摘要

車輛無線連接以及應用程序之間增強的互聯性可能會增加網絡犯罪、攻擊者甚至恐怖分子利用汽車的風險。此外，隨著自動駕駛技術的發展，車輛系統的自主性不斷提高，使得車輛漏洞造成的破壞更為嚴重。智能互聯汽車所面臨的這些多樣化、多維度問題，不僅會威脅到人身安全和隱私，還會影響國家安全。鑒于上述情況，多個國家已提出加強車輛安全的法規和指南。汽車制造商也高度重視提高其產品的安全性。本研究在深入分析汽車行業風險及漏洞評估技術的基礎上，旨在完善安全機制。

1.引言

為提供汽車安全防護，已提出多種安全解決方案。遺憾的是，當前的安全防護措施大多僅針對特定安全風險提供被動或單一防護，因此安全漏洞難以得到快速解決。TARA（威脅分析與風險評估）技術通過識別潛在的安全風險和漏洞，有助于在流程早期發現可能的威脅，并為選擇緩解策略提供理論依據。

此外，關于汽車行業中 TARA 策略和工具的相關信息較為有限，也缺乏關于如何從理論上應用有效對策來應對相關威脅的探討。本研究旨在全面調查汽車行業近期與 TARA 相關的研究成果，分析當前汽車行業已采用的 TARA 技術，總結所提出方法的特點，并介紹標準的 TARA 技術。

1.1 威脅分析與風險評估方法（TARA）

在智能互聯汽車制造領域，TARA 目前仍處于發展初期。通過漏洞評估和風險分析，此類智能互聯汽車的信息物理系統能夠以最低成本將感知到的攻擊總體漏洞降低到可接受水平，進而提高汽車的安全性。風險分析和風險評估的流程如圖 1 所示。TARA 主要包括三個步驟：

· 漏洞評估：負責識別與特定汽車基礎設施相關的潛在威脅。

· 風險評估：能夠對已發現的漏洞進行分類和分析，并確定相關風險。風險評估會根據風險等級對風險進行排序，判斷特定威脅帶來的風險是否合理，以及是否需要采取風險降低措施。

· 清單制定、分類流程、規劃流程、文檔編制、變更審查

TARA 方法主要分為兩類：基于公式的方法和基于原型的方法。基于公式的方法是指主要利用統計數據、文本或方程式進行系統風險評估和風險分析的技術。

根據所解決的不同問題，基于公式的方法可進一步分為三類：基于資產的方法、基于漏洞和威脅的方法以及基于攻擊者的方法。基于模型的方法是漏洞分析技術的一種，它利用流程圖、圖表和樹狀建模等多種系統對網絡的風險和威脅進行建模與分析。根據所處理問題的不同，基于模型的方法可分為基于圖的方法和基于樹的方法。基于模型的方法通過多種手段分析系統漏洞，具有較高的真實性，其定量分析結果更準確，且可重復性更強。然而，這些方法的復雜性使其理解和應用難度較大。后續章節將詳細介紹 TARA 方法的分類。

圖1、威脅分析和風險評估程序

2.基于公式的方法

2.1 基于資產的方法

基于資產的方法是汽車行業中最常用的 TARA 策略。這類方法首先確定當前遭受攻擊的最終目標資產，然后全面排查可能危及該目標資產的所有潛在攻擊路徑和攻擊向量，因此也被稱為自上而下的方法。OCTAVE 方法于 1999 年由 CERT/CC 推出，是目前應用最廣泛的 TARA 技術之一。

OCTAVE 方法將評估分為三個階段，旨在讓組織員工充分了解企業的網絡安全需求，在這些階段中，會對管理問題和技術因素進行評估與討論。OCTAVE 方法被描述為一種融合資產、風險和暴露評估的評估技術，它使管理層能夠利用評估結果選擇合適的策略，并對需要解決的威脅進行排序。此外，該方法還會考慮云服務提供商的使用情況及其對實現組織目標的貢獻。圖 2 展示了 OCTAVE 方法進行風險分析的階段。

圖 2、OCTAVE 方法的階段

OCTAVE 結合了計算環境下的互聯技術配置，提供了一種可重復、靈活的方法，可根據不同企業的需求進行調整。EVITA 方法是一種基于資產的漏洞評估技術，它提供了一種經濟高效的網絡安全策略，能夠在車輛通信的架構設計、驗證或原型設計等多個發展階段提供全面的安全保障。EVITA 方法會對網絡中的每一項資產進行威脅評估，然后根據攻擊發生的可能性和造成的損害程度確定風險等級，并對風險進行評級。對于高風險，可采用 EVITA 風險評估方法進行重點評估，通過對已識別的潛在威脅按風險等級排序，將評估重點集中在風險等級最高的威脅上。

SGM 方法使非安全專業人員能夠快速、輕松地識別資產和防護目標。該方法生成了十個參考術語，包括準入、斷開連接、延遲、移除、暫停、拒絕、觸發、納入、重置和操縱。它提供了一種可定制的認證協議，該協議在設備的整個生命周期內具有可控性和適應性，且基于策略的認證流程可根據特定使用場景的安全目標進行調整。原始設備制造商（OEM）通過基于規則實施安全要求，可避免過度依賴外部供應商的安全承諾。部署策略能夠確保硬件按照原始設備制造商的預期運行。例如，若設備在制造后發現重大漏洞，導致安全規格發生變化，原始設備制造商可提供安全規格更新。與其他一些基于資產的方法能夠進行定量威脅分析不同，上述漏洞掃描方法側重于對暴露程度的定性分析。

TVRA 可根據攻擊發生的可能性以及攻擊對網絡造成的影響，確定系統的風險等級。它能夠對網絡資產風險進行定量評估，并提供詳細的安全防護措施清單，以降低管理復雜性。US2 采用簡單的統計方法，同時評估安全風險和威脅，有效確定安全防護需求。

2.2 基于漏洞的方法

與基于資產的方法類似，基于漏洞的方法是一種自下而上的 TARA 方法。這類方法從系統中已發現的漏洞入手，分析該漏洞可能導致的其他更嚴重的缺陷和故障。CVSS（通用漏洞評分系統）是行業公認的標準，用于評估漏洞的重要性和需要響應的嚴重程度。

CVSS 的核心目標是幫助建立評估漏洞嚴重程度的標準，以便對漏洞的嚴重程度進行比較，并確定修復的優先級。CVSS 評分基于對多個被稱為指標的變量的測試結果，包括三種不同類型的評分：基本評分、時間評分和環境評分。FMVEA（故障模式、影響及漏洞分析）通過基于 FMEA（故障模式與影響分析）擴展安全特性，成為一種保障安全與防護的協同分析技術。它采用風險分類來分析安全特性是否失效，并通過故障模式分析元件的質量參數是否失效。通過識別風險因素，可估算風險模式的發生頻率，而風險模式發生的可能性則取決于潛在攻擊者和漏洞情況。

CHASSIS（汽車安全與安保集成系統）建模方法將整個流程分為兩個部分，明確了可用性、安全性和防護的目標。第一階段主要制定性能要求，以整合安全和防護標準；第二階段則實施安全和防護標準。該階段將依靠網絡安全行業專家的集體知識，提出可能的濫用場景，作為全面研究結果的重要依據。這意味著 CHASSIS 評估方法包含多個主觀因素。

通過汽車 FOTA（遠程在線升級）應用場景，從抽象級別、重復分析的準確性、評估工件的可重用性、評估背景、風險等級的適用性以及對動態環境的靈活性六個標準對 FMVEA 和 CHASSIS 兩種方法進行評估。此外，NIST SP 800-30《信息技術系統風險管理指南》中提出了一種分九個連續階段進行風險評估的方法。

2.3 基于攻擊者的方法

基于攻擊者的方法是一種分析入侵者的風險建模方法。它通過考慮攻擊者的專業知識水平、可能的攻擊手段、攻擊目標以及未來攻擊的資源可獲得性，對系統進行漏洞評估和威脅評估，從而從攻擊的根本原因出發對風險進行描述和分析。SARA（安全評估與風險分析）是另一種適用于具備自動駕駛系統的汽車的安全漏洞評估方法，它綜合考慮了安全專家的觀點、新興威脅類別、網絡入侵、資源映射以及攻擊樹描述等因素。此外，SARA 引入了一個新的參數，在計算風險等級時將操作員或自動駕駛汽車技術的可預測性納入考量。SAM（安全抽象模型）通過對汽車安全建模基礎進行抽象描述，將安全實踐與基于模型的需求工程緊密結合。威脅代理風險管理方法分為六個階段，旨在識別互聯汽車的關鍵漏洞，該方法由 TAL（威脅代理庫）、MOL（方法與目標庫）和 CEL（常見暴露庫）組成。威脅代理風險評估能夠生成一系列可能的攻擊，并根據其發生的可能性進行評分。遺憾的是，威脅代理風險評估方法相對較新，除英特爾安全公司提供的少量信息外，幾乎沒有相關配套資料。

2.4 基于圖的方法

基于圖的方法通過終端和單向連接構建而成。利用基于圖的方法可以表示每個組件模塊之間直接的數學統計關系，從而簡化系統的定量風險評估。STRIDE 模型由欺騙（S）、篡改（T）、否認（R）、信息泄露（I）、拒絕服務（D）和權限提升（E）六個部分組成。STRIDE 方法已在信息技術行業廣泛應用，并被證明能夠有效識別和評估可能出現的問題，顯著降低網絡被攻擊的可能性。由于其出色的效果，STRIDE 方法正逐漸被應用于其他行業。

SAE J3061 標準明確倡導將 STRIDE 方法用于車輛數據保護。除 STRIDE 方法外，PASTA（攻擊模擬與威脅分析流程）是一種七階段風險分析技術，在軟件分解層僅使用數據流圖。LINDDUN 方法通過六步分析，保護平臺的數據機密性和隱私性，利用基于數據流圖的增量開發組件來分析和發現各種風險。VAST（可視化、自動化和簡化威脅建模）方法可擴展用于大規模風險模型評估。

2.5 基于樹的方法

基于樹的方法能夠表示和描述組件之間的關聯及其組織關系。攻擊樹模型是這類方法中最具代表性的一種，它可以解釋系統面臨的威脅并展示攻擊路徑。攻擊樹分析是一種利用樹狀結構進行漏洞評估的技術，圖 3 展示了攻擊樹的基本結構。

關注事件代表攻擊目標，攻擊目標下方的節點代表所有可能導致攻擊目標發生的事件。這些事件之間的邏輯關系可通過 “或” 門和 “與” 門建立。攻擊樹分析可采用自上而下的方式，即先確定攻擊目標，然后據此排查所有可能的攻擊路徑；也可采用自下而上的方式，先分析潛在的攻擊面，再據此檢查安全漏洞。

遺憾的是，傳統的攻擊樹分析方法在處理大型系統的漏洞評估時，需要手動生成多種攻擊可能性。新漏洞可能被利用以及車輛技術被攻擊的概率增加，這是許多原始設備制造商無法接受的。為解決攻擊樹評估的這一缺陷，已開發出一種針對惡意軟件威脅的汽車網絡攻擊森林自動生成技術。通過模擬環境，該系統能夠動態確定攻擊者與目標資源之間的最佳攻擊路徑。

圖 3、攻擊樹的基本結構

即使在最壞情況下，該方法也能在短時間內完成大型平臺的風險分析和漏洞評估，這對于經常需要對車輛系統進行大規模風險分析的原始設備制造商來說尤為有利。RISKEE 方法通過在攻擊樹分析的基礎上引入概率密度函數，實現了對安全風險的定量評估，同時采用 RISKEE 傳播算法通過正向和反向兩種方式計算風險。此外，BDMP（布爾邏輯驅動的馬爾可夫過程）方法通過對故障樹和攻擊樹評估的分析，擴大了風險描述的范圍。然而，BDMP 方法并不適用于風險分析和風險評估的初始階段。

如前文所述，近期的漏洞暴露表明，汽車的幾乎所有互聯組件都存在多種風險：為保護租賃車輛中通過汽車訪問第三方服務和設備的外部連接安全，汽車制造商現在充當本地互聯網注冊機構，管理著一系列 IP 地址、證書和憑證監控系統。現代汽車通過運行 Linux 系統的橋接網關實現對第三方服務的遠程訪問，并在生產線末端（EOL）制造過程中，為每輛汽車的網關服務器配置獨特的原始密鑰和憑證。

除網關基礎設施外，汽車還提供多種其他機制來處理車載功能，包括特定的車對萬物（Vehicle2X）路由協議、無線局域網（WLAN）、藍牙、車載診斷（OBD）接口及相關功能。

這些連接特性擴大了現代汽車的攻擊面，使其更容易受到外部攻擊。在這種多層攻擊中，攻擊者利用外部連接中的漏洞控制汽車的車載系統，最終導致非預期的行駛狀態。該攻擊策略的步驟如下：

1. 信息泄露：在初始階段，黑客針對相同型號和制造商的汽車準備攻擊。通過 OBD 接口，黑客能夠攔截汽車網絡通信，獲取網絡通信的某些特征（即消息目錄的部分內容），甚至可以定位汽車制造商的 IP 地址集群。在后續攻擊中，通過監聽目標車輛與管理人員手機之間的通信，獲取目標車輛的精確 IP 地址。

2. 權限提升：黑客隨后利用 Linux 網關防火墻中的重大漏洞獲取管理員權限，從而進入汽車的網絡基礎設施。此時，黑客可通過網關向內部網絡環境發送惡意指令，并在網關上安裝惡意程序。

3. 欺騙：最后階段，黑客運行預先在網關上植入的代碼對汽車發起攻擊。該代碼向汽車的本地網絡發送包含惡意鏈接的消息，同時偽裝成合法的自動轉向指令和車速數據。初始攻擊階段獲取的消息結構被用于偽造的 IP 地址，以模擬其他公共交通設備的行為和通信。例如，在汽車以較快速度行駛（即駕駛員行駛速度超過 5 公里 / 小時）時，通過偽造的車速數據，欺騙轉向控制單元（SCU）接受來自停車輔助控制單元（PACU）的轉向指令。

3.汽車安全相關的ISO 26262標準

ISO 26262《道路車輛 - 功能安全》是關于新車輛中電氣和 / 或電子設備安全要求的國際標準。該標準遵循 ISO 31000 的理念，是一種基于風險的標準，也是適用于所有行業的基于風險的檢驗測試標準 IEC 61508 的具體應用。該標準通過采用主觀的 HARA（危害分析與風險評估）技術處理危害運行狀態的可能性，規定了預防或減輕系統性故障影響的安全流程。從流程角度來看，該標準遵循汽車的 W 型生命周期，為硬件和軟件組件設定了兩個 V 階段。在概念階段進行的 HARA 會識別出重大風險，并通過對運行環境等級、可控性程度以及造成傷害的嚴重程度的評級系統來評估相關威脅。風險評估采用汽車安全完整性等級（ASIL），從 A 級到 D 級（D 級為最危害等級）。該標準為低漏洞技術規定了流程改進措施，概述了開發初期的基本網絡安全原則，但未包含處理特定網絡安全威脅、生產后階段、拆解階段或車輛計算機安全的嚴格指南。

3.1 汽車網絡安全相關的 ISO 21434 標準

ISO 21434 標準旨在促進汽車行業在網絡安全關鍵問題上達成行業共識。該標準將取代 J3061 實踐指南，并提供更系統的建議，體現了企業對保障車輛信息安全的重視程度。其適用范圍目前集中在商用車（如轎車、貨車和公交車），涵蓋其所有模塊、組件、互聯系統及相關程序。該標準的目標是確保制造商和供應鏈中的所有利益相關者都具備系統化的流程，推動 “安全設計” 理念的實施。

與 ISO 26262 類似，ISO 21434 從管理角度審視汽車的整個項目開發和演進過程，采用 V 模型，并考慮多種任務，包括開發階段的 TARA、測試階段的驗證與確認、安全管理以及運維階段的事件響應管理。該標準的結構分為十個部分和十五個條款，首先解釋以下內容：（1）背景；（2）規范性引用文件；（3）術語；（4）基本原則；（5）管理框架（第 5-7 條）；隨后重點關注威脅評估（第 8 條）；接著是三個部分，分別涉及概念階段（第 9 條）、產品設計（第 10-11 條）以及生產、運維和服務（第 12-14 條）；最后一部分涵蓋配套機制（第 15 條）。

該標準并未強制要求采用特定的 TARA 方法進行風險評估，但根據 ISO 27005 的要求，第 8 條明確了風險評估應包含的必要步驟。新汽車的便利性和經濟性無需依賴管理軟件即可實現，但特別是先進的安全措施（如事故預防）離不開智能軟件應用。盡管汽車中一直存在軟件應用，但隨著汽車互聯性的不斷提高，安全問題日益突出。熟練的黑客有可能通過互聯網和車對萬物（Car2X）技術發起大規模遠程網絡攻擊，而此類攻擊對安全的影響是最大的擔憂。如果剎車、車輪或其他關鍵組件被破壞，可能導致嚴重后果，危及車輛安全。值得注意的是，在過去，黑客要對車輛系統發起遠程網絡攻擊，至少需要偶爾物理接觸車輛，但近期的攻擊事件表明，物理接觸已非必要條件。

為抵御此類攻擊，需要采用保護總線通信并為每個執行技術產品的電子控制單元（ECU）引入可信計算的技術。大多數此類技術無需修改分布式運行應用程序及其設計階段，只需修改基于 AUTOSAR（汽車開放系統架構）的底層基礎軟件，即可減少各種安全問題，提高攻擊者的攻擊門檻。然而，這些技術與信息技術平臺面臨相同的基本管理挑戰，且會顯著增加每個 ECU 的成本。由于單位成本是汽車制造中最重要的因素之一，可信計算硬件的實施成本可能過高。此外，由于消費者對基本安全有需求，向消費者解釋針對惡意黑客的汽車安全解決方案可能存在困難。

研究人員提出了一種全面的方法，而非采用 “一刀切” 的定制解決方案來解決汽車中基于 ISO 26262 開發的安全關鍵技術的網絡安全問題。研究人員希望將 ISO 26262 與全球認可的安全標準相結合，其中 ISO 27001 標準和通用準則（Common Criteria）是兩種廣泛認可的安全標準。這些數據涵蓋全球范圍內的證書，充分體現了安全標準的重要性。因此，該方法遵循先進的 ISO 27001 安全模型，用于識別風險、執行安全漏洞評估，并制定專門處理威脅的流程。

該方法與兩項 ISO 標準均兼容，通過將安全生命周期所需的可持續工件整合到安全生命周期中，實現對安全關鍵技術的系統檢查。盡管如此，研究表明該方法尚未強制要求認證，即使不以認證為目標，也可在流程安全生命周期中考慮網絡安全。該方法利用現有信息提供經濟高效且合適的防護措施，能夠從宏觀角度判斷安全漏洞是否通過不適當或成本過高的流程得到處理，并可為汽車行業提供特定的防護措施，例如合理性檢查或加強不同總線之間的網關，這些措施已被證明能夠有效抵御攻擊。

4.系統性風險評估框架

汽車安全風險評估必須考慮汽車生命周期內安全架構的變化和相關信息。車輛安全漏洞可能會影響人身安全、造成經濟損失并侵犯隱私。

圖 4、汽車網絡安全風險管理框架

此外，由于安全資源的廣泛多樣性和潛在攻擊的復雜性，汽車安全的威脅評估尤為復雜。因此，本研究提出了一種系統化的方法。該框架主要由兩個部分組成：風險評估流程和結構化評估技術。風險評估流程包括三個步驟：風險識別、風險分析和漏洞評估。如圖 4 所示，每個步驟中都定義了相應的評估程序。

4.1 風險識別

在汽車風險評估中，進行實際資產識別之前，必須先確定評估對象（TOE）或用例，以評估某個組件中的候選對象是否為真實資產。接下來是風險評估，即識別資產安全特性中的風險場景。根據 ENISA（歐洲網絡與信息安全局）的資產分類方法，汽車資源將分為八個子類別（即傳感器和執行器等），以評估項目中的候選對象是否為真實資產。在汽車風險評估中，資產識別之前也應確定評估對象（TOE）或用例。

利用 ENISA 資產分類系統，可將汽車資源分為八個類別。基于資產類別和評估對象 / 用例創建數據流圖，以定義細粒度資源，并明確相關的安全機制和潛在損害可能性。隨后采用 STRIDE 威脅分類方案對資產進行威脅識別。STRIDE 框架利用 SDL（安全開發生命周期）漏洞評估軟件，確定假設性網絡攻擊的影響或攻擊目標。

4.2 風險分析

風險分析的目的是評估每個風險場景的影響以及每條攻擊路徑的可行性，包括結果評估和攻擊評估。結果評估旨在計算安全特性被破壞的資源所造成的損害程度。攻擊評估主要包括攻擊路徑分析和威脅能力評估兩個基本部分。

可以評估影響駕駛員安全、隱私保護和國防安全的汽車網絡攻擊對相關方（即安全（S）、財務（F）、運營（O）以及隱私或法律（P））的影響。可采用相關行業最佳實踐（如 BSI 100-4）來衡量影響評估的各個組成部分。本模型中的影響評估標準參考了 HEAVENS 方法。

4.3 傳輸層安全通信

傳輸層安全（TLS）能夠在電動汽車（EV）和電動汽車供電設備（EVSE）之間建立加密連接并實現 EV 對 EVSE 的驗證，確保數據流的機密性和安全性。然而，在某些情況下，ISO-15118 并未要求使用 TLS，這在對可信度有規定要求的場景中尤為明顯。在共享環境中，EV 和 EVSE 之間的通信通常需要安全保障，因此如果可信系統受到破壞，缺乏 TLS 可能會構成嚴重的安全問題。

4.4 支付方式

對于個人消費者，ISO-15118 系統提供了更簡便的支付選項。多個政府機構和收費項目會收取電力供應相關費用。該標準規定了兩種具體的支付方式：外部識別手段（EIM）和即插即充（PnC），用戶只需提供所需信息即可獲取電力。

外部識別手段（EIM）：一種替代交易機制，利用銷售終端（POS）設備（如支付終端或射頻識別（RFID）設備）與 EVSE 進行通信。采用這種支付方式時，操作員或車輛駕駛員需像在加油站加油一樣，親自支付費用。目前，這是 EVSE 運營中最常用的支付方式。盡管該方法不需要證書，但可通過 TLS 建立安全通信線路。EIM 還可整合手機應用程序，用于授權和支付。

即插即充（PnC）：另一種替代 EIM POS 的支付方式，通過充電連接器驗證 EV 的身份。PnC 利用證書自動完成 EV 識別并授權其使用 EVSE。EVSE 通過公鑰基礎設施機制提供契約證書，汽車或 EVSE 的所有者需將該證書安裝在汽車中。如果 EVSE 采用該支付方式，則通信必須進行加密保護，確保只有指定方能夠解密相關信息（包括密鑰和數字證書）。

4.5 威脅分析

攻擊者可利用以下技術利用組合充電系統（CCS）充電平臺的漏洞：

· 欺騙：更改 EV 或 EVSE 的表面身份以獲取充電授權。這可能使攻擊者無需支付費用或驗證訂閱即可為車輛充電。由于認證流程薄弱，該漏洞還可能影響其他 EVSE 用戶。未使用 TLS / 加密通信的 EIM 以及不需要 TLS 即可運行的 PnC 配置面臨的此類風險更高。

· 篡改：物理訪問 EVSE 控制裝置可能導致電力盜竊、系統不穩定，甚至損壞 EV 的機械系統。當前的電子設備和控制裝置尤其容易受到攻擊。例如，惡意黑客篡改消息可能會影響本地電力設備的輸入功率，或者惡意方可能延遲或阻止充電。如果儀表或定價數據被篡改，可能導致零費用充電。與 PnC 相比，EIM POS 系統以及 EVSE 移動軟件更容易受到篡改攻擊。

· 中間人攻擊：在 EVSE 和 EV 之間安裝偽造的橋接組件，用于植入惡意軟件或轉移資金。

· 契約共享：在 PnC 實施過程中，如果 EV 所有者與其他 EV 所有者共享電子契約憑證和密鑰，且這些所有者能夠重新配置自己車輛的憑證，則他們可能能夠按照原始所有者的契約條款免費為自己的車輛充電，這將導致充電站所有者遭受收入損失。

· 竊聽：如果未采取充分的安全保護措施，EV 及其所有者的機密信息可能會被竊聽者獲取。任何惡意組織都可能利用這些數據謀取商業利益。

· 拒絕服務（DoS）：惡意方可能對 EVSE 的通信線路發起 DoS 攻擊，以阻止充電或干擾電網運行，進而導致電網不穩定。

存在多種整合安全與防護的方法，可對安全與防護及其相關相互依賴關系進行協同分析。本質上，這指的是一系列促進開發安全可靠平臺的實踐方法。這類方法提供了結合安全與防護評估的創新手段，處理評估過程中的相互關系，減少因不同方法中安全與防護標準沖突而可能導致的重復工作。盡管減少安全與防護協調的迭代次數是一個重要目標，但這類方法的一個局限性是通常較為復雜，需要投入更多精力進行實施，例如需要分別進行安全和防護評估兩項操作。此外，由于企業中安全和防護流程的實踐水平存在較大差異，這些方法在實際應用中可能面臨困難。

這類方法在促進安全與可靠性方面的效果（即是否至少能夠檢測到風險和漏洞，以及是否具備自動化流程）是一個普遍存在的問題。例如，這些方法重點關注因透明度和可用性受損造成的損害，而忽略了保密性。此外，這些方法在幫助研究人員評估安全限制隨時間推移的惡化情況方面的能力尚未得到探索。

研究人員提出的一種方法中，與模型安全相關的特性可能難以評估。為解決這一問題，研究人員還關注所得出結論的穩健性，試圖確定在大多數依賴變量的較大取值范圍內仍然有效的結論。所提出的基于 MILS（分離內核架構）基礎設施和契約式方法的技術被認為是一種有前景的替代方案，因為它支持網絡拓撲設計、基于契約的架構風格評估、自動化平臺配置以及基于模式的驗證用例生成。然而，該技術具有較強的特殊性，若缺乏相關領域經驗，可能導致評估結果不準確，且該技術不支持對細粒度數據流特性的管理。研究人員對基于硬件故障的標準故障模式與影響分析（FMEA）以及作為計算機風險評估方法的 STPA-Sec（系統理論過程分析 - 安全擴展）進行了研究。由于不清楚低級別故障或風險是否足以支持具有復雜關系和自發行為的系統建模，該方法的可持續性受到質疑。

以安全為最終目標、提供安全與隱私綜合評估的方法（即安全導向的集成安全方法）。由于這類方法側重于提高安全性，且考慮到故障、互聯性和復雜攻擊等限制因素，大多數方法都根據特定標準進行了適當設計，但所研究的方法較為復雜。由于這類方法的主要重點是防護，因此在非安全相關的安全問題同樣重要的網絡中應用時可能存在局限性。在這種情況下，由于部分信息安全工作已在安全導向的集成風險評估中完成，但仍需獨立進行全面分析，因此會存在重復工作。

盡管這可能減少安全與可靠性協調的可行迭代次數，但與綜合整體方法相比，仍會導致任務冗余。

此外，部分方法具有特殊性，需要進一步研究才能應用于其他領域。例如，該方法結合布爾邏輯驅動的馬爾可夫過程（BDMP），利用 ISO 26262 和危害與可操作性研究（HAZOP）方法設定標準，因此需要較高的復雜性和專業知識。由于該方法依賴于專業知識和經驗，且不同團隊的專業水平可能存在差異，從而影響評估結果，因此在重復分析中難以重用。

所提出的方法符合鐵路法規，且在實踐中依賴領域專家。因此，研究人員不確定該方法在未根據具體需求進行定制的情況下是否適用于其他領域。該研究基于 FMEA，僅評估單個影響源，未考慮多階段攻擊。

5.結論

若缺乏先進的管理軟件，汽車難以實現諸如事故預測等先進安全功能。此外，盡管汽車一直配備軟件應用，但隨著汽車互聯性的不斷提高，網絡安全變得愈發重要。本研究認為，熟練的黑客有可能通過互聯網和車對萬物（Car2X）服務發起大規模遠程攻擊，而此類攻擊對安全的破壞是最大的擔憂。本研究還指出，一些惡意行為（如破壞剎車、車輪或其他關鍵組件）可能會危及駕駛員的車輛安全，導致致命后果。傳統的針對安全技術的網絡攻擊要求攻擊者在對安全關鍵系統發起遠程攻擊之前，至少需要物理接觸車輛一次，但多項攻擊事件表明，物理接觸已非必要條件。最后，本研究總結了汽車領域威脅與風險評估方法的詳細分析。

（添加微信號NewCarRen咨詢）