通过实施全面的安全风险分析（融入汽车领域的特殊特征），我们将获得一套合格的分类体系，从而能就实际所需的安全措施做出有充分依据的决策。因此，本文提出了一种开展有意义的安全风险分析的系统方法，该方法特别聚焦于车载 IT 系统。此方法对任何风险分析都不可或缺的两个要素（潜在损害和安全攻击成功的概率）进行了系统估算，且这两种估算均基于经过行业验证的方法和分类体系，并针对车载 IT 安全场景进行了精心调整。

强有力的 IT 安全措施通常是保障车载业务模式、责任认定、法律事务、保修问题的必要条件，尤其是在确保下一代车载安全系统的可靠性方面至关重要。实际将要实施的汽车安全防护措施，应通过有充分依据的成本效益分析来确定，以避免安全解决方案规模过小或过大。因此，我们需要一套可靠的分类体系，以便能够平衡实施车载安全措施所增加的成本和复杂性与特定车载 IT 系统遭受潜在安全漏洞可能造成的损害。

通过实施有充分依据的安全风险分析 —— 系统评估实施特定安全攻击的 “难度” 以及该攻击可能造成的损害，我们将获得合格的分类体系，进而就实际所需的安全防护措施做出合理决策。因此，有意义的安全风险分析尤其有助于实现所谓的 “经济性安全解决方案”，即成功攻击的总成本应超过潜在的经济收益，并分别与潜在损害成正比。最后但同样重要的是，有意义的风险分析可作为基础的 “安全业务模型”，用于论证和证明相应 IT 安全措施的必要性及其所需具备的强度。

1.1 研究贡献

尽管已存在一些通用的 IT 风险分析方法和简单分类体系，但迄今为止，尚未有适用于车载 IT 场景的系统性 IT 安全风险评估方法。车载 IT 场景与标准 IT 系统存在差异，例如在攻击路径（如内部物理攻击者）或潜在攻击影响（如驾驶安全）方面。因此，本研究提供了一种经过精心调整的四步系统方法，专门用于计算车载 IT 场景的 IT 安全风险。

该方法提供了一套系统的评估方案以及相应的分类体系，能够对两个核心要素（实施特定安全攻击的 “难度” 和该攻击可能造成的损害）进行量化评级，且这两个要素均已充分适配汽车领域的特殊特征。本文还通过一个实际的汽车安全应用案例，论证并说明了所提方法的实际可行性。

本文结构如下：首先，介绍开发风险分析方法所采用的相关方法的背景信息（第 2 节）；其次，阐述如何将这些方法系统地结合起来形成风险分析方法，并给出应用示例（第 3 节）；接着，讨论如何获取风险分析的相关输入数据以及如何在风险分析模型中使用这些数据（第 4 节）；最后，简要介绍一款基于该方法开发的实用工具（该工具可协助系统收集所有相关输入数据，详见第 4.3 节），并对研究结果进行总结，同时给出未来展望和未解决问题的概述（第 5 节）。

1.2 相关工作

已有多位学者指出了车辆中信息安全和软件保护的必要性。他们提出了各种安全漏洞和威胁，并为现有及未来的车载 IT 系统提供了一系列安全措施。然而，除了一些完全（法律规定的）强制性安全要求外，目前尚无针对有效抵御其他安全威胁的系统性成本效益分析。

另一方面，针对电信网络或工业自动化等标准 IT 系统，已经出现了首批系统性安全风险评估方法。但由于攻击者动机、攻击能力（如内部物理攻击）和潜在损害（如人员受伤、可扩展性）完全不同，这些方法在车载 IT 系统的特殊安全环境中适用性有限。此外，上述两种方法在潜在损害的识别和估算方面尤其不够明确和通用。

归根结底，将信息安全的最优投资水平分析为投资与受保护资产之间的关系。与这种面向经济安全的通用视角不同，本文提出的方法提供了一种非常具体的量化视角，且明确适配汽车领域的特殊特征。

以下章节将介绍 IT 安全背景下的风险定义、IT 安全评估通用标准（CC）以及本方法中使用的安全完整性等级（SIL）。这些方法来自不同的 IT 学科，而非仅局限于汽车领域。之后，我们将对这些方法进行专门调整和整合，以实现有充分依据的车载安全风险评估。

2.1 风险定义

在大多数工程学科中，风险的定义如下：

在 IT 安全场景中，事故发生概率可对应为成功实施特定攻击所需的攻击潜力（参见第 3.2 节），即实施现有安全威胁并利用安全漏洞的可能性。在本文中，攻击潜力（除其他因素外）描述了成功实施特定攻击所需的累积技术、财务和智力资源。

该方法基于一个合理的假设：在 IT 安全场景中，事故（即成功的安全攻击）发生的概率会随着所需攻击潜力的增加而降低。反过来，预期损失可对应为损害潜力（参见第 3.3 节），即所有财务和运营损害的总和，尤其是与车辆驾驶安全相关的所有潜在损害（如适用）。

2.2 IT 安全评估通用标准（CC）

如今，大多数 IT（安全）产品的安全评估都是基于《信息技术安全评估通用标准》（CC）进行的。这些标准主要包括评估目标声称要满足的预定义安全功能要求目录，以及能让人了解该声明评估深度的预定义保证等级。此外，还可添加自定义功能要求和保证包。评估由评估实验室执行，并由政府机构监督。因此，达到特定评估保证等级（EAL）的评估结果在国际上是被认可的。

该标准还配有《信息技术安全评估通用方法学》（CEM），描述了 CC 安全评估背后的方法学。CEM 包含一种计算评估目标攻击潜力的方法，本研究的风险分析分类体系将采用该方法。

2.3 安全完整性等级（SIL）

安全完整性等级（SIL）是对安全相关电子设备功能可靠性的离散、系统分类。SIL 分为四个等级，其中 SIL 4 的故障风险最低（因此可靠性最高），而相比之下，SIL 1 的故障风险 “更高”（因此可靠性 “更低”）。

SIL 定义，可直接参考美国汽车医学促进会（AAAM）的简明损伤等级（MAIS）—— 该等级用于对汽车事故造成的伤害严重程度进行分类（参见表 1）。最近，行业已开展标准化工作，将更通用的 SIL 定义转化为专门的汽车安全完整性等级（ASIL），以便更精确地将 SIL 适配于乘用车车载电子设备。相应的标准 [ISO26262] 简化并统一了由车载电子设备故障导致的潜在安全隐患的汽车特定风险分类确定流程。SIL 提供的指标和比例（参见表 1）将直接被本研究的安全损害潜力分类体系采用，详见第 3.3 节。

表 1、安全完整性等级指标及相应比例

本节将介绍车载 IT 安全风险分析的实施方法，该分析几乎是所有安全设计周期中不可或缺的环节（参见图 1）。因此，车载 IT 安全风险分析首先要识别实际的安全资产及其高级安全目标，这些资产和目标面临来自潜在攻击路径的特定安全威胁（参见第 3.1 节）。

图 1、作为车载安全设计流程一部分的安全风险分析（灰色部分）

之后，本文将阐述计算特定攻击路径的攻击潜力（AP）和车载损害潜力（DP）的方法（参见第 3.2 节和第 3.3 节）。最后，基于 AP 和 DP，阐述车载 IT 安全风险的评估和分类方法。本节结尾将通过一个实际示例说明该方法在车载 IT 安全风险分析中的应用。

3.1 安全目标、安全威胁和攻击路径的识别

在评估任何车载攻击之前，我们必须先识别高级安全目标（有时也称为安全目标或安全宗旨）。安全目标汇总了所有相关的安全资产（例如关键数据、功能或资源）和安全策略（例如 “仅授权人员可更改该车载组件的功能参数”），以及潜在的滥用场景和需要在高级层面解决的问题。例如，某车载电子控制单元（ECU）的一个安全目标可能是通过保护相应 ECU 软件的机密性，防止 ECU 软件的知识产权被盗或被伪造。

本方法的下一步是识别针对每个已识别安全目标的可能安全威胁。根据 [CC07, 第 1 部分，A.6.2]，威胁由攻击者、不利行动和被攻击资产定义。针对特定 IT 产品或 IT 系统家族的、由社区制定的相关安全目标、安全威胁和通用安全评估标准的集合称为保护轮廓（PP）。PP 通常涵盖所有重要的、已知的安全问题（与潜在的安全解决方案无关），在对该家族的评估目标进行安全评估时，至少必须验证这些问题是否得到了适当的应对。

因此，PP 通常是在 CC 评估的背景下制定的，目前已适用于许多 IT 产品和 IT 系统，但遗憾的是，不适用于 ECU（电子控制单元）等汽车 IT 组件。在此情况下，我们参考识别安全目标、威胁和攻击路径的通用方法，并结合相应的车载 IT 安全研究成果。

针对某一安全目标的安全威胁可组织为攻击树，如图 2 所示。请注意，任何攻击树都绝非（也不可能）完整。与原始攻击树提案（以攻击者的目标为根节点）不同，本文将安全目标置于顶部。对安全目标的成功攻击可通过从叶节点到根节点的路径来描述。有关攻击树及类似技术在汽车领域的其他应用。现在，我们可以计算成功实施安全目标的每条攻击路径所需的攻击潜力。

图 2、针对电子控制单元（ECU）数据机密性安全目标的不完整攻击树

3.2 攻击潜力计算

为计算已识别攻击路径的攻击潜力，我们遵循描述的、经过行业验证的标准化 CC 方法，从识别和利用所需的时间、专业知识、目标知识以及所需的访问权限和设备等方面，估算成功实施攻击所需的资源。

该方法可涵盖已知的和（至少中期内）可能存在的安全攻击（例如 RSA 因式分解挑战），而后者对应的攻击潜力更高。各因素如表 2 所示，仅做了少量修改。所有估算都必须考虑安全角度的最坏情况。如果攻击参考估算介于两个分类之间，也可以为相应因素选取适当的中间值。

表 2、攻击潜力因素的参考分类

总体攻击潜力（AP）通过估算并累加每个类别的系数得出，如公式（3.1）所示：

因此，AP 代表成功实施特定攻击路径所需的所有资源的累积攻击潜力。总 AP 值可转换为攻击者分类，如表 3 所示。该分类将 AP 归入《通用标准》中定义的类别。

表 3、攻击潜力（AP）分类

3.3 损害潜力计算

本文对损害潜力的计算基于成功攻击特定车载安全目标可能导致的三种损害类型，即安全损害、财务损害和 / 或运营损害（参见表 4）。

安全损害包括成功的安全攻击可能导致车辆乘客受伤的任何不利事件。对于安全损害分类，我们采用 [ISO26262] 中经过行业验证的 ASIL 分类（参见第 2.3 节）。为对相应因素进行定量分类，我们还采用了（A）SIL 的十进制幂次缩放。然而，请注意，所提出的安全损害系数仅代表算术值，不包含任何伦理评级（例如与财务损害系数相比）。

财务损害包括成功的安全攻击导致的所有损失总和，但不直接反映安全问题。因此，财务损害包括所有直接财务损失，例如因业务模式破裂导致的所有财务损失（如售后功能激活失效）、法律影响（如罚款）、产品责任问题（如罚款或召回）、仿冒，还包括所有间接财务损失的估算，例如业务声誉损害或市场份额损失。

然而，由于某些具体金额对每家公司的意义可能大不相同，所给出的财务损害分类参考了德国联邦信息安全局发布的《IT 基础保护》中的通用财务损害分类。为了适当体现与大多数安全损害相比相对较小的后果，我们将相应系数相对于安全损害类别向下调整了一个数量级（同时保留十进制幂次缩放）。

反过来，运营损害包括所有其他不利事件，这些事件不会直接造成人员受伤，也没有可衡量的财务影响。例如，车辆功能损坏（如空调系统故障）乃至车载基础设施潜在损坏（如交通管理系统故障）。该分类再次基于经过行业验证的简化估算方法，该方法已用于车辆缺陷严重程度分类，如故障模式及影响分析（FMEA）[AIA08]。为了适当体现与安全损害和所选财务类别相比相对较小的后果，我们将相应系数再次向下调整了一个数量级（同时保留十进制幂次缩放）。

表 4、损害潜力因素的参考分

总损害潜力（DP）通过估算并累加三个独立因素的值（参见第 4 节中的估算方法）得出，如公式（3.2）所示。与攻击潜力计算类似，所有估算都必须考虑最坏情况。如果损害参考估算介于两个分类之间，也可以为相应损害因素选取适当的中间值。

因此，DP 代表成功攻击特定安全目标可能导致的所有潜在财务和非财务后果的累积损害潜力，与该攻击的发生可能性 / 难度无关。三个损害类别（即安全、财务和运营）评估区间的十进制幂次权重如图 3 所示。

图 3、损害区间关系

请注意，通过成功实施安全攻击而违反安全目标，通常可能同时产生与安全、财务或车辆运营相关的不同独立后果。然而，为简化应用，我们建议从所有潜在后果中仅考虑每个类别的最坏后果，该最坏后果已包含所有其他 “较低损害”。例如，成功的安全攻击违反了 “仅授权人员可修改 ECU 固件” 的安全目标，从而允许未授权修改，可能会产生三个独立的后果：可能导致两个独立的安全损害（例如由于 ECU 的两个潜在故障），还可能导致与这两个安全损害无关的特定财务损害（例如由于未授权的功能激活）。

在计算相应的损害系数时，我们首先寻找安全损害的最坏情况后果，并仅采用该后果来确定 DP 安全；然后寻找财务损害的最坏情况后果，并采用该后果来确定 DP 财务；同样，寻找运营损害的最坏情况后果，并采用该后果来确定 DP 运营。所有最坏情况因素的总和将决定由相应安全目标违规导致的总 DP。

最后，总 DP 值可转换为损害类别，如表 5 所示。这些分类采用了成熟的十进制幂次缩放（参见表 1），其设计方式是：严重伤害和极高财务损害对应的分类为灾难性。

表 5、损害潜力（DP）分类

3.4 风险评估

为完成风险分析，我们最终创建了所谓的风险矩阵，该矩阵将安全攻击路径成功的概率（攻击潜力 AP）与该事件的预期损失（损害潜力 DP）相结合，形成有意义的风险分类。

遗憾的是，[IEC61508] 及其汽车领域衍生标准 [ISO26262]（目前）均未提供任何强制性风险评估方法或风险接受值。这主要出于政治原因，因为每个应用通用 [IEC61508] 标准的行业（甚至每个制造商）都有自己对可接受和不可接受风险的定义。然而，我们发现，源自铁路安全工程的风险矩阵和相应风险评估方法完全符合我们的需求。因此，表 6 至少可作为可单独调整的汽车 IT 安全风险接受矩阵的基础。

表 6、示例性汽车 IT 安全风险矩阵

3.5 应用示例

现在，通过一个简要示例来说明本方法。假设某客户修改安全关键型 ECU 固件，以对其汽车发动机进行未授权的性能调整（即 “芯片调校”）。该攻击旨在违反 “ECU 固件完整性应受到保护” 的安全目标。在本示例中，向 ECU 上传自定义代码是一项受保护的功能，这意味着 ECU 仅接受经过认证的原始代码，且为保护知识产权，该代码已加密。

我们假设保护机制并非由安全芯片强制执行，而仅通过软件安全措施实现。因此，攻击者能够逆向工程固件和 / 或获取非公开信息，以进行自定义代码软件更新。根据第 3.2 节中描述的方法，该攻击路径的攻击潜力评级可能如下：

收集必要知识、获取必要设备并实际执行攻击所需的时间可能介于数天到数周之间（系数 2）。请注意，为 AP 类别的估算选择中间系数是完全合理的，例如，对于介于 “天” 和 “周” 两个参考值之间的评级，可选择系数 2。首次识别并实施此类攻击所需的专业知识为专家级（系数 6）。成功实施攻击（在数天到数周内）至少需要了解 ECU 的内部软件结构和功能，因此所需的目标知识评级为受限信息（系数 3）。由于攻击者通常也是车辆的合法所有者，他可以随时完全访问自己的车辆，因此攻击机会实际上是无限制的。然而，攻击者必须以某种方式与 ECU 通信，这至少需要容易的物理访问权限（系数 1）。最后，实施攻击可能需要标准设备以及一些额外的软件 / 电缆。然而，这些专业部件可通过互联网轻松获取，因此所需设备的评级介于标准设备和专业设备之间（系数 3）。总 AP 的计算汇总于表 7，结果为中等攻击潜力。然而，一旦攻击可以自动化，且所需代码（即所谓的 “漏洞利用程序”）在互联网上发布，其评级通常会显著降低，从而形成新的攻击路径。

现在，我们分析如果该攻击路径违反了相应的安全目标，可能造成的损害潜力。如果安全关键型代码被未授权修改，从最坏情况的安全角度来看，其执行可能导致严重事故，甚至造成人员受伤（系数 100）。从最坏情况的财务角度（与安全无关）来看，（未被发现的）自定义软件安装可能导致虚假的保修索赔或错误的责任问题，由此造成的财务损害评级最多为相关年销售额的 5%-20%（系数 10）。最后，独立于任何安全或财务后果，未授权修改的软件代码可能会导致某些车辆功能受到影响或出现故障，因为该代码未经过制造商验证（系数 5）。如表 7 所示，总损害潜力经计算分类为严重。

为对该攻击路径进行最终的 IT 安全风险评估，我们应用表 6 中定义的车载 IT 安全风险矩阵，将该攻击路径评级为非期望的安全风险（即 1 / 中等 × 严重）。与仅采用软件机制相比，在 ECU 中实施更好的安全措施（如基于硬件的完整性保护机制 [SSW08]）可能会显著提高所需的攻击潜力，从而将总体风险降低到可容忍水平（例如）。

请注意，由于攻击的前提条件可能不同，攻击潜力的计算可能存在多种合理结果。例如，专业知识和时间之间通常存在权衡，即攻击者要么需要丰富的专业知识，要么需要大量时间。在这些情况下，从攻击场景集合中选择最低的总 AP 系数是稳妥的做法。此外，某些攻击无法通过正在进行风险分析的 IT 组件直接抵御（例如开发过程中的安全）。这些攻击可能是非技术性的（如社会工程学攻击），或针对超出 IT 组件制造商职责范围的技术系统。将这些攻击纳入风险分析的正式方法是定义风险分析所依据的假设，例如假设开发站点是安全的。

表 7、攻击潜力、损害潜力及由此产生的安全风险的示例性计算

一个重要问题是如何获取所有相关数据，以便（i）识别可能的攻击和潜在的由此产生的损害；（ii）对损害因素和攻击因素进行相应分类。为识别潜在的安全目标和可能的攻击路径，我们建议使用安全调查问卷（参见第 4.1 节）。为识别和分类攻击，我们采用第 4.2 节中描述的方法。最后，为根据第 3.3 节估算潜在损害，我们建议使用更详细的安全调查问卷，其中还包括对以往类似安全事件的分析。

4.1 安全调查问卷

以下提供一份安全调查问卷草案，用于收集完成有意义的安全风险分析所需的信息。这包括对应用程序使用的基本理解（1）、潜在安全目标的识别（2）、已知的潜在攻击和滥用场景的收集（3）以及现有安全措施的识别（4）。该方法类似于《通用标准》中定义 “安全目标” 的模型，该模型描述了评估目标、其安全环境、安全目标和功能安全要求。

（1）请简要描述您的车载 IT 应用程序，包括所有相关实体（例如驾驶员、原始设备制造商、服务商、第三方）以及所有（与安全相关的）用例！

（2）请提供某些实体可能具有特定安全目标的数据、资源或功能！

（3）请简要描述您已知的针对该车载 IT 应用程序的任何攻击、滥用场景和攻击意图！

（4）请简要描述可能已存在的任何用于实现（2）中安全目标的安全措施！

（5）请提供（4）中识别的每项攻击的前提条件和成本估算！

（6）请提供（4）中识别的每项攻击的潜在损害估算！

为对攻击潜力和损害潜力进行细粒度估算，安全调查问卷应使用本研究第 3.2 节和第 3.3 节中提出的估算方法所提供的类别。对于新的与安全相关的应用程序，只能通过相应专家的近似估算来确定损害类别。如果与安全相关的应用程序已成为安全攻击的目标，则估算会更加精确，因为可以纳入已有事件的严重程度和频率。因此，我们建议由负责的开发人员与安全专家以及能够估算所分析车载应用程序遭受安全漏洞可能造成的安全、财务和运营后果的专家共同完成此调查问卷。

4.2 攻击的识别和分类

《通用标准》要求评估人员检查公开来源以及评估证据（即内部文档），以识别潜在漏洞并评估其被利用的可能性。如果潜在漏洞在评估目标的预期运行环境中可被利用，且成功识别和利用所需的攻击潜力超出了评估目标声称能够抵御的水平，则必须实施安全解决方案。攻击因素的评估根据 CC 以及评估人员的知识和经验进行。因此，一旦某 IT 产品通过 CC 认证，就可以对其抵御针对安全目标的攻击的能力做出可靠声明。本风险分析方法中攻击的识别和分类可基于 CC 认证结果。此外，安全关键型车载系统的 CC 认证提供了国际认可的保证，证明制造商已为避免系统遭受攻击造成的损害做出了切实努力。

4.3 工具实现

我们已将本方法实现为一个简单的电子表格应用程序，该程序允许系统地获取安全目标、其可能的攻击路径以及相应的损害后果。它能够根据我们提出的方法估算攻击潜力和损害潜力，并根据我们调整后的安全风险矩阵提供自动风险评估。

目前，该方法已成功应用于多个知名汽车原始设备制造商的安全分析和咨询项目中。

本文提出了一种系统方法，用于平衡实施车载安全措施的安全成本与相应汽车安全攻击的安全风险。该方法基于成熟的方法学，并经过精心调整和整合，可高效、有意义地应用于车载 IT 安全场景。通过融入汽车领域的特殊特征，所提出的方法为汽车开发人员和制造商提供了一套车载 IT 安全措施的量化评估方法，通过该方法可以清晰分析成本与安全风险之间的权衡，从而做出有充分依据的决策。

本方法基于一个假设，即随着所需攻击潜力的增加，安全措施遭受成功攻击的概率会降低（参见表 6）。这一假设在大多数但并非所有实际场景中都成立。例如，假设某汽车制造商无论成本如何，都愿意逆向工程竞争对手全新产品的软件。如何通过扩展我们的分类体系来摒弃这一假设，将是未来的研究方向。

进一步的研究方向还包括采用更细粒度的因素或对各个因素和类别的权重进行优化。特别是，我们提出的安全调查问卷的初步实际结果可为验证或调整我们的量表以适应当前汽车行业的实际场景提供宝贵输入。如第 3.1 节所述，制定一套涵盖所有重要、已知 ECU 安全问题（与潜在安全解决方案无关）的汽车专用保护轮廓（PP），将显著简化和系统化车载安全目标、威胁和攻击路径的识别过程。

另一个有趣的问题是，我们的研究结果与关于确定信息安全最优投资水平的讨论有何关联。根据他们的研究和给定要求，受保护资产总成本的 36.8% 至 50% 应用于安全措施投资。我们的方法是否会得出类似结果？在汽车大规模生产的特殊背景下，总投资成本受单位生产成本的显著影响。为（除其他外）回答这一问题，我们的车载 IT 风险分析方法目前正由两家德国汽车制造商独立应用和评估，用于两种不同的安全解决方案。

最后，我们要强调的是，即使基于充分的分析，风险分析仍然是一种统计估算，本质上包含不确定性。

文章来源：牛喀网