threat analysis & risk assessment and vulnerability analysis methods 是概念階段用到的核心方法,也是整個系統安全的起點工程。在計算機網路發展的多年來,也提出了很多方法。本文主要介紹針對汽車工程的兩個方法evita和hevens。
確定特徵的最小功能,作為分析物件
確定潛在威脅
確定「暗面」的最壞場景
然後就按照evita方法進行風險等級的確定。
hevens方法也是歐洲的乙個專案產生的,很多相關研究可以參考查爾姆斯理工大學的一些詳細研究。
hevens: link.
其方法主要有三個過程:
威脅分析―――風險評估―――安全需求
-輸入:描述的功能用例圖;輸出:資產與威脅的對映,威脅與安全要素的對映(採用stride方法)
-輸入:資產與威脅的對映、威脅等級、影響等級;輸出:風險(安全)等級
威脅等級確定:
影響等級確定(影響等級對應的四個目標與evita一致)
最後將以上四個合成最後的il
最後第二步的輸出為
-輸入:威脅與安全要素的對映、安全等級;輸出:最高等級的安全需求(因為對同一資產可能有不同的安全等級,這裡取最高的)
hevens和evita明顯的乙個區別就是在威脅分析的時候,hevens是基於安全要素的,採用stride而evita是基於場景的,採用攻擊樹。另外,hevens考慮的維度更細緻,其流程更加規範。
汽車網路安全之 標準彙總
車輛物理資訊系統網路安全指南 硬體安全標準 診斷網路的安全 isoiso sae 21434 草案 iso 24089 制定中 中國gb t38628 資訊保安技術 汽車電子系統網路安全指南 資訊保安技術 車載網路裝置資訊保安技術要求 徵求意見稿 車載資訊互動系統資訊保安技術要求 徵求意見稿 電動汽...
「黑客」屢屢入侵 汽車網路安全如何保證?
據kbv研究公司發布的相關報告顯示,到2023年,全球聯網汽車市場的規模預計將達到2562億美元,在此期間,市場的復合年增長率為31 由此可見,車聯網未來市場空間巨大,然隨著其商業化程序的不斷加快,安全問題備受各國 重視。近日,我國工業和資訊化部與國家標準委聯合發布的 國家車聯網產業標準體系建設指南...
網路安全風險評估的目的是什麼
在當前的資訊保安領域,好像風險管理已經快成為資訊保安的代名詞了。搞安全好像離不開風險管理。而要進行全面的安全體系構建之前,自然要進行風險評估。風險評估會出現在幾乎所有的安全文獻 安全標準 安全規範中。要做風險評估,好像也很少有人質疑是否需要,因為全世界的人都在做。但是,在這裡我還是要問,風險評估的目...