级结果包括：严重的、重大的、中等的、以及忽略不计中的一种；
21.所述损害场景管理界面包括：损害场景列表和关联损害场景项；
22.其中，所述损害场景列表中包含对多个对资产的安全属性具有影响的预设损害场景；
23.所述关联损害场景项与所述安全属性相关联，可实现所述安全属性中各项与所述预设损害场景的关联，以及损害场景影响等级自动计算和标记，其中，所述关联损害场景项包括：损害场景添加、损害场景编辑、损害场景删除。
24.可选的，在上述系统中，所述威胁场景管理和分析模块，用于提供威胁场景管理界面并显示于所述前端工具，并响应于对所述威胁场景管理界面的用户操作，对威胁场景进行管理，以及对建立的威胁分析和风险评估模型中的各损害场景进行威胁场景关联；
25.所述威胁场景管理界面包括：威胁场景列表和关联威胁场景项；
26.其中，所述威胁场景列表中包含对多个对预设损害场景具有影响的预设威胁场景；
27.所述关联威胁场景项与所述预设损害场景相关联，可实现所述预设损害场景与至少一个所述预设威胁场景的关联；其中，所述关联威胁场景项包括：威胁场景添加、威胁场景编辑、威胁场景删除。
28.可选的，在上述系统中，所述攻击管理和分析模块，用于提供攻击管理界面并显示于所述前端工具，并响应于对所述攻击管理界面的用户操作，对攻击树进行建模和管理、对建立的威胁分析和风险评估模型中的各资产进行攻击可行性等级进行计算、以及根据所述攻击管理和分析模块的输出，对建立的威胁分析和风险评估模型存在的至少一项风险进行可行性评级，所述可行性评级结果包括：非常低、低、中等、以及高中的一种；
29.所述攻击管理界面包括：关联攻击路径项、攻击节点列表、以及攻击树建模画布；
30.所述攻击步骤编辑器关联攻击步骤库，且所述攻击步骤编辑器包括：攻击步骤名称、攻击步骤描述、以及攻击步骤多项参数；
31.所述攻击节点列表中包含多个对预设威胁场景具有可行性的攻击节点；
32.所述关联攻击路径项与所述预设威胁场景关联，可实现根据所述攻击节点列表中的多个攻击节点，对所述预设威胁场景进行攻击路径配置；
33.所述攻击树建模画布，用于显示攻击树，其中，所述攻击树包括至少一条攻击路径，各所述攻击路径包括多个所述攻击节点。
34.可选的，在上述系统中，所述风险分数评估模块，用于基于风险矩阵，根据所述损害场景管理和分析模块的影响评级结果、以及所述攻击管理和分析模块输出的可行性评级结果，对建立的威胁分析和风险评估模型存在的至少一项风险进行风险分数评估；
35.所述风险处置模块，用于根据风险分数评估结果，确定各项所述风险的风险处置策略；所述风险处置策略包括：风险避免、风险减轻、风险分担、以及风险保留中的一种。
36.可选的，在上述系统中，所述结果报告生成单元，用于根据所述系统建模单元、所述威胁分析单元、所述风险评估及处置单元中的至少一个，输出结果文件，所述结果文件包括威胁分析和风险评估模型架构图、网络安全资产及属性文件、损害场景列表文件、威胁场景列表文件、影响等级分类表文件、攻击树文件、攻击可行性评估结果文件、风险等级评估结果文件、风险决策文件、网络安全目标文件、网络安全声明文件、以及网络安全目标验证文件中的至少一个。
37.第二方面，本技术实施例提供了一种信息安全评估方法，所述方法用于网联车，所述方法通过上述任一所述可视化威胁分析和风险评估系统实现；
38.所述方法包括：
39.接收所述应用层的前端工具输入的用户操作；
40.响应于所述用户操作，通过所述图文建模单元，构建联网车的威胁分析和风险评估模型；
41.通过所述资产管理和识别模块，对所述联网车的威胁分析和风险评估模型中的目标元素进行资产识别；
42.通过所述损害场景管理和分析模块，对识别为资产的元素进行损害场景关联，以及根据所述损害场景管理和分析模块的输出，对建立的威胁分析和风险评估模型存在的至少一项风险进行影响评级；
43.通过所述威胁场景管理和分析模块，对关联的损害场景进行威胁场景关联；
44.通过所述攻击管理和分析模块，构建所述联网车的威胁分析和风险评估模型的攻击树，并根据构建的攻击树，对关联的威胁场景进行攻击路径关联，以及对建立的威胁分析和风险评估模型存在的至少一项风险进行可行性评级；
45.通过所述风险分数评估模块，基于风险矩阵，根据所述损害场景管理和分析模块输出的影响评级结果、以及所述攻击管理和分析模块输出的可行性评级结果，对建立的威胁分析和风险评估模型存在的至少一项风险进行风险分数评估；
46.通过所述风险处置模块，根据风险分数评估结果，确定各项所述风险的风险处置策略；
47.通过所述结果报告生成单元，根据所述系统建模单元、所述威胁分析单元、所述风险评估及处置单元中的至少一个，输出结果文件。
48.第三方面，本技术实施例还提供了一种电子设备，包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行上述任一的方法。
49.第四方面，本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行上述任一的方法。
50.本技术实施例采用的上述至少一个技术方案能够达到以下有益效果：
51.本技术通过设计了一种可视化威胁分析和风险评估系统，所述系统包括相互连接的应用层和功能层；其中，所述功能层用于将各种威胁分析和风险评估tara方法中所需功能进行模块化并提供至所述应用层，所述应用层可以对应用和项目进行管理，还能够将所述功能层提供的各种功能集成为前端工具以在前端进行展示，所述功能层具体包括：系统建模单元、威胁分析单元、风险评估及处置单元、以及结果报告生成单元；其中，所述系统建模单元包括：图文建模模块、资产管理和识别模块；所述威胁分析单元包括：损害场景管理和分析模块、威胁场景管理和分析模块、以及攻击管理和分析模块；所述风险评估以及处置单元包括：风险分数评估模块、以及风险处置模块。用户可以在本技术提供的可视化威胁分析和风险评估系统上，轻松、快速、准确、全面地实现威胁分析和风险评估tara方法，准确估算出网联车模型存在的信息安全隐患，为网联车的设计和优化提供指导意见，极大程度上提高网联车的信息安全性。
附图说明
52.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
53.图1示出了根据本技术的一个实施例的可视化威胁分析和风险评估系统的结构示意图；
54.图2示出了根据本技术的一个实施例的车灯的tara模型的示意图；
55.图3示出了根据本技术的一个实施例的图文建模界面的示意图；
56.图4示出了根据本技术的一个实施例的资产管理界面的示意图；
57.图5示出了根据本技术的一个实施例的损害场景管理界面的示意图；
58.图6示出了根据本技术的一个实施例的威胁场景管理界面的示意图；
59.图7示出了根据本技术的一个实施例的一个资产与场景关联的示意图；
60.图8示出了根据本技术的一个实施例的攻击管理界面的示意图；
61.图9示出了根据本技术的一个实施例的攻击树模型的示意图；
62.图10～图15为根据本技术的一个实施例的计算图9示出的攻击树模型的可行性等级的方法的分解步骤的示意图；
63.图16示出了根据本技术的一个实施例的风险评估界面的示意图；
64.图17示出了根据本技术的一个实施例的信息安全评估方法的流程示意图；
65.图18为本技术实施例中一种电子设备的结构示意图。
具体实施方式
66.为使本技术的目的、技术方案和优点更加清楚，下面将结合本技术具体实施例及相应的附图对本技术技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
67.以下结合附图，详细说明本技术各实施例提供的技术方案。
68.图1示出了根据本技术的一个实施例的可视化威胁分析和风险评估系统的结构示意图，从图1可以看出，可视化威胁分析和风险评估系统100包括应用层110和功能层120，应用层110和功能层120可进行数据交互。按照逻辑来讲，应用层110置于功能层120上层，应用层110是面向用户的，可以用于对应用和项目进行管理，具体包括应用管理单元111和项目管理单元112。需要说明的是可视化威胁分析和风险评估系统100还包括可实现算法的其他必要逻辑层，这里不再阐述。
69.功能层120可以将各种威胁分析和风险评估tara方法进行功能化和模块化，并提供至所述应用层110，应用层110用于将所述功能层120提供的各种功能集成为前端工具，前端工具可以为web工具的形式或者应用软件的形式，以供用户使用。
70.请再参考图1，所述功能层120具体包括：系统建模单元121、威胁分析单元122、风险评估及处置单元123、以及结果报告生成单元124；且各个单元之间均可进行数据交互。
71.更加具体的，所述系统建模单元121包括：图文建模模块121-1、资产管理和识别模块121-2；所述威胁分析单元122包括：损害场景管理和分析模块122-1、威胁场景管理和分析模块122-2、以及攻击管理和分析模块122-3；所述风险评估以及处置单元123包括：风险分数评估模块123-1、以及风险处置模块123-2。
72.用户可以在前端界面的可视化工具中输入用户操作，从而实现通过所述图文建模单元121-1，构建联网车的威胁分析和风险评估tara模型；tara模型由多个数据、部件、数据流、信道、以及系统边界组成而成的，图2示出了根据本技术的一个实施例的车灯的tara模型的示意图，用户在可视化工具中输入用户操作，包括元素的拖拽、部件的定义等，即可得到如图2所示的tara模型。本技术提供的可视化威胁分析和风险评估系统100中，其他各单元或者模块的功能阐述如下：通过所述资产管理和识别模块121-2，可实现对所述联网车的威胁分析和风险评估tara模型中的目标元素进行资产识别；通过所述损害场景管理和分析模块122-1，可实现对识别为资产的元素进行损害场景关联，还可实现对建立的威胁分析和风险评估模型存在的至少一项风险进行影响评级；通过所述威胁场景管理和分析模块122-2，可实现对关联的损害场景进行威胁场景关联；通过所述攻击管理和分析模块122-3，可实现构建所述联网车的威胁分析和风险评估模型的攻击树，并根据构建的攻击树，对关联的威胁场景进行攻击路径关联，还；可实现对建立的威胁分析和风险评估模型存在的至少一项风险进行可行性评级；通过所述风险分数评估模块123-1，可实现基于风险矩阵，根据所述损害场景管理和分析模块122-1的影响评级结果、以及所述攻击管理和分析模块122-3输出的可行性评级结果，对建立的威胁分析和风险评估模型存在的至少一项风险进行风险分数评估；通过所述风险处置模块123-2，可实现根据风险分数评估结果，确定各项所述风险的风险处置策略；通过所述结果报告生成单元124，可实现根据所述系统建模单元121、所述威胁分析单元122、所述风险评估及处置单元123中的至少一个，输出结果文件。
73.在本技术的一些实施例中，在上述的可视化威胁分析和风险评估系统100中，所述图文建模模块121-1，用于提供图文建模界面并显示于所述前端工具，并响应于对所述图文建模界面的用户操作，建立联网车的威胁分析和风险评估tara模型，图3示出了根据本技术的一个实施例的图文建模界面的示意图，从图3可以看出，前端图文建模界面包括画布栏、步骤条栏、左边栏、右边栏、下边栏；其中所述步骤条栏包括：系统建模步骤、网络安全资产识别步骤、损害场景步骤、威胁场景步骤、攻击树建模步骤、风险评估步骤、安全目标步骤、以及导出报告步骤；在一些实施例中，对于各个步骤，可以用颜色区分[完成]、[当前]、[未完成]的状态；在另一些实施例中，在步骤下方设有分数形式的数字，数字表示此步骤的进度计数器；步骤只计数不体现进度，其中导出报告步骤没有计数器。例如：损害场景步骤下面的计数器为5/10，则表示有十个待关联的损害场景，已经有5个关联损害。需要说明的是，在任意步骤下，只要分子为1就能点击下一步，否则不能进行下一步；步骤下方的数字中的分母代表元素数量，每添加一个元素，此处会加相应增加。
[0074]
左边栏主要包括：元素栏、组件栏、以及项目文件栏。
[0075]
其中，所述元素栏包括：数据元素、数据流元素、部件元素、信道元素、以及系统边界元素。元素主要有五种类型，为数据、数据流、部件、信道、以及系统边界。
[0076]
其中，数据元素有两种方式添加，其一，可以从元素栏拖拽到部件内；其二，在[信道编辑器]-[承载数据流]内的某一数据流内点击加号添加数据。
[0077]
对于数据流的添加，可点击数据流图标，进入连接数据流模式(部件变暗，信道变暗，接口颜色不变并显示协议)，点击接口拖动数据流到其他接口(只能在接口所在信道，不可跨信道添加数据流)。
[0078]
对于部件的添加，可拖拽部件到画布，且部件可以嵌套部件。
[0079]
对于信道的添加，可以在元素栏点击信道，进入到信道连接模式(部件变暗，接口不变并显示协议)，鼠标按下接口，不同协议的接口变暗，同协议的接口保持不变，拖出信道至其他接口上。信道默认命名方式ch.01_[comp1]_[comp2]。
[0080]
对于系统边界，可通过框选的方式确定，且边界名称、边界描述可更改。
[0081]
除此之外，左边栏有一些通用功能，如隐藏/显示左边栏、扩展/折叠面板、以及搜索框：左边栏全局搜索，当搜索到内容时只显示相应的结果，点击
“×”
号删除搜索结果并返回。
[0082]
请再参考图3，所述组件栏包括：个人组件、第三方组件、和自定义组件，其中自定义组件可以是组件库的形式，也可以根据需求扩建组件库。对于组件栏中的各个组件，可以执行多种操作，如右键删除；用标记来区分纯系统模型、系统建模与风险分析的结合；存入组件，即画布中对元素右键，或者鼠标左键框选多个组件并对其右键，选择要存入的组件库。
[0083]
所述画布栏包括：元素创建项、画布工具项、缩略图项、拖动画布项、框选(选中/框选)项、以及画布下钻项。
[0084]
元素创建项可以实现元素的添加和编辑，对于部件，部件可以多层嵌套，左键点击，右边栏展示相应的部件编辑器。展示部件的状态栏，分别是：资产状态、属性状态、功能状态、损害状态、威胁状态、攻击节点状态。点击相应的状态可以跳转到相应的步骤；对于数据，可以拖入部件，拖动数据到画布其他位置时，鼠标显示禁止符号；对于数据流，数据流不
会直观的展示在画布中，而是在[信道编辑器]内，对于信道，信道的添加方式参看前述的关于左边栏-元素栏的阐述。
[0085]
通过画布工具栏可实现对画布的设定，如全屏：只展示画布界面，没有左边栏，下边栏，右边栏，步骤条。点击缩小画布按钮返回；如撤销/重做：全局操作，又如放大/缩小画布(可设定缩放比、自动布局等)。
[0086]
缩略图项，可用于查看缩略图，红框表示当前视觉集中区域。
[0087]
框选项，可用于选中/框选元素，如右键添加至组件、右键删除、拖动元素等。
[0088]
画布下钻项，可用于设置画布中某一图层或者整个画布暂时不作处理。
[0089]
通过拖动画布项，可按住空格并点击鼠标左键进行拖拽。所述下边栏包括：元素列表、以及功能列表；其中元素列表，列出所有建模的元素，还可实现元素筛选以及搜索；功能列表，列出所有功能，还可实现创建功能、搜索功能；且下边栏还可折叠。
[0090]
所述右边栏主要包括各种编辑器，如部件编辑器、数据编辑器、信道编辑器、以及功能编辑器。
[0091]
其中部件编辑器，可编辑接口协议：点击加号增加一行文本框，输入接口名称，下拉选择协议；可编辑软件bom(bill of material,物料清单)、以及硬件bom；还可编辑承载数据：点击加号增加一行文本框，输入数据名称，选择使用数据方式；以及编辑子部件：如展示子部件名称；部件绑定功能：点击加号，增加一行下拉框，选择已创建的功能。
[0092]
通过信道编辑器，可实现部件与接口编辑：显示此信道所连的部件及接口，点击加号，增加一组部件与接口；还可以实现折叠数据流、编辑数据流、添加数据流、添加数据、为数据流绑定功能等。
[0093]
通过数据编辑器，可实现编辑数据名称、进行数据描述、以及添加子数据等。
[0094]
在[下边栏-功能列表]选中功能，右边栏出现[功能编辑器]，在功能编辑器中，可实现功能名称编辑、功能描述、相关元素定义：列出此功能绑定的所有元素、为功能绑定元素：列出所有部件和数据流，只能绑定部件和数据流。
[0095]
在上述图文建模界面中，还可以显示xy轴，以及消息功能等，消息功能可以用来提示部件删除、提示数据流/接口不符等。在本技术的一些实施例中，在上述的可视化威胁分析和风险评估系统100中，所述资产管理和识别模块121-2，用于提供资产管理界面并显示于所述前端工具，并响应于对所述资产管理界面的用户操作，对各所述元素栏中各元素进行资产管理，以及对建立的威胁分析和风险评估模型中的各元素进行资产认定。
[0096]
图4示出了根据本技术的一个实施例的资产管理界面的示意图，从图4可以看出，所述资产管理界面包括：元素名、元素类型、元素描述、资产或非资产、以及与所述资产关联的安全属性和利益相关者；其中，所述安全属性包括机密性、完整性、以及可用性。通过在资产管理界面输入用户操作指令，可以实现对元素进行资产认定，可实现的功能包括但不限于：列表筛选功能、安全属性与非资产互斥：勾选非资产，安全属性置灰、若为资产，至少勾选一项属性、安全属性类别用户自定义、勾选属性后出现利益相关者的下拉选框、利益相关者可自定义、在被认定为资产的元素打上标识等。
[0097]
也就是说，对于一个元素，如果选择非资产，则安全属性置灰，则无需进行安全属性的设定；如果选择为资产，则可进一步设定其安全属性，安全属性可以为机密性、完整性、以及可用性中的任意一种或者几种。
[0098]
在本技术的一些实施例中，在上述的可视化威胁分析和风险评估系统100中，所述损害场景管理和分析模块122-1，用于提供损害场景管理界面并显示于所述前端工具，并响应于对所述损害场景管理界面的用户操作，对损害场景进行管理，以及对建立的威胁分析和风险评估模型中的各元素进行损害场景关联；所述损害场景管理界面包括：损害场景列表和关联损害场景项；其中，所述损害场景列表中包含对多个对资产的安全属性具有影响的预设损害场景；所述关联损害场景项与所述安全属性相关联，可实现所述安全属性中各项与所述预设损害场景的关联，以及损害场景影响等级自动计算和标记，其中，所述关联损害场景项包括：损害场景添加、损害场景编辑、损害场景删除。
[0099]
所述损害场景管理和分析模块122-1还用于对建立的威胁分析和风险评估模型存在的至少一项风险进行影响评级，所述影响评级结果包括：严重的、主要的、中等的、以及忽略不计中的一种；请参考图16，在图16示出的风险矩阵中，可以看出，横向内容为影响评级结果。图5示出了根据本技术的一个实施例的损害场景管理界面的示意图，从图5可以看出，所述损害场景管理界面包括：损害场景列表和关联损害场景项；损害场景可以定义为对资产属性进行破坏的场景，一个资产的多个属性可以关联多个损害场景。通过损害场景管理界面分为两部分：其一为关联损害场景：为资产的属性关联多个的损害，具体的，列表只显示资产，此处安全属性不可更改；点击[关联新的损害场景]，在右侧栏编辑损害；损害场景库：为空时，提示为空；鼠标悬浮损害场景上可以删除；损害场景节点用id和影响等级显示，并用颜色区分出来；列表筛选功能。其二为损害场景列表：用于直观展示和删除损害场景；选中损害场景，点击删除；删除损害场景后，变动同步到关联损害场景列表tab，同时可在新增损害场景下拉框里出现。
[0100]
在本技术的一些实施例中，在上述的可视化威胁分析和风险评估系统100中，所述威胁场景管理和分析模块122-2，用于提供威胁场景管理界面并显示于所述前端工具，并响应于对所述威胁场景管理界面的用户操作，对威胁场景进行管理，以及对建立的威胁分析和风险评估模型中的各损害场景进行威胁场景关联；所述威胁场景管理界面包括：威胁场景列表和关联威胁场景项；其中，所述威胁场景列表中包含对多个对预设损害场景具有影响的预设威胁场景；所述关联威胁场景项与所述预设损害场景相关联，可实现所述预设损害场景与至少一个所述预设威胁场景的关联；其中，所述关联威胁场景项包括：威胁场景添加、威胁场景编辑、威胁场景删除。
[0101]
图6示出了根据本技术的一个实施例的威胁场景管理界面的示意图，从图6可以看出，一个威胁场景可以关联多个损害场景，是一对多的关系。威胁场景管理界面分为两部分，其一是关联威胁场景，用于实现一个威胁场景可关联多个损害场景；列表可筛选；点击关联新的威胁场景，弹出右侧编辑器；威胁场景库为空时，提示为空；鼠标悬浮损害场景上可以删除。其二为胁场景列表，用于实现选中威胁后删除、删除威胁场景后，变动同步到关联威胁场景tab，同时可在新增威胁场景下拉框里出现。
[0102]
图7示出了根据本技术的一个实施例的一个资产与场景关联的示意图，从图7可以看出，一个资产的安全属性可以为机密性、完整性、以及可用性中的任意一种或者几种，一种安全属性可以至少一个损害场景，一个损害场景有可以关联至少一个威胁场景。
[0103]
在本技术的一些实施例中，在上述的可视化威胁分析和风险评估系统100中，所述攻击管理和分析模块122-3，用于提供攻击管理界面并显示于所述前端工具，并响应于对所
述攻击管理界面的用户操作，对攻击树进行建模和管理，以及对建立的威胁分析和风险评估模型中的各元素进行攻击可行性值进行计算；所述攻击管理界面包括：关联攻击路径项、攻击节点列表、以及攻击树建模画布；所述攻击步骤编辑器关联攻击步骤库，且所述攻击步骤编辑器包括：攻击步骤名称、攻击步骤描述、攻击步骤多项参数、风险决策、决策声明；所述攻击节点列表中包含多个对预设威胁场景具有可行性的攻击节点；所述关联攻击路径项与所述预设威胁场景关联，可实现根据所述攻击节点列表中的多个攻击节点，对所述预设威胁场景进行攻击路径配置；所述攻击树建模画布，用于显示攻击树，其中，所述攻击树包括至少一条攻击路径，各所述攻击路径包括多个所述攻击节点。
[0104]
所述攻击管理和分析模块122-3还用于对建立的威胁分析和风险评估模型存在的至少一项风险进行可行性评级，所述可行性评级结果包括：非常低、低、中等、以及高中的一种；请再参考图16，在图16示出的风险矩阵中，可以看出，横向内容为可行性评级结果。
[0105]
图8示出了根据本技术的一个实施例的攻击管理界面的示意图，从图8可以看出，攻击树建模分为三部分，其一为关联攻击路径，可实现列表筛选功能；其二是攻击节点列表，可实现列表的筛选功能；其三是攻击树建模画布，可实现攻击节点以id和攻击可行性等级表示，并用颜色区分等级；单击画布的初始节点出现可选项，建立下一个攻击步骤并编辑其属性；攻击树可以添加多个分支，其中，分支攻击树中的and节点选项需要同时达成多条路径，or节点选项达成其一即可。
[0106]
在攻击管理界面可以对攻击树的建模以及可行性等级的计算，具体的，图9示出了根据本技术的一个实施例的攻击树的建模方法的流程示意图，从图9可以看出，至少包括步骤s910～步骤s930：
[0107]
步骤s910：获取构建目标攻击树的攻击信息，所述攻击信息包括根据威胁场景确定的多个攻击步骤、各所述攻击步骤的本地值、以及各所述攻击步骤之间的逻辑关系，其中，所述本地值包括多个攻击代价参数等级，所述多个攻击步骤中包括若干初始攻击步骤和一个最终攻击步骤。
[0108]
首先，获取构建目标攻击树的攻击信息，在真正进入构建一个攻击树之前，获取构建目标攻击树所需要的信息，这些信息记为攻击信息，一个攻击树通常是对一个威胁场景建立的，一个威胁场景通常属于一个威胁分类，威胁分类如包括但不限于欺骗、篡改、抵赖、信息泄露、拒绝服务、以及提升权限等等。
[0109]
以一个威胁场景为基础，可以建立起一个攻击树，在一个攻击树中通常可以包含一条或者多条攻击路径，每条攻击路径上有多个攻击步骤(可以理解为攻击节点)，不同的攻击路径也存在共同的攻击步骤。
[0110]
在确定了目标攻击树的威胁场景后，可以通过分析得到构成威胁场景的多个攻击步骤的信息，以及各个攻击步骤之间的信息；具体的，攻击步骤的信息可以包括攻击步骤内容，如欺骗can信号；还可以包括攻击步骤的本地值，各个攻击步骤的本地值是根据威胁场景关联的，即当威胁场景确定，威胁场景中的攻击步骤确定下来，每个攻击步骤的本地值随机生成，本地值主要包括多个攻击代价参数等级，攻击代价参数包括但不限于花费时间(et)、所需信息(se)、获取装备(kolc)、专业技能(woo)、机会窗口(eq)。
[0111]
上述的攻击步骤之前存在着一定的逻辑关系，如实现的顺序前后关系、各个步骤是“和(and)”关系，或者是“或”关系等。
[0112]
这些信息都可以通过威胁场景管理和分析模块122-2在建立场景时生成，威胁场景管理和分析模块122-2可以用于对威胁因素分析、威胁场景生成和管理等，威胁场景管理和分析模块122-2为stride(一种建模方法)等类型的威胁模型。
[0113]
在这些攻击步骤中包括若干初始攻击步骤和一个最终攻击步骤，其中，如采用自上而下的攻击树建模方式，最终攻击步骤位于整个攻击树的最顶端，是建模的第一步，为现实攻击流程中的最后一步；采用自上而下的攻击树建模方式，初始攻击步骤位于整个攻击树的最底端，是建模的最后步骤，为现实攻击流程中的第一步。需要说明的是，如果一个攻击树包含多条攻击路径，通常会存在多个初始攻击步骤。
[0114]
步骤s920：以所述最终攻击步骤为起点，各所述初始攻击步骤为终点，根据所述逻辑关系，逐级建立攻击树模型。
[0115]
在获取到上述建立攻击树所需的信息后，以最终攻击步骤为起点，各所述初始攻击步骤为终点，根据所述逻辑关系，逐级建立攻击树模型。
[0116]
攻击树模型建立的过程可以根据上述信息自动建立，也可以响应于用户在攻击管理和分析模块122-3提供的攻击树建模画布的操作指令，构建攻击树模型。攻击树模型在画布中可以为竖向放置，也可以为横向放置。图10示出了根据本技术的一个实施例的攻击树模型的示意图，从图10可以看出，as.6、as.7、as.8、as.9、和as.10为初始攻击步骤，as.1为最终攻击步骤，在进行攻击时，从攻击树的底层步骤，就初始攻击步骤开始，逐级向最终攻击步骤进行；而在构建攻击树模型时，采用自上而下的建模方法时，是从最终攻击步骤开始的，逐级建立到初始攻击步骤。
[0117]
仍然以自上而下的建模方式进行建模为例进行说明，可以以最终攻击步骤为起点，各所述初始攻击步骤为终点，根据所述逻辑关系，逐级建立攻击树模型，具体的，对于一个目标攻击步骤，根据所述逻辑关系，确定所述目标攻击步骤的下一级攻击步骤；若所述下一级攻击步骤仅包含一个攻击步骤，则直接建立所述目标攻击步骤与所述下一级攻击步骤之间的关联关系；若所述下一级攻击步骤仅包含多个攻击步骤，则确定所述多个攻击步骤之间的攻击逻辑，建立攻击逻辑节点，并通过建立的攻击逻辑节点，建立所述目标攻击步骤与所述下一级攻击步骤之间的关联关系。
[0118]
请参考图10，以as.1为目标攻击步骤，as.2为目标攻击步骤的下一级攻击步骤，可见下一级攻击步骤仅包含as.2这一个攻击步骤，可以直接采用连线建立步骤as.1和步骤as.2之间的关联关系；在以as.2为目标攻击步骤，确定其下一级攻击步骤包含步骤as.3、步骤as.4、和步骤as.5，三者之间是“或”的逻辑关系，则首先建立攻击逻辑节点，即图中的步骤as.2下的“or”的节点，然后通过这个“or”的节点，建立起步骤as.2与步骤as.3、步骤as.4、和步骤as.5之间的关联关系，依次类推，直到初始攻击步骤。
[0119]
步骤s930：根据所述攻击树模型的各攻击步骤的本地值，以及所述逻辑关系，实时确定所述攻击树模型的可行性等级，得到目标攻击树。
[0120]
在攻击树模型建立的过程中，可以实时对攻击树模型的可行性等级进行计算和显示，以供建模参考。
[0121]
攻击树的可行性等级是根据最终攻击步骤的多项攻击代价参数等级确定的，最终攻击步骤的多项攻击代价参数等级包含于最终攻击步骤的累计值，也就是说，要计算攻击树模型的可行性等级，就要计算最终攻击步骤的累计值。
[0122]
本技术中，攻击树模型的可行性等级的计算方法有两种，一种在攻击树模型建立的过程中，一边建立模型一边计算可行性等级；另外一个种是等攻击树模型整体建立完之后，计算可行性等级。
[0123]
一边建立模型一边计算可行性等级的方式具体可包括：在所述逐级建立攻击树模型的过程中，每建立一级攻击步骤，则以该级攻击步骤为初始攻击步骤，向所述最终攻击步骤，根据各所述攻击步骤的本地值，以及所述逻辑关系，逐级计算各所述攻击步骤的累计值，以获得所述最终步骤的累计值；根据所述最终攻击步骤的累计值，确定所述攻击树模型的可行性等级。
[0124]
请再参考图10，以当前建立的攻击树模型建立到步骤as.3、步骤as.4、和步骤as.5这一级为例，则先计算步骤as.3、步骤as.4、和步骤as.5的累计值，然后依次逐级向上，再计算步骤as.2、再计算步骤as.1的累计值，根据最终攻击步骤as.1的累计值，确定目标攻击树的可行性等级。
[0125]
每向下建立一级攻击步骤，即输出一个攻击树的可行性等级，以供参考。
[0126]
等攻击树模型整体建立完之后，计算可行性等级，具体可包括：在建立完成所述攻击树模型后，由所述攻击树模型的若干初始攻击步骤，向所述攻击树模型的最终攻击步骤，根据各所述攻击步骤的本地值，以及所述逻辑关系，逐级计算各所述攻击步骤的累计值，以获得所述最终攻击步骤的累计值；根据所述最终攻击步骤的累计值，确定所述攻击树模型的可行性等级。
[0127]
这种情况下，带攻击树模型建立完毕后，则从初始攻击步骤，逐级向最终攻击步骤计算，得到最终攻击步骤的累计值，并进一步的确定攻击树模型的可行性等级；当攻击树模型有变更时，则会重新计算攻击树模型的可行性等级，并输出。
[0128]
攻击树模型和可行性等级信息共同构成了目标攻击树。
[0129]
由图9所示的方法可以看出，通过获取构建目标攻击树的攻击信息，所述攻击信息包括根据威胁场景确定的多个攻击步骤、各所述攻击步骤的本地值、以及各所述攻击步骤之间的逻辑关系，其中，所述本地值包括多个攻击代价参数等级，所述多个攻击步骤中包括若干初始攻击步骤和一个最终攻击步骤；然后以所述最终攻击步骤为起点，各所述初始攻击步骤为终点，根据所述逻辑关系，逐级建立攻击树模型；并且可根据所述攻击树模型的各攻击步骤的本地值，以及所述逻辑关系，实时确定所述最终攻击步骤的累计值，并根据最终攻击步骤的累计值确定整个攻击树模型的可行性等级，得到包含攻击可行性等级信息的目标攻击树。本技术从威胁场景出发，确定组成目标攻击树的多个攻击步骤、攻击步骤之间的逻辑关系，以及各攻击步骤的本地值，其中本地值中包含了根据威胁场景确定的多个攻击代价参数等级；然后根据这些信息从最终攻击步骤开始，向初始攻击步骤逐级建立攻击树模型，在这个过程中，可以根据攻击树模型的各攻击步骤的本地值，以及各步骤之前的逻辑关系，实时确定所述攻击树模型的可行性等级，得到含有攻击可行性等级信息的目标攻击树。本技术提供的攻击树的构建方法简单、方便，且能够、实时准确反应在给定的威胁场景下攻击的可行性等级，系统、有效的利用攻击树实现对网联车的威胁分析和风险评估，给网联车的设计和制造给出指导性参考。
[0130]
以下以图10示出的攻击树模型为例，对攻击树的可行性等级计算进行详细说明，具体的，所述根据各所述攻击步骤的本地值，以及所述逻辑关系，逐级计算各所述攻击步骤
的累计值，以获得所述最终攻击步骤的累计值，包括：将所述攻击树模型的一个攻击步骤或者一个攻击逻辑节点作为计算节点；对于一个所述目标计算节点，获取所述目标计算节点的本地值、以及所述目标计算节点的下一级计算节点的累计值；根据所述目标计算节点的本地值、以及所述目标计算节点的下一级计算节点的累计值，确定所述目标计算节点的累计值；若一个所述目标计算节点为初始攻击步骤，则将所述所述目标计算节点的本地值，作为所述目标计算节点的累计值；逐级计算各所述目标计算节点的累计值，直到所述最终攻击步骤，得到所述最终攻击步骤的累计值。
[0131]
请同时参考图10～图15，将图中的攻击步骤和击逻辑节点(or节点或者and节点)，均作为一个计算节点。对于一个目标计算节点，若其为初始攻击步骤，则将该步骤的本地值作为其累计值，从图10可以看出，步骤as.6、as.7、as.8、as.9、和as.10为初始攻击步骤，则将步骤as.6、as.7、as.8、as.9、和as.10的本地值，赋值给步骤as.6、as.7、as.8、as.9、和as.10的累计值。
[0132]
对于一个非初始攻击步骤的普通目标计算节点，计算其累计值，所需的信息有所述目标计算节点的本地值和/或所述目标计算节点的下一级各计算节点的累计值，根据这些信息可以确定目标计算节点的累计值。
[0133]
具体的，所述目标计算节点为攻击步骤，所述下一级计算节点包括一个计算节点；所述根据所述目标计算节点的本地值和/或所述目标计算节点的下一级计算节点的累计值，确定所述目标计算节点的累计值，包括：若所述目标计算节点的本地值中一个攻击代价参数等级，高于所述下一级计算节点的累计值中对应的攻击代价参数等级，则将所述目标计算节点的本地值中该项攻击代价参数等级，作为所述目标计算节点的的累计值中对应的攻击代价参数等级；若所述目标计算节点的本地值中一个攻击代价参数等级，低于或等于所述下一级计算节点的累计值中对应的攻击代价参数等级，则将所述下一级计算节点的累计值中该项攻击代价参数等级，作为所述目标计算节点的的累计值中对应的攻击代价参数等级。
[0134]
简单理解，累计值的计算是结合下一级攻击步骤或攻击逻辑节点的累计值与目标计算节点的本地值，对于一个攻击代价参数，取等级最高的那个一个作为目标计算节点的累计值。请参考图11中的步骤as.8和步骤as.4，as.4为目标结算节点，首先确定其下一级计算节点仅包括步骤as.8一个计算节点，则读取步骤as.8的累计值和步骤as.4的本地值，并将二者中的多项攻击代价参数等级一一对应做比对，若所述目标计算节点的本地值中一个攻击代价参数等级，高于所述下一级计算节点的累计值中对应的攻击代价参数等级，则将所述目标计算节点的本地值中该项攻击代价参数等级，作为所述目标计算节点的的累计值中对应的攻击代价参数等级；若所述目标计算节点的本地值中一个攻击代价参数等级，低于所述下一级计算节点的累计值中对应的攻击代价参数等级，则将所述下一级计算节点的累计值中该项攻击代价参数等级，作为所述目标计算节点的的累计值中对应的攻击代价参数等级，若所述目标计算节点的本地值中一个攻击代价参数等级，等于所述下一级计算节点的累计值中对应的攻击代价参数等级，可任意取其中之一。
[0135]
从图11可以看出，步骤as.4为目标计算节点，步骤as.8的累计值中的多项攻击代价参数等级为：et1 se1 kolc1 woo0 eq0；步骤as.4的本地值中的多项攻击代价参数等级为：et0 se1 kolc2woo0 eq0；需要说明的是，攻击代价参数等级中数值越大，等级越高，表
示攻击代价越大，可行性越小。以et为例进行说明，as.8的累计值为1，as.4的本地值为0，则对于et来说，目标计算节点as.4的本地值的攻击代价参数等级低于下一级计算节点as.8的累计值，则将下一级计算节点as.8的累计值中该项攻击代价参数等级1，作为目标计算节点as.4的累计值中对应的攻击代价参数等级，即对as.4中累计值的et项赋值为1；如果二者相等，取哪个均可，如取目标计算节点as.4的本地值作为累计值，以se为例，目标计算节点as.4的本地值和下一级计算节点as.8的累计值均为1，则可取目标计算节点as.4的本地值作为累计值，也可以取下一级计算节点as.8的本地值作为累计值；再以kolc为例，as.8的累计值为1，as.4的本地值为2，则对于kolc来说，目标计算节点as.4的本地值的攻击代价参数等级高于下一级计算节点as.8的累计值，则将目标计算节点as.4的累计值中该项攻击代价参数等级2，作为目标计算节点as.4的累计值中对应的攻击代价参数等级，即对as.4中累计值的kolc项赋值为2。
[0136]
需要说明的是，如果目标计算节点的下一级计算节点为攻击逻辑节点，只要其符合下一级计算节点只有一个的情况，也采用上述方式计算，不再赘述。
[0137]
以下对和逻辑节点，即“and”节点和或逻辑节点，即“or”节点，的累计值的计算方式进行说明。
[0138]
具体的，若所述目标计算节点为逻辑攻击节点，所述逻辑攻击节点为和逻辑，所述下一级计算节点包括多个计算节点；所述根据所述目标计算节点的本地值和/或所述目标计算节点的下一级计算节点的累计值确定所述目标计算节点的累计值，包括：根据所述下一级计算节点中的各计算节点的累计值，确定可行性等级最低的一个计算节点作为赋值计算节点；将所述赋值计算节点的累计值作为所述目标计算节点的累计值。
[0139]
这种情况请参考步骤as.6、步骤as.7以及二者对应的上一级的and攻击逻辑节点，请参考图11，其中，and攻击逻辑节点为目标计算节点，首先确定与and攻击逻辑节点关联的下一级攻击步骤为步骤as.6和步骤as.7，然后分别根据步骤as.6和步骤as.7的累计值，确定各自的可行性等级，简单来讲，就是攻击代价参数等级中数值越大，等级越高，表示攻击代价越大，可行性越小，从图11中可以看出步骤as.6的可行性等级为高，步骤as.7的可行性等级为低，确定可行性等级最低的一个计算节点作为赋值计算节点，即步骤as.7为赋值计算节点，将步骤as.7的的累计值作为所述目标计算节点，即and攻击逻辑节点的累计值。简单理解，就是and攻击逻辑节点取其下一级攻击步骤中，可行性等级最低的一个计算节点的累计值作为其自身的累计值。需要说明的是，攻击逻辑节点没有本地值。
[0140]
对于“or”攻击逻辑节点，则取其下一级攻击步骤中，可行性等级最高的一个计算节点的累计值作为其自身的累计值。具体的，若所述目标计算节点为逻辑攻击节点，所述逻辑攻击节点为或逻辑，所述下一级计算节点包括多个计算节点；所述根据所述目标计算节点的本地值和/或所述目标计算节点的下一级计算节点的累计值，确定所述目标计算节点的累计值，包括：根据所述下一级计算节点中的各计算节点的累计值，确定可行性等级最高的一个计算节点作为赋值计算节点；将所述赋值计算节点的累计值作为所述目标计算节点的累计值。
[0141]
这种情况请参考步骤as.9、步骤as.10以及二者对应的上一级的or攻击逻辑节点，请参考图11，其中，or攻击逻辑节点为目标计算节点，首先确定与or攻击逻辑节点关联的下一级攻击步骤为步骤as.9和步骤as.10，然后分别根据步骤as.9和步骤as.10的累计值，确
定各自的可行性等级，从图4中可以看出步骤as.9的可行性等级为高，步骤as.7的可行性等级为极低，确定可行性等级最高的一个计算节点作为赋值计算节点，即步骤as.9为赋值计算节点，将步骤as.9的的累计值作为所述目标计算节点，即or攻击逻辑节点的累计值。简单理解，就是or攻击逻辑节点取其下一级攻击步骤中，可行性等级最高的一个计算节点的累计值作为其自身的累计值。
[0142]
请在参考图10～图15，图10～图15示出了根据本技术的一个实施例的计算攻击树模型的可行性等级的整体流程，首先参考图10，先确定各个初始步骤的累计值(步骤as.6、as.7、as.8、as.9、和as.10)；然后再参考图11，沿着初始攻击步骤向向上一级计算节点计算累计值，即根据步骤as.6、as.7的累计值确定对应的and攻击逻辑节点的累计值，以及根据步骤as.9、as.10的累计值确定对应的or攻击逻辑节点的累计值；然后再参考图12，再确定步骤as.3、as.4、和as.5，具体的，根据and攻击逻辑节点的累计值确定步骤as.3的累计值，根据步骤as.8的累计值确定步骤as.4的累计值，以及根据步骤as.9、as.10对应的or攻击逻辑节点的累计值确定步骤as.5的累计值；然后请参考图13，根据步骤as.3、as.4、和as.5的累计值确定对应的or攻击逻辑节点的的累计值；然后再参考图14和图15，累计值依次向上级攻击步骤传递，得到最终攻击步骤as.1的累计值。每个攻击步骤或者攻击逻辑节点的累计值的具体计算方法可参考前述描述，这里不再赘述。
[0143]
在得到最终攻击步骤as.1的累计值后，可根据最终攻击步骤as.1的累计值，进一步根据确定最终攻击步骤as.1的可行性等级，并将最终攻击步骤as.1的可行性等级作为攻击树模型的可行性等级，从图10可以看出，本技术图10示出的攻击树的可行性等级为中等，攻击树模型和可行性等级信息共同构成了目标攻击树。
[0144]
在本技术的一些实施例中，在上述的可视化威胁分析和风险评估系统100中，所述风险分数评估模块123-3，用于基于风险矩阵，根据所述损害场景管理和分析模块122-1输出的影响评级结果、以及所述攻击管理和分析模块122-3输出的可行性评级结果，对建立的威胁分析和风险评估模型存在的至少一项风险进行风险分数评估。
[0145]
风险分数评估模块123-3使用矩阵来确定风险等级，结合影响等级和攻击可行性等级，可实现的功能包括但不限于：风险矩阵的计算，风险矩阵可显示风险分布，圆圈的数字表示处在该等级风险的数量，点击圆圈数字在下边栏可列出该等级的所有细节，如图16所示，图16示出了根据本技术的一个实施例的风险评估界面的示意图，该风险评估界面由风险分数评估模块123-3提供，显示在前端工具上，从图16所示的风险矩阵用不同颜色区分风险等级，并且以影响等级加攻击可行性等级的方式展示，从图16可以看出风险等级的确定是根据影响等级和可行性等级的结合判定的，若一个风险项，其影响等级是轻微的，其可行性等级是低的，则该风险项的风险等级也较高，反之亦然。
[0146]
另外，风险分数评估模块123-3还可以实现：点击某一风险弹出风险决策编辑，填写处置方式和处置声明。
[0147]
在本技术的一些实施例中，在上述的可视化威胁分析和风险评估系统100中，所述风险处置模块123-4，用于根据风险分数评估结果，确定各项所述风险的风险处置策略；所述风险处置策略包括：风险避免、风险减轻、风险分担、以及风险保留中的一种。其中风险避免是指通过消除风险源，或者决定不开始或继续进行引起风险的活动；风险缓解是指通过控制措施，缓解风险，降低影响或提高攻击可行性；风险转移或分担是指购买保险或者与供
应商签订风险转移合同；风险保留是指若风险在可承受范围之内，可选择保留风险。
[0148]
在本技术的一些实施例中，在上述的可视化威胁分析和风险评估系统100中，所述结果报告生成单元124，用于根据所述系统建模单元、所述威胁分析单元、所述风险评估及处置单元中的至少一个，输出结果文件，所述结果文件包括威胁分析和风险评估模型架构图、网络安全资产及属性文件、损害场景列表文件、威胁场景列表文件、影响等级分类表文件、攻击树文件、攻击可行性评估结果文件、风险等级评估结果文件、风险决策文件、网络安全目标文件、网络安全声明文件、以及网络安全目标验证文件中的至少一个。
[0149]
图17示出了根据本技术的一个实施例的信息安全评估方法的流程示意图，所述信息安全评估方法用于网联车，所述信息安全评估方法可通过前述任一所述的可视化威胁分析和风险评估系统100(图1)实现；所述方法包括步骤1701～步骤s1709：
[0150]
步骤1701：接收所述应用层的前端工具输入的用户操作；
[0151]
步骤1702：响应于所述用户操作，通过所述图文建模单元，构建联网车的威胁分析和风险评估模型；
[0152]
步骤1703：通过所述资产管理和识别模块，对所述联网车的威胁分析和风险评估模型中的目标元素进行资产识别；
[0153]
步骤1704：通过所述损害场景管理和分析模块，对识别为资产的元素进行损害场景关联，以及对建立的威胁分析和风险评估模型存在的至少一项风险进行影响评级；
[0154]
步骤1705：通过所述威胁场景管理和分析模块，对关联的损害场景进行威胁场景关联；
[0155]
步骤1706：通过所述攻击管理和分析模块，构建所述联网车的威胁分析和风险评估模型的攻击树，并根据构建的攻击树，对关联的威胁场景进行攻击路径关联，以及对建立的威胁分析和风险评估模型存在的至少一项风险进行可行性评级；
[0156]
步骤1707：通过所述风险分数评估模块，基于风险矩阵，根据所述损害场景管理和分析模块输出的影响评级结果、以及所述攻击管理和分析模块输出的可行性评级结果，对建立的威胁分析和风险评估模型存在的至少一项风险进行风险分数评估；
[0157]
步骤1708：通过所述风险处置模块，根据风险分数评估结果，确定各项所述风险的风险处置策略；
[0158]
步骤1709：通过所述结果报告生成单元，根据所述系统建模单元、所述威胁分析单元、所述风险评估及处置单元中的至少一个，输出结果文件。
[0159]
图18是本技术的一个实施例电子设备的结构示意图。请参考图18，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(random-access memory，ram)，也可能还包括非易失性存储器(non-volatile memory)，例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。
[0160]
处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是isa(industry standard architecture，工业标准体系结构)总线、pci(peripheral component interconnect，外设部件互连标准)总线或eisa(extended industry standard architecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图18中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的
总线。
[0161]
存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。
[0162]
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成可视化威胁分析和风险评估系统。处理器，执行存储器所存放的程序，并具体用于执行前述方法。
[0163]
处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本技术实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。
[0164]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0165]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0166]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0167]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0168]
在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
[0169]
内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
[0170]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
[0171]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的同一要素。
[0172]
本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0173]
以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。