汽车|【安永观察】智能汽车网络安全市场准入与合规遵从( 四 ) |车联网|智能

网络安全风险管理：建立车辆网络安全风险评估流程和工程化方法，并与车辆网络安全开发流程融合，确保车辆网络安全能力的落地。

网络安全评价体系：形成有效的网络安全评价体系，并关联到安全信用指标与团队绩效，形成定期的信息安全月度报告及管理层季度报告。

网络安全审计体系：形成有效的网络安全（内外部）审计体系，对网络安全违规行为的监控方法、检查方法、证据收集、责任认定进行规范管理。

网络安全技术体系：建立端到端（车端/手机端/云端）的网络安全韧性防御体系，具备识别/防御/检测/响应/恢复的韧性能力。

VTA
车辆型式认证（VTA）的基础是车辆制造商具备了网络安全管理体系及相关能力，而实际工作的核心内容是以风险为导向的识别、评估、处置与验证过程。根据1958年协议，车辆类型仅涉及“轮式车辆”本身，然而目前缓解措施将包含车辆类型范围以外的内容如：后台（TSP）、互联网、生产线工具、智能手机等，并且还混合了ISMS（信息安全管理系统）和CSMS（网络安全管理系统）的安全管控措施等内容；

本文图片

引自：《Explanations for the suggested amendments to GRVA-05-05-Rev.1》
安永根据以往风险评估的经验，将附录五中PART A中列出的威胁和攻击方法，按照“威胁利用脆弱性形成风险”的逻辑进行重构及分类，并根据PART B/C以及网络安全韧性相关标准和优秀实践归纳成针对风险的处置方案库，最终形成一套能指导车辆制造企业开展具体的组件级的风险评估与架构设计的优秀实践与工程化方法。
行动建议
车辆制造商根据VTA相关要求，在产品设计开发阶段应通过风险评估定义整车及组件网络安全目标和要求，其中在场景化风险评估过程中，可以采取WP.29推荐的方式实施附录五的要求：

本文图片

关于场景化风险评估的方法，可以参考ISO/SAE 21434第八章的相关内容。在作者上一篇《【安永观察】构建以业务为导向、风险为驱动的智能汽车信息安全风险管理思路》中也有相关讨论。
在结合ISO/SAE 21434第八章、HAVENS、TARA以及攻击树模型等方法进行风险评估的过程中，车辆制造商可以归纳梳理出一套可落地的、能够指导实际操作的工程化方法，以防止由于评估者对标准理解的不一致、网络安全经验的水平不同、相关背景信息了解不足，以及评估过程中的主观判断所导致的评估结果不一致和质量参差不齐的问题。
场景化风险评估的大致操作步骤包括：识别网络安全相关的业务场景、基于业务场景识别关键资产与业务逻辑、识别关键资产在该业务场景下的网络安全风险、结合业务逻辑和资产脆弱性识别该场景下可能存在的攻击路径、结合该业务场景对关键资产和攻击路径进行风险评估、针对高级别风险结合业务场景设计网络安全韧性处置方案、归纳整理韧性处置方案设计网络安全目标/要求/声明，最后结合软硬件架构对网络安全要求进行详细化设计，从而指导开发阶段的车辆网络安全功能实施落地。
其中在关键资产和攻击路径的风险识别过程中需要注意两点：首先应当充分考虑附录五PART A所列出的攻击方法。其次，对于某些复杂的资产组件，需要进行更细粒度的解构，以便识别出更准确的网络安全风险。
另外值得注意的是，车辆制造商在参照附录五开展风险评估的过程中， WP.29的一份解释性文档《Explanations for the suggested amendments to GRVA-05-05-Rev.1》提出“当前的风险及缓解表还不完整，并可能是过时的，在发现新的漏洞和缓解措施时需要定期更新（CS Regulation中的附录五相对于CS Recommendation已经做了更新），当漏洞和攻击不断发展时，一份固定内容的缓解措施列表是没有意义的。 ”