廣告
車載智能終端威脅分析與風(fēng)險(xiǎn)評(píng)估方法之HEAVENS-下篇
2021-03-02 12:38:04· 來(lái)源:燃云汽車
2HEAVENS安全模型03、風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是指對(duì)威脅進(jìn)行排序。在基于STRIDE方法識(shí)別特定用例的威脅資產(chǎn)對(duì)之后,繼續(xù)進(jìn)行對(duì)威脅進(jìn)行排序的風(fēng)險(xiǎn)評(píng)估,確定每個(gè)(威脅
2 HEAVENS安全模型
風(fēng)險(xiǎn)評(píng)估是指對(duì)威脅進(jìn)行排序。在基于STRIDE方法識(shí)別特定用例的威脅資產(chǎn)對(duì)之后,繼續(xù)進(jìn)行對(duì)威脅進(jìn)行排序的風(fēng)險(xiǎn)評(píng)估,確定每個(gè)(威脅-資產(chǎn))對(duì)的安全等級(jí)。安全等級(jí)(Security Level, SL) 用于衡量安全相關(guān)資產(chǎn)滿足特定安全級(jí)別所需的安全機(jī)制強(qiáng)度。
風(fēng)險(xiǎn)評(píng)估包括三個(gè)步驟:
(a)威脅等級(jí)的確定(TL):對(duì)應(yīng)“可能性”分量的估計(jì)風(fēng)險(xiǎn);
(b)測(cè)定的影響水平(IL):對(duì)應(yīng)“影響”等級(jí)的估計(jì)的風(fēng)險(xiǎn);
(c)測(cè)定安全等級(jí)(SL):對(duì)應(yīng)于最后的風(fēng)險(xiǎn)評(píng)級(jí);
威脅等級(jí)(Threat Level)主要通過四個(gè)參數(shù)進(jìn)行評(píng)估,即經(jīng)驗(yàn)、評(píng)估對(duì)象的知識(shí)、所需設(shè)備和機(jī)會(huì)窗口,針對(duì)這四個(gè)參數(shù)進(jìn)行分值評(píng)估,每個(gè)參數(shù)從易到難分為4個(gè)等級(jí),分值從低到高分為0,1,2,3。
對(duì)于每個(gè)威脅-資產(chǎn)對(duì),將每個(gè)參數(shù)的值相加并定義范圍,以確定對(duì)應(yīng)于每個(gè)已識(shí)別范圍的威脅級(jí)別,采用5個(gè)不同的威脅等級(jí)(無(wú)、低、中、高、嚴(yán)重),同時(shí)得出TL具體分值,分值越高,表示攻擊難度越大,威脅等級(jí)越低;分值越低,表示攻擊難度越低,威脅等級(jí)越高。
影響等級(jí)(Impact Level)主要是指確保車輛使用者、道路使用者和基礎(chǔ)設(shè)施安全的要求。針對(duì)于這部分的評(píng)估參數(shù)主要由“功能安全、財(cái)產(chǎn)損失、操作性和隱私及法規(guī)”這四部分構(gòu)成。這部分的評(píng)估相對(duì)會(huì)比較復(fù)雜,參考的標(biāo)準(zhǔn)較多,除了ISO26262外,還會(huì)參考BSI的相關(guān)標(biāo)準(zhǔn)。
在HEAVENSE模型中,不同的影響參數(shù)被賦予了不同的權(quán)重。“功能安全”與“財(cái)務(wù)損失”在估算總體影響水平時(shí),參數(shù)具有相同的權(quán)重, “操作性”以及“隱私和法規(guī)”參數(shù)對(duì)總體評(píng)價(jià)的影響相對(duì)較低。因此在評(píng)估“操作性”和“隱私及法規(guī)”時(shí),其分值權(quán)重會(huì)相應(yīng)降低。
關(guān)于“功能安全”,借鑒了ISO 26262-3概念階段中HARA的評(píng)估參數(shù),即嚴(yán)重性(Severity)來(lái)實(shí)現(xiàn)。從對(duì)人身造成的傷害程度,分為4個(gè)等級(jí),分值分別為:0,10,100,1000。
“財(cái)務(wù)損失”主要指的是利益相關(guān)方,比如整車廠的財(cái)產(chǎn)損失,這個(gè)和整車廠的財(cái)務(wù)實(shí)力有關(guān)。這部分評(píng)估借鑒了BSI-100-4中的內(nèi)容。從風(fēng)險(xiǎn)造成的損失,分為4個(gè)等級(jí),分值分別為:0,10,100,1000。
“操作性”主要是通過車輛缺陷程度對(duì)其進(jìn)行評(píng)估,可以借鑒功能安全中的FMEA方法來(lái)實(shí)現(xiàn)。從車輛可使用性進(jìn)行判別,分為4個(gè)等級(jí),分值分別為:0,10,100,1000。
“隱私和法規(guī)”是兩個(gè)概念,隱私指的針對(duì)車主、車輛運(yùn)營(yíng)方和駕駛員等的隱私侵犯;法規(guī)是指車主、車輛運(yùn)營(yíng)方和駕駛員等因?yàn)轳{駛違背了相關(guān)法律法規(guī),比如環(huán)境和交通法規(guī)等。具體隱私和法規(guī)的相關(guān)評(píng)估內(nèi)容如下表所示,該部分評(píng)估內(nèi)容主要與BSI中的“隱私影響評(píng)估指南”保持一致。從隱私暴露和合法性的角度,分為4個(gè)等級(jí),分值分別為:0,1,10,100。
經(jīng)過上面的“安全、財(cái)產(chǎn)損失、操作性及隱私和法規(guī)”這四部分的評(píng)估,將所有分值進(jìn)行相加,可以評(píng)估出影響等級(jí)(Impact Level),具體分級(jí)如下所示。分值越高表示風(fēng)險(xiǎn)越大。
通過上面的評(píng)估,完成威脅等級(jí)和影響等級(jí)評(píng)估獲得TL和IL分值后,就可以通過兩個(gè)參數(shù)的矩陣共同決定安全等級(jí)(Security Level),具體評(píng)估如下所示。風(fēng)險(xiǎn)等級(jí)分為:QM(無(wú)影響),低,中,高,嚴(yán)重。
每個(gè)參數(shù)的詳細(xì)評(píng)分標(biāo)準(zhǔn)可參考 J3061,在此不再展開描述。以車載智能終端 SSH 服務(wù)面臨的抵賴風(fēng)險(xiǎn)為例:
通過風(fēng)險(xiǎn)評(píng)估得出,其TL參數(shù)總和為5分,對(duì)應(yīng)表4威脅等級(jí)定級(jí)為中,TL分值為2:TL=2(專家)+2(敏感)+0(標(biāo)準(zhǔn))+1(中)=5分,
其IL參數(shù)總和為20分,對(duì)應(yīng)表5影響等級(jí)為中級(jí),IL分值為2:IL=0(無(wú)傷害)+10(低)+0(無(wú)效)+10(中)=20分。最終查詢表6可得到此威脅的最終安全等級(jí)為中級(jí)。
通常情況下,我們會(huì)根據(jù)安全等級(jí)的嚴(yán)重程度,進(jìn)行優(yōu)先級(jí)排序,作為安全需求整理的輸入,優(yōu)先處理安全等級(jí)高的威脅。
HAVENSE安全模型的最后一部分是基于資產(chǎn)、威脅、安全屬性和安全等級(jí)來(lái)推導(dǎo)安全需求。
此時(shí)一定要綜合各方面的因素,并考慮最初的安全目標(biāo)以及具有安全等級(jí)的威脅。在滿足安全目標(biāo)的前提下,按照安全等級(jí),從高到底整理安全需求。
以SSH服務(wù)面臨的抵賴風(fēng)險(xiǎn)為例,通過風(fēng)險(xiǎn)評(píng)估,得出此威脅的最終安全等級(jí)為中級(jí),因此我們可以針對(duì)此風(fēng)險(xiǎn)設(shè)定相關(guān)的安全需求:要求SSH服務(wù)必須提供安全審計(jì)功能,對(duì)所有SSH的登陸登出操作,以及Shell歷史進(jìn)行安全審計(jì),防止抵賴。
注意,一個(gè)資產(chǎn)可能存在多個(gè)威脅,因此,這個(gè)資產(chǎn)相關(guān)的所有威脅可能應(yīng)對(duì)多個(gè)安全等級(jí)。確定資產(chǎn)整體安全級(jí)別的一種方法是考慮與資產(chǎn)相關(guān)的所有威脅的所有安全級(jí)別中最高的安全級(jí)別。另一種選擇是考慮最高威脅等級(jí)和影響等級(jí),以定義資產(chǎn)的安全級(jí)別。
最終的安全需求除了需要覆蓋最初的安全目標(biāo)之外,還需要考慮當(dāng)?shù)氐姆煞ㄒ?guī),以及業(yè)界認(rèn)可的最佳實(shí)踐、企業(yè)以往項(xiàng)目的經(jīng)驗(yàn)教訓(xùn)等方面的內(nèi)容。
之前已經(jīng)提到HEAVENS安全模型專注于威脅分析與安全評(píng)估時(shí)使用的方法、流程與工具。由于有明確的方法、流程和工具,所以HEAVENS是非常適合工具化的安全模型。
根據(jù)HEAVENS的方法與流程,首先由利益相關(guān)方提出安全屬性與安全目標(biāo),然后梳理出評(píng)估目標(biāo)以及對(duì)應(yīng)的功能應(yīng)用場(chǎng)景。這部分通常需要以咨詢的方式展開,借助格式化文檔等工具收集必要的信息。
隨后的威脅分析和風(fēng)險(xiǎn)評(píng)估流程以及其中使用到的工具(STRIDE,評(píng)分標(biāo)準(zhǔn)等)均可以實(shí)現(xiàn)工具化。同時(shí)威脅分析與風(fēng)險(xiǎn)評(píng)估報(bào)告完全可以自動(dòng)化生成。根據(jù)威脅分析與風(fēng)險(xiǎn)評(píng)估報(bào)告也可自動(dòng)化生成安全需求文檔,從而大大的縮短分析與評(píng)估的時(shí)間周期,加快項(xiàng)目推進(jìn),節(jié)省人力資源,保證分析與評(píng)估的質(zhì)量。
關(guān)于HEAVENS的工具化,帆一尚行安全團(tuán)隊(duì)已經(jīng)開發(fā)出了一款適用于車聯(lián)網(wǎng)應(yīng)用場(chǎng)景的威脅建模工具,可以完全匹配HEAVENS安全模型并且能夠達(dá)到上述的要求,而且操作非常方便,我們會(huì)在接下來(lái)的文章中介紹給大家。
3 小結(jié)
智能網(wǎng)聯(lián)汽車信息安全建設(shè)需要在規(guī)劃階段開始,威脅分析與風(fēng)險(xiǎn)評(píng)估是整個(gè)信息安全建設(shè)的基石,可以采用HEAVENS作為J3061/ISO21434在車廠信息安全威脅分析與風(fēng)險(xiǎn)評(píng)估的實(shí)踐落地,采用該方法同EVITA、ISO 26262等標(biāo)準(zhǔn)相結(jié)合的方式進(jìn)行安全評(píng)估,具有較強(qiáng)的借鑒意義。HEAVENS安全模型的工具化則可以極大的提高威脅分析和風(fēng)險(xiǎn)評(píng)估的效率,避免人為因素導(dǎo)致的威脅場(chǎng)景遺漏或風(fēng)險(xiǎn)評(píng)級(jí)產(chǎn)生波動(dòng)等情況發(fā)生,高效、高質(zhì)量的完成車聯(lián)網(wǎng)終端的威脅分析與風(fēng)險(xiǎn)評(píng)估工作。
點(diǎn)贊 0 反對(duì) 0 舉報(bào) 0
收藏 0
評(píng)論 0 分享 61
廣告 編輯推薦
最新資訊
-
“汽車爬坡試驗(yàn)方法”將有國(guó)家標(biāo)準(zhǔn)
2026-03-03 12:44
-
十年耐久監(jiān)管時(shí)代:電池系統(tǒng)開發(fā)策略將如何
2026-03-03 12:44
-
聯(lián)合國(guó)法規(guī)R59對(duì)機(jī)動(dòng)車備用消聲系統(tǒng)的工程
2026-03-03 12:08
-
聯(lián)合國(guó)法規(guī)R58對(duì)后下部防護(hù)裝置的工程化約
2026-03-03 12:07
-
聯(lián)合國(guó)法規(guī)R57對(duì)摩托車前照燈配光性能的工
2026-03-03 12:07
