趙 浩，劉平一，劉天宇

（中汽數(shù)據(jù)（天津）有限公司，天津 300387）

1 研究背景

隨著智能網(wǎng)聯(lián)汽車的迅猛發(fā)展，信息安全問題日益凸顯。近年來，越來越多的汽車廠商和零部件供應(yīng)商開始重視汽車信息安全問題，積極布局汽車信息安全領(lǐng)域，持續(xù)提升汽車信息安全水平，降低汽車信息安全問題而帶來的經(jīng)濟損失。如何提升汽車企業(yè)信息安全水平和能力，風險評估是非常重要的一個環(huán)節(jié)。通過風險評估，確定利益相關(guān)者或利益相關(guān)者代表可能受到潛在環(huán)境或事件影響的程度，有助于認識風險及其對目標的潛在影響[1]，揭示系統(tǒng)和組織的薄弱環(huán)節(jié)，明確需要優(yōu)先處理的風險事件，為決策者選擇應(yīng)對策略提供信息。

通過調(diào)研表明，國內(nèi)外對汽車信息安全風險分級的研究尚處于起步階段，風險分級的理論依據(jù)不足，對風險分級的適用范圍、主要活動、關(guān)鍵步驟、使用方法的理解不夠深刻。整車和零部件制造商，多是依靠技術(shù)人員的經(jīng)驗對生產(chǎn)的汽車整車或零部件進行風險分級，主觀性強，難以系統(tǒng)、全面、準確地對風險進行分級評定，從而導致分級效率低，分級結(jié)果的一致性較差，參考價值較低。

基于目前汽車信息安全領(lǐng)域的法規(guī)、標準要求，針對各類ECU/零部件的信息安全風險等級劃分，目前暫未形成一套權(quán)威、完整、科學、有效的汽車網(wǎng)絡(luò)安全風險等級劃分機制。因此，基于以往安全測試經(jīng)驗、安全防護經(jīng)驗、安全事件案例等信息[2]，從技術(shù)領(lǐng)域考慮整車網(wǎng)絡(luò)安全，通過定性與量化的混合分析，形成一套汽車網(wǎng)絡(luò)安全風險分級方法，以供開展整車ECU信息安全風險等級劃分進行參考。

2 基于混合分析的風險分級方法

2.1 信息安全相關(guān)功能項識別

針對汽車零部件進行信息安全相關(guān)功能識別，具體步驟如下（如下圖1）：

圖1 信息安全相關(guān)功能識別流程

第一步：對汽車零部件功能項進行分類，按照以下功能類進行區(qū)分：

（1）車輛遠程控制相關(guān)功能；

（2）車輛與云端通信相關(guān)功能；

（3）車輛近程通信（藍牙、Wi-Fi、NFC、無線射頻等）相關(guān)功能；

（4）車輛本地物理接口（OBD、USB、USART等）相關(guān)功能；

（5）車輛運行關(guān)鍵服務(wù)相關(guān)功能。

當汽車零部件功能項符合以上任意功能類大于等于1項時，進入第二步；當汽車零部件功能項符合以上任意功能類小于1項時，則結(jié)束本流程，認定該汽車零部件無信息安全風險等級[3]。

第二步：將各類功能項的實現(xiàn)資產(chǎn)進行分析，可依據(jù)以下表1所示分類原則：

表1 安全功能資產(chǎn)識別原則

并按照以下原則進行判定：

（1）是否存在直連車內(nèi)CAN網(wǎng)絡(luò)、LIN網(wǎng)絡(luò)、FlexRay網(wǎng)絡(luò)、Ethernet網(wǎng)絡(luò)；

（2）是否存在直連車外藍牙網(wǎng)絡(luò)、Wi-Fi網(wǎng)絡(luò)、NFC網(wǎng)絡(luò)、無線射頻網(wǎng)絡(luò)；

（3）是否存在間接連接上述車內(nèi)網(wǎng)絡(luò)、車外網(wǎng)絡(luò)；

（4）是否包含智能軟件系統(tǒng)或硬件或高級傳感器。

當汽車零部件功能項符合上述任意原則項大于等于1項時，則認定為該功能項為信息安全候選功能項，進入第三步。當汽車零部件功能項符合上述任意原則項小于1項時，則結(jié)束本流程，認定該汽車零部件無信息安全風險等級[4]。

第三步：獲取汽車零部件信息安全候選功能項列表。

2.2 信息安全特征分析

針對汽車零部件信息安全候選功能項進行信息安全特征分析，具體步驟如下（如下圖2）：

圖2 信息安全特征分析流程

第一步：根據(jù)以下原則，判定汽車零部件信息安全候選功能項是否具備信息安全特征：

（1）是否存在3項（含）以上直接暴露的Debug、CAN、LIN、FlexRay、Ethernet、Serial、USB、HDMI、OBD等硬件接口。

（2）是否存在包含CVE高危漏洞的軟件代碼，如操作系統(tǒng)、軟件組件、應(yīng)用程序等[5]。

（3）是否存在2種（含）以上的公開通信協(xié)議，如公開的CAN通信協(xié)議、LIN通信協(xié)議、Wi-Fi通信協(xié)議、藍牙通信協(xié)議等。

當汽車零部件信息安全候選功能項具備以上任意2種（含）以上信息安全特征時，進入第二步；否則，結(jié)束本流程，認定該汽車零部件信息安全風險等級為“低風險”。

第二步：判定該汽車零部件信息安全候選功能項為汽車零部件信息安全功能項。

2.3 量化攻擊潛力分析

攻擊潛力計算方法如下圖3所示。針對汽車零部件信息安全功能項，從以下5個方面計算攻擊潛力評估值A(chǔ)L，參數(shù)：AR、PE、KT、WO、EM。如下表2所示：

圖3 信息安全攻擊潛力分析流程

表2 攻擊潛力計算方法

利用公式：

攻擊潛力等級劃分如下表3所示：

表3 T-BOX信息安全特征分析

針對汽車零部件進行信息安全風險等級劃分，具體步驟如下：

第一步：對該汽車零部件信息安全功能項進行攻擊潛力量化分析計算[6]。

當攻擊潛力等級為“低”或“中”時，進入第二步；當攻擊潛力等級為“高”時，進入第三步；當攻擊潛力等級為“極高”時，進入第四步[7]。

第二步：判定該汽車零部件信息安全風險等級為“中風險”。

第三步：判定該汽車零部件信息安全風險等級為“高風險”。

第四步：判定該汽車零部件信息安全風險等級為“嚴重風險”。

3 T-BOX實例驗證

3.1 T-BOX功能項識別

依據(jù)汽車信息安全風險分級方法（如表4），由于T-BOX包含5項信息安全關(guān)鍵功能，且存在大于一項的安全功能分類，因此該對象被列入信息安全候選功能項列表[8]。

表4 T-BOX信息安全功能項識別

3.2 T-BOX信息安全特征分析

依據(jù)汽車信息安全風險分級方法（如表5），由于T-BOX 的信息安全候選功能項具備5種信息安全特征，因此認定T-BOX的這5項功能均為汽車信息安全功能項。

表5 T-BOX信息安全特征分析

3.3 T-BOX量化攻擊潛力分析

由5位風險評估與安全分析專家組，對T-BOX的5個信息安全功能項利用基于攻擊潛力的計算估值（如表6），并計算得出其攻擊潛力。依據(jù)汽車信息安全風險分級方法，得出T-BOX信息安全風險等級為“高風險”[9]。

表6 T-BOX量化攻擊潛力分析表

4 結(jié)論與展望

本文主要開展了針對智能網(wǎng)聯(lián)汽車在信息安全風險分級領(lǐng)域的研究，將風險分級過程進行規(guī)范與量化，結(jié)合汽車信息安全的特征，設(shè)置信息安全相關(guān)項識別、安全特征分析、基于攻擊潛力的量化估值[10]，從而對汽車零部件的信息安全等級進行區(qū)分。利用車載信息終端T-Box作為樣例評估對象開展信息安全風險分級與安全分析，將T-Box的5個信息安全相關(guān)功能項進行梳理分級[11]。應(yīng)用此方法實現(xiàn)在汽車信息安全風險評估過程中利用評估對象分級，精確獲得評估對象范圍，提高風險分析效率，將進一步推動汽車信息安全水平的提升，對我國智能網(wǎng)聯(lián)汽車未來發(fā)展具有重要的意義。