第12章 汽车网络安全威胁分析与风险评估

汽车的网络安全问题逐渐被重视。为了减少汽车网络安全问题在汽车产品的全生命周期中，需要进行网络安全风险管理。本书一直强调“安全左移”，其中安全威胁分析与评估工作是安全左移的第一步，将在系统后续的设计、开发、安全运营管理等活动中起到重要的作用。与功能安全不同，网络安全风险不能以静态可测量的方式来确定，网络安全风险不一定是机械问题或电气元件故障，造成网络安全风险的可能是一个聪明的人。威胁分析的基本思想是发现漏洞并使系统更加安全，因此我们需要像黑客一样思考。这通常包含以下几步，如图12-1所示（以STRIDE模型为例）。

图12-1 威胁分析与风险评估的基本步骤

幸运的是，就汽车行业而言，ISO 26262、ISO/SAE 21434等文献和标准提供了威胁分析与风险评估的方法。这方面有多种方法，没有任何一种方法可以覆盖所有的威胁，甚至不同标准中对“威胁”一词有不同的解释。

设计一个好的系统已经够难了，再加上安全性保障，那更是难上加难。所以，用户在正常使用系统的过程中可能会遇到系统缺陷。事实上，对于功能的正常使用来说，这些缺陷并不重要。但在安全场景中，这些缺陷可能就会变得很重要，因为攻击者可以通过设置触发缺陷的特定条件来引发故障。

设计安全系统的问题之一是面向不同的群体从不同的角度考虑安全性。例如，系统开发人员主要从代码质量的角度考虑安全性，IT人员考虑防火墙、事件响应和系统管理，而安全人员可能主要根据经典的Saltzer和Schroeder设计原则、安全模型或其他抽象概念来考虑安全性。当然，所有这些设计思路对于构建安全系统都很重要。其中，有关Saltzer和Schroeder设计原则的总结请参见表12-1。

表12-1 Saltzer和Schroeder安全设计原则

要进行安全设计，你需要对汽车网络安全属性有所了解，前面已经把汽车网络安全属性分为如图12-2所示。

图12-2 汽车网络安全属性CIACA

我们都希望系统可以具备机密性、完整性、可用性、身份验证、可控性的属性，但是如何做到这些呢？使应用程序具有这些属性的方法就是威胁分析与风险评估。虽然我们的设计并非永远安全，但我们可以从错误中吸取教训以避免重蹈覆辙，这就是这项工作的本质。

本章我们将讨论威胁分析与风险评估。笔者希望结合本章所讨论的汽车网络安全风险分析和评估方法，读者可以梳理出如表12-2所示的威胁分析与风险评估表。