第12章 汽車網絡安全威脅分析與風險評估

汽車的網絡安全問題逐漸被重視。為了減少汽車網絡安全問題在汽車產品的全生命周期中，需要進行網絡安全風險管理。本書一直強調“安全左移”，其中安全威脅分析與評估工作是安全左移的第一步，將在系統后續的設計、開發、安全運營管理等活動中起到重要的作用。與功能安全不同，網絡安全風險不能以靜態可測量的方式來確定，網絡安全風險不一定是機械問題或電氣元件故障，造成網絡安全風險的可能是一個聰明的人。威脅分析的基本思想是發現漏洞并使系統更加安全，因此我們需要像黑客一樣思考。這通常包含以下幾步，如圖12-1所示（以STRIDE模型為例）。

圖12-1 威脅分析與風險評估的基本步驟

幸運的是，就汽車行業而言，ISO 26262、ISO/SAE 21434等文獻和標準提供了威脅分析與風險評估的方法。這方面有多種方法，沒有任何一種方法可以覆蓋所有的威脅，甚至不同標準中對“威脅”一詞有不同的解釋。

設計一個好的系統已經夠難了，再加上安全性保障，那更是難上加難。所以，用戶在正常使用系統的過程中可能會遇到系統缺陷。事實上，對于功能的正常使用來說，這些缺陷并不重要。但在安全場景中，這些缺陷可能就會變得很重要，因為攻擊者可以通過設置觸發缺陷的特定條件來引發故障。

設計安全系統的問題之一是面向不同的群體從不同的角度考慮安全性。例如，系統開發人員主要從代碼質量的角度考慮安全性，IT人員考慮防火墻、事件響應和系統管理，而安全人員可能主要根據經典的Saltzer和Schroeder設計原則、安全模型或其他抽象概念來考慮安全性。當然，所有這些設計思路對于構建安全系統都很重要。其中，有關Saltzer和Schroeder設計原則的總結請參見表12-1。

表12-1 Saltzer和Schroeder安全設計原則

要進行安全設計，你需要對汽車網絡安全屬性有所了解，前面已經把汽車網絡安全屬性分為如圖12-2所示。

圖12-2 汽車網絡安全屬性CIACA

我們都希望系統可以具備機密性、完整性、可用性、身份驗證、可控性的屬性，但是如何做到這些呢？使應用程序具有這些屬性的方法就是威脅分析與風險評估。雖然我們的設計并非永遠安全，但我們可以從錯誤中吸取教訓以避免重蹈覆轍，這就是這項工作的本質。

本章我們將討論威脅分析與風險評估。筆者希望結合本章所討論的汽車網絡安全風險分析和評估方法，讀者可以梳理出如表12-2所示的威脅分析與風險評估表。