混合分析下汽车信息安全风险分级方法

摘要：随着智能网联汽车网络技术的飞速发展，对车辆的信息安全风险分级将为智能网联汽车的网络安全管理提供良好的参考依据。文章介绍了在风险评估过程中对汽车零部件进行信息安全风险分级的方法，利用定性与定量的混合分析方法，对汽车信息安全相关项进行识别并提取关键特征信息，同时利用基于攻击潜力的定量评估法对其进行估值计算得出风险等级。此外，利用车载信息终端T-Box作为示例验证该方法的有效性。

关键词：风险分级；风险评估；信息安全；T-BOX

1研究背景

随着智能网联汽车的迅猛发展，信息安全问题日益凸显。近年来，越来越多的汽车厂商和零部件供应商开始重视汽车信息安全问题，积极布局汽车信息安全领域，持续提升汽车信息安全水平，降低汽车信息安全问题而带来的经济损失。如何提升汽车企业信息安全水平和能力，风险评估是非常重要的一个环节。通过风险评估，确定利益相关者或利益相关者代表可能受到潜在环境或事件影响的程度，有助于认识风险及其对目标的潜在影响[1]，揭示系统和组织的薄弱环节，明确需要优先处理的风险事件，为决策者选择应对策略提供信息。通过调研表明，国内外对汽车信息安全风险分级的研究尚处于起步阶段，风险分级的理论依据不足，对风险分级的适用范围、主要活动、关键步骤、使用方法的理解不够深刻。整车和零部件制造商，多是依靠技术人员的经验对生产的汽车整车或零部件进行风险分级，主观性强，难以系统、全面、准确地对风险进行分级评定，从而导致分级效率低，分级结果的一致性较差，参考价值较低。基于目前汽车信息安全领域的法规、标准要求，针对各类ECU/零部件的信息安全风险等级划分，目前暂未形成一套权威、完整、科学、有效的汽车网络安全风险等级划分机制。因此，基于以往安全测试经验、安全防护经验、安全事件案例等信息[2]，从技术领域考虑整车网络安全，通过定性与量化的混合分析，形成一套汽车网络安全风险分级方法，以供开展整车ECU信息安全风险等级划分进行参考。

2基于混合分析的风险分级方法

2.1信息安全相关功能项识别

针对汽车零部件进行信息安全相关功能识别，具体步骤如下（如下图1）：第一步：对汽车零部件功能项进行分类，按照以下功能类进行区分：（1）车辆远程控制相关功能；（2）车辆与云端通信相关功能；（3）车辆近程通信（蓝牙、Wi-Fi、NFC、无线射频等）相关功能；（4）车辆本地物理接口（OBD、USB、USART等）相关功能；（5）车辆运行关键服务相关功能。当汽车零部件功能项符合以上任意功能类大于等于1项时，进入第二步；当汽车零部件功能项符合以上任意功能类小于1项时，则结束本流程，认定该汽车零部件无信息安全风险等级[3]。第二步：将各类功能项的实现资产进行分析，可依据以下表1所示分类原则：并按照以下原则进行判定：（1）是否存在直连车内CAN网络、LIN网络、FlexRay网络、Ethernet网络；（2）是否存在直连车外蓝牙网络、Wi-Fi网络、NFC网络、无线射频网络；（3）是否存在间接连接上述车内网络、车外网络；（4）是否包含智能软件系统或硬件或高级传感器。当汽车零部件功能项符合上述任意原则项大于等于1项时，则认定为该功能项为信息安全候选功能项，进入第三步。当汽车零部件功能项符合上述任意原则项小于1项时，则结束本流程，认定该汽车零部件无信息安全风险等级[4]。第三步：获取汽车零部件信息安全候选功能项列表。

2.2信息安全特征分析

针对汽车零部件信息安全候选功能项进行信息安全特征分析，具体步骤如下（如下图2）：第一步：根据以下原则，判定汽车零部件信息安全候选功能项是否具备信息安全特征：（1）是否存在3项（含）以上直接暴露的Debug、CAN、LIN、FlexRay、Ethernet、Serial、USB、HDMI、OBD等硬件接口。（2）是否存在包含CVE高危漏洞的软件代码，如操作系统、软件组件、应用程序等[5]。（3）是否存在2种（含）以上的公开通信协议，如公开的CAN通信协议、LIN通信协议、Wi-Fi通信协议、蓝牙通信协议等。当汽车零部件信息安全候选功能项具备以上任意2种（含）以上信息安全特征时，进入第二步；否则，结束本流程，认定该汽车零部件信息安全风险等级为“低风险”。第二步：判定该汽车零部件信息安全候选功能项为汽车零部件信息安全功能项。

2.3量化攻击潜力分析

攻击潜力计算方法如下图3所示。针对汽车零部件信息安全功能项，从以下5个方面计算攻击潜力评估值AL，参数：AR、PE、KT、WO、EM。如下表2所示：利用公式：AL=AR*1.905+PE*0.952+KT*0.952+WO*1.905+EM*1.905（0<=AL<=73.3）攻击潜力等级划分如下表3所示：针对汽车零部件进行信息安全风险等级划分，具体步骤如下：第一步：对该汽车零部件信息安全功能项进行攻击潜力量化分析计算[6]。当攻击潜力等级为“低”或“中”时，进入第二步；当攻击潜力等级为“高”时，进入第三步；当攻击潜力等级为“极高”时，进入第四步[7]。第二步：判定该汽车零部件信息安全风险等级为“中风险”。第三步：判定该汽车零部件信息安全风险等级为“高风险”。第四步：判定该汽车零部件信息安全风险等级为“严重风险”。

3T-BOX实例验证

3.1T-BOX功能项识别

依据汽车信息安全风险分级方法（如表4），由于T-BOX包含5项信息安全关键功能，且存在大于一项的安全功能分类，因此该对象被列入信息安全候选功能项列表[8]。

3.2T-BOX信息安全特征分析

依据汽车信息安全风险分级方法（如表5），由于T-BOX的信息安全候选功能项具备5种信息安全特征，因此认定T-BOX的这5项功能均为汽车信息安全功能项。3.3T-BOX量化攻击潜力分析由5位风险评估与安全分析专家组，对T-BOX的5个信息安全功能项利用基于攻击潜力的计算估值（如表6），并计算得出其攻击潜力。依据汽车信息安全风险分级方法，得出T-BOX信息安全风险等级为“高风险”[9]。

4结论与展望

本文主要开展了针对智能网联汽车在信息安全风险分级领域的研究，将风险分级过程进行规范与量化，结合汽车信息安全的特征，设置信息安全相关项识别、安全特征分析、基于攻击潜力的量化估值[10]，从而对汽车零部件的信息安全等级进行区分。利用车载信息终端T-Box作为样例评估对象开展信息安全风险分级与安全分析，将T-Box的5个信息安全相关功能项进行梳理分级[11]。应用此方法实现在汽车信息安全风险评估过程中利用评估对象分级，精确获得评估对象范围，提高风险分析效率，将进一步推动汽车信息安全水平的提升，对我国智能网联汽车未来发展具有重要的意义。

作者:赵浩 刘平一 刘天宇 单位:中汽数据（天津）有限公司