【行業動態】汽車FOTA信息安全規范及方法研究

01引言

汽車行業正面臨著管理日益復雜的系統所帶來的巨大困難，軟件實現的功能占比逐年提高，跨領域、專業的知識與新技術也越來越多。隨著多核處理器、ADAS先進駕駛輔助系統、自動駕駛、車聯網Telematics等功能的出現，汽車的信息安全性能(遠程攻擊、隱私信息)越來越受到消費者、OEM廠商和監管結構的關注。同時原有的嵌入式系統特性，如定時、基于優先級調度、內存消耗等，仍然是汽車ECU面臨的挑戰。因此，需要通過適當的系統方法來支持信息安全和ECU系統特性。

ECU的包括硬件和軟件兩部分，遵循V字模式進行開發，從規范到設計、實現、集成、驗證、測試和生產。當越來越多的OEM將現代無線通信（2G /3G /4G /5G）應用在汽車上，提供語音和數據的傳輸業務的同時，也提供了FOTA的可能性。一旦車輛OEM決定執行更新，FOTA一般可以分為六個步驟：

更新準備；

如果需要，獲得監管機構的批準；

獲取授權用戶的升級許可操作；

從FOTA服務到車輛的端到端固件傳輸，然后更新到需要更新的ECU上；

FOTA服務收到升級情況的反饋；

執行其他相應的管理工作

考慮到FOTA業務的流程和影響要素，有必要選取合適的方法用于評估FOTA面臨的信息安全風險，進而定義OTA涉及的ECU在產線的信息安全需求，并設計出合適的產線工序和工藝方法。

02汽車信息安全標準適用性分析

2.1汽車信息安全標準

汽車信息安全由車聯網及相關電子產品和服務標準體系所涉及的車輛、終端、網絡、平臺和服務這五個方面組成。盡管工業界已有IEC-62443[1]等規范和標準，但為了應對信息安全挑戰，汽車行業利用了本領域的一些已有經驗，例如基于國際電工委員會IEC-61508制定的ISO-26262[2]的框架來形成汽車行業的信息安全標準和規范。

ISO的工作

2016年，ISO/TC22道路車輛技術委員會成立SC32/WG11 Cybersecurity信息安全工作組，工作組由美國SAE和ISO聯合成立（ISO/SAE/JWG Automotive Security），主要是制定代號為ISO-SAE 21434[3]的汽車信息安全國際標準。此標準主要從風險評估管理、產品開發、生產/運行/維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。目標是通過該標準設計、生產、測試的產品具備一定信息安全防護能力。此標準在2020年2月發布了版初稿。從汽車行業的角度來看，其表現的內容主要是，汽車及附屬產品的信息安全需要在產品開發和整個供應鏈的設計中實現對安全性的共同理解。

ISO-26262原本是屬于道路汽車功能安全的規范，它將故障模式和影響分析(FMEA)[4]和故障樹分析(FTA)[5]等安全評估技術標準化，并集成到汽車開發過程中。在2018年底，ISO-26262發布了第二版，其中的Part II的附件E給出了功能安全（Safety）與信息安全（Cybersecurity）交互的指導意見：

在管理上，建議進行計劃和里程碑的調整，并進行實時監測；

在概念階段，重點關注TARA （Threat Analysis and Risk Assessment）與HARA（Hazard Analysis and Risk Assessment）之間的交互和協調；

在開發階段，持續進行分析和識別兩者之間的潛在影響；

在生產/使用階段，信息安全事件解決策略需要考慮由于信息安全事件響應，導致的設計變更對功能安全的潛在影響。

ISO/AWI-24089（Software update engineering）旨在為道路車輛OTA更新提供一個標準架構，內容涵蓋信息安全部分。工作組于2019年3月啟動，預計發布時間在2024年。

在ISO-20078-3（Extended vehicle (ExVe) web services-Part 3[6]: Security）中，提出車輛數據被傳輸到遠程且安全的服務器，需要為服務提供接口，以符合小化攻擊表面的目標。

ISO-20828[7]描述了如何使用車輛公鑰來頒發和管理證書。

SAE的工作

SAE J3061[8]是ISO-SAE 21434的前身。該規范指出，網絡安全工程需要一個完整的生命周期過程，其定義借鑒了ISO 26262中描述的過程框架。但它沒有明確定義功能安全（Safety）與信息安全（Cybersecurity）在交互級別上的工程集成模式，也沒有將二者直接從過程上集成到一起。由于ISO-SAE 21434的開發，SAE J3061將進行重新設計[9]，以涵蓋ISO-SAE 21434范圍之外的其他主題：[1]

SAE J3061-1 Automotive Cybersecurity Integrity Level：定義了AcSIL（Automotive Cybersecurity Integrity Level）和TARA。通過關聯AcSIL和ASIL（Automotive Safety Integrity Level）處理可能導致功能安全影響的威脅。

SAE J3061-2 Security Testing Method：主要概述了目前可用的汽車信息安全的軟硬件測試方法。

SAE J3061-2 Security Testing Tool：主要概述了目前可用的汽車信息安全測試工具以及每種工具的具備的測試能力。

SAE J3101（Requirements for Hardware-Protected Security for Ground Vehicle Applications）提出了硬件保護的地面車輛信息安全需求[10]。

SAE J3138（Guidance for Securing the Data Link Connector（DLC））是連接OBDII設備的安全通信指南[11]。

此外，正在開發中的SAE J1939-91 Part B（Bi-Directional secure Over The Air (OTA) communications via a telematics interface to the vehicle）和J1939-91 Part-C（In-Vehicle Network Security）都是跟信息安全相關的道路車輛標準規范。

ITU-T的工作

ITU-T的SG17主要負責通信安全研究與標準制定工作。目前已正式發布的標準有X.1373[12]。該標準旨在通過互聯網和/或ITS網絡在車輛對基礎設施（V2I）通信下應用于ITS車輛內的通信設備。此外，ITU-T還有一些正在制定中的相關標準：

X.itssec-2介紹了V2X通信系統的基本模型和用例，并給出了系統的安全要求[13]。

X.itssec-3的目標與SAE J3138類似，當外部設備(無論是否可連接電信網絡)連接到OBDII端口時，它將識別安全問題，并定義適當的安全要求來保護這個外部接口[14]。

X.itssec-4旨在對車載控制網絡中的入侵檢測系統(IDS)進行完整的指導[15]。該建議將包括對車載網絡和系統的攻擊類型進行分類和分析。研究的重點是車載網絡，如控制器區域網絡(CAN)或CAN-FD，這是傳統的IDS不支持的。

X.itssec-5針對VEC（Vehicular Edge Computing，車輛邊緣計算）[16]，在威脅分析和風險評估的基礎上，提出了VEC的安全需求。

X.eivnsec包含一個汽車以太網的參考模型，以及一個基于以太網的車載網絡的威脅分析和脆弱性評估[17]。將定義基于以太網的車載網絡的安全需求和潛在用例。

UNECE的工作

UNECE（United Nations Economic Commission for Europe，歐洲經濟委員會）可持續運輸司的車輛條例協調世界論壇作為工作組(WP.29)受委托擬訂關于網絡安全[15]和空中更新[18]的條例草案。工作組考慮到國際工作組就ITS/AD制定的《WP29/2017/46網絡安全和數據保護指南》及其他有關網絡安全的標準、實踐、指令和法規，和一些正在開發的標準，以及適用于汽車行業的現有標準[19]，定義了處理識別出的關鍵網絡威脅和漏洞的原則；并規定了如何滿足這些原則的詳細指導或措施；還考慮如何評估提出的要求達到或滿足。

[18]標準建議ITS（Intelligence Transport System）中的通信設備需要安全的軟件更新，以防止車上的通信設備受到篡改和惡意入侵等威脅。它包含了軟件更新的基本模型，對軟件更新進行了威脅和風險分析，給出了相應的安全需求，并為更新軟件模塊指定了一個抽象的數據格式。

下圖中，深色部分是[18]的討論范圍，右邊的淺色部分是[19]的討論范圍。

圖1 UNECE WP.29文檔GRVA-01-18和ITS/AD-08-09的區別

ETSI的工作

歐洲電信標準協會（European Telecommunications Standard Institute，ETSI）針對智能網聯汽車與智能交通系統制定了系列信息安全標準，涉及ITS安全服務架構[20]、ITS通信安全架構與安全管理[21]、可信與隱私管理[22]、訪問控制[23]和保密服務[24]等方面。

全國汽車標準化技術委員會的工作

我國通過全國汽車標準化技術委員會下屬的智能網聯汽車分技術委員會（編號為SAC/TC114/SC34）來領導智能網聯汽車領域的國家標準和行業標準?，F已完成《汽車信息安全通用技術要求》、《車載網關信息安全技術要求》、《汽車信息交互系統信息安全技術要求》等3項汽車信息安全基礎標準和《電動汽車遠程管理與服務系統信息安全技術要求》、《電動汽車充電信息安全技術要求》等2項行業急需標準的預研工作，并向國家標準化管理委員會提交了推薦性國家標準立項申請。還擬定了汽車信息安全標準的子體系框架，從評、防、測三個維度和基礎、共性、系統部件、功能管理四個層面對汽車信息安全標準制定進行了梳理，并通過相關標準部分預留與其他信息安全標準體系的接口[25]。

圖2說明了上述規范標準各自應對的不同的汽車信息安全方面。

圖2汽車信息安全規范概覽

2.2選擇適用標準

本文將選擇ISO-SAE 21434（及其前身SAE J3061），總結此規范的范疇、概念和方法，為課題的進一步研究提供理論來源和方法指導。原因如下：

1、典型

ISO-SAE 21434是專門針對汽車信息安全的指南，目的如下[3]：

定義信息安全政策和流程;

管理信息安全風險；

培養安全文化。

ISO-SAE 21434為車輛系統的信息安全生命周期定義了一個過程框架，提供了與信息安全相關的工具和方法的指導和信息，詳細定義了各種安全活動的目標、輸入、輸出、條件、安全風險情況、安全評估、安全需求和產出物等，這些工具和方法適應組織中現有的V字開發過程。

圖3 “V”模型中的功能安全與信息安全

同時，ISO-SAE 21434應用步驟包括：資產識別->威脅識別->影響評級->攻擊路徑分析->攻擊可能性評價->風險評估（含風險評級）->風險分析與處理決策。這是典型的信息安全評估過程，符合ISO/IEC-27001的規范。

2、完備

SAE J3061是基于全生命周期的規范。ISO-SAE 21434標準填補了SAE J3061的一些空白并在事實上替代了SAE J3061，它明確了道路車輛及其部件和接口在整個工程(如概念、設計、開發)、生產、運營、維護和退役過程中的信息安全風險管理要求和處理過程、處理方法。圖4是ISO-SAE 21434的主要內容[3]：

圖4 ISO-SAE 21434規范內容結構

除了詳盡規范了全生命周期內安全活動的定義和要求之外，ISO-SAE 21434和SAE J3061還提供了汽車信息安全領域可用的工具和方法，可在應用規范過程中使用。表1是這兩個規范與其他規范的內容對比：

表1 ISO-SAE 21434/SAE J3061內容與其他汽車信息安全標準比較

ISO-SAE 21434 & SAE J3061

其他規范

全生命周期應用

Yes

X.1373/X.itssec-5/ ISO-26262

與功能安全交互

Yes

ISO-26262(2018)

TARA工具

Yes

X.1373

分布式開發

Yes

N/A

安全測試方法

Yes

N/A

安全測試工具

Yes

N/A

3、先進

盡管目前正在努力將ISO-26262擴展到信息安全領域，但以往的任何汽車標準都沒有充分解決汽車的信息安全問題。備受期待的SAE J3061于2016年發布，被業內人士視為填補了現代車輛信息安全工程這一重要空白。

ISO-SAE 21434目前還未正式發布，本文依據2020年2月發布的一版征求意見稿來進行討論。目前看來，ISO-SAE 21434應用的方法、思路、標準、過程與SAE J3061是匹配的，在SAE J3061基礎上增加了信息安全風險管理、信息共享、漏洞披露、信息安全監控和事件應對等內容。這對于在實踐中探索的OEM、Tier1供應商、車聯網服務商、監管機構等都具有指導性作用。

其中，ISO-SAE 21434針對汽車制造業的特點，提出了“分布式信息安全活動”這一別于其他行業的概念和要求。

圖5 ISO-SAE 21434分布式信息安全活動[42]

從目前的情況來看，國外已有多個廠商推出了基于ISO-SAE 21434的TARA管理產品，因此可以預見它將會成為行業的未來趨勢。

由于ISO-SAE 21434的發布，SAE J3061將進行重新設計以涵蓋ISO-SAE 21434范圍之外的其他主題，更新之后的編號會改為SAE J3061A。

4、

ISO-SAE 21434和SAE J3061定義了支持網絡安全的基本指導原則和處理方法，對可能與信息安全相關的系統進行潛在威脅的評估和風險評估，以確定是否存在可能導致安全違規的信息安全威脅。

現有的學術研究、政策法規制定和行業工程領域中，已經大量參考、借鑒和應用SAE J3061以及ISO-SAE 21434規范提供的思想、方法、過程和信息。這說明這兩個規范不但適用于汽車相關產品、服務、基礎設施的全生命周期，也受到學術界、主管機構和汽車行業認同[26]。

我國積極參與ISO-SAE 21434的開發與制定過程。2019年2月18日至22日，ISO/TC22/SC32/WG11(ISO/SAE JWG)汽車信息安全聯合工作組第九次會議在深圳召開，主要對ISO-SAE 21434在委員會征求意見草案(Committee Draft, CD)階段存在爭議和新收到的建議進行進一步討論和決議。本次會議由中國汽車技術研究中心有限公司承辦，華為技術有限公司協辦，來自中國、德國、美國等10余個國家團出席會議[27]。

根據以上對ISO-SAE 21434和SAE J3061的內容解析，可以認為其適于用來做本文課題分析的參考依據，原因如下：

課題屬于汽車領域，規范具備針對性；

課題屬于汽車全生命周期的生產階段，規范涵蓋了生產階段；

課題中涉及的產線所用系統和工具都需要進行需求定義、系統設計和開發、測試、生產、維護和退役的全周期過程，可以用規范進行指導這一過程；

課題涉及的具備安全FOTA的ECU本身含有信息安全成分，需要應用規范評估生產階段對其的信息安全風險；

課題涉及的產線在初始化ECU數據時需要聯網外部系統，與生產普通ECU相比增多了攻擊面，增加了被攻擊的概率。規范能夠正確識別威脅，評估安全風險并制定恰當的策略來克服這些風險；

ISO-SAE 21434作為ISO規范，將會被大多數主流OEM及Tier 1供應商所應用，也很可能會被吸納為我國的國家標準的一部分。這對課題研究內容來說具有遵從和參考的價值和意義。

03

信息安全風險評價方法和技術

根據SAE J3061和ISO-SAE 21434的建議，需要對汽車系統和服務的潛在威脅進行初步分析，并對可能與信息安全和功能安全相關的內容進行風險評估，以確定是否存在可能導致安全漏洞和威脅。規范中應用的方法被稱為“威脅分析與風險評估”（簡稱TARA）。TARA的定義是這樣：“在概念階段應用的一種分析技術，用于幫助識別潛在威脅，并評估與識別相關的風險……”

本文的課題內容涉及到的方面也應該選取合適的TARA方法來確定具備安全FOTA功能的ECU在初始化數據時的安全資產（Assets）、安全威脅（Threats）和風險（Risks）。

以下將分析當前信息安全領域使用并可用于汽車行業的典型技術和方法，然后根據本課題內容選取合適的技術、方法。

3.1信息安全CIA模型

CIA模型是信息安全領域的一個概念，具有直觀、易于應用的特點[28]：

C-機密性（Confidentiality）

機密性涉及動態生成的數據或靜態數據。確保任何非目標實體都無法讀取靜態數據和/或傳輸期間的報文

完整性（Integrity）

完整性涉及對軟件和數據的操縱或篡改;

可用性（Availability）

當應用CIA進行風險評估時一般會使用專家評估的形式，針對被評估對象資產可能遭受的潛在安全威脅進行分析，然后根據評估主體（如公司、等）對CIA的不同側重點，設置CIA的不同權重，并描述具體評分細則，評分方法可以表示如下公式：

(1)

其中，   、   和   表示機密性、完整性和可用性的權重，   、   和   表示表示機密性、完整性和可用性的評分值。

目前也有通過風險因素矩陣和神經網絡來計算CIA的分值，進而獲取評估風險結果的研究。

直接使用CIA進行TARA的主要優點是：

模型簡單，容易應用；

評價方式直觀，容易得到評價結果。

缺點是：

依賴于專家對于TOE的熟悉和了解程度；

沒有統一的過程、方法指導，容易帶來對同一TOE評估結果不一致的情況；

評價參數過少，可能會導致評估結果失真。

3.2 STRIDE

STRIDE是微軟發明的一種威脅分析模型技術[29]，是一種結構化和定性的安全方法，用于發現和枚舉軟件系統中存在的威脅，目前STRIDE方法的適用性已經擴展到汽車電子電氣系統。

S——Spoofing欺騙身份

T——Tampering篡改數據

R——Repudiation抵賴

I——Information disclosure信息泄露

D——Denial of service拒絕服務

E——Elevation of privilege提升特權

STRIDE通過將威脅映射到安全屬性，擴展了CIA模型。該映射是靜態的，一旦某一對“威脅-資產”被確認，就可以用其來制定信息安全要求。STRIDE威脅和安全屬性之間的映射如下所示(表2)。

表2 STRIDE與CIA的映射關系

STRIDE Threats

Explanation

Security Attribute

Spoofing

attackers pretend to be someone or something else

Authenticity, Freshness

Tampering

attackers change data in transit or in a data store, attackers may change functions as well –implemented in software, firmware or hardware

Integrity

Repudiation

attackers perform actions that cannot be traced back to them

Non-repudiation, Freshness

Information disclosure

attackers get access to data in transit or in a data store

Confidentiality, Privacy

Denial of service

attackers interrupt a system’s legitimate operation

Availability

Elevation of privilege

attackers perform actions they are not authorized to perform

Authorization

利用微軟提供的Microsoft Threat Modeling Tool來進行TOE分析，繪制數據流圖（Data Flow Diagram，DFD），十分利于開展STRIDE威脅分析工作[30]。

3.3 Attack Tree Analysis

攻擊樹（Attack Tree）的概念早是美國國防部提出的，應用于國防和航空航天領域，用于分析針對防篡改電子系統(例如飛機上的航空電子設備)的威脅[31]?；诠魳洌ˋTA）的分析方法適用于特征層或系統層，因此適用于汽車上的嵌入式系統。

ATA類似于貝爾實驗室發明的安全故障樹分析(FTA，Fault Tree Analysis)，因此適合于評價多種威脅的組合(攻擊模式)[4]。由于需要TOE足夠多的細節，因此不適用于初次TARA。

SAE J3061附錄中推薦了ATA用于對潛在威脅和風險進行評估[8]。

圖6 攻擊樹分析示例

3.4 EVITA

EVITA的全稱是“E-Safety Vehicle Intrusion Protected Applications”，是一個由歐盟委員會資助的項目[32]。項目于2008年啟動，參與者包括MIRA、寶馬、博世、大陸、ESCRYPT、富士通和英飛凌等。項目的目標是設計、驗證和構建車載網絡體系結構原型，用于保護信息安全相關的組件不受篡改，敏感數據和隱私信息不被泄露。為了達到此目標，EVITA借鑒了ISO/IEC 15408[33]提供的安全模型和方法，并結合了ISO-26262的生命周期過程，提出了“THROP”（THReat and OPerability Analysis，威脅和可操作性分析），從功能的角度考慮特定功能的潛在威脅。THROP源于在功能安全工程中的HAZOP (Hazard and OPerability Analysis)方法，使用ATA在功能級別基于分析的特征的主要功能定義威脅。THROP方法的步驟如下：

確定了該特征的主要功能；

應用“導語”（guidewords）來識別潛在的威脅，例如“惡意非故意”的、“惡意錯誤”的、“惡意喪失”的等；

從潛在的惡意行為中確定可能的壞情況。

表3 EVITA中使用THROP進行風險評估

風險級別是基于嚴重性、攻擊概率和可控性措施的組合?！癝everity”從操作、安全、隱私和財務這4個方面評價威脅。為了對安全威脅進行評級，采用了類似ASIL的方式將可控性、嚴重性和攻擊概率映射到不同風險級別(R0到R7和R7+)。

在汽車行業使用EVITA方法進行TARA存在的問題是：

Severity的評級方法與ISO 26262標準中的方法不一致；

與安全有關的威脅和非安全有關的威脅(如隱私和財務)的評價標準不同，因此可能導致評價工作不平衡，評估結果有偏差；

以概率表示的潛在攻擊手段，通過求和、小和運算得到評估結果，這不是一種準確的計算方法，很可能會引入失真（Distortion）。

3.5 OCTAVE

OCTAVE是“關鍵威脅、資產和脆弱性評估”（Operationally Critical Threat, Asset, and Vulnerability Evaluation）的簡稱，由卡耐基梅隆大學軟件工程研究所提出的一種系統化的信息安全風險評估方法[34]。OCTAVE評估分為3個階段8個過程，見圖7。

圖7 OCTAVE的評估階段和過程[98]

OCTAVE的專注點在于將信息安全的利益相關者（Stakeholders）聚集在一起，通過一系列研討會逐漸明確安全威脅和風險。但這種方法更適合于企業信息安全風險評估，不太適用于嵌入式的汽車系統。

3.6 HEAVENS

“HEAVENS”安全模型是一種針對車輛電子電氣（E/E）系統的信息安全威脅分析和風險評估的方法、流程及工具支持[35]。HEAVENS安全模型提出了一種系統的方法來推導汽車E/E系統的信息安全要求，考慮了目前的威脅分析和風險評估方法，采用3個步驟來分析安全需求：

威脅分析

HEAVENS安全模型使用STRIDE來進行威脅分析。

風險評估

在基于STRIDE方法分析出 “威脅-資產”對（Threat-Asset Pair）之后，為每個“TA對”評定安全級別。風險評估包括三個步驟：

威脅等級的確定(Threat Level，TL)：針對威脅“可能性”來估計威脅的等級；

測定的影響水平(Impact Level，IL)：指的是發生安全問題后產生的“影響”嚴重程度；

測定安全級別(Security Level，SL)：這對應于的風險評級，由TL和IL共同確定。

表4使用TL和IL評估SL

安全需求

一步是基于Asset、Threat、安全屬性和SL來推導安全需求。當一個Asset具有安全級別“QM”，可能有需要也可能不需要為其制定額外的信息安全要求，這需要業務專家進行評估；如果不是“QM”，就應針對其他兩種情況制定信息安全要求。

圖8 HEAVENS安全模型的評估流程[98]

當一個資產可能存在多個威脅時，分析可能基于與資產相關的所有威脅的多個威脅級別而具有多個安全級別。確定整個資產的安全級別的一種方法是考慮與資產相關的所有威脅的所有安全級別中的安全級別；另一種方法是考慮威脅級別和影響級別，以定義資產的安全級別。

HEAVENS受益于STRIDE的步驟和方法，使得其可以結構化和系統化地發現潛在威脅，但是需要大量的工作來分析和確定單個威脅的IL和TL因子，進而確定SL。

3.7 SAHARA

SAHARA名稱來自于STRIDE加上ISO 26262中的HARA的組合[36]，它在系統級對安全系統開發進行了量化評估。SAHARA結合了HARA[2]和STRIDE方法[29]來跟蹤信息安全問題對系統功能安全的影響，根據資源(R)、實施威脅所需的知識(K)和威脅的臨界性(T)，采用ASIL方法量化分析應用于STRIDE分析結果。R、K和T就決定了安全級別（SecL，Security Level）:

R、K和T的例子如下：

表5 SAHARA中的R、K和T參數示例

Level Knowledge Example

Resources Example

Threat Criticality Example

0

Average driver, unknown internals

No tools required

No impact

1

Basic understanding of internals

Standard tools, screwdriver

Annoying, partially reduced service

2

Internals disclose, focused interests

Non-standard tools, sniffer, oscilloscope

Damage of goods, invoice manipulation, privacy

3

Advanced tools, simulator, flasher

Life-threatening possible

SAHARA的量化計算方法不復雜，不需要太多的分析工作和被分析系統的細節。這使得SAHARA可以確定為某種特定威脅而分配的資源極限，并可以量化威脅對功能安全目標影響。

3.8 TVRA

TVRA是“威脅、漏洞與實現風險分析”（Threat, Vulnerabilities, and implementation Risks Analysis）的縮寫，是一種流程驅動的威脅評估/風險評估方法[37]。TVRA于2009年開發，2010年由歐洲電信標準協會(ETSI)更新，當前的標準編號為ETSI TS 102 165-1 V4.2.3。

TVRA需要10個步驟，從而系統地識別系統中要預防的不想要的事件。TVRA識別系統中的資產及其相關的弱點和威脅，并通過建模攻擊對系統弱點的可能性和影響來確定系統的風險。

TVRA是專門為數據網和電信網絡開發的，應用于車輛的安全系統分析很困難。

3.9 FMVEA

FMVEA是“失效模式，脆弱性和效果分析”（Failure Mode, Vulnerabilities and E?ects Analysis）的簡稱。此方法基于IEC 60812[4]中描述的FMEA。Schmittner等人的[38][39]提出了該失效模式和失效效果模型，用于安全保障的因果分析。該工作通過量化威脅代理(分別為攻擊者)、威脅模式(通過STRIDE模型)、威脅效果和攻擊概率對威脅進行分類。這種分析的一個普遍的局限性是只分析一個效果的單一原因，而忽略了多階段攻擊，因此考慮了FTA和ATA的組合來支持FMVEA。

FMVEA方法是基于FMEA的，因此不適用于早期開發階段（Concept Phase）的TARA工作、小結

本文介紹了目前汽車領域應用較多的信息安全規范和標準，并選擇并分析SAE提出的SAE J3061和ISO-SAE聯合提出的ISO-SAE 21434的適用性，確定可以根據這兩個規范定義的方法和步驟來分析FOTA所涉及的TOE。

本文還對當代信息安全的相關風險評價方法和技術進行了綜合分析，總結了各種方法和技術的特點。根據對第3節中各種方法和技術優勢和缺點的分析，可以總結為下表：

表6 汽車信息安全評估方法比較

適用的階段

優勢

缺點

CIA

全部階段

簡單易用，評價方式直觀易懂。

依賴于專家對于TOE的熟悉和了解程度；無統一過程、方法指導，評估結果一致性不夠好；評價參數少，可能導致評估結果失真。

STRIDE

全部階段

適應性好，可直接用于汽車系統的安全分析。

只能用于威脅的定性分析。

ATA

系統設計

多層次的威脅識別，可充分發現潛在危險。

需要系統設計信息的大量細節才能實施。

EVITA

概念階段

結合了ISO/IEC-15408和ISO-26262，從多個方面進行安全威脅分析。

部分不符合ISO 26262標準；安全和非安全的威脅評價標準不同，可能導致評價失衡；評估結果計算方法不夠準確。

OCTAVE

N/A

了所有相關人員進行安全分析，分析結果細致。

更適合企業級的安全風險分析。

HEAVENS

全部階段

使用STRIDE模型，可結構化和系統化的方法發現潛在威脅。

是需要大量的工作來分析和確定單個威脅的IL和TL因子。

SAHARA

概念階段

使用STRIDE模型，量化計算方法簡單，不需要太多的分析工作和被分析系統的細節。

與功能安全強關聯，缺乏多層次分析可能導致一些威脅遺漏。

TVRA

N/A

專門為數據網和電信網絡開發。

很難應用于車輛信息安全分析。

FMVEA

系統設計

使用STRIDE模型，量化分析攻擊者、威脅和攻擊可能性。

缺乏多層次分析可能導致一些威脅被遺漏；因使用FMEA，只能在系統階段使用。

根據上表的分析結果，單獨使用某一種技術進行汽車系統的信息安全分析是不夠的，需要結合各自的優勢。

根據課題的后續研究內容，需要在生產階段識別出具備FOTA功能的ECU數據初始化過程中的信息安全風險，定義相應的信息安全需求，并根據需求設計產線方法、流程和步驟。在ISO-SAE 21434規范中明確要求ECU生產相關工具和環境的實現也需要進行全生命周期考慮，因此也需要在ECU的生產階段實施信息安全評估。

HEAVENS安全模型由于其適合全生命周期分析，且容易跟STRIDE、ATA相結合的特性，適合后續的分析工作。以后將改進HEAVENS安全模型以適應生產階段的信息安全需求，并結合STRIDE和ATA來進行ECU生產線開發的概念階段和系統設計階段的信息安全分析。