摘要

如今，安全工程已成為大多數車載 IT 系統開發過程中公認的挑戰。然而，盡管總體上人們已了解許多車載安全威脅及有效的防護措施，但汽車工程師仍難以實現高效的安全解決方案——難以使特定防護措施的成本與實際安全威脅相匹配，從而避免“防護不足”和“過度防護”這兩種情況。在汽車領域，這兩種情況都是不可接受的。

通過實施全面的安全風險分析（融入汽車領域的特殊特征），我們將獲得一套合格的分類體系，從而能就實際所需的安全措施做出有充分依據的決策。因此，本文提出了一種開展有意義的安全風險分析的系統方法，該方法特別聚焦于車載 IT 系統。此方法對任何風險分析都不可或缺的兩個要素（潛在損害和安全攻擊成功的概率）進行了系統估算，且這兩種估算均基于經過行業驗證的方法和分類體系，并針對車載 IT 安全場景進行了精心調整。

1、研究背景

強有力的 IT 安全措施通常是保障車載業務模式、責任認定、法律事務、保修問題的必要條件，尤其是在確保下一代車載安全系統的可靠性方面至關重要。實際將要實施的汽車安全防護措施，應通過有充分依據的成本效益分析來確定，以避免安全解決方案規模過小或過大。因此，我們需要一套可靠的分類體系，以便能夠平衡實施車載安全措施所增加的成本和復雜性與特定車載 IT 系統遭受潛在安全漏洞可能造成的損害。

通過實施有充分依據的安全風險分析 —— 系統評估實施特定安全攻擊的 “難度” 以及該攻擊可能造成的損害，我們將獲得合格的分類體系，進而就實際所需的安全防護措施做出合理決策。因此，有意義的安全風險分析尤其有助于實現所謂的 “經濟性安全解決方案”，即成功攻擊的總成本應超過潛在的經濟收益，并分別與潛在損害成正比。最后但同樣重要的是，有意義的風險分析可作為基礎的 “安全業務模型”，用于論證和證明相應 IT 安全措施的必要性及其所需具備的強度。

1.1 研究貢獻

盡管已存在一些通用的 IT 風險分析方法和簡單分類體系，但迄今為止，尚未有適用于車載 IT 場景的系統性 IT 安全風險評估方法。車載 IT 場景與標準 IT 系統存在差異，例如在攻擊路徑（如內部物理攻擊者）或潛在攻擊影響（如駕駛安全）方面。因此，本研究提供了一種經過精心調整的四步系統方法，專門用于計算車載 IT 場景的 IT 安全風險。

該方法提供了一套系統的評估方案以及相應的分類體系，能夠對兩個核心要素（實施特定安全攻擊的 “難度” 和該攻擊可能造成的損害）進行量化評級，且這兩個要素均已充分適配汽車領域的特殊特征。本文還通過一個實際的汽車安全應用案例，論證并說明了所提方法的實際可行性。

本文結構如下：首先，介紹開發風險分析方法所采用的相關方法的背景信息（第 2 節）；其次，闡述如何將這些方法系統地結合起來形成風險分析方法，并給出應用示例（第 3 節）；接著，討論如何獲取風險分析的相關輸入數據以及如何在風險分析模型中使用這些數據（第 4 節）；最后，簡要介紹一款基于該方法開發的實用工具（該工具可協助系統收集所有相關輸入數據，詳見第 4.3 節），并對研究結果進行總結，同時給出未來展望和未解決問題的概述（第 5 節）。

1.2 相關工作

已有多位學者指出了車輛中信息安全和軟件保護的必要性。他們提出了各種安全漏洞和威脅，并為現有及未來的車載 IT 系統提供了一系列安全措施。然而，除了一些完全（法律規定的）強制性安全要求外，目前尚無針對有效抵御其他安全威脅的系統性成本效益分析。

另一方面，針對電信網絡或工業自動化等標準 IT 系統，已經出現了首批系統性安全風險評估方法。但由于攻擊者動機、攻擊能力（如內部物理攻擊）和潛在損害（如人員受傷、可擴展性）完全不同，這些方法在車載 IT 系統的特殊安全環境中適用性有限。此外，上述兩種方法在潛在損害的識別和估算方面尤其不夠明確和通用。

歸根結底，將信息安全的最優投資水平分析為投資與受保護資產之間的關系。與這種面向經濟安全的通用視角不同，本文提出的方法提供了一種非常具體的量化視角，且明確適配汽車領域的特殊特征。

2、基礎知識

以下章節將介紹 IT 安全背景下的風險定義、IT 安全評估通用標準（CC）以及本方法中使用的安全完整性等級（SIL）。這些方法來自不同的 IT 學科，而非僅局限于汽車領域。之后，我們將對這些方法進行專門調整和整合，以實現有充分依據的車載安全風險評估。

2.1 風險定義

在大多數工程學科中，風險的定義如下：

在 IT 安全場景中，事故發生概率可對應為成功實施特定攻擊所需的攻擊潛力（參見第 3.2 節），即實施現有安全威脅并利用安全漏洞的可能性。在本文中，攻擊潛力（除其他因素外）描述了成功實施特定攻擊所需的累積技術、財務和智力資源。

該方法基于一個合理的假設：在 IT 安全場景中，事故（即成功的安全攻擊）發生的概率會隨著所需攻擊潛力的增加而降低。反過來，預期損失可對應為損害潛力（參見第 3.3 節），即所有財務和運營損害的總和，尤其是與車輛駕駛安全相關的所有潛在損害（如適用）。

2.2 IT 安全評估通用標準（CC）

如今，大多數 IT（安全）產品的安全評估都是基于《信息技術安全評估通用標準》（CC）進行的。這些標準主要包括評估目標聲稱要滿足的預定義安全功能要求目錄，以及能讓人了解該聲明評估深度的預定義保證等級。此外，還可添加自定義功能要求和保證包。評估由評估實驗室執行，并由政府機構監督。因此，達到特定評估保證等級（EAL）的評估結果在國際上是被認可的。

該標準還配有《信息技術安全評估通用方法學》（CEM），描述了 CC 安全評估背后的方法學。CEM 包含一種計算評估目標攻擊潛力的方法，本研究的風險分析分類體系將采用該方法。

2.3 安全完整性等級（SIL）

安全完整性等級（SIL）是對安全相關電子設備功能可靠性的離散、系統分類。SIL 分為四個等級，其中 SIL 4 的故障風險最低（因此可靠性最高），而相比之下，SIL 1 的故障風險 “更高”（因此可靠性 “更低”）。

SIL 定義，可直接參考美國汽車醫學促進會（AAAM）的簡明損傷等級（MAIS）—— 該等級用于對汽車事故造成的傷害嚴重程度進行分類（參見表 1）。最近，行業已開展標準化工作，將更通用的 SIL 定義轉化為專門的汽車安全完整性等級（ASIL），以便更精確地將 SIL 適配于乘用車車載電子設備。相應的標準 [ISO26262] 簡化并統一了由車載電子設備故障導致的潛在安全隱患的汽車特定風險分類確定流程。SIL 提供的指標和比例（參見表 1）將直接被本研究的安全損害潛力分類體系采用，詳見第 3.3 節。

表 1、安全完整性等級指標及相應比例

3、車載 IT 安全風險分析

本節將介紹車載 IT 安全風險分析的實施方法，該分析幾乎是所有安全設計周期中不可或缺的環節（參見圖 1）。因此，車載 IT 安全風險分析首先要識別實際的安全資產及其高級安全目標，這些資產和目標面臨來自潛在攻擊路徑的特定安全威脅（參見第 3.1 節）。

圖 1、作為車載安全設計流程一部分的安全風險分析（灰色部分）

之后，本文將闡述計算特定攻擊路徑的攻擊潛力（AP）和車載損害潛力（DP）的方法（參見第 3.2 節和第 3.3 節）。最后，基于 AP 和 DP，闡述車載 IT 安全風險的評估和分類方法。本節結尾將通過一個實際示例說明該方法在車載 IT 安全風險分析中的應用。

3.1 安全目標、安全威脅和攻擊路徑的識別

在評估任何車載攻擊之前，我們必須先識別高級安全目標（有時也稱為安全目標或安全宗旨）。安全目標匯總了所有相關的安全資產（例如關鍵數據、功能或資源）和安全策略（例如 “僅授權人員可更改該車載組件的功能參數”），以及潛在的濫用場景和需要在高級層面解決的問題。例如，某車載電子控制單元（ECU）的一個安全目標可能是通過保護相應 ECU 軟件的機密性，防止 ECU 軟件的知識產權被盜或被偽造。

本方法的下一步是識別針對每個已識別安全目標的可能安全威脅。根據 [CC07, 第 1 部分，A.6.2]，威脅由攻擊者、不利行動和被攻擊資產定義。針對特定 IT 產品或 IT 系統家族的、由社區制定的相關安全目標、安全威脅和通用安全評估標準的集合稱為保護輪廓（PP）。PP 通常涵蓋所有重要的、已知的安全問題（與潛在的安全解決方案無關），在對該家族的評估目標進行安全評估時，至少必須驗證這些問題是否得到了適當的應對。

因此，PP 通常是在 CC 評估的背景下制定的，目前已適用于許多 IT 產品和 IT 系統，但遺憾的是，不適用于 ECU（電子控制單元）等汽車 IT 組件。在此情況下，我們參考識別安全目標、威脅和攻擊路徑的通用方法，并結合相應的車載 IT 安全研究成果。

針對某一安全目標的安全威脅可組織為攻擊樹，如圖 2 所示。請注意，任何攻擊樹都絕非（也不可能）完整。與原始攻擊樹提案（以攻擊者的目標為根節點）不同，本文將安全目標置于頂部。對安全目標的成功攻擊可通過從葉節點到根節點的路徑來描述。有關攻擊樹及類似技術在汽車領域的其他應用。現在，我們可以計算成功實施安全目標的每條攻擊路徑所需的攻擊潛力。

圖 2、針對電子控制單元（ECU）數據機密性安全目標的不完整攻擊樹

3.2 攻擊潛力計算

為計算已識別攻擊路徑的攻擊潛力，我們遵循描述的、經過行業驗證的標準化 CC 方法，從識別和利用所需的時間、專業知識、目標知識以及所需的訪問權限和設備等方面，估算成功實施攻擊所需的資源。

該方法可涵蓋已知的和（至少中期內）可能存在的安全攻擊（例如 RSA 因式分解挑戰），而后者對應的攻擊潛力更高。各因素如表 2 所示，僅做了少量修改。所有估算都必須考慮安全角度的最壞情況。如果攻擊參考估算介于兩個分類之間，也可以為相應因素選取適當的中間值。

表 2、攻擊潛力因素的參考分類

總體攻擊潛力（AP）通過估算并累加每個類別的系數得出，如公式（3.1）所示：

因此，AP 代表成功實施特定攻擊路徑所需的所有資源的累積攻擊潛力。總 AP 值可轉換為攻擊者分類，如表 3 所示。該分類將 AP 歸入《通用標準》中定義的類別。

表 3、攻擊潛力（AP）分類

3.3 損害潛力計算

本文對損害潛力的計算基于成功攻擊特定車載安全目標可能導致的三種損害類型，即安全損害、財務損害和 / 或運營損害（參見表 4）。

安全損害包括成功的安全攻擊可能導致車輛乘客受傷的任何不利事件。對于安全損害分類，我們采用 [ISO26262] 中經過行業驗證的 ASIL 分類（參見第 2.3 節）。為對相應因素進行定量分類，我們還采用了（A）SIL 的十進制冪次縮放。然而，請注意，所提出的安全損害系數僅代表算術值，不包含任何倫理評級（例如與財務損害系數相比）。

財務損害包括成功的安全攻擊導致的所有損失總和，但不直接反映安全問題。因此，財務損害包括所有直接財務損失，例如因業務模式破裂導致的所有財務損失（如售后功能激活失效）、法律影響（如罰款）、產品責任問題（如罰款或召回）、仿冒，還包括所有間接財務損失的估算，例如業務聲譽損害或市場份額損失。

然而，由于某些具體金額對每家公司的意義可能大不相同，所給出的財務損害分類參考了德國聯邦信息安全局發布的《IT 基礎保護》中的通用財務損害分類。為了適當體現與大多數安全損害相比相對較小的后果，我們將相應系數相對于安全損害類別向下調整了一個數量級（同時保留十進制冪次縮放）。

反過來，運營損害包括所有其他不利事件，這些事件不會直接造成人員受傷，也沒有可衡量的財務影響。例如，車輛功能損壞（如空調系統故障）乃至車載基礎設施潛在損壞（如交通管理系統故障）。該分類再次基于經過行業驗證的簡化估算方法，該方法已用于車輛缺陷嚴重程度分類，如故障模式及影響分析（FMEA）[AIA08]。為了適當體現與安全損害和所選財務類別相比相對較小的后果，我們將相應系數再次向下調整了一個數量級（同時保留十進制冪次縮放）。

表 4、損害潛力因素的參考分

總損害潛力（DP）通過估算并累加三個獨立因素的值（參見第 4 節中的估算方法）得出，如公式（3.2）所示。與攻擊潛力計算類似，所有估算都必須考慮最壞情況。如果損害參考估算介于兩個分類之間，也可以為相應損害因素選取適當的中間值。

因此，DP 代表成功攻擊特定安全目標可能導致的所有潛在財務和非財務后果的累積損害潛力，與該攻擊的發生可能性 / 難度無關。三個損害類別（即安全、財務和運營）評估區間的十進制冪次權重如圖 3 所示。

圖 3、損害區間關系

請注意，通過成功實施安全攻擊而違反安全目標，通常可能同時產生與安全、財務或車輛運營相關的不同獨立后果。然而，為簡化應用，我們建議從所有潛在后果中僅考慮每個類別的最壞后果，該最壞后果已包含所有其他 “較低損害”。例如，成功的安全攻擊違反了 “僅授權人員可修改 ECU 固件” 的安全目標，從而允許未授權修改，可能會產生三個獨立的后果：可能導致兩個獨立的安全損害（例如由于 ECU 的兩個潛在故障），還可能導致與這兩個安全損害無關的特定財務損害（例如由于未授權的功能激活）。

在計算相應的損害系數時，我們首先尋找安全損害的最壞情況后果，并僅采用該后果來確定 DP 安全；然后尋找財務損害的最壞情況后果，并采用該后果來確定 DP 財務；同樣，尋找運營損害的最壞情況后果，并采用該后果來確定 DP 運營。所有最壞情況因素的總和將決定由相應安全目標違規導致的總 DP。

最后，總 DP 值可轉換為損害類別，如表 5 所示。這些分類采用了成熟的十進制冪次縮放（參見表 1），其設計方式是：嚴重傷害和極高財務損害對應的分類為災難性。

表 5、損害潛力（DP）分類

3.4 風險評估

為完成風險分析，我們最終創建了所謂的風險矩陣，該矩陣將安全攻擊路徑成功的概率（攻擊潛力 AP）與該事件的預期損失（損害潛力 DP）相結合，形成有意義的風險分類。

遺憾的是，[IEC61508] 及其汽車領域衍生標準 [ISO26262]（目前）均未提供任何強制性風險評估方法或風險接受值。這主要出于政治原因，因為每個應用通用 [IEC61508] 標準的行業（甚至每個制造商）都有自己對可接受和不可接受風險的定義。然而，我們發現，源自鐵路安全工程的風險矩陣和相應風險評估方法完全符合我們的需求。因此，表 6 至少可作為可單獨調整的汽車 IT 安全風險接受矩陣的基礎。

表 6、示例性汽車 IT 安全風險矩陣

3.5 應用示例

現在，通過一個簡要示例來說明本方法。假設某客戶修改安全關鍵型 ECU 固件，以對其汽車發動機進行未授權的性能調整（即 “芯片調校”）。該攻擊旨在違反 “ECU 固件完整性應受到保護” 的安全目標。在本示例中，向 ECU 上傳自定義代碼是一項受保護的功能，這意味著 ECU 僅接受經過認證的原始代碼，且為保護知識產權，該代碼已加密。

我們假設保護機制并非由安全芯片強制執行，而僅通過軟件安全措施實現。因此，攻擊者能夠逆向工程固件和 / 或獲取非公開信息，以進行自定義代碼軟件更新。根據第 3.2 節中描述的方法，該攻擊路徑的攻擊潛力評級可能如下：

收集必要知識、獲取必要設備并實際執行攻擊所需的時間可能介于數天到數周之間（系數 2）。請注意，為 AP 類別的估算選擇中間系數是完全合理的，例如，對于介于 “天” 和 “周” 兩個參考值之間的評級，可選擇系數 2。首次識別并實施此類攻擊所需的專業知識為專家級（系數 6）。成功實施攻擊（在數天到數周內）至少需要了解 ECU 的內部軟件結構和功能，因此所需的目標知識評級為受限信息（系數 3）。由于攻擊者通常也是車輛的合法所有者，他可以隨時完全訪問自己的車輛，因此攻擊機會實際上是無限制的。然而，攻擊者必須以某種方式與 ECU 通信，這至少需要容易的物理訪問權限（系數 1）。最后，實施攻擊可能需要標準設備以及一些額外的軟件 / 電纜。然而，這些專業部件可通過互聯網輕松獲取，因此所需設備的評級介于標準設備和專業設備之間（系數 3）。總 AP 的計算匯總于表 7，結果為中等攻擊潛力。然而，一旦攻擊可以自動化，且所需代碼（即所謂的 “漏洞利用程序”）在互聯網上發布，其評級通常會顯著降低，從而形成新的攻擊路徑。

現在，我們分析如果該攻擊路徑違反了相應的安全目標，可能造成的損害潛力。如果安全關鍵型代碼被未授權修改，從最壞情況的安全角度來看，其執行可能導致嚴重事故，甚至造成人員受傷（系數 100）。從最壞情況的財務角度（與安全無關）來看，（未被發現的）自定義軟件安裝可能導致虛假的保修索賠或錯誤的責任問題，由此造成的財務損害評級最多為相關年銷售額的 5%-20%（系數 10）。最后，獨立于任何安全或財務后果，未授權修改的軟件代碼可能會導致某些車輛功能受到影響或出現故障，因為該代碼未經過制造商驗證（系數 5）。如表 7 所示，總損害潛力經計算分類為嚴重。

為對該攻擊路徑進行最終的 IT 安全風險評估，我們應用表 6 中定義的車載 IT 安全風險矩陣，將該攻擊路徑評級為非期望的安全風險（即 1 / 中等 × 嚴重）。與僅采用軟件機制相比，在 ECU 中實施更好的安全措施（如基于硬件的完整性保護機制 [SSW08]）可能會顯著提高所需的攻擊潛力，從而將總體風險降低到可容忍水平（例如）。

請注意，由于攻擊的前提條件可能不同，攻擊潛力的計算可能存在多種合理結果。例如，專業知識和時間之間通常存在權衡，即攻擊者要么需要豐富的專業知識，要么需要大量時間。在這些情況下，從攻擊場景集合中選擇最低的總 AP 系數是穩妥的做法。此外，某些攻擊無法通過正在進行風險分析的 IT 組件直接抵御（例如開發過程中的安全）。這些攻擊可能是非技術性的（如社會工程學攻擊），或針對超出 IT 組件制造商職責范圍的技術系統。將這些攻擊納入風險分析的正式方法是定義風險分析所依據的假設，例如假設開發站點是安全的。

表 7、攻擊潛力、損害潛力及由此產生的安全風險的示例性計算

4、獲取相關數據

一個重要問題是如何獲取所有相關數據，以便（i）識別可能的攻擊和潛在的由此產生的損害；（ii）對損害因素和攻擊因素進行相應分類。為識別潛在的安全目標和可能的攻擊路徑，我們建議使用安全調查問卷（參見第 4.1 節）。為識別和分類攻擊，我們采用第 4.2 節中描述的方法。最后，為根據第 3.3 節估算潛在損害，我們建議使用更詳細的安全調查問卷，其中還包括對以往類似安全事件的分析。

4.1 安全調查問卷

以下提供一份安全調查問卷草案，用于收集完成有意義的安全風險分析所需的信息。這包括對應用程序使用的基本理解（1）、潛在安全目標的識別（2）、已知的潛在攻擊和濫用場景的收集（3）以及現有安全措施的識別（4）。該方法類似于《通用標準》中定義 “安全目標” 的模型，該模型描述了評估目標、其安全環境、安全目標和功能安全要求。

（1）請簡要描述您的車載 IT 應用程序，包括所有相關實體（例如駕駛員、原始設備制造商、服務商、第三方）以及所有（與安全相關的）用例！

（2）請提供某些實體可能具有特定安全目標的數據、資源或功能！

（3）請簡要描述您已知的針對該車載 IT 應用程序的任何攻擊、濫用場景和攻擊意圖！

（4）請簡要描述可能已存在的任何用于實現（2）中安全目標的安全措施！

（5）請提供（4）中識別的每項攻擊的前提條件和成本估算！

（6）請提供（4）中識別的每項攻擊的潛在損害估算！

為對攻擊潛力和損害潛力進行細粒度估算，安全調查問卷應使用本研究第 3.2 節和第 3.3 節中提出的估算方法所提供的類別。對于新的與安全相關的應用程序，只能通過相應專家的近似估算來確定損害類別。如果與安全相關的應用程序已成為安全攻擊的目標，則估算會更加精確，因為可以納入已有事件的嚴重程度和頻率。因此，我們建議由負責的開發人員與安全專家以及能夠估算所分析車載應用程序遭受安全漏洞可能造成的安全、財務和運營后果的專家共同完成此調查問卷。

4.2 攻擊的識別和分類

《通用標準》要求評估人員檢查公開來源以及評估證據（即內部文檔），以識別潛在漏洞并評估其被利用的可能性。如果潛在漏洞在評估目標的預期運行環境中可被利用，且成功識別和利用所需的攻擊潛力超出了評估目標聲稱能夠抵御的水平，則必須實施安全解決方案。攻擊因素的評估根據 CC 以及評估人員的知識和經驗進行。因此，一旦某 IT 產品通過 CC 認證，就可以對其抵御針對安全目標的攻擊的能力做出可靠聲明。本風險分析方法中攻擊的識別和分類可基于 CC 認證結果。此外，安全關鍵型車載系統的 CC 認證提供了國際認可的保證，證明制造商已為避免系統遭受攻擊造成的損害做出了切實努力。

4.3 工具實現

我們已將本方法實現為一個簡單的電子表格應用程序，該程序允許系統地獲取安全目標、其可能的攻擊路徑以及相應的損害后果。它能夠根據我們提出的方法估算攻擊潛力和損害潛力，并根據我們調整后的安全風險矩陣提供自動風險評估。

目前，該方法已成功應用于多個知名汽車原始設備制造商的安全分析和咨詢項目中。

5、總結與展望

本文提出了一種系統方法，用于平衡實施車載安全措施的安全成本與相應汽車安全攻擊的安全風險。該方法基于成熟的方法學，并經過精心調整和整合，可高效、有意義地應用于車載 IT 安全場景。通過融入汽車領域的特殊特征，所提出的方法為汽車開發人員和制造商提供了一套車載 IT 安全措施的量化評估方法，通過該方法可以清晰分析成本與安全風險之間的權衡，從而做出有充分依據的決策。

本方法基于一個假設，即隨著所需攻擊潛力的增加，安全措施遭受成功攻擊的概率會降低（參見表 6）。這一假設在大多數但并非所有實際場景中都成立。例如，假設某汽車制造商無論成本如何，都愿意逆向工程競爭對手全新產品的軟件。如何通過擴展我們的分類體系來摒棄這一假設，將是未來的研究方向。

進一步的研究方向還包括采用更細粒度的因素或對各個因素和類別的權重進行優化。特別是，我們提出的安全調查問卷的初步實際結果可為驗證或調整我們的量表以適應當前汽車行業的實際場景提供寶貴輸入。如第 3.1 節所述，制定一套涵蓋所有重要、已知 ECU 安全問題（與潛在安全解決方案無關）的汽車專用保護輪廓（PP），將顯著簡化和系統化車載安全目標、威脅和攻擊路徑的識別過程。

另一個有趣的問題是，我們的研究結果與關于確定信息安全最優投資水平的討論有何關聯。根據他們的研究和給定要求，受保護資產總成本的 36.8% 至 50% 應用于安全措施投資。我們的方法是否會得出類似結果？在汽車大規模生產的特殊背景下，總投資成本受單位生產成本的顯著影響。為（除其他外）回答這一問題，我們的車載 IT 風險分析方法目前正由兩家德國汽車制造商獨立應用和評估，用于兩種不同的安全解決方案。

最后，我們要強調的是，即使基于充分的分析，風險分析仍然是一種統計估算，本質上包含不確定性。

（添加微信號NewCarRen咨詢）