汽车网络安全风险评估方法

最新推荐文章于 2024-06-22 13:30:00 发布
最新推荐文章于 2024-06-22 13:30:00 发布
阅读量2.1k 收藏 17
点赞数 1
分类专栏: Security 系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pan_w_w/article/details/106022699
版权

概述

THREAT ANALYSIS & RISK ASSESSMENT AND VULNERABILITY ANALYSIS METHODS 是概念阶段用到的核心方法,也是整个系统安全的起点工程。在计算机网络发展的多年来,也提出了很多方法。本文主要介绍针对汽车工程的两个方法EVITA和HEVENS。

EVITA

E-Safety Vehicle Intrusion Protected Applications是欧盟于2008年发起的一个针对网联汽车安全的项目,其目标是设计一个车载网络的体系结构的原型,使其中与网络安全相关的组件受到保护。EVITA方法主要参考ISO/IEC 15408 (7)和ISO 26262,设立了四个安全目标:可用性(Operational),功能安全(safety),隐私(privacy)和资产(Financial)。
对于每个网络安全目标,EVITA项目考虑:
威胁识别:使用“暗面”场景和攻击树来识别一般性威胁,从而识别一般性威胁网络安全的需求。威胁分类:根据威胁结果的严重程度和成功攻击的概率,制定了对威胁风险进行分类的建议。
对于每个严重度等级可以从下表获得(与26262相比,其拓展了非功能安全相关的目标)
在这里插入图片描述
在EVITA中成功攻击的概率基于IT安全评估中使用的“攻击潜力”概念,并同时考虑攻击者和系统。对于攻击者,攻击潜力考虑许多因素,例如攻击者确定如何攻击系统和成功执行攻击所需的时间、攻击者所需的专业知识、系统所需的知识、对专业设备的需求等。每一个因素都应用一个矩阵表示(就像严重度一样)
最后攻击潜力由以下矩阵确定
在这里插入图片描述
将以上两者作为两个维度就可以合成威胁的等级,不过这个又分为了两类;一类是privacy, financial, and operational这三个no-safety的,而safety的要再考虑可控性(同26262)
在这里插入图片描述
可控性用于评估人类以某种方式避免与安全相关的潜在事故的可能性。可控性分类为C1- C4。其中C1表示正常的人类反应有可能避免事故,C4表示人类不能以任何方式避免事故。
在这里插入图片描述
最后safety类的风险矩阵为
在这里插入图片描述
EVITA方法是一个总体性架构。在面对特定的特征或系统层面的时候采用THROP方法,THROP方法脱胎于HAZOP (Hazard and Operability Analysis)方法,只不过将风险分析变为威胁分析。其分为三步:

  1. 确定特征的最小功能,作为分析对象
  2. 确定潜在威胁
  3. 确定“暗面”的最坏场景
    然后就按照EVITA方法进行风险等级的确定。

HEVENS

HEVENS方法也是欧洲的一个项目产生的,很多相关研究可以参考查尔姆斯理工大学的一些详细研究。
HEVENS: link.
其方法主要有三个过程:
威胁分析―――风险评估―――安全需求

威胁分析

-输入:描述的功能用例图;输出:资产与威胁的映射,威胁与安全要素的映射(采用STRIDE方法)

在这里插入图片描述

风险评估

-输入:资产与威胁的映射、威胁等级、影响等级;输出:风险(安全)等级
威胁等级确定:
在这里插入图片描述
影响等级确定(影响等级对应的四个目标与EVITA一致)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
最后将以上四个合成最后的IL
在这里插入图片描述

最后第二步的输出为
在这里插入图片描述

安全需求

-输入:威胁与安全要素的映射、安全等级;输出:最高等级的安全需求(因为对同一资产可能有不同的安全等级,这里取最高的)

小结

HEVENS和EVITA明显的一个区别就是在威胁分析的时候,HEVENS是基于安全要素的,采用STRIDE而EVITA是基于场景的,采用攻击树。另外,HEVENS考虑的维度更细致,其流程更加规范。

闻者文也
关注
专栏目录
Evita项目-3-Evita 安全启动流程
汽车电子开发
05-19 871
通过上电和复位,引导加载程序的执行和验证,信任根的初始化,固件身份验证和验证,以及可信启动链的执行,系统可以建立起一条可信的启动路径,保证系统在启动过程中的安全性和完整性。可信启动链是安全启动过程中的一个重要概念,它由一系列被信任的软件和硬件组件组成,依次验证和启动系统中的各个组件。引导加载程序确保只有受信任的软件组件被加载和执行,信任根提供了系统的根信任基础,可信启动链确保系统在启动过程中的验证和启动顺序。通过可信启动链的执行,系统建立起一条可信的启动路径,确保系统在启动过程中的安全性和可信度。
汽车网络安全 EVITA 项目概览
06-12
汽车网络安全 EVITA, automotive, cyber security, 项目简介与成果演示
网络安全风险评估
最新发布
白帽黑客八哥的博客
06-22 1116
1.1概念依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程,评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的的实际影响,并根据安全事件发生的可能性影响大小来确认网路安全风险等级。(评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度)。1.2为什么要做风险评估反映企业当前的安全现状提供信息安全防御机制的建议同等保测评结合对安全决策提供支撑和依据为今后网络安全建设提供参考提高员工的安全意识。
智能网联汽车风险评估方法HEAVENS
ZP1015
02-12 658
HEAVENS(HEAling Vulnerabilities to ENhance Software Security and Safety)安全模型专注于为车辆电子电气系统进行威胁分析和风险评估时使用的的方法、过程和工具。其目的是提出一种系统的方法来获取车辆电子电气系统的网络安全要求。HEAVENS相比于EVITA来说更加完整,除了评估方法外,还提供了一整套评估流程,具体流程如下所示,功能安全评估流程包括三个阶段:威胁分析、风险评估和安全需求。
TARA(威胁分析与风险评估)分析方法
wangluoanquan111的博客
08-03 1608
网络安全管理贯穿于ISO/SAE21434所提出的汽车系统全生命周期,例如在概念阶段(21434标准第9章节)中,完成“对象”(Item)定义后,就需要进行TARA分析来识别车辆潜在的威胁及其风险等级,以明确网络安全目标,并为后续生成网络安全需求提供输入,最终指导后续的正向开发。在后开发阶段可对网络安全进行分析,得到的安全漏洞及其风险等级可指导后续的风险处置决策。在ISO/SAE21434的第15章节中介绍了TARA的方法论,同时在附录H中以汽车大灯系统为例进行了TARA分析。
Cyber Security TRA (Threat and Risk Assessment) Resources Research
Cyber Security Memo
08-09 782
Last updated on August 10, 2019 What is Risk: Risk = Threat x Vulnerability x Asset The enterprise risk assessment and enterprise risk management processes comprise the heart of the information sec...
安全加密 - J3061和EVITA,TVRA,STRIDE, 攻击树
迟来大师的博客
12-17 4252
SAE J3061推荐规程《信息物理汽车系统网络安全指南(Cybersecurity Guidebook for Cyber-Physical Vehicle Systems)》是首部针对汽车网络安全而制定的指导性文件。 SAE J3101号文件《路面车辆硬件保护措施的应用(Hardware Protected Security in Ground Vehicle Applications)》 J3061中总共介绍了4种风险评估方法EVITA、TVRA、OCTAVE和HEAVENS, EVIT.
网络安全标准实践指南-网络数据安全风险评估实施指引解读
06-06
为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准,...
基于神经网络的汽车供应链风险评估研究.pdf
09-26
论文的结论是,基于神经网络的汽车供应链风险评估方法可以为汽车供应链的风险防范和安全运转提供有实践意义的操作建议和决策支持。 在本研究论文中,作者首先介绍了汽车供应链的特点和风险评估的重要性,然后提出了...
基于模糊层次分析法的电动汽车充电桩信息安全风险评估方法.pdf
09-04
电动汽车充电桩的信息安全风险评估是当前新能源汽车行业面临的重要课题。随着电动汽车的普及,充电桩作为关键基础设施,其信息安全直接影响到用户的使用体验和电网的安全稳定。基于模糊层次分析法的评估方法旨在定量...
300页幻灯片图解数据安全风险评估-网络数据安全风险评估实施指引V1.0
06-06
《实践指南》坚持预防为主、主动发现、积极防范,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险,对数据处理者数据安全保护和数据处理活动进行风险评估,给出了网络数据安全风险评估思路、...
Evita项目-2-Evita中规定的安全汽车车载电子网络架构
汽车电子开发
05-19 1084
本文介绍了用于安全汽车车载网络的硬件和软件组件,为保护外部车辆通信提供基础。基于欧洲研究项目EVITA(http://evita-project.org)的工作,提供了一个框架,涵盖跨层安全,针对平台完整性、通信通道、访问控制、入侵检测和管理进行安全保护。提出了一个模块化的硬件/软件协同设计:硬件安全模块(HSM)提供了保护平台完整性、确保关键材料的完整性和保密性,并增强了加密操作,从而保护了架构的关键资产。
Evita Full-Medium-Light与SHE差异
qq_24925595的博客
04-30 6693
Evita 名词解释 (1)ECC-256-GF(p)是一种高性能非对称加密引擎,基于使用NIST认可的主场参数的高速256位椭圆曲线算法[13]。它可以每秒生成/验证大约200个签名,同时需要大约2,000个片段的FPGA硬件大小。 (2)WHIRLPOOL是NIST提出的基于AES的哈希函数。它的吞吐量约为1,000 Mbit / s,同时需要大约3,000片FPGA硬件尺寸。 (...
风险评估-THROP(Evita)
qq_24925595的博客
03-10 1205
Evita评级 基于Evita的风险评级是与攻击树是紧密相关的。大致步骤为: 根据Safety、Private、Fiancial、Operational,分别记为Ss、Sp、Sf、So完成Severity的评级; 对不同攻击资产完成这五个项目的评分; 根据五个项目的评分和计算一个attack potential; 将攻击树表格化,含有攻击目标、攻击方法、攻击资产; 根据攻...
Evita项目-1-项目介绍
汽车电子开发
11-09 1253
EVITA Deliverable D4.0.3: Security architecture implementation-Progress Report.)在原型设计方面,HSM是在FPGA上实现的,并通过标准化的芯片间通信接口与ECU进行连接,FPGA、连接板和ECU以紧凑的形式堆叠在一起。(EVITA Deliverable D4.4.2: Test results.)中描述,在原型中部署的软件安全框架是一个全面的、模块化的安全库,为安全功能提供了应用程序编程接口。
英飞凌 AURIX 系列单片机的HSM详解(1)——何为HSM
king110108的专栏
06-26 5494
介绍英飞凌HSM在芯片内的结构
硬件可信方案-EVITA HSM
baron-周贺贺-代码改变世界ctw
07-03 1710
信息安全中的HSM 和 SHE 两个概念有什么区别和相同的地方?EVITA研究项目的目标是为汽车车载网络设计、验证一个体系架构,在这种体系架构中,与安全相关的组件受到保护、免受篡改,敏感数据受到保护、免受破坏。业界基于SHE(Secure Hardware Extension,安全硬件扩展)规范提出了HSM硬件规范,该规范也被广泛接受,很多应用于汽车的微处理器支持这个规范。SHE是一个针对汽车网络安全的硬件规范,最早由奥迪、宝马、大众等厂商联合制定。
汽车信息安全之锚:HSM
2301_76563067的博客
08-01 1777
说起信息安全和加解密,我们很容易会在脑海中浮现出锁和钥匙。那我们来想象一个场景:假设一位父亲有三个儿子,他给每个儿子各买了一台掌上游戏机。为避免他们沉迷游戏,父亲把每台游戏机都锁到一个小盒子里。盒子归几个孩子自己保管。怎么保证儿子不会偷偷拿去玩呢?简单啊,钥匙由父亲来保管。儿子想玩的时候怎么办?简单啊,把盒子拿来父亲这里解锁。儿子想玩的时候,父亲能把钥匙给儿子吗?肯定不行啊,儿子自己去配一条钥匙咋办。那为啥不干脆把盒子也存父亲这里?因为父亲资源有限,不想随身携带盒子啊。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值