“磐時，做汽車企業(yè)的安全智庫”

好書分享/ 《一本書讀懂智能汽車安全》

三大安全危害分析和風(fēng)險評估

本文摘選自SASETECH汽車安全社區(qū)編撰的《一本書讀懂智能汽車安全》，此書由磐時創(chuàng)始人邊俊、博世汽車曲元寧、吉林大學(xué)教授張玉新牽頭主導(dǎo)，集合了博世、蔚來、小鵬、磐時、卓馭、地平線、上汽及吉林大學(xué)等行業(yè)與學(xué)界在汽車安全領(lǐng)域的實踐積累和研究成果。

它以V模型為基座，圍繞功能安全、網(wǎng)絡(luò)安全和預(yù)期功能安全展開，系統(tǒng)講解了概念開發(fā)，系統(tǒng)開發(fā)、硬件開發(fā)、軟件開發(fā)、驗證與確認(rèn)各階段全流程的安全實踐。書中以深厚的理論經(jīng)驗與豐富的實踐經(jīng)驗，為行業(yè)的創(chuàng)新研究提供了寶貴的參考資料，是推動汽車安全技術(shù)進(jìn)步和創(chuàng)新的重要力量。

以下內(nèi)容節(jié)選自《一本書讀懂智能汽車安全》：

三大安全體系都是從危害分析開始的，本質(zhì)上都是為了避免危害和威脅造成的風(fēng)險。在功能安全中，危害分析和風(fēng)險評估的目的是識別相關(guān)項目中故障引起的危害并進(jìn)行歸類，從而制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo)，以避免不合理的風(fēng)險；在預(yù)期功能安全中，危害分析和風(fēng)險評估要避免的是功能和性能不足而導(dǎo)致的危害；在網(wǎng)絡(luò)安全中，威脅分析和風(fēng)險評估要避免的是外部攻擊導(dǎo)致的人員和財產(chǎn)損失。因此，三者在風(fēng)險的起源點上有本質(zhì)的不同，但目的是讓整個系統(tǒng)更加安全可靠。在不同的安全分析及安全策略中，我們可以采用不同的分析方法去識別所關(guān)注的安全。

01.

功能安全方面

危害分析和風(fēng)險評估（HARA）是功能安全開發(fā)過程中極為重要的一步。GB/T 34590 在術(shù)語中首先對其做出了定義，即為了避免不合理的風(fēng)險，對相關(guān)項的危害事件進(jìn)行識別和歸類的方法，以及防止和減輕相關(guān)危害的安全目標(biāo)和 ASIL 等級的方法。從定義中可以看到，危害分析和風(fēng)險評估應(yīng)基于相關(guān)項定義進(jìn)行。在此過程中，應(yīng)對不含內(nèi)部安全機制的相關(guān)項進(jìn)行評估，即在危害分析和風(fēng)險評估過程中不應(yīng)考慮將要實施或已經(jīng)在相關(guān)項中實施的安全機制。

安全機制是技術(shù)層面的事情，HARA 只是概念階段的問題，針對的是功能。而且我們做 HARA 分析的目的就是找到合適的安全措施，如果提前加入對于安全措施的考量，很容易降低實際 ASIL 的等級，最終甚至?xí)?dǎo)致安全措施的不合理配置。

危害事件通常是由運行場景和危害的相關(guān)組合來確定的。

◆ 場景分析：所有的失效分析都是針對特定場景進(jìn)行的。分析場景的目的是找到功能失效時導(dǎo)致最危險事件的原因，并對該危險事件發(fā)生時的運行場景及運行模式進(jìn)行描述。既要考慮車輛的正確使用情況，也要考慮可預(yù)見的車輛不當(dāng)操作，例如：在高速駕駛情況下，副駕乘員誤觸電子駐車開關(guān)。

◆危害識別：可以通過不同的技術(shù)手段系統(tǒng)地確定危害，如利用頭腦風(fēng)暴、檢查列表、歷史質(zhì)量記錄、FMEA 和現(xiàn)場研究等方法提取相關(guān)項層面的危害，應(yīng)以能在整車層面觀察到的條件或行為來定義危害。通常，每一個危害有多種與相關(guān)項的功能實現(xiàn)相關(guān)的潛在原因，但在危害分析和風(fēng)險評估中對危害的條件或行為進(jìn)行定義時，不需要考慮這些原因，這些原因是從相關(guān)項的功能行為得出的。

對于危害事件導(dǎo)致的后果，我們可以通過以下三個參數(shù)進(jìn)行評級：潛在傷害的嚴(yán)重度 （S）、每個運行場景的暴露概率（E），以及基于某個確定理由預(yù)估的駕駛員或其他潛在的處于風(fēng)險中的人員對于該危害的可控性（C）。根據(jù)這三個參數(shù)，我們可以確定ASIL等級，如表3-4 所示。如果對于分級存在疑問，應(yīng)給出較高的 ASIL等級，而不是較低的。

危害事件的風(fēng)險評估中潛在傷害的嚴(yán)重度（S）關(guān)注的是潛在的處于風(fēng)險中的每個人受到的傷害情況，包括引起危害事件的車輛的駕駛員或乘客，以及其他潛在的處于風(fēng)險中的人員，如騎自行車的人員、行人或其他車輛上的人員?；诠δ馨踩珮?biāo)準(zhǔn) GB/T 34590，我們可以將危害事件的潛在傷害的嚴(yán)重度分為 S0、S1 、S2 、S3 四個等級，對照的可以參考簡明損傷定級（AIS）的描述。其中，S0 等級代表只有物品材料損害，而沒有人員傷害，所以不需要 ASIL 的分配。對于可控性的評估，一種是通過頭腦風(fēng)暴，另一種是通過大數(shù)據(jù)。隨著 ADAS 功能的發(fā)展以及人工智能的廣泛應(yīng)用，基于大數(shù)據(jù)的開發(fā)越來越普及，理論上來說，傷害的分析也完全可以基于大數(shù)據(jù)進(jìn)行。通常，各個國家和地區(qū)都有每年交通事故的統(tǒng)計數(shù)據(jù)，包括事故發(fā)生的時間、地點、原因及結(jié)果?；谶@些交通事故數(shù)據(jù)的統(tǒng)計結(jié)果，配合對功能所做的場景分析，功能故障所導(dǎo)致危害事件的傷害嚴(yán)重程度的評級結(jié)果變得更加可靠。

GB/T 34590中的功能安全定義是：不存在電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險。通常，風(fēng)險可以理解為包含兩個部分：一部分是傷害的嚴(yán)重等級，另一部分是發(fā)生這種傷害的概率或頻次。傷害的嚴(yán)重等級已經(jīng)可以被上面提到的 S 所覆蓋，而概率或頻次則涉及另外兩個參數(shù)E（每個運行場景的暴露概率）和C（可控性等級）。

功能安全涉及的傷害是功能異常表現(xiàn)所引起的傷害，但并非每一個異常表現(xiàn)都會引起傷害。例如，當(dāng)車輛?？吭谕＼噲鰞?nèi)的平地上時，如果駐車系統(tǒng)發(fā)生故障，由于車輛在平地上， 并不會發(fā)生移動，因此不會帶來任何傷害。但是，如果車輛?？吭谛逼律?，此時駐車系統(tǒng)發(fā)生故障，車輛會溜坡并可能撞到周邊行人，從而造成傷害。這種情況下，?？吭谛逼律暇褪?一個會帶來傷害的場景，而它在整個行車過程中的曝光概率就是風(fēng)險評估需要的 E 值。GB/T 34590 定義了 E0、E1 、E2 、E3 、E4 五個等級，并對一些通用場景的 E 值基于行業(yè)共識進(jìn)行了歸類，以作為日常分析的參考。其中， E0 等級的場景通常認(rèn)為是不可思議的，沒有進(jìn)一步探討的必要，記錄相應(yīng)的理由后，可以不進(jìn)行 ASIL 的分配。除此之外，德國的 VDA 牽頭 德國的 OEM 和供應(yīng)商訂立了 VDA-702 標(biāo)準(zhǔn)，目的也是希望對不同場景的劃分達(dá)成更多共識，為日常開發(fā)提供參考。

由于每個功能的使用場景有所不同，很難羅列出所有的場景，因此，很多時候我們可以通過一些基礎(chǔ)場景的組合來達(dá)成共識。另外，E 的評價本身有兩種標(biāo)準(zhǔn)：一種是基于場景發(fā)生的頻次，另一種是基于場景發(fā)生的時長，以適配不同的場景進(jìn)行分析。如果功能只能基于一種維度做評價，不太容易帶來異議，但是某些功能在兩種評價維度都可以使用的時候，不同企業(yè)之間溝通會變得復(fù)雜，因為不同評價維度會導(dǎo)致評價結(jié)果出現(xiàn)本質(zhì)差別。在 VDA-702 中也可以發(fā)現(xiàn)，對于某些場景，基于不同的標(biāo)準(zhǔn)，得到的評價結(jié)果會差一個量級。例如：對于超車場景，在 GB/T 34590—2022 的附錄 B 中，表 B.2 將基于運行場景持續(xù)時間的暴露概率劃分在 E2 等級，而表 B.3 又將基于運行場景頻率的暴露概率劃分在 E3 等級。

現(xiàn)實分析中如何選擇 E 的評價標(biāo)準(zhǔn)呢？SAE J2980 和 ISO 26262 中都提到了，如果故障行為伴隨著車輛運行情況直接導(dǎo)致危害事件的發(fā)生，那么可以根據(jù)車輛的運行場景的持續(xù)時間來選擇暴露概率。例如，車輛在高速公路上行駛中，轉(zhuǎn)向系統(tǒng)發(fā)出了錯誤轉(zhuǎn)向指令使得車輛開出車道線導(dǎo)致危害事件的發(fā)生，那么行駛在高速公路上這個場景的暴露概率就基于時長選擇為 E4。如果已經(jīng)存在的系統(tǒng)故障在相關(guān)運行場景發(fā)生后非常短的時間內(nèi)導(dǎo)致危害事件的發(fā)生，那么可以根據(jù)該場景發(fā)生的頻次來選擇暴露概率。例如，車輛的倒車燈壞了，當(dāng)車輛進(jìn)入倒車狀態(tài)的時候，后面的人沒有及時察覺車輛要倒車而導(dǎo)致危害事件的發(fā)生。因為燈壞掉已經(jīng)是預(yù)先存在的故障，所以這種倒車場景的暴露概率可以基于頻次選擇為 E4。

除曝光概率 E 的表征外，車輛的可控性 C 對于危害發(fā)生的概率也有一定表征。GB/T 34590 將可控性分為 C0、C1 、C2 、C3 四個等級，并做了簡單的分類和給出了一些示例。其中，C0 等級通常代表事故可通過駕駛員常規(guī)操作來避免，且不影響車輛的安全運行，不必進(jìn)行 ASIL 的分配。但對于大多數(shù)功能和場景來說，無法直接使用這些信息，而且這部分的主觀評價也很容易產(chǎn)生爭議。這時，可控性測試是一個選擇。GB/T 34590 標(biāo)準(zhǔn)中有此描述：對于 C2 ，一個符合 RESPONSE3 的合理測試場景是足夠的。實際的測試經(jīng)驗表明，每個場景中 20個有效的數(shù)據(jù)包能提供基本的有效性說明。如果這 20 個數(shù)據(jù)包中的每一個都符合測試的通過標(biāo)準(zhǔn)，能夠證明 85%的可控性水平（達(dá)到通常人工測試能夠接受的 95%的置信度）。這為 C2 預(yù)估的合理性提供了適當(dāng)?shù)淖C據(jù)。這是基于統(tǒng)計學(xué)的評價方式，即如果在某一個預(yù)設(shè)的場景下，有20個測試人員進(jìn)行測試，且測試結(jié)果都有效，我們就能將這個場景評估為 C2。這里有幾點要注意：

◆ 20 個測試人員通過測試，且測試結(jié)果需要有效。這里并不是說從 100 個測試人員中選 20 個通過測試，而是盡可能 20 個測試人員都通過測試?？紤]到實驗中測試人員可能會出現(xiàn)一些不確定因素，對于沒有通過測試的人員也需要給出強有力的合理解釋，作為例外排除在外。

◆為保證測試的有效性，測試人員應(yīng)該在不知情的情況下測試，也就是盲測。

◆測試結(jié)果只能證明C2，而不能證明 C1。如果要證明 C1，可能需要一個非常龐大的測試數(shù)據(jù)，這在目前不太現(xiàn)實。因此，一般情況下，從 C2 到 C1 只能通過一些理論模型或?qū)＜以u定來達(dá)成。

總的來說，HARA 是一種較為主觀的分析方法。不同的群體可能會根據(jù)他們對嚴(yán)重度、暴露概率和可控性的看法來定義不同的值。這可能是地理或文化因素造成的，因此在項目中需要花費較多時間和精力來達(dá)成一致意見。

我們以自動緊急剎車（AEB）為例來闡述 HARA 分析的過程，如表 3-5 所示。

在上面的示例中，不期望的制動扭矩會導(dǎo)致后車無法及時剎車，從而發(fā)生追尾；而在需要緊急制動的時候卻沒有進(jìn)行制動，則會導(dǎo)致本車與前車發(fā)生追尾。考慮到高速公路上行駛的速度很快，因此 S 的評價都是 S3。對于 E 的評估，一般來說，在高速公路上行駛時我們考慮的是 E4 ，但是如果車輛之間保持合理的車距，理論上可以認(rèn)為應(yīng)該能夠避免任何碰撞。現(xiàn)實中有不少情況是車距并沒有達(dá)到規(guī)定的要求，導(dǎo)致來不及剎車，所以這里可以把 E 降到E3。當(dāng)然，這里可以基于數(shù)據(jù)進(jìn)行不同的評級。

對于不期望的制動，駕駛員無法阻止這一行為，因此可控性自然是 C3。而對于沒有制動扭矩響應(yīng)的情況，因為 AEB 是一個輔助功能，假設(shè)駕駛員有責(zé)任和義務(wù)識別前車突然剎車并對車輛進(jìn)行干預(yù)，所以評定為 C0?；?S 、E 、C 的評價，自然得出了兩個不同的 ASIL 等級，不期望的制動扭矩對應(yīng) ASIL C 等級，而沒有制動扭矩響應(yīng)則對應(yīng) QM 等級。此外，基于 ASIL C 對應(yīng)的危害，可以導(dǎo)出一個安全目標(biāo)：避免在行駛過程中 AEB 的誤觸發(fā)。

02.

預(yù)期功能安全方面

和功能安全不同，預(yù)期功能安全關(guān)注的不是電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害導(dǎo)致的不合理風(fēng)險，而是關(guān)注由于預(yù)期功能或其實現(xiàn)的不足引起的危害導(dǎo)致的不合理風(fēng)險。因此，從分析方法的角度來說，對于預(yù)期功能安全的危害風(fēng)險和風(fēng)險評估可以通過 GB/T 34590中功能安全所采用的方法（例如 HARA分析法）進(jìn)行，并在一定程度上參考其結(jié)果。當(dāng)然，對于功能約束范圍內(nèi)的危害，我們還需要進(jìn)行額外的 SOTIF 分析。圖 3-4 展示了利用 HARA 分析法開展預(yù)期功能安全分析的流程。

在整個 HARA 分析過程中，功能安全和預(yù)期功能安全分析的主要差別如下：

功能安全專注于電子電氣的失效，而預(yù)期功能安全則專注于導(dǎo)致功能異常的觸發(fā)條件。觸發(fā)條件的發(fā)生率和危害導(dǎo)致傷害所處場景的暴露概率有重要區(qū)別。因此，我們不能繼續(xù)使用功能安全中的暴露概率 E，這也直接導(dǎo)致在預(yù)期功能安全中不會有 ASIL 等級這樣的分級。

對傷害的嚴(yán)重度 S 和危害事件的可控性 C 的評估可以參考 GB/T 34590 中的功能安全分析方法。預(yù)期功能安全主要針對自動駕駛及輔助駕駛功能。與功能安全不同，預(yù)期功能安全中的危害事件無法被系統(tǒng)識別，因為沒有類似功能安全的報警機制，更多的是功能信息的一些交互。因此，預(yù)期功能安全的可控性評估應(yīng)包括相關(guān)人員對危害控制的無反應(yīng)或延遲反應(yīng)。這些反應(yīng)可能是由合理可預(yù)見的間接誤用，或者駕駛員對交互信息的誤解引發(fā)的。

功能安全 HARA 分析中的一部分危害事件可能與預(yù)期功能安全無關(guān)，例如：轉(zhuǎn)向執(zhí)行器失效。這類危害事件可以在后續(xù)的預(yù)期功能安全分析中移除，以減少我們后續(xù)分析的工作量。

除功能安全分析中的危害事件外，預(yù)期功能安全也有自己特有的危害事件。例如：車輛功能在限定范圍外自動觸發(fā)，可能是駕駛員或用戶與系統(tǒng)的交互（包括合理可預(yù)見的誤用）導(dǎo)致的問題。這些問題可以作為原有 HARA 的擴展，也可以作為預(yù)期功能安全特有的危害事件進(jìn)行分析。

為了減少工作量，預(yù)期功能安全的 HARA 分析可以和功能安全的 HARA 分析合并在一起進(jìn)行。不過，在分析過程中，最好標(biāo)注出是功能安全相關(guān)還是預(yù)期功能安全相關(guān)，以便后續(xù)的開發(fā)工作。

我們?nèi)匀灰?AEB 功能為例，表 3-6 展示了 AEB 功能的 HARA 分析示例。

在上面的示例中，不期望的制動扭矩可以是制動器失效引起的，這屬于功能安全相關(guān)的話題。但這種危害也可能是 ADAS 的感知和控制系統(tǒng)對前方目標(biāo)識別不清導(dǎo)致的誤觸發(fā)，這屬于預(yù)期功能安全的話題。因此，同樣的安全目標(biāo)會同時分配給功能安全和預(yù)期功能安全，并且需要在兩者的安全概念和安全設(shè)計中考慮對應(yīng)的措施。然而，危害分析和風(fēng)險評估是可以相互借鑒的。

03.

網(wǎng)絡(luò)安全方面

網(wǎng)絡(luò)安全的風(fēng)險一般通過兩個維度來衡量：遭受攻擊的可能性以及遭受攻擊后產(chǎn)生的影響。威脅分析與風(fēng)險評估（Threat AnalysisandRisk Assessment，TARA）的目的是通過系統(tǒng)性的方法量化這兩個因素，從而確定針對特定攻擊的風(fēng)險大小。

TARA 方法基于風(fēng)險評級及對應(yīng)的威脅場景，最終得出網(wǎng)絡(luò)安全目標(biāo)，作為后續(xù)網(wǎng)絡(luò)安全概念設(shè)計的輸入。

TARA 方法源自傳統(tǒng)的 IT 領(lǐng)域，不同的領(lǐng)域或組織也建立過不同的評估方法。標(biāo)準(zhǔn) GB/T 20984—2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》中確定了我國推薦的評估方法。

ISO/SAE 21434 作為第一個汽車網(wǎng)絡(luò)安全的國際標(biāo)準(zhǔn)，被汽車行業(yè)廣泛采用或參考，也定義了自己的 TARA方法。本書后續(xù)介紹將主要依據(jù) ISO/SAE 21434 標(biāo)準(zhǔn)介紹的方法，以指導(dǎo)讀者在汽車行業(yè)中的實踐。

3.1TARA分析過程

基于 ISO/SAE 21434 的 TARA 分析過程如圖 3-5 所示。

（1）安全資產(chǎn)識別

和許多風(fēng)險分析方法一樣，汽車領(lǐng)域的 TARA 分析也從資產(chǎn)識別開始。資產(chǎn)是指具有價值或?qū)r值有貢獻(xiàn)的事物，例如集成在 ECU 中的固件或存儲在車內(nèi)的個人信息等。資產(chǎn)通常具有一個或多個網(wǎng)絡(luò)安全屬性，對這些屬性的侵害會導(dǎo)致不同程度的破壞。因此，在開始資產(chǎn)識別之前，我們需要了解什么是資產(chǎn)的網(wǎng)絡(luò)安全屬性。

對于安全屬性，我們會考慮在傳統(tǒng)信息安全行業(yè)中頻繁出現(xiàn)的CIA三元組，即機密性 （Confidentiality）、完整性（Integrity）、可用性（Availability）。這三個屬性一般被認(rèn)為是網(wǎng)絡(luò)安全的基本屬性。

◆機密性：信息對未授權(quán)的個人、實體或過程不可用或不泄露的特性。該特性的目標(biāo)是確保除預(yù)期接收方外的任何角色都不會接收或讀取信息，例如存儲在 ECU 中的個人敏感信息。

◆完整性：完備的特性，通常需要確保數(shù)據(jù)準(zhǔn)確、未被替換，且僅由授權(quán)的主體按照預(yù)期方式進(jìn)行修改。例如，需要刷寫進(jìn)車輛中的軟件通常會要求考慮該特性。

◆可用性：根據(jù)授權(quán)實體的要求可訪問和可使用的特性。該特性的目標(biāo)是為主體提供重置的帶寬或?qū)崟r處理的能力，比如車內(nèi)的實時通信。

當(dāng)然，有些組織也會在此基礎(chǔ)上進(jìn)行擴展。例如，微軟的 STRIDE 威脅建模方法論針對了六種基礎(chǔ)威脅，包括欺詐（Spoofing）、篡改（Tampering）、抵賴（Repudiation）、信息泄露（Information Disclosure）、拒絕服務(wù)（Denial of Service）、權(quán)限提升（Elevation ofPrivilege）。除了 CIA 三個基礎(chǔ)安全屬性外，該方法論還拓展了認(rèn)證（Authenticity）、不可抵賴性（Non-repudiability）和授權(quán)（Authorization）三個屬性。在具體評估中，網(wǎng)絡(luò)安全采用哪種方式?jīng)]有統(tǒng)一的規(guī)定，取決于公司自身的策略。

在了解了以上關(guān)于資產(chǎn)及其網(wǎng)絡(luò)安全屬性的概念后，我們便可以開始資產(chǎn)識別了。這通常包括三個步驟。首先，要找出需要保護(hù)的資產(chǎn)；其次，對于這些資產(chǎn)，確認(rèn)需要保護(hù)的網(wǎng)絡(luò)安全屬性；最后，確認(rèn)對這些資產(chǎn)及其網(wǎng)絡(luò)安全屬性的破壞會導(dǎo)致的損害場景。例如，駕駛員的個人信息作為資產(chǎn)，具有保密性的安全屬性。如果保密性被破壞，那么所導(dǎo)致的損害場景就是個人信息的泄露。如果完整性被破壞，可能導(dǎo)致的損害場景是對車輛安全的影響或者對汽車某些功能的限制。

（2）威脅場景識別

識別了資產(chǎn)及其網(wǎng)絡(luò)安全屬性，并確定了相應(yīng)的損害場景后，我們下一步需要挖掘這些導(dǎo)致?lián)p害場景出現(xiàn)的原因。實際上，這一步就是對威脅場景的識別。例如，破壞駕駛員個人信息的保密性會導(dǎo)致個人數(shù)據(jù)泄露。再如，篡改車內(nèi)通信信號可能會導(dǎo)致車輛的安全功能失效。

（3）影響評級

在第一步中，我們已經(jīng)識別出多種損害場景，影響評級則是針對這些損害場景的嚴(yán)重程度進(jìn)行打分。

ISO/SAE 21434 標(biāo)準(zhǔn)中要求嚴(yán)重程度的評級至少從安全（Safety）、經(jīng)濟(jì)（Financial）、操控 （Operational）和隱私（Privacy）四個方面綜合考慮。除此之外，我們還可以增加其他方面的考慮，例如公司違反法律法規(guī)造成的聲譽影響等。

首先需要對以上各個方面的影響進(jìn)行單獨評級，一般分為四級：十分嚴(yán)重、嚴(yán)重、中等、可忽略。然后綜合各個方面的評級結(jié)果，得出最終評級。每個影響等級的劃分如表 3-7 所示。ISO/SAE 21434 中沒有定義各方面評級對于最終評級結(jié)果的影響權(quán)重。這可以由各組織自行定義，一般可直接取各項最高評級，或者采取打分制，最終評級以各項得分之和為準(zhǔn)。

其中，安全影響的 S3 ～ S0 評分標(biāo)準(zhǔn)參考了功能安全標(biāo)準(zhǔn) ISO 26262-3：2018 中對嚴(yán)重度 S 的評分標(biāo)準(zhǔn)，分別對應(yīng)致命傷害、嚴(yán)重傷害、輕度或中度傷害、無害。操控影響和安全影響可能會有聯(lián)系，但是有操控影響未必會有安全影響。

（4）攻擊路徑分析

接下來需要針對各個威脅場景找出可行的攻擊路徑。攻擊路徑應(yīng)該關(guān)聯(lián)到其可以實現(xiàn)的威脅場景。

攻擊路徑的分析可以基于下面的方式：

1 ）自上而下的方式。分析能夠?qū)崿F(xiàn)威脅場景的不同方法（攻擊樹、攻擊圖等），以此來推導(dǎo)出攻擊路徑。

在實際操作中，通常可以用畫圖的方式進(jìn)行攻擊路徑分析。舉一個常見的威脅場景：“篡改制動系統(tǒng)的控制 CAN 信號，導(dǎo)致威脅 CAN 信號的完整性，從而對制動功能造成安全影響?！毕旅嬉怨魳涞膱D示（圖 3-6）為例，分析如何實現(xiàn)篡改制動系統(tǒng)的控制 CAN 信號?？梢酝ㄟ^圖 3-6 所示的 1.1 、1.2 、1.3 三種方式，其中為了實現(xiàn) 1.2 的攻擊路徑，又可以延展到 1.2.1 、1.2.2 兩種方式。當(dāng)然，實現(xiàn) 1.3 的攻擊路徑也可以近似地繼續(xù)向下分解可能的攻擊方式，顆粒度按實際需要來把握。這種自上而下的分析方法與功能安全中使用的故障樹分析 （FTA）非常相似。

2 ）自下而上的方法。這種方法常見于已知或者發(fā)現(xiàn)某個漏洞或脆弱點。通過這種方法構(gòu)建攻擊路徑，可以判別是否與威脅場景相關(guān)。當(dāng)然，在某些情況下，通過不斷地向上推演， 可能發(fā)現(xiàn)并不會出現(xiàn)企業(yè)所關(guān)心的威脅場景，那么這條路徑的分析就可以中止。

（5）攻擊可行性評級

找到了攻擊路徑以后，需要確定通過各個攻擊路徑實施攻擊的可行性。攻擊可行性的評級有很多不同的方法。ISO/SAE 21434 中推薦了三種可用的方法，包括基于攻擊潛力的方法、 CVSS 方法以及基于攻擊向量的方法。

下面對基于攻擊潛力的分析方法進(jìn)行舉例說明。

基于攻擊潛力的分析方法需要通過五個維度來評估，具體如下：

◆ Elapsed Time：實施攻擊需要花費的時間

◆ Specialist Expertise：攻擊者的技能水平

◆ Knowledge of the Item or Component：對攻擊項或組件所需要了解的知識程度

◆ Window of Opportunity：可以攻擊的機會窗口

◆ Equipment：攻擊所需設(shè)備的難易程度

每個維度根據(jù)需求分為不同的級別，比如攻擊時間可以分為小于或等于一天、小于或等于一周、小于或等于一個月、小于或等于六個月和大于六個月。專家級別可以分為外行、精通、專家和多個專家四個級別，企業(yè)可以參照 ISO/SAE 21434 的附錄 G 的推薦進(jìn)行具體的級別定義。

對于每個找到的攻擊路徑，我們可以按照以上五個維度評級，并根據(jù)評級確定對應(yīng)的評分。ISO/SAE 21434 也對各評級的分?jǐn)?shù)有推薦定義，詳見表 3-8。

最終，攻擊潛力的評分是這五個維度的單項評分之和。

確定了攻擊潛力，攻擊可行性評級就可以確定下來了，如表 3-9 所示。

從表 3-9 可以看出，攻擊潛力值越小，攻擊可行性評級越高，攻擊越容易實施；攻擊潛力值越大，攻擊可行性評級越低，攻擊越難以實施。

結(jié)合攻擊潛力分析的五個要素，這個評級也很容易定性地去理解。攻擊所花的時間越短，對攻擊人員的技能需求越低，需要對被攻擊項的了解程度越低，機會窗口越?jīng)]有限制，設(shè)備越標(biāo)準(zhǔn)，說明實施攻擊的難度越低（攻擊潛力值越小），那么攻擊可行性就越高了。

（6）風(fēng)險評級

網(wǎng)絡(luò)安全的風(fēng)險一般來自兩個維度：一個是攻擊的難易程度，即攻擊的可行性；另一個是遭受攻擊后所產(chǎn)生的影響。如果一個事物很容易被攻擊，并且遭受攻擊后影響非常嚴(yán)重，那么它的網(wǎng)絡(luò)安全風(fēng)險就非常高。反之，如果實施攻擊很困難，且產(chǎn)生的影響也不嚴(yán)重，那么它的網(wǎng)絡(luò)安全風(fēng)險就很低。

這兩個維度在前文都有討論，各自的評級方法也在前文有所描述。評級結(jié)果在這里進(jìn)行一下總結(jié)：

◆影響評級：十分嚴(yán)重、嚴(yán)重、中等、可忽略。

◆攻擊可行性評級：高、中、低、很低。

從影響評級以及攻擊可行性評級來導(dǎo)出風(fēng)險評級，并沒有統(tǒng)一的規(guī)定。常見的方法是通過矩陣表格或者公式計算得出風(fēng)險評級。各組織可以自行決定具體的風(fēng)險評級定義。

表 3-10 是 ISO/SAE 21434 給出的風(fēng)險評級例子，企業(yè)也可以據(jù)此定義自己的風(fēng)險評級策略。

（7）風(fēng)險處置決定

對于每個威脅場景，確定了風(fēng)險以及風(fēng)險評級后，我們就需要決定如何處置風(fēng)險。風(fēng)險處置有下面四種方式。

1 ）規(guī)避風(fēng)險。例如把導(dǎo)致風(fēng)險的源頭掐掉。

2 ）降低風(fēng)險。通常需要采取一些安全措施來降低風(fēng)險。在這里需要注意的是，安全措施一般是通過降低攻擊的可行性來降低風(fēng)險的，攻擊產(chǎn)生的影響一般不會改變。

3 ）分擔(dān)風(fēng)險。不是所有的風(fēng)險都必須在本組織內(nèi)采取安全措施來降低或規(guī)避，可通過和供應(yīng)鏈的上下游分擔(dān)，或者通過保險的形式分擔(dān)。例如，通過使用專門的安全供應(yīng)商的產(chǎn)品，將風(fēng)險傳遞給供應(yīng)商，由供應(yīng)商來處置相應(yīng)的風(fēng)險。

4 ）保持風(fēng)險。保持風(fēng)險是指對風(fēng)險不采取措施。一般來說，保持風(fēng)險的決定需要有充足、合理的理由。保持風(fēng)險多數(shù)情況下是對較低風(fēng)險的處置方式。

這里需要特別注意，保持風(fēng)險和對風(fēng)險置之不理是兩種完全不同的狀態(tài)。風(fēng)險處置決定中的保持風(fēng)險是指對已有的風(fēng)險已經(jīng)關(guān)注并思考過，然后基于某些充足、合理的理由，決定不采取措施，這包含了合理的決策過程。而對風(fēng)險置之不理則沒有包含合理的決策過程，更多是一種忽略的態(tài)度。在項目開發(fā)過程中，我們需要理解兩種狀態(tài)的區(qū)別，避免出現(xiàn)后者的情況。

3.2案例

下面以用一個自動緊急剎車系統(tǒng)的示例來介紹如何進(jìn)行風(fēng)險評估。

為簡明起見，我們把感知和決策模塊放在一起。那么，整個自動緊急剎車系統(tǒng)由三個部分組成。

◆感知和決策系統(tǒng)：判斷前方是否有緊急情況，以及車輛應(yīng)該如何響應(yīng)。

◆車內(nèi)通信系統(tǒng)：負(fù)責(zé)將感知和決策系統(tǒng)的指令發(fā)送給剎車系統(tǒng)，同時接收剎車系統(tǒng)的狀態(tài)反饋。

◆剎車系統(tǒng)：根據(jù)感知和決策系統(tǒng)發(fā)過來的指令，執(zhí)行相應(yīng)的車輛緊急制動。

圖 3-7 展示了它們之間的功能關(guān)系，同時表明了風(fēng)險評估的范圍。

（1）安全資產(chǎn)識別

在對自動緊急剎車系統(tǒng)進(jìn)行資產(chǎn)識別的過程中，我們需要識別安全相關(guān)資產(chǎn)及其安全屬性。安全屬性主要包括機密性、完整性和可用性三項，如表 3-11 所示。

（2）威脅場景識別

威脅場景的識別主要是根據(jù)系統(tǒng)中識別到的安全相關(guān)資產(chǎn)進(jìn)行針對性分析。表 3-12 展示了自動緊急剎車系統(tǒng)的威脅場景識別示例。

（3）影響評級

通過識別系統(tǒng)中的安全相關(guān)資產(chǎn)和分析威脅場景，我們可以根據(jù)識別結(jié)果進(jìn)行威脅的影響分析和影響評級，如表 3-13 所示。

（4）攻擊路徑分析及攻擊可行性評級

此處可行性的取值基于假設(shè)，并非實際系統(tǒng)分析得出。下面提供兩個典型威脅場景的攻擊路徑分析和攻擊可行性評級。

1 ）系統(tǒng)軟件被非法篡改。攻擊可行性高（ 4，3，0，0，0），分析過程如圖 3-8 所示。

2）車內(nèi)通信系統(tǒng)被非法篡改或者偽造。攻擊可行性高（4，6，3，0，0），分析過程如圖 3-9 所示。

（5）風(fēng)險評級

在完成上述分析后，我們可以基于分析結(jié)果得出系統(tǒng)中所有已知威脅場景的風(fēng)險值，從而確定其風(fēng)險評級結(jié)果，如表 3-14 所示。