一种融合信息安全和功能安全的综合风险评估方法及装置

技术领域

本发明涉及自动驾驶技术领域，尤其涉及一种融合信息安全和功能安全的综合风险评估方法及装置。

背景技术

随着自动驾驶技术高级驾驶辅助系统的发展，对道路车辆的安全性要求也越来越全面和具体。要求道路车辆的安全风险评估方法要能够同时评估信息安全和功能安全。传统的信息安全评估方法以系统硬件和软件安全为主，缺乏对车辆功能安全的评估；而功能安全评估方法主要关注车辆功能安全，缺乏对信息安全的评估。

信息安全问题不会导致新的安全隐患(即新的不安全状态)，但会改变现有隐患的发生概率，甚至使以前认为不可能发生的隐患变为可能。因此在系统设计的过程中，必须同时兼顾信息安全和功能安全。

因此，需要提供一种综合评估自动驾驶技术的信息安全和功能安全风险并且当发生信息安全事件时可以预警出其对功能安全的影响的综合风险评估方法来解决上述技术问题。

发明内容

为了解决上述技术问题，本发明提供了一种融合信息安全和功能安全的综合风险评估方法。解决了现有技术中自动驾驶技术评估主要关注车辆功能安全评估，缺乏对信息安全的评估，导致自动驾驶安全性评估存在局限性的技术问题。

本发明的技术效果通过如下实现的：

一种融合信息安全和功能安全的综合风险评估方法，包括：

获取车辆中需要进行安全检测的部件，所述部件为实现自动驾驶需要调度的模块或器件；

根据所述部件确定出与对应的损坏资产，所述损坏资产包括与个人信息或车辆信息相关的第一损坏资产和能够影响车辆功能安全的第二损坏资产；

根据所述损坏资产得到与所述损坏资产对应的信息安全数据，所述信息安全数据包括信息安全漏洞以及其对应的信息安全风险值，所述信息安全漏洞为攻击者通过信息安全攻击路径侵入车辆系统内部的漏洞；

根据所述第二损坏资产得到与所述第二损坏资产对应的功能安全数据，所述功能安全数据包括失效模式以及功能安全风险值；

基于整体风险矩阵运算方法设定与所述信息安全数据和所述功能安全数据对应的整体安全信息，以得到综合风险评估标准实现对车辆自动驾驶的安全性综合评估。构建综合功能安全风险和信息安全风险的整体安全风险矩阵,融合了自动驾驶信息安全和功能安全的综合风险评估，实现全面评估自动驾驶技术的安全风险，同时为更细粒度的预警和响应措施提供决策依据

进一步地，根据所述损坏资产得到与所述损坏资产对应的信息安全数据，包括：

基于TARA分析方法根据所述损坏资产的各信息安全漏洞得到其对安全、财务、操作和隐私的影响等级，

同时根据相应威胁场景下对安全、财务、操作和隐私的影响等级确定出发生所述信息安全漏洞时的信息安全风险值，以得到包括信息安全漏洞与信息安全风险值对应关系的TARA表格。

进一步地，根据所述第二损坏资产得到与所述第二损坏资产对应的功能安全数据，包括：

基于HARA分析方法根据所述第二损坏资产的各失效模式得到其对应的严重度、暴露率和可控性，

同时根据相应失效模式下的严重度、暴露率和可控性确定出功能安全风险值，以得到包括失效模式与功能安全风险值对应关系的HARA表格。

进一步地，还包括：

根据所述信息安全漏洞得到对应的信息安全攻击路径以及与所述信息安全攻击路径对应的攻击可行性等级，其中，一个信息安全漏洞对应一个或多个信息安全攻击路径；

根据所述信息安全漏洞下对安全、财务、操作和隐私的影响等级和所述信息安全攻击路径对应的攻击可行性等级得到所述损坏资产在不同的信息安全漏洞场景和信息安全攻击路径条件下对应的信息安全风险值，以得到最终的信息安全风险值。

进一步地，基于整体风险矩阵运算方法设定与所述信息安全数据和所述功能安全数据对应的整体安全信息，以得到综合风险评估标准实现对车辆自动驾驶的安全性综合评估，之后包括：

在车辆或云端部署第一检测模块，以检测造成所述损坏资产损坏的信息安全漏洞；

其中，所述第一检测模块对应一个或多个所述损坏资产；

进一步地，在车辆或云端部署第一检测模块，之后包括：

获取车辆在自动驾驶测试过程中的出现信息安全威胁的目标损坏资产及其对应的目标信息安全漏洞；

基于所述TARA表格根据所述目标信息安全漏洞确定对应的信息安全风险值。

进一步地，基于整体风险矩阵运算方法设定与所述信息安全数据和所述功能安全数据对应的整体安全信息，以得到综合风险评估标准实现对车辆自动驾驶的安全性综合评估，之后还包括：

在车辆的电子器件部署第二检测模块，以检测由影响车辆功能安全的所述第二损坏资产造成的失效模式；

其中，所述第二检测模块对应一个或多个失效模式，所述失效模式基于所述电子器件故障发生。

进一步地，在车辆的电子器件部署第二检测模块，之后包括：

获取车辆在自动驾驶测试过程中的出现功能安全失效的目标电子器件及其对应的目标失效模式；

基于所述HARA表格根据所述目标失效模式确定对应的功能安全风险值。

进一步地，基于所述HARA表格根据所述目标失效模式确定对应的功能安全风险值，之后包括：

基于所述综合风险评估标准根据在自动驾驶测试过程中检测到的功能安全风险值和信息安全风险值得到综合风险值，以综合评估当前车辆的自动驾驶安全性能。基于车辆中数据传输方式和车辆的电气架构分别在相应位置设置第一检测模块和第二检测模块，使得在车辆进行自动驾驶测试过程中能够同时检测损坏资产对应的信息安全漏洞以及存在功能安全失效隐患的车辆电子器件是否出现相应的失效模式，从而基于TARA表格和HARA表格将检测到的信息安全漏洞和失效模式转换为功能安全风险值和信息安全风险值，以综合评估车辆的自动驾驶安全性能。

另外，还提供一种融合信息安全和功能安全的综合风险评估装置，包括：

部件获取模块：用于获取车辆中需要进行安全检测的部件，所述部件为实现自动驾驶需要调度的模块或器件；

损坏资产确定模块：用于根据所述部件确定出与对应的损坏资产，所述损坏资产包括与个人信息或车辆信息相关的第一损坏资产和能够影响车辆功能安全的第二损坏资产；

信息安全确定模块：用于根据所述损坏资产得到与所述损坏资产对应的信息安全数据，所述信息安全数据包括信息安全漏洞以及其对应的信息安全风险值，所述信息安全漏洞为攻击者通过信息安全攻击路径侵入车辆系统内部的漏洞；

功能安全确定模块：用于根据所述第二损坏资产得到与所述第二损坏资产对应的功能安全数据，所述功能安全数据包括失效模式以及功能安全风险值；

综合风险评估模块：用于基于整体风险矩阵运算方法设定与所述信息安全数据和所述功能安全数据对应的整体安全信息，以得到综合风险评估标准实现对车辆自动驾驶的安全性综合评估。

如上所述，本发明具有如下有益效果：

1)构建综合功能安全风险和信息安全风险的整体安全风险矩阵,融合了自动驾驶信息安全和功能安全的综合风险评估，实现全面评估自动驾驶技术的安全风险，同时为更细粒度的预警和响应措施提供决策依据。

2)基于车辆中数据传输方式和车辆的电气架构分别在相应位置设置第一检测模块和第二检测模块，使得在车辆进行自动驾驶测试过程中能够同时检测损坏资产对应的信息安全漏洞以及存在功能安全失效隐患的车辆电子器件是否出现相应的失效模式，从而基于TARA表格和HARA表格将检测到的信息安全漏洞和失效模式转换为功能安全风险值和信息安全风险值，以综合评估车辆的自动驾驶安全性能。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还能够根据这些附图获得其它附图。

图1为本说明书实施例提供的一种融合信息安全和功能安全的综合风险评估方法的流程图；

图2为本说明书实施例提供的信息安全风险值与威胁场景的影响等级和相关攻击路径的攻击可行性的对应关系；

图3为本说明书实施例提供的安全影响评估标准；

图4为本说明书实施例提供的财务影响评估标准；

图5为本说明书实施例提供的操作影响评估标准；

图6为本说明书实施例提供的隐私影响评估标准；

图7为本说明书实施例提供的影响总分的计算标准；

图8为本说明书实施例提供的攻击可行性等级的判定标准；

图9为本说明书实施例提供的严重度、暴露率和可控性三个方面各自对应的程度进行划分的等级表；

图10为本说明书实施例提供的ASIL等级计算标准表；

图11为本说明书实施例提供的基于整体风险矩阵运算方法设定的综合风险评估标准表；

图12为本说明书实施例提供的综合风险值与评估当前车辆的自动驾驶安全性能之间的对应关系；

图13为本说明书实施例提供的一种融合信息安全和功能安全的综合风险评估装置的组成框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1：

如图1所示，本说明书实施例提供了一种融合信息安全和功能安全的综合风险评估方法，包括：

S100：获取车辆中需要进行安全检测的部件，所述部件为实现自动驾驶需要调度的模块或器件；

其中，部件包括车辆或云端上用于实现数据传输的模块或器件，当传输过程出现异常时，进行传输的数据则定义为影响信息功能安全的损坏资产。

本实施例中，车辆的自动驾驶技术的安全性能的评价标准，是从功能安全和信息安全两个方面进行评估，因此，通过确定影响信息安全的所有威胁场景对应的信息安全风险和影响功能安全的所有失效模式的对应的功能安全风险，以得到可以全面评价自动驾驶技术的安全水平的整体安全风险的标准，从而根据车辆在自动驾驶测试过程中的出现的相应场景与威胁场景或失效模式进行比对，完成对车辆的安全性能进行评估。

S200：根据所述部件确定出与对应的损坏资产，所述损坏资产包括与个人信息或车辆信息相关的第一损坏资产和能够影响车辆功能安全的第二损坏资产；

其中，第一损坏资产包括但不限于：与用户个人信息相关或其他汽车信息安全相关的资产；第二损坏资产包括但不限于：与车辆安全操作、使用电子电气技术实现的实体、软件或数据资产。

第二损坏资产能够作用于车辆的电子器件，影响电子器件的正常运行状态，从而造成车辆功能安全风险。

S300：根据所述损坏资产得到与所述损坏资产对应的信息安全数据，所述信息安全数据包括信息安全漏洞以及其对应的信息安全风险值，所述信息安全漏洞为攻击者通过信息安全攻击路径侵入车辆系统内部的漏洞；

一种具体的实施方式中，根据所述损坏资产得到与所述损坏资产对应的信息安全数据，包括：

基于TARA分析方法根据所述损坏资产的各信息安全漏洞得到其对安全、财务、操作和隐私的影响等级，

同时根据相应威胁场景下对安全、财务、操作和隐私的影响等级确定出发生所述信息安全漏洞时的信息安全风险值，以得到包括信息安全漏洞与信息安全风险值对应关系的TARA表格。

具体地，TARA(ThreatAnalysisandRiskAssessment)为威胁分析和风险评估，主要指用来识别和评估智能网联汽车系统中的潜在威胁,并评估相应风险。相应地，TARA表格包含资产、威胁场景及对应的信息安全风险值。其中，资产、威胁场景及信息安全风险值的定义分别如下：

资产：对于系统或组织的重要的资源、资产和数据进行识别和评估，以确定其对安全的重要性；

威胁场景：根据资产和安全需求，识别可能影响该资产的威胁和场景；信息安全风险值：

根据威胁场景的影响和概率，对每个资产的风险进行评估，以识别潜在的风险和决策是否需要进一步的管理和控制。

具体地，信息安全根据安全、财务、操作和隐私(分别为S、F、0、P)这四个影响类别分析对道路使用者的潜在不利后果评估损害情景的影响等级。

如图2所示，损害情景的影响等级应确定为以下影响类别之一：非常严重；严重；中等；可忽略不计。

其中，如图3-6所示，财务、操作和隐私的相关影响可根据ISO21434中给出的TARA表格进行评级；安全根据功能安全对应的ASIL等级评估标准进行评估。

举例来说，ACC(自适应巡航系统)对应的一个威胁场景为攻击者利用仿冒的底盘域数据对IFC进行欺骗攻击，使IFC获得错误的底盘域数据，真实性被侵害，导致IFC出现接收数据异常。

根据此场景可以分析确定其对安全的影响等级为中等，基于ASIL等级评估标准确定出相应的分值为3。

分析确定其对财务的影响等级为中等，基于财务影响评估标准确定出相应的分值为3；分析确定其对操作的影响等级为重大，基于操作影响评估标准确定出相应的分值为6；分析确定其对隐私的影响等级为中等，基于隐私影响评估标准确定出相应的分值为3。

如图7所示的计算标准，基于TARA表格根据安全、财务、操作和隐私对应的四个分值得到总体影响分值为57，等级为中等。

一种具体的实施方式中，本申请的综合风险评估方法还包括：

根据所述信息安全漏洞得到对应的信息安全攻击路径以及与所述信息安全攻击路径对应的攻击可行性等级，其中，一个信息安全漏洞对应一个或多个信息安全攻击路径；

根据所述信息安全漏洞下对安全、财务、操作和隐私的影响等级和所述信息安全攻击路径对应的攻击可行性等级得到所述损坏资产在不同的信息安全漏洞场景和信息安全攻击路径条件下对应的信息安全风险值，以得到最终的信息安全风险值。

具体地，信息安全漏洞的威胁场景对应一个或多个攻击路径。通过分析实现威胁场景的不同方式(如攻击树、攻击图和自下向上的方法)，进而识别漏洞以构建攻击路径，从而确定导致威胁场景的攻击路径。

对于每条攻击路径，攻击可行性等级应按照图8中说明进行确定。

对于每个威胁场景，应根据威胁场景的影响等级和相关攻击路径的攻击可行性综合确定不同攻击路径对应的威胁场景的信息安全风险值。

最终得到的威胁场景的信息安全风险值应介于(包括)1和5之间，其中值1表示最小风险。

S400：根据所述第二损坏资产得到与所述第二损坏资产对应的功能安全数据，所述功能安全数据包括失效模式以及功能安全风险值；

一种具体的实施方式中，根据所述第二损坏资产得到与所述第二损坏资产对应的功能安全数据，包括：

基于HARA分析方法根据所述第二损坏资产的各失效模式得到其对应的严重度、暴露率和可控性，

同时根据相应失效模式下的严重度、暴露率和可控性确定出功能安全风险值，以得到包括失效模式与功能安全风险值对应关系的HARA表格。

具体地，HARA(Hazardanalysisandriskassessment)为危害分析和风险评估，目的是鉴别和分类项目的危害，形成为了防止或降低这些危害而必须满足的安全目标，以避免不合理的风险。相应地，HARA表格包含相关项、受影响的功能、失效模式及对应的功能安全ASIL等级。其中，资产、威胁场景及信息安全风险值的定义分别如下：

相关项：表示该项目中需要评估的设备、部件、系统等；

受影响的功能：表示该项目可能导致的失效的功能；

失效模式：表示该项目的可能失效情况，如故障、缺陷、攻击等；

对应的功能安全ASIL等级：表示该项目的安全影响程度。

具体地，与功能安全相关的电子器件对应一个或若干个潜在的失效模式，每个失效模式需要从三个方面进行考虑：严重度、暴露率和可控性，如图9所示，ISO26262中根据在三个方面的程度，即三个方面的评分设定ASIL等级，可以得到HARA表格，如图10所示。

其中，严重度表示故障发生的后果对驾驶员和行人等交通参与者的伤害程度，可控性代表驾驶员和行人控制和规避风险的能力。由于严重度和可控性与故障发生的场景息息相关(例如同样的一个巡航车速控制失效的故障，在雨雪天发生的后果比晴天发生的后果更加严重)，所以HARA分析(Hazardanalysisandriskassessment，危害分析和风险评估)需要考虑场景发生的概率，即暴露率。

根据严重度、暴露率和可控性的评分，查询HARA表格，可以获得失效模式对应的ASIL等级。对于同一个失效问题，即潜在的失效模式，由于考虑的故障场景不同，得到的ASIL等级也不同，应该选用最大的ASIL等级作为该失效模式的ASIL等级。

ASIL等级分为A、B、C、D四个等级，等级越高表示该失效模式的安全问题越严重。如果没有安全问题，ASIL等级则为QM。其中，ASIL等级为本申请中的功能安全风险。

举例来说，ACC(自适应巡航系统)的一个失效模式为传感器速度测量丢失，根据分析确定其对应的严重度为S2，暴露度为E2，可控性为C2，依据图10所示的HARA表格可知，相应的ASIL等级为QM。

S500：基于整体风险矩阵运算方法设定与所述信息安全数据和所述功能安全数据对应的整体安全信息，以得到综合风险评估标准实现对车辆自动驾驶的安全性综合评估。

具体地，如图11所示，将功能安全ASIL等级映射为1到5的数字，即QM→1，A→2，B→3，C→4，D→5，则继而确定整体安全信息。即整体安全风险取信息安全风险值和功能安全风险值的最大值，即整体安全风险＝max(信息安全风险值，ASIL等级)。

图11所示的整体安全风险矩阵综合了信息安全风险值和功能安全ASIL等级，其中任一危险或危害程度较高时都会导致整体风险值上升。

一种具体的实施方式中，步骤S500基于整体风险矩阵运算方法设定与所述信息安全数据和所述功能安全数据对应的整体安全信息，以得到综合风险评估标准实现对车辆自动驾驶的安全性综合评估，之后包括：

在车辆或云端部署第一检测模块，以检测造成所述损坏资产损坏的信息安全漏洞；

其中，所述第一检测模块对应一个或多个所述损坏资产；

一种具体的实施方式中，步骤S500基于整体风险矩阵运算方法设定与所述信息安全数据和所述功能安全数据对应的整体安全信息，以得到综合风险评估标准实现对车辆自动驾驶的安全性综合评估，之后还包括：

在车辆的电子器件部署第二检测模块，以检测由影响车辆功能安全的所述第二损坏资产造成的失效模式；

其中，所述第二检测模块对应一个或多个失效模式，所述失效模式基于所述电子器件故障发生。

具体地，基于车辆的电子电气架构图、模型和实体部件等，确定需要部署检测模块的部件，搭配划分若干检测模块，并确定每个检测模块的部署位置。其中，检测模块包括本申请中的第一检测模块和第二检测模块。

其中，第一检测模块通过检测与信息安全漏洞的威胁场景对应的损坏资产，进而分析该损坏资产发生时的特征识别攻击路径；

第二检测模块通过检测对应电子器件的故障状态，分析其导致的失效模式。

一种具体的实施方式中，在车辆或云端部署第一检测模块，之后包括：

获取车辆在自动驾驶测试过程中的出现信息安全威胁的目标损坏资产及其对应的目标信息安全漏洞；

基于所述TARA表格根据所述目标信息安全漏洞确定对应的信息安全风险值。

一种具体的实施方式中，在车辆的电子器件部署第二检测模块，之后包括：

获取车辆在自动驾驶测试过程中的出现功能安全失效的目标电子器件及其对应的目标失效模式；

基于所述HARA表格根据所述目标失效模式确定对应的功能安全风险值。

一种具体的实施方式中，基于所述HARA表格根据所述目标失效模式确定对应的功能安全风险值，之后包括：

基于所述综合风险评估标准根据在自动驾驶测试过程中检测到的功能安全风险值和信息安全风险值得到综合风险值，以综合评估当前车辆的自动驾驶安全性能，如图12所示。

举例来说，ACC(自适应巡航系统)受到重放攻击。威胁场景为攻击者利用仿冒的ADAS域数据对EMS进行欺骗攻击，使EMS获得错误的ADAS域数据，真实性被侵害，导致EMS接到的数据异常，致使车辆发生意外碰撞的安全事件，其攻击路径为OBD->EMS，分析得到信息安全风险值为3。

相应的失效模式为车辆的控制系统受到信息安全攻击，ASIL等级为C，可将ASIL等级映射为：功能安全风险值为4。

根据信息安全风险值和功能安全风险值得到综合风险值为max(3,4)＝4。

如图13所示，本说明书实施例提供了一种融合信息安全和功能安全的综合风险评估装置，包括：

部件获取模块1301：用于获取车辆中需要进行安全检测的部件，所述部件为实现自动驾驶需要调度的模块或器件；

损坏资产确定模块1302：用于根据所述部件确定出与对应的损坏资产，所述损坏资产包括与个人信息或车辆信息相关的第一损坏资产和能够影响车辆功能安全的第二损坏资产；

信息安全确定模块1303：用于根据所述损坏资产得到与所述损坏资产对应的信息安全数据，所述信息安全数据包括信息安全漏洞以及其对应的信息安全风险值，所述信息安全漏洞为攻击者通过信息安全攻击路径侵入车辆系统内部的漏洞；

功能安全确定模块1304：用于根据所述第二损坏资产得到与所述第二损坏资产对应的功能安全数据，所述功能安全数据包括失效模式以及功能安全风险值；

综合风险评估模块1305：用于基于整体风险矩阵运算方法设定与所述信息安全数据和所述功能安全数据对应的整体安全信息，以得到综合风险评估标准实现对车辆自动驾驶的安全性综合评估。

虽然本发明已经通过优选实施例进行了描述，然而本发明并非局限于这里所描述的实施例，在不脱离本发明范围的情况下还包括所作出的各种改变以及变化。

在不冲突的情况下，本文中上述实施例及实施例中的特征能够相互结合。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。