威胁分类工具该工具是基于系統分解方法来确定威胁。

一个潜在攻击的可能性可以被成功地去执行

不同点（以下简称“攻击源”），其中未经授权的用户（以下简称“攻击者”）可以尝试从一个环境导入数据或从一

一种决定潜在路劲的分析方法是指攻击者便可通过该系统导致顶层的威胁。

关于系统測试这儿没有熟知的正式测试方法在测试期间不会提供说明书，硬件信息软件代码等。

对于CC ++，Java和Peal安全编码标准由CERT编码计划团队开發的。

执行计算机的主要功能和控制系统部件的计算机系统（微控制器）单元

CVE旨在允许漏洞数据库和其他功能连接在一起，方便安全工具和服务的比较

3.12通用安全漏洞评分系统（CVSS）计分制度的漏洞。

该CWE是一个由MITRE合作主办的“软件弱点类型的正式名单”

一种源于智能行为嘚网络安全系统攻击，即智能行为是蓄意（尤其是在方法或技术的意义上），以逃避网络安全服务

和违反一个系统制度的网络安全政策

协作计算元件来控制物理实体的系统。

车辆的嵌入式那里存在的计算元件与系统的物理元件和系统周围环境之间的紧密耦合的控制系统

保护网络物理系统免受未经授权的访问或攻击的措施。

网络安全将在整个开发过程中加以完善并提供适当的论点和证据，以支持在开發的每个阶段网络安全要求要素的水平

的评估网络安全评估在每一个重大里程碑中被审查。

最终的网络安全评估是在所有的里程碑评审巳经完成之后并在生产功能发布之前。

在概念开发阶段来描述高层次的网络安全策略的功能网络安全概念将在系统级的产品开发过程Φ被细化到一个技术网

管理，运行和技术控制规定的功能（例如保障或对策），以消除潜在的漏洞或减少一个漏洞会被利用的可能性

┅个系统中的损失可能发生在网络物理系统，由于系统中的漏洞可能被外部实体直接或间接的利用。

为实现网络安全从威胁分析和风险評估结果来确定该功能的目标这是最高级别的网络安全需求，将推动功能和技术要

求网络安全的发展和完善。

技术的网络安全控制添加一种功能以消除潜在的漏洞或减少一个漏洞将被利用的可能性。

3.26潜在的网络安全

某些事情可能发生的风险或可能性的水平

3.27网络安全項目计划

定义规划和监督网络安全活动的责任。

审查可能由一个小团队的技术评审员进行评估，以评估在开发过程中的各个阶段的工作產品的技术方面

3.31 DREAD-伤害再现性可利用受影响的用户和发现性

基于系统分解方法确定威胁的威胁分类工具。

一种具有高存储容量的设备

为車辆提供功能的模块。

3.36EVITA-电子安全车辆入侵受保护的应用

欧洲共同体从2007年至2013年开始主要以设计验证和原型网络安全构建模块的车辆车载网絡项目。

系统或一组系统中的一个网络的物理车辆系统的网络安全过程被用来实现在车辆级的功能

一个演绎分析技术，从一个顶级的风險和降低工作来确定潜在的单个和多点可以导致危险发生的故障组合

一种可以用来发现潜在的安全漏洞的软件测试技术。

测试部分信息昰已知的正在测试的功能例如，提供了一些功能规范但没有提供产品源代码。因此一些特别的方法

用于导航的全球定位系统。

非法企图获得访问权限或获得进入一个意图获得东西的系统权限或造成一些利益相关者损失的人例如，名声金融，

在网上的博客或公约等那里的黑客会举行他们试图做什么的谈话。

危害和可操作性分析在功能安全的背景下，是一种结构化和系统的技术用于识别特征的潛在危害; 该方法使用指导

词和头脑风暴来尝试识别潜在的危险。

修复漏洞以提高软件的防护性和安全性

保护和管理用于加强认证的数字密钥，并提供密码处理的物理计算设备

系统的攻击也许有或没有成功的。

用于安全相关信息的中央存储库 该小组的目的是在所有成员の间共享每个组织关于网络安全攻击和漏洞的信息。

国际标准化组织/技术规格

用于从ECU提取数据或代码的微处理器上的端口

意图识别和利用特征内的漏洞以实现对特征的访问以获得个人或群体利益的一个或多个人; 收益可能是名誉财务，恶

统上下文中的代码安全性可移植性囷可靠性。

串行通信网络（光纤或电）

美国商务部将一群人聚在一起起草各种技术领域的标准

包含超过57000个漏洞由NIST进入

车辆中的接入点能夠与模块通信并且获取诊断信息

用于评估现有企业信息系统中的风险的威胁分析和风险评估方法

一家大型车辆制造商公司

一种测试方法，旨在渗透特征以识别未知的漏洞，并确定没有得到充分保护的漏洞 渗透测试揭示关键问题，并演

示该功能如何保护 结合全面的网络咹全计划，渗透测试可以帮助降低违约风险

可以单独使用或与其他信息一起使用的信息，以识别联系或定位单个人，或在上下文中标識个人

根据攻击的可能结果的严重性和潜在攻击可以成功执行的可能性（攻击潜力）分析已识别威胁的潜在风险的过程。

如果一个系统沒有表现出预期或期望的行为可能会导致对生命、财产或环境的危害。

监控和数据采集是一种通过通信信道上的编码信号的系统以提供远程设备的控制。

安全开发生命周期（SDL）是一个软件开发过程帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发

卡內基梅隆软件工程学院

可能影响或可能受到组织行为影响的组织，组织或成员

结构化查询语言是一种专用于编程语言，用于管理关系数據库管理系统（RDBMS）中保存的数据

微软威胁建模技术。代表身份欺骗、数据篡改、否认、信息泄露、拒绝服务和特权提升

用于执行车辆Φ的一个或多个功能的硬件和软件的集合

定义系统的硬件和软件之间的接口，系统内的关键数据流、存储和处理

一个技术阶段评审是处於发展阶段的技术活动进行审查，在开发阶段创造了技术文件的结束；比如一个概念阶段技术

评审会在完成概念发展阶段来帮助确保技術活动和文件在概念阶段产生的正确的，一致的完整的，等技术阶段复习最好是

由技术审查委员会组成的小团队的技术专家（3-4）评审嘚工作产品应在评审委员会会议前至少2-3周向评审委员会成员提

高级网络安全战略定义为工程术语

作为网络安全过程一部分开发的工作产品嘚技术正确性，技术完整性和技术一致性的审查 可以在每个单独的分析活

动或工作产品完成时或在整个开发生命周期中的设定门检查点執行技术审查。 该审查可以由少数（例如3-4个）技术专家

的技术审查委员会完成，并且应当提前向审查委员会成员提供正在审查的工作产品或分析活动（例如两到三个 周）的技

术审查，以允许审查委员会有足够的时间审查工作产品

在概念阶段应用的分析技术，以帮助识別功能的潜在威胁并评估与已识别威胁相关的风险。 识别潜在威胁并评估与

这些威胁相关的风险允许组织优先考虑与威胁相关的后续網络安全活动，因此努力和资源可以集中在最高优先级的威胁

远程医疗和高级技术研究中心

由车辆制造商直接为给定产品指定供应商。 供应商与汽车制造商签订了直接业务协议

有可能造成伤害的情况或事件，如果在财务声誉，隐私安全或操作方面可能受到损害。

分析技术适用于指导确定一个特征的初始功能，以识别该特征的潜在威胁THROP与HAZOP类似，它考虑的是潜在

程序数据或执行更改其“信任”级别嘚边界 执行信任边界的示例将是应用程序获得增加的特权级别（例如root）的

地方。 数据信任边界是数据来自不受信任来源的点

威胁，脆弱性和风险（TVR）一个TARA方法。

如果用户尝试访问系统的某个区域则不应访问该区域。 当尝试访问该区域时他们将被拒绝访问。

一种存儲和传达信息给他人的方法

确保产品，服务或系统满足客户和其他确定的利益相关者的需求 它通常涉及对外部客户的接受和适用性以忣验证对

对产品，服务或系统是否符合法规要求，规范或强加条件的评估 它通常是一个内部过程。即验证对比

脆弱性分析技术试图茬软件和可能被攻击者利用开发的硬件来识别和分类潜在网络安全漏洞或孔。

3.100明确结构合理（WDWS）工艺

建立一个可重复的，结构化的方法來系统地识别和评估威胁并可能被利用来实现威胁漏洞，以及相应的网络安全控制

在开发过程中设计系统以防止确定的漏洞。

测试已知功能的全部信息测试详细规格和源代码在测试期间是可用的。

4. 系统安全和网路系统安全之间的关系

系统安全（超出法规要求）是系统嘚状态其不会对生命，财产或环境造成危害系统网络安全是一种系统状态，不允

许利用漏洞导致的损失如财务，操作隐私或安全損失。安全关键系统是可能对生命财产或系统环境造成损害的系统，

其不按预期或期望的方式运行网络安全关键系统是一种这样的系統，如果该系统受到系统中可能存在的漏洞的影响也许

会导致财务，操作隐私或安全损失。所有安全关键系统都关键是网络安全的洇为直接或间接对安全关键系统的网络攻击

可能导致潜在的安全损失（图1）。不是所有的网络安全关键系统都是安全关键的因为对网络咹全关键系统的网络攻击可

能导致安全损失以外的损失; 即隐私，操作或财务

这两个领域也有关系，在系统安全工程的元素和系统网络安铨工程的元素之间有一些重叠但是两个工程学科之间的元

素不相同（图2）。不是安全关键的网络安全关键系统的示例是从驾驶员获得个囚信息的娱乐系统如果这个系统被破坏，

它可能导致财务或隐私损失的驱动程序但是，它很可能不会对驾驶员造成身体伤害；因此該系统是网络安全关键的，但

不是安全关键的同时具有网络安全关键和安全关键性的系统的示例是转向辅助系统。同时具有网络安全关鍵和安全关键性

的系统示例是转向辅助系统 转向辅助系统是安全关键的，因为如果其表现出故障行为则其可能导致对车辆乘客的潜在

危害。转向辅助系统也是网络安全关键的因为如果系统被攻击者危害并且注入恶意的有意的转向操纵，则这也可能导致对

车辆乘客的潜茬危害; 在网络安全中这将被分析为潜在的安全损失。

图2-系统安全和系统网络安全工程要素之间的关系

4.1系统安全与系统网络安全工程之间的类比

系统安全和系统网络安全工程的目标彼此类似如果可能，两个工程活动的目标是茬设计中建立安全性或者在设计中

构建网络安全，而不是试图在现有设计上增加安全性和网络安全性系统工程方面在系统网络安全和系统安全方面都很重要。

然而在网络安全中，可能存在仅将问题视为仅仅遵守最佳实践（例如认证和加密）以及忽略系统工程方面的傾向。 本

节在网络安全之前使用术语“系统”来强调本建议操作中描述的系统方法到网络安全

系统安全和系统网络安全工程的过程元素吔彼此类似。 在系统安全工程过程的概念阶段执行危害分析和风险评估。

类似于此在系统网络安全工程过程中，在概念阶段执行威胁汾析和风险评估在系统安全工程过程的需求阶段，从危险分

析和风险评估中确定安全目标导向和完善安全要求同样，在系统网络安全笁程过程的需求阶段网络安全要求从威胁分析

和风险评估中确定网络安全目标导向和改进。在系统安全工程过程的设计阶段对最高风險危险进行详细的危害分析，以帮

助识别控制或安全机制以帮助消除潜在危险，或在潜在危险发生时帮助减轻后果过程元素之间的类仳继续通过产品开发

和验证。 尽管在系统安全性和系统网络安全工程之间的过程元素中有许多相似之处但是过程元素的基本应用在两个笁程

学科之间可能是唯一的。

维护安全与网络安全之间的一致性的建议包括：

在两个进程的产品生命周期中建立适当的检查点

使用风险汾析方法来帮助指导公司解决最高风险的威胁，在现有流程和论坛中建立网络安全意识和界面或通信点

识别，建立和分发安全和网络安铨之间的各种通信路径

4.2系统安全和系统网络安全的独特方面

系统安全和系统网络安全是彼此独特的。虽然系统的安全重点在分析系统的潛在危害使安全机制能够识别和集成到设

计中，以解决潜在的危害并减少与这些潜在危害相关的风险，系统网络安全考虑了攻击者的潛在威胁攻击者的目标是造

成伤害，肆虐获得财务或其他利益，或者只是为了获得臭名昭着

虽然在“危害分析和风险评估”与“威脅分析和风险评估”之间存在类比，对已识别危险的响应与对已识别威胁的响应

不同由于潜在威胁涉及故意，恶意和计划的行动它们仳潜在危险更难以解决。充分应对潜在威胁需要分析师像攻击者

一样思考，但是可能很难预测攻击者可能做出的确切移动然而预测攻擊者的移动，有助于分析人士知道什么是网络安全控

制和适当的保护对攻击者的可能行动在系统的安全性，分析人员可以更容易地识别潛在的危害确定潜在的原因，并采取

适当的行动以减轻潜在的后果，或消除潜在的危害都在一起原因是潜在危险的原因可以基于经驗，系统的知识组件和

相互作用等来确定，并且潜在原因对于特定系统可以是唯一的但是不是未知的。此外在安全方面，统计可用於声称可接

受的风险水平 然而，对于网络安全可能不是这样 对于网络安全，由于可能是网络安全分析的一部分的大量未知信息

可能需要以某种方式采用统计或统计分析技术，然而这些技术可能根本不同于可以使用的经验技术 在安全相关系统的经

危害分析和风险评估鉯及威胁分析和风险评估之间的另一个区别是，在威胁和与威胁相关的风险方面考虑了其他因素

不需要考虑危险和与危险相关的风险。茬评估潜在威胁的风险时要考虑的这些额外因素包括攻击者所需的知识（专有的或公

开可用的）攻击者的经验水平，攻击者需要访问系統的去权限攻击者对特殊设备的需求等。但是在评估潜在危害的风险

时不需要考虑这些因素。

关于系统网络安全和系统安全的另一个獨特方面是系统网络安全是一个主要关注重点在系统安全中，重点是安全关键

系统而在系统网络安全中，安全关键系统和非安全关键系统都有考虑系统网络安全考虑了安全关键系统和非安全关键系

统，因为威胁可能是非安全相关的（例如财务，隐私操作），威胁吔许可以从非安全关键系统访问安全关键车辆系统（例

如车载娱乐系统）。此外作为系统安全工程分析的一部分，任何安全状态都需偠考虑网络安全以评估该安全状态是否

可以被攻击者利用。即使利用安全状态似乎是可接受的并且不会导致安全威胁，但也应该对其進行评估以确定是否可能

导致拒绝服务的另一个功能。安全状态具有与其相关的一些潜在风险是可能的;这些安全状态可能被攻击者利用并可能导

致从网络安全角度分析的安全威胁。因此传统的危害控制是不够的，因为网络安全控制并且如所述的可以通过导致拒绝

服務或潜在的安全相关威胁造成对系统的危害。

对于详细的危险性分析和脆弱性分析分析技术可能是类似的，但方法和目标是独一无二的例如，一个详细的危险分

析技术可以利用故障树分析（FTA）同样，对于系统的网络安全威胁详细分析技术可以利用攻击树分析（ATA）。雖然方

法是相似的但是他们是唯一的。在故障树分析的分析师确定了潜在的原因顶部的危险事件，并寻找单点和多点可能会导

致顶层嘚危险随机硬件故障攻击树分析是不考虑单点和多点随机硬件故障，而是确定潜在的路径该路径是指攻击者可以

通过系统导致的最高沝平的威胁。基本目标是一样的–在故障树分析中目标是确定单点和多点可能导致前风险的随机硬件故

障所以将安全机制的添加可以检測和减轻潜在的原因，并且攻击树分析的目标是识别潜在可能被用来产生最高水平的威胁

安全漏洞网络安全控制可以确定消除漏洞或让怹们利用更多的困难。

在实施和验证/验证阶段系统安全中使用的静态代码分析是用来帮助识别直接影响主要功能性的错误。而在系统网絡

安全静态代码分析是用来确定潜在的网络安全漏洞的代码。从安全的角度来看有效或正确的代码可能仍然有网络安全漏洞

最后，一些验证/验证方法的网络安全是不同的并且比用于系统安全的验证方法更困难。例如在系统安全性的故障

注入测试进行验证，确定故障檢测和适当的响应发生但是，在网络安全有没有特定的故障可以注入或查看系统漏洞是否

被关闭。网络安全依赖于攻击（漏洞）测试、渗透测试与故障注入测试在渗透测试中，一个伪攻击者（S）试图识别和利

用系统中的漏洞这显然不是简单的故障注入测试。渗透测試也不打算以确认正确的响应（即特定的网络安全控制添加到

设计）取得相对于一个潜在的漏洞。另外传统的结构化测试的网络安全控制（这可以确认，设计满足其要求）的有效性是

不足以解决黑帽的方块类型的攻击网络安全可能会使用传统的结构化测试和渗透测试，以解决攻击者的方法的不可预测性

网络安全和安全之间的一个更普遍的区别是，网络安全风险随着时间的推移攻击者的动机和能力進行变化。这使得网

络安全特别困难因为它涉及到对技术的防御，系统被创建时可能无法理解

安全和网络安全也可能在某些情况下相互冲突,例如, 网络安全对策可以与安全要求冲突,反之亦然. 系统工程原则考

虑系统需求的整体集成,包括集成网络安全和安全要求。为了帮助保歭安全和网络安全的一致性和完整性应识别和建立安

全和网络安全之间的各种通信点。在安全和网络安全之间的产品生命周期中还应添加适当的检查点或门户审查。

5.网络物理系统的网络安全指导原则（CPS）

本节介绍的网络安全指导原则旨在为汽车行业的各种公司工作由於每个公司可能有自己的内部流程来管理其产品开发，

此推荐实践提供了一套可以由公司内的任何组织应用的关于网络安全的指导原则。以下指导原则适用于来自微软安全开发

生命周期（SDL）指导原则（3）的网络物理车载系统的网络安全以及IEEE用来避免前10大软件安全设计的缺陷（4）除

了这些指导原则，可以确定可能适用于网络安全的立法或监管要求

5.1了解您系统的网络安全潜力

了解潜在的网络安全漏洞对您嘚系统是非常重要的（例如，可以通过进行适当的脆弱性分析来识别的攻击面）系统开

发的概念阶段应考虑对这些潜在漏洞使用什么防禦。例如：

是否有任何存储在您的系统上或由您的系统传输的敏感数据和/或个人身份信息（PII）这些信息可能使您的系统成为

你的系统在車辆安全关键功能中有什么作用（如果有）？

你的系统与车辆电气架构外部的实体之间的通信或连接是什么

你的系统可以用作对另一个系统的攻击的“垫脚石”吗？

你的系统的信息（例如时序，功耗）可以用来启动边沿信道攻击进行适当的威胁分析和风险评估。

5.2了解關键的网络安全原则

以下列出了有关网络安全的关于网络物理系统的一些关键原则

保护个人身份信息（PII）和敏感数据：可以在汽车联盟囷全球汽车制造商消费者隐私保护中找到一个可以提供指导的

潜在参考来源原则（5）。存储在车辆上的PII应该受到保护并且应该控制和限淛对存储的PII数据的访问：

为客户的数据使用保守的默认访问设置。

在收集和传输任何数据之前获得负责机构的适当同意。

通过保护存储茬访问控制列表中的客户数据防止未经授权的访问。

使用“最少特权”的原则 - 所有组件以尽可能少的权限运行

应用“深度防御”，特別是针对最高风险威胁这意味着威胁缓解不应仅依赖于单一的网络安全控制，同时在系统中留

下可以被利用的、主要网络安全控制的其怹漏洞

禁止更改未经过彻底分析和测试的校准和/或软件。

防止车主有意或无意地对车辆系统进行未经授权的更改从而引入潜在的漏洞。车主可能会引入漏洞的一些方法包括：

用来改变校准设置和/或软件以获得不同的动力系性能特征的“调谐器”

来自诸如DVD，配对蓝牙手機等的设备的软件这些软件可以通过车辆的娱乐系统自动安装，而不会通知用户或告知用

户可能的风险安装的软件可能没有恶意，但昰它可能具有可能被利用的漏洞。

5.3考虑车主对系统的使用

考虑车主对你的系统的使用情况

最小化数据收集。收集特定用途所需的最低數量的个人数据并使用该数据中最不敏感的方面（例如，用户名不如社会

启用用户策略和控制允许所有者管理其车辆系统的隐私设置，并在他们希望更新/撤销时提供授权（如适用）并且

允许制造商对其隐私设置进行操作。

保护PII的存储使用和传输.确保数据使用与传达給OEM和车辆所有者的用途一致。

对收集存储和共享的数据提供适当的通知，以便业主可以对其个人信息做出明智的决定

为经销商、客户幫助热线、网站和用户手册开发适当的材料。此材料的目标是确定客户对数据隐私的期望并告知他们

系统的能力和限制，以及促进一般嘚网络安全实践

5.4 在概念和设计阶段实施网络安全

从开发生命周期的概念阶段开始设计网络安全的功能。工程师在定义系统和特性所要满足的要求时应考虑网络安全

分析威胁（即在系统外部或内部开始），以确定系统将面临的内容对于确定的威胁，发现的任何漏洞并確定适当的

实施网络安全分析（和管理工具），使工程师能够确定和配置系统的最佳网络安全级别

5.5 在开发和验证中实施网络安全

用状态評估来评估设计工作是否按计划达到网络安全的要求。对于任何不确定会达到网络安全要求的设计工作请与适

当的利益相关者合作制定計划以解决未解决的问题。

进行测试以确认在网络安全方面已经满足的要求

确保与对未来/车辆软件进行重新闪烁的机制相关的任何风险嘟被最小化或消除了。

5.6 在事件响应中实施网络安全

修订（或创建）事件响应流程包括对网络安全事件的跟踪和响应。这种事件响应流程應强调迅速响应对报告网络安全

漏洞/事件以及将有关安全更新的信息传达给受影响的人、用户和利益相关者的重要性。这些事件响应需偠记录和发布出

确定在发生事件时如何进行软件和/或校准的更新例如，如果空中（OTA）安全机制可用则该方法可以用于对校准

5.7 当车辆所囿者更改时网络安全的注意事项

当车主出售车辆时，当车辆在事故中报废、并被送去回收厂时当经销商的演示车辆需要准备销售给顾客等时，车主会

发生改变当车辆所有者发生更改时，应该：

为了保护客户和/或保护组织（例如防盗器，手机配对）需要确定车辆上是否存在任何需要擦除的软件系统或客户

当所有权更改和/或车辆寿命终止时，提供一种方法可以从车辆系统中删除个人信息。这应在车主/操作员手册或车辆

服务提供商的说明中进行注明有关清除存储介质的方法的信息，请参阅NIST特别出版物800-88“介质清洁指南”（6）

6.1 一个定义良好，结构良好的过程的动机

与系统安全一样网络安全应该内置到系统中，而不是在开发结束时添加到系统尝试将网络安全添加到现囿的系统，

或使用特定方法来识别和实施网络安全控制可能会导致：

需要有价值的有限资源（成本和工程师）来识别开发和实施的不必偠的网络安全控制。

不正确的网络安全控制

不完全或不一致的网络安全控制。

无意中插入了其他东西和未知的漏洞

没有系统可以保证100％安全。然而遵循良好定义和结构良好的过程提供了一种可以帮助减少成功攻击可能性的方法。

一个定义良好且结构良好的（WDWS）流程建竝了一个可重复的结构化的方法，来系统地识别威胁识别被用来实现威胁的

漏洞，同时提供适当的网络安全控制以便在开发期间就設计到系统中去识别这些漏洞。WDWS过程在概念阶段以及后续的生

产操作和服务的整个生命周期中都提供指导。

减少成功攻击的可能性可以被看作是降低潜在危险的可能性为了减少潜在危险发生的可能性，车辆工业在安全关键系

统的设计和开发中应用系统安全工程的原则鉯类似的方式，来减少对车辆遭遇网络攻击的可能性车辆工业可以应用系统

网络安全工程的原理来设计和开发网络安全关键的网络 - 物理車辆系统。

图3显示了从概念阶段到生产运营和服务的整个生命周期的网络物理车辆系统的整体网络安全工程的过程框架。图中

所示的生命周期与ISO 26262功能安全道路车辆标准（1）的过程框架相类似选择这种类似的生命周期是为了使基于ISO 26262

安全流程的组织在网络安全和安全之间使鼡一个共同框架，以便于：

通过利用网络安全和安全共同的组织现有安全过程的方面，来开发定制的网络安全过程例如，支持过程程序和模板

考虑到两个领域之间的相互关系，保持网络安全和安全之间的一致性

流程框架包括网络安全的管理，核心网络安全工程活动囷支持流程核心网络安全工程活动包括概念阶段活动，系统产

品开发活动硬件和软件级别以及生产，操作和维护活动支持过程活动包括适用于不同生命周期阶段的活动，如配置管理

网络安全管理包括两个方面：1.）网络安全的整体管理;2.）在开发生命周期的特定阶段管悝网络安全活动。一部分网

络安全的整体管理包括：

创建培养和维持一种网络安全文化用来在组织内支持和鼓励有效实现网络安全。

建竝帮助确保遵守已通过的网络安全工程流程的方法

在内部和外部确定和建立所需的网络安全通信渠道。

开发和实施培训和指导用来实现網络安全对网络实体车辆系统的影响

结合扩展的现场监控过程，包括监控黑客聊天（包括在线和在可能发生潜在攻击/漏洞对话的会议上）报告失败的攻

结合事件响应过程很重要，应包括攻击事件报告程序攻击事件调查，解决和操作程序

图3-整体网络安全过程框架

在概念阶段，网络安全活动的管理可能包括指派一名网络安全经理来监督网络安全活动并负责规划和监督网络安全活

动，包括制定网络安全計划

在产品开发期间，网络安全活动的管理可能包括：

开始初步的网络安全评估在整个开发过程中进行改进，并在比较关键的方面进荇审查直到达到最终的网络安全评估

识别和监督审查，以保证活动可以正确执行

任何与网络安全相关的未决问题都将被记录下来，并提出适当的后续行动如果在以前的网络安全评估中包含开放的网

络安全问题，则应在更新的评估中解决这些问题网络安全案例就是最終的网络安全问题评估。在网络安全案例中任何开

放的网络安全问题都将得到解决，或者包括说明为什么公开的问题是可以接受的并提供支持索赔的最终论点和证据。

图4显示了概念阶段的活动流程定义功能活动是定义正在开发的功能，包括识别边界和网络安全周边鉯及标识外部

依赖项和资产。定义特征阐明了未来分析活动的边界和范围良好定义的范围有助于约束未来的分析活动，从而可以更有效

網络安全生命周期的启动包括制定网络安全计划描述作为网络安全生命周期的一部分进行的活动。威胁分析和风险评

估（TARA）活动用于识別和评估系统的潜在威胁并确定与每个已识别威胁相关的风险。TARA的结果将推动未来的分析活动

聚焦未来分析最高风险的网络安全威胁。

网络安全目标是针对高风险潜在威胁确定的在最高级别，网络安全目标可能与潜在威胁是相反的;例如如果潜在威

胁是恶意制动，最高级别的网络安全目标可能是防止或减少发生恶意制动的可能性或减轻恶意制动的潜在后果。一旦为最

高级别的威胁确定了网络安全目標就可以开发一个网络安全概念来描述该功能的高级网络安全策略。

从网络安全概念和网络安全目标可以确定和推导出高级别的网络咹全要求。这些高级网络安全要求可以在产品开发阶

段进一步细化在概念阶段结束时，可以执行初步的网络安全评估以评估这种因特征所提出的网络安全状态。

生命周期的产品开发阶段包括系统级产品开发硬件产品开发和软件产品开发。

图5显示了产品开发阶段的概述以及在系统级设计阶段的产品开发与在硬件和软件级别的产品开发之间的关系。

注意：迭代发生在生命周期的许多阶段;然而这些迭代沒有为了避免过度复杂的图而被出来。

图5-系统硬件和软件级别的产品开发之间的关系

图6显示了系统级产品开发的V图。在系统级别的产品開发期间网络安全概念被改进为技术网络安全概念（即，网络安

全概念中描述的高级网络安全策略被改进为工程术语）为帮助将网络咹全概念改进为技术网络安全的概念，在有大量新信

息可用的情况下就可以执行系统级威胁分析或漏洞分析。技术网络安全要求是从高級网络安全要求和技术网络安全战略衍

可以创建一个系统环境（硬件/软件接口文档）来定义系统的硬件和软件之间的接口密钥数据流以忣系统内的存储和

处理。使用系统环境系统级技术网络安全将会对系统硬件和软件都会有一定的要求，或者两者都有一旦技术性网络咹全

要求已分配给硬件和/或软件，产品开发活动：硬件级别（6.2.3.2）和产品开发：软件级别（6.2.3.3）就可以开始（见图6）

在硬件和软件完成产品開活动后，将对执行硬件和软件进行集成和测试（图6和图7）脆弱性和渗透测试可以在集成系

统上执行，验证系统是否达到网络安全技术偠求的要求执行最终的网络安全评估，导致最终的网络安全案例最终的网络

安全审查可以在之前完成并发布生产。

图7-产品开发：系统层

6.2.3.2产品开发：硬件层

图8显示了与系统级产品开发相关的HW级别产品开发的V图图9显示了硬件层面产品开发的活动流程。硬件在系统级开

发期间将根据分配给硬件的网络安全要求来指定网络安全要求。如果适用在此阶段就可以改进技术网络安全的概念。以

下硬件设计可以通过漏洞分析来识别设计中的潜在漏洞，并帮助识别潜在的网络安全控制以解决潜在的漏洞在接下来的

硬件集成囷测试中，漏洞和渗透测试可以应用于硬件设计中可以进行网络安全评估，并完善初步网络安全评估

图10显示了系统层产品开发与软件层产品开发相关联的V图。图11显示了软件层面产品开发的活动流程在系统层开發

期间软件网路安全需求将从网络安全分配给软件指定网络安全要求。如果适用技术网络安全概念可以在此阶段进行细化。

遵循软件架構设计可执行漏洞分析以帮助识别软件架构设计中的潜在漏洞，并帮助识别潜在的网络安全控制以解决潜在的

漏洞在软件单元设计和實施之后，可以执行软件层脆弱性分析随后执行软件单元测试和软件集成和测试。在软件集成之

后验证软件网络安全要求并且可以对軟件执行脆弱性和渗透测试。然后执行网络安全评估并改进先前的网络安全评估。

6.2.4生产经营与服务

生产阶段的活动包括针对可能影响生产过程的任何网络安全相关要求的生产计划，与制造过程的特定部分安全相关要求

网絡安全相关的生产要求可能包括在现有生产计划中。系统的网络安全要求可能影响软件在制造设备中刷写到ECU上的具体

过程例如要求刷写笁具是安全的。

经营阶段包括操作和服务 服务包括正常的维护活动和维修。在操作期间对网络安全的特定要求都应该记录在相应的

文档Φ（例如，车主操作手册）关于服务，任何可能对网络安全产生不利影响的维护和修理活动应在早期生命周期阶段

确定并应指定在維护和维修过程中如何维持网络安全的适当程序；例如，维护程序和修理程序可能影响网络安全的服务

包括重新刷写ECU，连接到车载诊断端口远程信息处理系统更新，车辆/云计算接口等

操作阶段还包括执行和维护在网络安全活动中定义和建立的整体管理现场监控过程，鉯及履行在网络安全活动中定义和

建立的整体管理事件响应过程

一些支持过程活动应与作为符合ISO 26262的系统安全工程过程的一部分应用活动楿同。建议将这些流程集成到公司现

有的产品开发流程中这些包括：配置管理，文档管理变更管理等。ISO 26262中使用的其他支持流程活动可鉯针对网络

安全进行定制 这些包括：网络安全要求的管理，处理分布式开发的要求等分布式开发要求旨在确保以下内容：

供应商能够根据客户组织的内部网络安全过程开发和生产网络安全关键功能。

在供应商和客户之间建立和维护适当的通信渠道

在关键的里程碑确定適当的审查，能使客户获得工作产品

任何可能影响网络安全的变化都将被评估和同意

最终的网络安全案件得到审查和同意

供应商可能意識到的任何网络安全问题都会及时报告给客户，等等

图12显示了可能在每个主要里程碑执行的门评论。 这些包括在完成概念阶段活动时的概念阶段审查可能分阶段进行

的需求审查（例如，功能需求审查和技术需求审查包括审查在系统一级分配给硬件和软件的需求） 设计審查，实施审查

图12 -可能的里程碑和门评论

图13显示了可能在每个主要里程碑进行审查的任务。 概念阶段审查中审查可能包括审查网络安铨计划，系统定义

威胁分析和风险评估结果（包括已识别的威胁，威胁分类和网络安全目标）功能网络安全概念， 网络安全目标纳入功能

网络安全的要求以及初步网络安全评估。

需求审查可能跨越生命周期阶段包括审查功能性网络安全要求，从功能性网络安全要求妀进或衍生的技术网络安全要

求以及分配给硬件和软件的技术网络安全要求。它还包括在确定要求时进行的分析活动的审查设计审查包括影响设计和

系统设计的分析活动和结果。实施审查包括影响实施的分析活动和结果以及硬件和软件级别的实施。验证和验证审查有助

于确保根据要求进行设计和开发的系统并且网络安全控制措施是预期工作和合适的； 请注意，在某些情况下可能无法

或不可能验证囷验证所有的网络安全控制。 可以考虑使用共同的标准方法来确保进行全面的测试(7)

门评论旨在帮助确保在下一个开发阶段开始之前已经囸确和一致地执行和完成了适当的活动。这些审查可以由小的（例

如3-4人）技术专家团队来进行，这些团队应该完美地独立特征开发为叻保持功能开发的一致性和完整性，建议同样的

3-4人团队参与整个系统开发过程中的所有评审每次审查的结果可以是通过或有条件通过（需要返工）。 在退出门之前应

该成功完成门检查并进入下一阶段。一个组织机构可以选择两种可能的方式完成技术审查 一种是使用如仩所述的技术

“门”审查概念，其中审查被认为是下一阶段的门户并且在完成的开发阶段结束时执行，第二种方法是执行每个活动完成

嘚每个开发阶段期间的那些活动第一种方法（门检查方法）的一个优点是，审阅者可以遵循对于一个评论的定义描述，

分析等的进展当同时完成审查的活动时，能够更容易地识别跨越的所有不完整不一致或不正确的方面。第二个潜在优势

是技术专家只需要一次会議，而不是多次审查会议这种方法的潜在缺点是问题可能不会立即被捕获并且可能传播到下一

个活动，在给定时间内需要更大量的时间來审查多个文档并且单个会议将需要更多的时间，因为正在审查更多的活动 一

次可以通过向审查者提供审查结果的时间段，在审查之湔（例如至少两周前）提供活动的结果也许能帮助减轻第一潜在

第二种方法的潜在优点是，在每个活动完成时审查结果包括可以在传播之前更快地捕获问题并进行修复，通过审查单

个记录的结果而不是审查所需的更少的时间来准备审查 多个结果单个文件的审查会议也將缩短。这种方法的主要缺点是

当结果被单独审查而不是集体审查时，结果之间的连续性可能会丢失因此，为了彻底审查者将需要偅新审查以前的结果，

以检查整个结果的完整性一致性和正确性。这消除了较少准备时间的优点由一个组织来决定关于评论的最佳方法。它可

能是有益的因为一个组织正在加速与网络安全和网络安全过程，开始使用第二种方法和过渡到第一种方法能够在网络安全

如第4嶂“网络安全过程概述”所述网络安全整体管理的一部分包括：

创建，培养和维持一种支持和鼓励在组织内有效实现网络安全的网络安铨文化

建立方法以帮助确保遵守已通过的网络安全工程过程。

在内部和外部确定和建立与网络安全相关的所需通信渠道

开发和实施培訓和指导，以实现网络安全对网络物理车辆系统的能力

结合现场监控过程，包括监控黑客聊天（包括在线和在可能发生潜在攻击/漏洞对話的会议上）媒体文章，报告失败

结合事件响应过程包括攻击事件报告程序，攻击事件调查解决和操作程序。

本章将更详细地描述這些概念

组织内的网络安全文化是一种组织文化：

提出了保持领先于潜在威胁的组织目标。

将处理最高风险威胁作为优先事项

通过以丅方式在组织内创造，促进和维持网络安全文化：

开发和遵循全球网络安全流程实践，工具和方法

培训员工以正确的方式设计和思考網络安全。

如果攻击成功通知管理层对组织的攻击动机和潜在的不利影响。

针对网络安全漏洞解决方法和产品介绍（例如定义的威胁，理由基准[如果适用]，公司影响利弊，实施影响[组/

产品受影响]和时间）制定商业论证

在产品开发组织中的网络安全主题冠军。

7.2测量與网络安全过程的一致性

在整个产品开发生命周期中应遵循网络安全过程 通过这一过程，被确定为具有较高风险的威胁可能需要额外的戓更

严格的分析 该处理如下所述。

目标是一个整体过程组织监测“日常事件”，并警告和通知那些需要知道确定最大风险的威胁，汾析数据计划升

级，维护系统确保符合标准和法规，响应 到网络安全问题并且始终在监控新技术。

基于风险水平流程实施将有更哆或更少的严格性。 一些活动可能包括：

确保符合公司内部网络安全流程和要求

在每个发展里程碑进行技术审查。

执行审核以确保过程遵循

提交性能和验证/验证计划。

7.3识别和建立通信信道

应明确组织结构使用适当的通信渠道。组织应该知道如何通信：

向相关团体和组織发布新的媒体文章和活动

个人（内部和外部）报告事件的过程。

公司根据其供应商和/或车辆制造商报告事故的过程

处理和响应政府，媒体公众和内部查询的流程（和专门小组）。

公司内部的内部组织结构让员工知道什么人去对任何类型的网络安全问题或问题。

7.4制萣和实施培训和指导

授权组织中的员工识别共同的威胁可以有益于组织的网络安全健康 网络安全意识和培训教导员工了解业务运营和产

員工应该意识到所有产品和流程都有漏洞。

应该进行调整的威胁分析和风险评估以指导资源用于何处。这种调整的威胁分析和风险评估應在新功能/产品的开发

早期发生因为在产品生命周期的后期修复任何问题更昂贵。

指导应该由经验丰富的网络安全工程师进行

分享网絡安全最佳实践和组织洞察，了解真正有用的内容

鼓励在无威胁的环境中公开交流思想和问题。

持续强调数据和产品网络安全的关键性質员工有责任意识到并将其建设到他们的设计中。

将网络安全意识酌情纳入现有流程和论坛

提供关于网络安全过程的持续培训以及如哬实施。

提供持续的技术网络安全培训课程以提高个人工程能力。

告知员工网络安全设计和评估工具并使他们了解行业标准和最佳实踐。

从以前的产品中重复学习漏洞进入新的和未来的产品。

7.5.1事件响应过程

被计划组织的方法处理影响车辆车队或车辆制造商/供应商基礎设施的任何网络安全事件。一个团队应该初步审查报

告的事件以确定潜在的影响和准确性。 如果报告的事件被认为是准确的并且具囿高级别的重要性，则团队应调查此问

题以确定更多细节将正确的团队集中在一起以确定总体影响，并最终确定必要的更改（如果有）以减轻/ 消除问题。 应

监测事件响应的及时性和适当关闭 应该生成事件的详细记录，捕获/收集取证数据和采取的预防措施

7.5.2现场监测过程

一个计划和方法应该用于报告网络安全事件的潜在通信路径。一旦向公众提供系统车辆，车队和/或车辆制造商/供应

商基础设施就需偠现场监测。通知可能来自客户执法机构，保险公司媒体，供应商等如果事件发生，应该有清楚和

容易的指示如何去向汽车制造商报告事件。 而且应该有一个小组来检索这些通知

目标是一个整体过程，组织监测“日常事件”以及那些需要知道的警告和通知，确萣最大风险的威胁分析数据，计

划升级维护系统，确保符合标准和法规响应 网络安全问题，并且始终用新技术在监控

注：2015年，启動了汽车信息共享和分析中心（ISAC） 范围涉及轻型道路客车车辆电子和相关网络。 这可以是与汽

车行业相关的网络安全事件的快速信息的叧一个有价值的来源

本文档中描述的网络安全过程可以与具有两个过程之间的集成通信点的系统安全工程过程分开应用，或者可以更紧密地

集成网络安全和系统安全过程由组织决定如何最好地实施和应用这两个过程。这两种类型实现的一些优点和缺点在本节中

描述甚臸可以采取第三种混合方法，其中有一些共享的过程和安全的步骤以及一些网络安全特有的安全不管组织选择哪

种实施方式，如果网络咹全过程是从组织现有的安全过程定制的并且过程彼此类似（共享一个共同框架），则可以通过已

经在网络安全过程 所实施的行动开发網络安全过程例如，针对安全过程开发的支持过程可以容易地定制并适应于网络安

全过程同样，针对安全过程开发的模板可以针对网絡安全过程进行定制; 例如来自安全过程的安全计划可以容易地针对

网络安全过程的网络安全计划定制。此外为安全而开发的现场监测囷事件响应过程将根据需要进行修订，以便为网络安全

工作来自安全过程的许多其他可能的活动和模板可以被定制和适应到网络安全过程中，以便于在具有现有安全过程的组织

内创建实现和应用网络安全过程。

8.1将集成通信点单独应用于安全过程的网络安全过程

网络安全過程可以与组织的安全过程分开开发实施和维护。这种方法的一些优点是尽管两个领域（网络安全和安全）

从流程的角度来看具有类姒的活动，但活动是不同的并且可能影响不同的领域（例如，网络安全通常影响信息娱乐这通

常是不受安全影响的领域），并需要不哃类型的专业知识考虑到根据结构良好且定义明确的过程在每个域中开发系统可能

是资源密集的，可能有利的是使两个活动与根据它們各自的过程工作的单独的技术专家分开。这种方法的一个缺点可能是

增加资源需求因为每个域需要单独的资源。然而由于所有安全關键系统都是网络安全关键的，并且网络安全漏洞可能导

致违反安全目标因此有必要保持网络安全和安全之间的一致性和完整性。

图14至圖17显示了产品开发生命周期的每个阶段的结构和良好的网络安全过程活动以及网络安全活动与类似安全过程

中的安全活动之间可能的通信联系。另一个重要方面是除了如图所示的团队之间的通信之外，重要的是两个团队与设计

过程的同步发生。例如在这两种情况下，所有要求应该在设计验证开始之前解决以便可以进行基于需求的测试。

识别带功能的信息安全需求

信息安全与安全过程的路径

图14概念設计阶段信息安全与安全活动的潜在联系

信息安全与安全过程的路径

针对技术信息安全概念重新

定义带功能的信息安全概念

产品硬件层开發产品软件层开发

硬件集成与测试硬件集成与测试

确定硬件层信息咹全需求

图16.在硬件级别产品开发活动与潜在的之间的通信路径网络安全及安全活动

开始产品系统软件层开发

指定软件层信息安全需求

图17.在軟件级别产品开发活动潜在的之间的通信路径网络安全及安全活动

这种类型的应用程序是一个紧密集成的网络安全和安全的过程因为网絡安全的过程描述在此推荐的做法是基于ISO

26262的过程框架,紧密地集成这两个过程仅仅意味着包括网络安全活动为每个产品生命周期阶段,本文档Φ描述的对应每个

产品生命周期阶段的活动中所描述的安全过程。这些活动的集成可能是通过保持独立的网络安全和安全活动,但与执行这些

活动彼此相同的团队,或并行的活动可能是通过开发一个集成技术覆盖同时安全及网络安全一个例子是开发一种技术来执

行风险分析和風险评估和威胁分析和风险评估同时使用一个集成的模板和方法。一个紧密集成的过程对网络安全和安全一套

公共资源的优势,因此, 需要额外的资源更少然而,由于活动需要不同的技术专长和活动是资源密集型的,它可能不是可行

的,期待一个专家小组能同时执行网络安全和安全任务。

图4显示了概念阶段的活动每个活动所示框图将会在这部分描述。

功能定义定义了网络安全的系统开发过程将被应用这个功能定義将会标识出物理边界、网络安全边界和信任边界的特

征,包括网络边界的功能。这个特性非常重要,因为它定义了定义的范围的功能分析活动进行描述的功能仅限于定义中定义

8.3.2信息安全生命周期开始

这是信息安全周期功能的开始，包括开发网络安全计划（也就是说, 活动将进荇网络安全生命周期的一部分功能,谁负

责的活动, 开始日期、结束日期、状态等）信息安全计划可能是一个简单的电子表格,或者它可能是┅个计划项目等。这

一阶段的重要组成部分是在信息安全的环境下来进行功能设计及开发

如果有修改功能,以前发达根据组织的信息安全嘚过程, 一个可以执行影响分析,以确定哪些方面的功能受到影响,是否

修改会影响网络安全。在修改功能的情况下,只有修改可能产生不利影响信息安全会执行定制的过程修改功能开发之前没

有一个信息安全的过程, 应该遵循组织的信息安全的过程。

8.3.3威胁分析和风险评估

威胁分析囷风险评估(TARA)识别威胁和评估风险和识别的威胁的剩余风险威胁分析和风险评估的结果将驱动整个信息

安全活动过程。识别和评估的潜在威胁所确定的威胁风险,允许将宝贵的资源应用于风险最高的潜在威胁此外,自重点是最

高风险的潜在威胁,威胁分析和风险评估促进最具价徝的网络安全的识别控制在应用程序的更详细的分析技术。

威胁分析和风险评估由三个组件或步骤:

1.威胁分析(威胁识别)的识别系统或组织的潛在威胁 (利益相关者)

2、风险评估(威胁分类)进行评估,因此,风险的分类, 一个特定的威胁。

3、风险分析——威胁排名根据风险水平和决定是否戓不相关的风险与一个特定的威胁是在一个可接受的水平,或者降低

危险分析、风险评估的组件考虑一个潜在的攻击系统造成严重性的结果嘚可能性和一个潜在的攻击的可能性一个潜在

的攻击的可能性被成功地执行通常被称为“攻击潜力”。攻击的潜在可以定义不同根据威脅分析和风险评估方法通常,攻

击可能会考虑很多不同的因素,包括运行时间(时间确定一个漏洞,开发一个攻击,和山攻击成功), 专家的专业知识、知识的

系统调查,网络安全对策控制窗口的水平的机会(访问系统),和设备要求。

如果风险分析识别威胁有一个不可接受的风险水平,然后定义┅个信息安全的过程推荐的做法可能是识别风险减少措施

可能应用于减少风险的威胁一个可接受的水平这些网络安全控制风险降低措施。来确定风险降低完成一个可接受的水平,

重新评估风险的威胁可能是考虑到信息安全完成控制应用于风险降低到可以接受的水平

可能有鈈同的标准来确定可接受的风险等级，如根据危险分析、风险评估方法或使用在一个特定的组织的鉴定可接受

的风险等级分类可能基于特定威胁的风险分类。例如,如果风险评估和分类根据I-IV的规模IV是最高风险和I是最低的风险,

一个组织可能决定确认威胁与风险分类 I和II是可以接受的,而威胁的风险分类III和IV是不能接受的,需要适当的网络安全

控制来确定风险降低到可接受水平的I和II。这是离开一个组织确定哪些危险分析、风险评估方法是适合他们的目的,并确定

一个基于危险分析及风险评估方法的可接受的风险水平

威胁分析和风险评估的目的是确定潜茬威胁的特性,评估相关的风险每个确定潜在的威胁,威胁进行分类和确定风险是

否在可接受的水平或风险削减措施是必需的。风险分类允许威胁被优先考虑组织可以根据最高风险的威胁来分配自己的资

源。附录A提供了各种威胁分析和风险评估的概述方法来帮助一个组织决定哪种方法最适合应用在他们的组织

8.3.3.1确定网络安全目标

网络安全的目标是最高水平的网络安全需求,包括实现网络安全的目标的特性。网络咹全的目标是基于威胁分析和风险

评估的结果决定的一旦风险最高的潜在威胁识别、网络安全的目标是确定每个风险最高的潜在威胁。網络安全的目标可能

是去阐述什么是要去避免的,或什么是无关至要的危险例如,如果一个潜在的威胁是恶意的意想不到的转向,这种潜在的威

胁可能的网络安全目标表示为避免或防止恶意意想不到的转向。单个潜在的威胁可能有多个网络安全的目标,以及多个潜在

威胁可能有相哃的网络安全的目标网络安全目标及其相关的风险是用来确定实现网络安全系统的高层战略。

8.3.4网络安全概念

网络安全的概念是一个高层佽的描述获得网络安全策略的特性在这个阶段，网络安全的概念可能包含根据危险分析及

风险评估所确定的高级网络安全目标每个网絡安全的目标相关的风险,和一个潜在满足网络安全的目标的高层策略。这一

策略为解决网络安全的目标可能是依赖于与网络安全的目标相關潜在威胁的风险一个组织可以创建一个模板的高层策略不