10、车辆安全事件风险评估：离线与在线阶段全解析

车辆安全事件风险评估：离线与在线阶段全解析

1. 安全事件基础概念

在车辆安全领域，我们假设ECUm（电子控制单元管理器）始终能获取任何可疑且潜在恶意的车内活动信息，它被视为安全信任锚点，攻击者无法对其进行破坏。这种信任锚点通常允许代码隔离执行，并提供硬件支持以维护应用程序的完整性。

安全事件依据ISO 27005的定义，是可能导致损害的负面事件。按照ISO/SAE 21434的标准，我们将安全事件看作是车辆运行时由负面事件引发的威胁场景。具体而言，安全事件描述了电子控制单元（ECU）上受保护资产属性的违规情况，这些属性对应着威胁类别，而威胁类别源自所采用的威胁模型。我们采用CIA三元组（保密性、完整性、可用性）来定义威胁类别集合T = {保密性, 完整性, 可用性}。当感知到负面事件时，会将其映射到相应的威胁类别，如下表所示：
| 负面事件 | 威胁类别（CIA） |
| — | — |
| 未知数据来源 | 完整性 |
| 无法验证的固件 | 完整性 |
| 未经授权的数据访问 | 保密性 |
| 延迟的流量 | 可用性 |

我们用集合E表示ECU，集合A表示资产。安全事件sii可正式表示为E × A × T的元素，即sii由受影响的ECU、受损资产和威胁类别组成。例如，安全事件sii = (信息娱乐系统, 音量命令, 完整性)表示信息娱乐系统识别出一个无法验证完整性的音量命令。

2. 离线阶段

离线阶段由一组专家在车辆设计阶段进行一次，它为在线评估阶段提供必要的输入，包括评级后的损害场景和资产依赖图。

2.1 损害识别与评估（Step Ioff） </