基于混合分析的汽車信息安全風險分級方法

趙 浩，劉平一，劉天宇

（中汽數據（天津）有限公司，天津 300387）

1 研究背景

隨著智能網聯汽車的迅猛發展，信息安全問題日益凸顯。近年來，越來越多的汽車廠商和零部件供應商開始重視汽車信息安全問題，積極布局汽車信息安全領域，持續提升汽車信息安全水平，降低汽車信息安全問題而帶來的經濟損失。如何提升汽車企業信息安全水平和能力，風險評估是非常重要的一個環節。通過風險評估，確定利益相關者或利益相關者代表可能受到潛在環境或事件影響的程度，有助于認識風險及其對目標的潛在影響[1]，揭示系統和組織的薄弱環節，明確需要優先處理的風險事件，為決策者選擇應對策略提供信息。

通過調研表明，國內外對汽車信息安全風險分級的研究尚處于起步階段，風險分級的理論依據不足，對風險分級的適用范圍、主要活動、關鍵步驟、使用方法的理解不夠深刻。整車和零部件制造商，多是依靠技術人員的經驗對生產的汽車整車或零部件進行風險分級，主觀性強，難以系統、全面、準確地對風險進行分級評定，從而導致分級效率低，分級結果的一致性較差，參考價值較低。

基于目前汽車信息安全領域的法規、標準要求，針對各類ECU/零部件的信息安全風險等級劃分，目前暫未形成一套權威、完整、科學、有效的汽車網絡安全風險等級劃分機制。因此，基于以往安全測試經驗、安全防護經驗、安全事件案例等信息[2]，從技術領域考慮整車網絡安全，通過定性與量化的混合分析，形成一套汽車網絡安全風險分級方法，以供開展整車ECU信息安全風險等級劃分進行參考。

2 基于混合分析的風險分級方法

2.1 信息安全相關功能項識別

針對汽車零部件進行信息安全相關功能識別，具體步驟如下（如下圖1）：

圖1 信息安全相關功能識別流程

第一步：對汽車零部件功能項進行分類，按照以下功能類進行區分：

（1）車輛遠程控制相關功能；

（2）車輛與云端通信相關功能；

（3）車輛近程通信（藍牙、Wi-Fi、NFC、無線射頻等）相關功能；

（4）車輛本地物理接口（OBD、USB、USART等）相關功能；

（5）車輛運行關鍵服務相關功能。

當汽車零部件功能項符合以上任意功能類大于等于1項時，進入第二步；當汽車零部件功能項符合以上任意功能類小于1項時，則結束本流程，認定該汽車零部件無信息安全風險等級[3]。

第二步：將各類功能項的實現資產進行分析，可依據以下表1所示分類原則：

表1 安全功能資產識別原則

并按照以下原則進行判定：

（1）是否存在直連車內CAN網絡、LIN網絡、FlexRay網絡、Ethernet網絡；

（2）是否存在直連車外藍牙網絡、Wi-Fi網絡、NFC網絡、無線射頻網絡；

（3）是否存在間接連接上述車內網絡、車外網絡；

（4）是否包含智能軟件系統或硬件或高級傳感器。

當汽車零部件功能項符合上述任意原則項大于等于1項時，則認定為該功能項為信息安全候選功能項，進入第三步。當汽車零部件功能項符合上述任意原則項小于1項時，則結束本流程，認定該汽車零部件無信息安全風險等級[4]。

第三步：獲取汽車零部件信息安全候選功能項列表。

2.2 信息安全特征分析

針對汽車零部件信息安全候選功能項進行信息安全特征分析，具體步驟如下（如下圖2）：

圖2 信息安全特征分析流程

第一步：根據以下原則，判定汽車零部件信息安全候選功能項是否具備信息安全特征：

（1）是否存在3項（含）以上直接暴露的Debug、CAN、LIN、FlexRay、Ethernet、Serial、USB、HDMI、OBD等硬件接口。

（2）是否存在包含CVE高危漏洞的軟件代碼，如操作系統、軟件組件、應用程序等[5]。

（3）是否存在2種（含）以上的公開通信協議，如公開的CAN通信協議、LIN通信協議、Wi-Fi通信協議、藍牙通信協議等。

當汽車零部件信息安全候選功能項具備以上任意2種（含）以上信息安全特征時，進入第二步；否則，結束本流程，認定該汽車零部件信息安全風險等級為“低風險”。

第二步：判定該汽車零部件信息安全候選功能項為汽車零部件信息安全功能項。

2.3 量化攻擊潛力分析

攻擊潛力計算方法如下圖3所示。針對汽車零部件信息安全功能項，從以下5個方面計算攻擊潛力評估值AL，參數：AR、PE、KT、WO、EM。如下表2所示：

圖3 信息安全攻擊潛力分析流程

表2 攻擊潛力計算方法

利用公式：

攻擊潛力等級劃分如下表3所示：

表3 T-BOX信息安全特征分析

針對汽車零部件進行信息安全風險等級劃分，具體步驟如下：

第一步：對該汽車零部件信息安全功能項進行攻擊潛力量化分析計算[6]。

當攻擊潛力等級為“低”或“中”時，進入第二步；當攻擊潛力等級為“高”時，進入第三步；當攻擊潛力等級為“極高”時，進入第四步[7]。

第二步：判定該汽車零部件信息安全風險等級為“中風險”。

第三步：判定該汽車零部件信息安全風險等級為“高風險”。

第四步：判定該汽車零部件信息安全風險等級為“嚴重風險”。

3 T-BOX實例驗證

3.1 T-BOX功能項識別

依據汽車信息安全風險分級方法（如表4），由于T-BOX包含5項信息安全關鍵功能，且存在大于一項的安全功能分類，因此該對象被列入信息安全候選功能項列表[8]。

表4 T-BOX信息安全功能項識別

3.2 T-BOX信息安全特征分析

依據汽車信息安全風險分級方法（如表5），由于T-BOX 的信息安全候選功能項具備5種信息安全特征，因此認定T-BOX的這5項功能均為汽車信息安全功能項。

表5 T-BOX信息安全特征分析

3.3 T-BOX量化攻擊潛力分析

由5位風險評估與安全分析專家組，對T-BOX的5個信息安全功能項利用基于攻擊潛力的計算估值（如表6），并計算得出其攻擊潛力。依據汽車信息安全風險分級方法，得出T-BOX信息安全風險等級為“高風險”[9]。

表6 T-BOX量化攻擊潛力分析表

4 結論與展望

本文主要開展了針對智能網聯汽車在信息安全風險分級領域的研究，將風險分級過程進行規范與量化，結合汽車信息安全的特征，設置信息安全相關項識別、安全特征分析、基于攻擊潛力的量化估值[10]，從而對汽車零部件的信息安全等級進行區分。利用車載信息終端T-Box作為樣例評估對象開展信息安全風險分級與安全分析，將T-Box的5個信息安全相關功能項進行梳理分級[11]。應用此方法實現在汽車信息安全風險評估過程中利用評估對象分級，精確獲得評估對象范圍，提高風險分析效率，將進一步推動汽車信息安全水平的提升，對我國智能網聯汽車未來發展具有重要的意義。