汽车网络信息安全分析方法论概述
目录
1.典型信息安全分析方法
1.1 HEAVENS威胁分析模型
1.2 OCTAVE威胁分析方法
1.3 Attack Trees分析方法
2. 功能安全与信息安全的关系讨论
与Safety的典型分析方法一样,Security也有一些典型的信息安全威胁分析方法(TARA分析),根据SAE J3061、ISO/SAE 21434和EVITA项目的推荐,整理如下。
01
信息安全分析方法概述威胁 | 安全属性 | 定义 |
假冒 (Spooling) | 认证 | 冒充人或物 |
篡改 (Tampering) | 完整性 | 修改数据或代码 |
否认 (Repudiation) | 审计 | 不承认做过某行为 |
信息泄露 (InformationDisclosur) | 机密性 | 信息被泄露或窃取 |
拒绝服务 (DenialOfServie) | 可用性 | 消耗资源、服务可不用 |
特权提升 (Elevation of privilege) | 授权 | 未经授权获取、提升权限 |
定义威胁等级:对威胁出现的可能性进行预估(TL)
确定威胁影响等级:对威胁出现造成的影响进行评估(IL)
确定信息安全等级:根据最终风险的打分情况(SL)
常见的评价模板如下:
1.2 OCTAVE威胁分析方法
建立风险度量准则
建立资产定义概要机制
建立信息安全需求和目标
识别关键风险资产
识别威胁攻击场景
识别风险
分析风险
设计缓解方案
1.3 Attack Trees分析方法
AG:Attack goal(与故障树顶层事件类似),level 0;
AO:Attack objectives,level 1;
AM:Attack methods,Level 2;
GT:intermediate goals/methods,Level 3:(n-1);
AA:Asset attacks,Level n.
—
但是功能安全和信息安全又是相辅相成,对于一个系统来说是两种不同的设计方向,以设计某芯片的安全启动为例,在做TARA分析时,首先要定义的是风险资产及对应攻击方式,譬如固件的签名结果被篡改导致系统处于非安全状态;但在做HARA分析时,首先要定义的是失效模式,而这些失效根源有可能是随机硬件失效,也有可能是被篡改,这也会导致系统处于非安全状态。故同样的安全目标,对应的分析方式是不同的。
再比如,OTA升级时Flash或者RAM某些位置出现了随机硬件失效,这属于safety范畴,结果当然是可能造成车机无法启动;但OTA升级如果升级包被篡改,这又属于security范畴,同样也可能造成车机崩溃,上述两个方向都可能对车、人造成损失。
所以我们在兼顾Safery和Security的时候,通常是首先基于功能安全的危害分析,进一步开展针对信息安全的威胁分析,针对功能定义和应用场景来设计安全防护措施,例如OTA升级时首要保证功能安全,其次升级时对升级包进行加密签名等用于保证信息安全。
往期回顾:
1.汽车标定合集
汽车标定文章合集汽车标定技术--XCP协议如何支持测量功能
硬核:汽车标定--多周期测量显示异常
2.AUTOSAR合集
AUTOSAR OS概述(一)AUTOSAR OS概述(二)
AUTOSAR文章合集
Flash模拟EEPROM原理浅析
3.汽车网络安全合集
汽车网络安全方案需求分析车载信息安全场景概述
汽车网络安全渗透测试概述
汽车网络安全文章合集
4.汽车功能安全合集