相信国内的很多汽车供应商对汽车风险分析怎么做,有点头疼;因为这个基本没有课本教学,大学课程还么开这样的课程?
长话短说,基于HEAVENS模型的汽车行业漏洞等级划分,大家先看完这篇文章
https://wenku.baidu.com/view/bf7d5783534de518964bcf84b9d528ea80c72f59.html
以下以汽车ECU供应商做事的角度出发:
主机厂会让供应商负责的ECU进行风险分析,一般主机厂不会严格要求供应商使用哪一种风险分析方法。
推荐使用HEAVENS方法,通常在汽车开发的设计阶段,需要做风险分析,这做的好处是推导出汽车的ECU安全开发防护的目标,可见风险分析的重要性。
以下是范例:一天一课,如果对以下的内容有什么不懂的,欢迎在下面评论
ID
| Asset | Attack Vector | Comment | Expertise | Knowledge about TOE | Window of oppertunity | Equipment | Threat Level Value | Safety | Privacy | Financial | Operational | Impact Level Value | Security Level |
Telematic Module (TEM) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PHONE-中控系统_01 | 投屏协议(手机映射) | WIFI 协议破解 | 攻击者通过技术方式破解PHONE-中控系统的投屏协议,造成手机映射屏幕到中控画面上出现故障 | 1 | 1 | 2 | 2 | 2 | 0 | 2 | 0 | 0 | 1 | Low |