內(nèi)容提要：本文重點(diǎn)介紹如何用基于模型的方法為風(fēng)險評估階段提供有效和高效的支持。并提出了豐富的目標(biāo)導(dǎo)向的元模型，以捕捉汽車資產(chǎn)和系統(tǒng)屬性，估計(jì)破壞場景的影響，識別威脅并評估其可行性。該方法作為概念驗(yàn)證來實(shí)現(xiàn)，通過元模型適配一個通用的協(xié)同工程平臺，并在車燈控制子系統(tǒng)上進(jìn)行了展示。

摘要

隨著汽車日益智能化和聯(lián)網(wǎng)化，它們也變得更容易受到網(wǎng)絡(luò)安全威脅。在涉及多個層次和復(fù)雜的安全關(guān)鍵系統(tǒng)的大型行業(yè)中，提供強(qiáng)大的保護(hù)和對此類威脅的響應(yīng)具有挑戰(zhàn)性，需要開發(fā)新的ISO 21434標(biāo)準(zhǔn)，與專注于安全的ISO 26262標(biāo)準(zhǔn)一起，為安全-防護(hù)協(xié)同工程提供堅(jiān)實(shí)的基礎(chǔ)。本文重點(diǎn)介紹如何用基于模型的方法為風(fēng)險評估階段提供有效和高效的支持。并提出了豐富的目標(biāo)導(dǎo)向的元模型，以捕捉汽車資產(chǎn)和系統(tǒng)屬性，估計(jì)破壞場景的影響，識別威脅并評估其可行性。該方法作為概念驗(yàn)證來實(shí)現(xiàn)，通過元模型適配一個通用的協(xié)同工程平臺，并在車燈控制子系統(tǒng)上進(jìn)行了展示。

1.引言

汽車已成為完全互聯(lián)的載體，并需要進(jìn)行通信以支持廣泛的場景，從信息和娛樂到新的操控汽車的方式，例如駕駛輔助、互聯(lián)車隊(duì)和自動駕駛模式。這種快節(jié)奏的功能演變顯著增加了連接車輛的攻擊面。

不幸的是，保護(hù)汽車資產(chǎn)的網(wǎng)絡(luò)安全方法沒有以相同的速度提高，并且有一段時間僅依賴于J3061最佳實(shí)踐，沒有提供有關(guān)如何繼續(xù)操作的指導(dǎo)。為了填補(bǔ)這一空白，ISO和SAE共同努力制定了ISO/SAE 21434標(biāo)準(zhǔn)，通過可執(zhí)行步驟、符合性要求的清單、管理流程和全球規(guī)范提供更多指導(dǎo)，從而取代了J3061。

ISO 21434標(biāo)準(zhǔn)通過覆蓋網(wǎng)絡(luò)安全方面來補(bǔ)充ISO 26262，而ISO 26262則涉及功能安全方面。安全和防護(hù)領(lǐng)域的差異在于考慮到的影響不同：安全風(fēng)險與人或環(huán)境的后果相關(guān)，而網(wǎng)絡(luò)安全風(fēng)險則主要涉及金融、運(yùn)營和隱私影響。然而，兩者共享一種共同的文化。從風(fēng)險管理的角度來看，通過威脅分析和風(fēng)險評估（TARA）來分析網(wǎng)絡(luò)安全風(fēng)險，而通過危害分析和風(fēng)險評估（HARA）來執(zhí)行功能安全性分析。幾十年來，安全一直是汽車開發(fā)文化的一部分，這為構(gòu)建更廣泛的安全-防護(hù)協(xié)同工程方法開辟了道路。鑒于這種演變，預(yù)計(jì)汽車供應(yīng)商將被要求證明符合ISO 21434，這也可能帶來競爭優(yōu)勢。

采用基于模型的工程是一個現(xiàn)實(shí)的方法，因?yàn)槠囬_發(fā)過程中的大多數(shù)步驟已經(jīng)基于模型。例如，SysML和UML被廣泛用作體系結(jié)構(gòu)過程的一部分或用于基于模型的軟件開發(fā)，并集成在汽車工具鏈中。支持基于模型的風(fēng)險評估非常有益，以支持資產(chǎn)、漏洞、威脅和對策的系統(tǒng)化識別。

我們的文章采用了這種基于模型的方法進(jìn)行風(fēng)險評估。為了考慮安全和防護(hù)維度，我們依靠面向目標(biāo)的需求工程（GORE）框架來結(jié)構(gòu)化系統(tǒng)屬性和相關(guān)風(fēng)險。這種方法支持以下方面：

?關(guān)鍵資產(chǎn)、安全和資產(chǎn)及相關(guān)風(fēng)險的識別。

?共同采用的方法，將TARA與HARA集成，實(shí)現(xiàn)協(xié)同工程實(shí)踐。

?支持分析、轉(zhuǎn)換和文檔生成功能的基于模型的工具鏈。

?在燈光控制的汽車子系統(tǒng)上進(jìn)行實(shí)例驗(yàn)證。

本文的結(jié)構(gòu)如下。第2節(jié)介紹了ISO 26262和ISO 21434標(biāo)準(zhǔn)的更多背景信息。第3節(jié)介紹了我們基于資產(chǎn)、目標(biāo)和危害/威脅建模的方法，并介紹了我們的案例研究。第4節(jié)介紹了我們在工具支持的應(yīng)用程序上執(zhí)行的HARA，用于處理汽車場景。最后，第5節(jié)得出了一些結(jié)論，并確定了進(jìn)一步的工作。

2.汽車標(biāo)準(zhǔn)背景

本節(jié)簡要介紹了ISO 26262標(biāo)準(zhǔn)和ISO/SAE 21434標(biāo)準(zhǔn)的內(nèi)容。

2.1汽車安全I(xiàn)SO 26262標(biāo)準(zhǔn)

ISO 26262“道路車輛-功能安全”是量產(chǎn)汽車中電氣和/或電子系統(tǒng)功能安全的國際標(biāo)準(zhǔn)。它是一個以ISO 31000為基準(zhǔn)的風(fēng)險導(dǎo)向標(biāo)準(zhǔn)。是IEC 61508的專門化應(yīng)用，IEC 61508是適用于所有行業(yè)的基本功能安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)使用定性HARA方法處理危害運(yùn)行情況的風(fēng)險，并定義避免或減輕系統(tǒng)性或隨機(jī)性失效影響的安全措施。

從過程角度來看，它遵循汽車W形生命周期，分別結(jié)合硬件和軟件設(shè)計(jì)的兩個V形周期。HARA在概念階段執(zhí)行，完成潛在危害的識別。相應(yīng)的風(fēng)險是使用駕駛情況的評級功能，控制其能力和所造成的傷害嚴(yán)重程度來調(diào)查的。它使用分配給每個安全目標(biāo)的汽車安全完整性等級（ASIL）進(jìn)行評估，ASIL從A到D分配關(guān)鍵系統(tǒng)的級別。對于風(fēng)險較低的系統(tǒng)，質(zhì)量管理活動被認(rèn)為是足夠的。

關(guān)于網(wǎng)絡(luò)安全，該標(biāo)準(zhǔn)為開發(fā)階段定義了基線網(wǎng)絡(luò)安全指南。對后期制造、退役階段、汽車網(wǎng)絡(luò)安全或處理特定網(wǎng)絡(luò)安全事件沒有具體要求。

2.2 汽車網(wǎng)絡(luò)安全I(xiàn)SO 21434

這個標(biāo)準(zhǔn)旨在推動汽車領(lǐng)域關(guān)鍵網(wǎng)絡(luò)安全問題的行業(yè)共識。它將替代J3061的良好實(shí)踐，提供更有結(jié)構(gòu)的建議，表明行業(yè)正在全面擁抱確保汽車網(wǎng)絡(luò)安全的挑戰(zhàn)。其范圍包括道路車輛（例如汽車、卡車、公共汽車）及其子系統(tǒng)、部件、連接和軟件。其目的是確保制造商和供應(yīng)鏈中的所有參與者都有結(jié)構(gòu)化的流程，支持“安全設(shè)計(jì)”過程。

從流程角度來看，與ISO 26262類似，它關(guān)注整個車輛的開發(fā)過程和生命周期。它遵循V型模型，考慮了廣泛的活動，例如設(shè)計(jì)分支中的TARA，測試分支中的驗(yàn)證和確認(rèn)，以及運(yùn)行階段中的安全監(jiān)控、事件和響應(yīng)管理。

該標(biāo)準(zhǔn)分為10個章節(jié)和15個條款。它首先定義了（1）范圍，（2）規(guī)范參考，（3）術(shù)語表，（4）一般考慮因素和（5/第5-6-7條款）管理方法。然后（6/第8條款）著重于風(fēng)險評估。接下來是三個分別涵蓋（7/第9條款）概念階段、（8/第10-11條款）產(chǎn)品開發(fā)和（9/第12-13-14條款）產(chǎn)品、運(yùn)行和維護(hù)的章節(jié)。最后一節(jié)（10/第15條款）涉及支持流程。

關(guān)于風(fēng)險評估，標(biāo)準(zhǔn)不強(qiáng)制執(zhí)行任何TARA方法，但它的第8條款提醒了應(yīng)涵蓋的強(qiáng)制步驟，與ISO 27005的精神相同。如圖1所示。

圖1：ISO 21434 TARA過程

3.面向目標(biāo)的共同工程模型

本節(jié)介紹基于GORE的方法論框架。需求工程領(lǐng)域中已經(jīng)制定了不同的目標(biāo)建模變體，如i*，KAOS，GSN。本文依賴KAOS。所需建模符號在本節(jié)中進(jìn)行描述，并在圖2的圖例中繪制。為了說明該方法，我們使用一個車燈的控制子系統(tǒng)。實(shí)際上，這是標(biāo)準(zhǔn)本身中使用的案例。盡管規(guī)模有限，但它包含有趣的問題，可以凸顯我們方法的優(yōu)點(diǎn)。我們的建模將分為三個觀點(diǎn)：捕獲范圍的對象模型、屬性的目標(biāo)模型和風(fēng)險的障礙模型。

圖2：照明子系統(tǒng)的對象模型（帶符號圖例）

3.1 對象/資產(chǎn)模型

對象（或資產(chǎn)）模型定義，并關(guān)聯(lián)系統(tǒng)中涉及的所有概念。它必須能夠捕捉表達(dá)屬性（特別是安全和防護(hù)）所需的所有詞匯，并在目標(biāo)模型中進(jìn)行結(jié)構(gòu)化。它還必須識別所有可能受到網(wǎng)絡(luò)安全威脅的有價值資產(chǎn)。

該模型使用實(shí)體、關(guān)系、事件或代理人/攻擊者來捕捉領(lǐng)域概念。所使用的建模符號接近于UML類圖。

圖2表示了我們案例研究的資產(chǎn)模型。該系統(tǒng)使用不同的抽象進(jìn)行建模，可以在許多子系統(tǒng)中重復(fù)使用：電子控制單元（ECU）、傳感器（在我們的例子中是燈開關(guān)）、執(zhí)行器（燈控制器）以及各種控制設(shè)備（車頭燈以及一些通信設(shè)備）。通信通過內(nèi)部CAN總線進(jìn)行管理，在其中交換消息。網(wǎng)關(guān)還可以確保跨子系統(tǒng)的橋梁，例如將通信設(shè)備連接到CAN總線。對象可以具有反映重要狀態(tài)信息的特定屬性，例如開關(guān)和燈狀態(tài)。

3.2 目標(biāo)模型

目標(biāo)在不同的抽象層次上捕獲所考慮的系統(tǒng)應(yīng)該實(shí)現(xiàn)的關(guān)鍵屬性。目標(biāo)模型將目標(biāo)結(jié)構(gòu)化為AND-OR樹，這些樹表達(dá)了目標(biāo)之間的細(xì)化關(guān)系。通過將父目標(biāo)與多個子目標(biāo)鏈接，使用不同的滿足條件，如“AND-refinement”（需要滿足所有子目標(biāo)）或“OR-refinement”（一個子目標(biāo)就足夠，即可能的備選方案），可以將高級目標(biāo)逐步細(xì)化為更具體和操作性的目標(biāo)。細(xì)化可以通過一些策略來表征，這些策略可以幫助檢查它們的完整性和一致性，例如基于案例的策略（進(jìn)行設(shè)計(jì)區(qū)分）或基于里程碑的策略（即時間步驟）。目標(biāo)還可以具有表征特定性質(zhì)的特定屬性，例如可以通過特定裝飾器(SAFE/SEC)以圖形方式顯示的安全性。

圖3顯示了一個安全屬性的建模：燈應(yīng)該在晚上亮起（由藍(lán)色平行四邊形表示）。在我們的手動設(shè)計(jì)中，這依賴于一個事實(shí)：只有當(dāng)開關(guān)被激活并且司機(jī)會在晚上將開關(guān)打開時，燈才會亮起（由黃色平行四邊形表示）。考慮到屬性（由小房子表示）開關(guān)只能開或關(guān)（不考慮自動照明），基于案例的細(xì)化用于區(qū)分通過打開或關(guān)閉開關(guān)導(dǎo)致的兩種可能的狀態(tài)變化。AND-refinement由一個黃色圓圈表示，該圓圈連接細(xì)化的目標(biāo)和實(shí)現(xiàn)更高級別目標(biāo)的有用屬性。“TurnOn WHEN SwitchON”目標(biāo)通過遍及整個通信鏈的里程碑分解進(jìn)一步細(xì)化：ECU檢測開關(guān)變化，然后在CAN總線上發(fā)送消息，燈控制器處理它最終打開燈。該過程涉及不同的監(jiān)控和控制代理，并由黃色六邊形表示。代理直接控制下的目標(biāo)稱為需求，并且具有較粗的邊框。

圖3：車燈子系統(tǒng)的目標(biāo)模型

3.3 障礙模型

障礙表示不良屬性。它是目標(biāo)的對立概念，可用于表示安全隱患或安全威脅。它用紅色平行四邊形表示，方向與目標(biāo)相反。障礙可能來自環(huán)境（例如安全隱患），也可能是攻擊者有意造成的（例如安全威脅），如攻擊者試圖控制燈光系統(tǒng)。攻擊者用紅色代理表示。與目標(biāo)一樣，障礙可以使用AND/OR樹進(jìn)行細(xì)化，導(dǎo)致分解結(jié)構(gòu)與安全的FTA或安全性的AT非常相似。細(xì)化鏈接還可以通過更具體的安全/安全門（本文未說明）通過具體策略進(jìn)一步表征。葉子障礙通常是根本原因（在安全性方面）或漏洞（在安全性方面）。障礙通常通過阻礙關(guān)系與它所影響的目標(biāo)相連接。對稱地，障礙可以通過額外的要求得到緩解。攻擊者特定的關(guān)系也明確攻擊目標(biāo)或利用的漏洞。

圖4展示了部分攻擊分解中障礙的示例，導(dǎo)致燈光突然開啟。攻擊者可以通過訪問總線并欺騙CAN消息來實(shí)現(xiàn)。可能的緩解措施是實(shí)施消息完整性檢查。請注意，頂層安全目標(biāo)未被破壞，但類似的攻擊可以在夜間關(guān)閉燈光。

圖4：車燈子系統(tǒng)上的障礙（部分攻擊）模型

4.基于模型的風(fēng)險分析

為了符合ISO 21434 TARA流程，我們將使用支持安全和防護(hù)協(xié)同工程的目標(biāo)建模框架，在第3節(jié)中描述的條款8.3到8.5，如圖1所示。Objectiver平臺被用作工具來構(gòu)建模型和執(zhí)行風(fēng)險評估，也作為原型平臺，得益于其插件機(jī)制。

4.1 資產(chǎn)識別（8.3）

當(dāng)介紹對象/資產(chǎn)模型時，已經(jīng)涵蓋了資產(chǎn)識別步驟。通過分析系統(tǒng)目標(biāo)來識別資產(chǎn)。例如，目標(biāo)“Lamp is On IFF Switch is On”可以識別燈和開關(guān)。目標(biāo)細(xì)化過程將導(dǎo)致整個命令傳輸鏈的識別。可以使用更通用的概念來結(jié)構(gòu)化資產(chǎn)，這些概念構(gòu)成汽車的構(gòu)建塊（例如傳感器、ECU、執(zhí)行器），如圖2所示。然后可以在各個子系統(tǒng)中實(shí)例化這些概念。

請注意，資產(chǎn)模型可以進(jìn)一步豐富體系結(jié)構(gòu)信息，這些信息對攻擊路徑分析有用，并且稍后還可以添加處理對策的組件（本文未詳細(xì)介紹）。

4.2 破壞情景

通過引入障礙，可以試圖系統(tǒng)地破壞目標(biāo)來提取破壞情景。可以在以下安全維度上進(jìn)行操作：

?保密性。在這種情況下，這并不重要，因?yàn)槊總€人都可以看到燈何時打開。

?完整性會導(dǎo)致與意外地打開或關(guān)閉燈有關(guān)的障礙。

?可用性會導(dǎo)致與無法打開或關(guān)閉燈有關(guān)的障礙。

4.3 威脅情景識別（8.4）和攻擊路徑分析（8.6）

這一步通過攻擊樹來完成，可以采用自上而下的損害情景細(xì)化方法，或基于已知漏洞的自下而上方法。后者需要更豐富的架構(gòu)模型，促使對象模型進(jìn)行詳細(xì)描述，如圖2所示。對威脅的完整細(xì)化自然會探索和發(fā)現(xiàn)不同的攻擊路徑。在我們的情況下，資產(chǎn)模型分析揭示了一個可能通過媒體通信進(jìn)行的攻擊路徑，可以通過藍(lán)牙或蜂窩接口實(shí)現(xiàn)。從那里，可以發(fā)起特定的攻擊行動，影響完整性或可用性。可以單獨(dú)對這些安全維度進(jìn)行分析，以實(shí)現(xiàn)更模塊化。圖5顯示了我們對完整性攻擊路徑的分析，兩個通道都可以用來控制網(wǎng)關(guān)，然后可以通過總線發(fā)送一些偽造的消息，使燈泡執(zhí)行器認(rèn)為開關(guān)狀態(tài)已經(jīng)改變。這通過OR-refinement表示為破壞導(dǎo)航系統(tǒng)，盡管每個路徑的風(fēng)險可能不同。

圖5：完整性攻擊路徑的分析

4.4 影響評估（8.5）

必須對四個維度進(jìn)行評估：安全、財(cái)產(chǎn)、運(yùn)行和隱私（SFOP）。在我們的情況下，由于燈具是公開可見的，因此沒有隱私影響。運(yùn)行影響很大，因?yàn)樗淖兞似嚨念A(yù)期行為。雖然沒有直接的財(cái)務(wù)影響，但圖像損壞可能會對此產(chǎn)生重要的間接影響。關(guān)于安全影響，可以通過對每個威脅的安全影響，與建模的安全目標(biāo)進(jìn)行推理來進(jìn)行更詳細(xì)的評估，指出在夜間應(yīng)該開啟燈具：

?R1-意外打開燈具：對駕駛員沒有影響，但可能會讓其他駕駛員感到驚訝。

?R2-意外關(guān)閉燈具：如果發(fā)生在夜間，可能會產(chǎn)生重大影響。

?R3-無法關(guān)閉燈具：雖然會耗盡電池，但影響可忽略。

?R4-無法打開燈具：影響適中，因?yàn)樗枰袚Q到降級模式，即在夜幕降臨時停止行駛。

4.5 攻擊可行性評級(8.6)

為評估攻擊的可行性，首先要評估每條攻擊路徑。可以使用攻擊因素來評估每條攻擊路徑相對于時間、專業(yè)知識、知識、機(jī)會和設(shè)備因素的優(yōu)劣。為支持此功能，我們擴(kuò)展了我們的工具，使其能夠使用元模型擴(kuò)展來捕獲這些屬性。不同的攻擊路徑可以通過查看攻擊樹中導(dǎo)致葉節(jié)點(diǎn)的不同路徑來確定。這可以通過模型查詢來實(shí)現(xiàn)，并在圖6中顯示的表格中顯示。結(jié)果表格可以直接在我們的工具中進(jìn)行編輯。

第二步是根據(jù)路徑組合的方式結(jié)合因素：AND-refinement需要考慮最小可行性水平，而OR-refinement需要考慮最大水平。注意，可以考慮其他方法來處理更豐富的細(xì)化門集，但在此處未詳細(xì)說明。

圖6：攻擊路徑的可行性分析

基于這種分析，完整性欺騙攻擊和可用性DOS攻擊都可以評估為中等水平。

4.6 風(fēng)險確定(8.9)

基于影響和可行性評級的組合，可以將可行性作為列和影響作為線來定位定性風(fēng)險矩陣中的每個風(fēng)險，如表1所示。這可以直接從模型中的信息由工具計(jì)算，然后導(dǎo)出到文本處理器表格或電子表格中。

表1：車燈子系統(tǒng)的安全風(fēng)險矩陣

4.7 風(fēng)險處理決策

最后，必須采取行動將風(fēng)險降至可接受水平。可以依靠接受、避免、緩解或轉(zhuǎn)移等策略來實(shí)現(xiàn)。限于篇幅，本步驟不在此詳細(xì)闡述。

5.結(jié)論與下一步

本文展示了如何在汽車領(lǐng)域符合新的ISO 21343標(biāo)準(zhǔn)進(jìn)行網(wǎng)絡(luò)安全風(fēng)險分析。所提出的方法是基于模型的，也與符合ISO 26262標(biāo)準(zhǔn)的安全分析相結(jié)合，為安全和安保協(xié)同工程鋪平了道路。它在一個通用的目標(biāo)導(dǎo)向工具集上進(jìn)行了演示，并在一個汽車子系統(tǒng)上進(jìn)行了說明。雖然規(guī)模有限，但我們的案例研究可以展示該方法與威脅的引出、攻擊路徑的分析和風(fēng)險評估相關(guān)的優(yōu)點(diǎn)。它還具有良好的自動化、可擴(kuò)展性和子系統(tǒng)間的重復(fù)使用可能性。

基于這個概念驗(yàn)證，我們的下一步是詳細(xì)闡述風(fēng)險處理階段，并在正在進(jìn)行的自動駕駛項(xiàng)目的背景下考慮更大的案例。我們還計(jì)劃改進(jìn)我們的工具支持，并轉(zhuǎn)向領(lǐng)域特定的系統(tǒng)工程工具，更適合于在汽車工具鏈中進(jìn)行集成和采用。

基于模型的網(wǎng)絡(luò)安全分析工具REANA，試用聯(lián)系牛小喀(微信：NewCarRen)

作者：牛喀網(wǎng)專欄作者
牛喀網(wǎng)文章，未經(jīng)授權(quán)不得轉(zhuǎn)載！