第14期2018年5月No.14May ,2018
邵学彬,靳一洲
(中国汽车技术研究中心,天津300300)
引言
随着汽车向电动化、智能化、网联化和共享化的方向转型发展,汽车软件安全问题日益凸显,汽车行业面临着严峻的安全挑战。2015年7月,为防止黑客通过互联网远程控制操控车辆,菲亚特克莱斯勒美国公司宣布召回140万辆信息安全隐患汽车,有Dodge ,Jeep ,Chrysler 等车系;2015年,360公司宣称破解了比亚迪汽车云服务;2016年,腾讯科恩实验室宣布利用安全漏洞对特斯拉进行无物理接触远程攻击,实现了对特斯拉驻车状态和行驶状态下的远程控制[1]。
赛拉图轮胎为了构建全面高效的智能汽车信息安全体系,汽车信息安全漏洞标准的推出势在必行。本文借助通用漏洞评分系统(Common Vulnerability Scoring System ,CVSS )中对于漏洞的划分标准,对汽车信息安全漏洞的类型划分、评价指标和等级划分方法进行研究,提出了对应的评价标准。1CVSS 分析1.1概述
CVSS 是一个行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。它的主要目的是帮助人们建立衡量漏洞划分类型和严重程度的标准,使得人们可以比较漏洞的严重
程度,从而确定处理它们的优先级。
CVSS 由3个评价指数组成:基本评价、生命周期评价、环境评价。CVSS 得分基于3个评级指数的测量结果进行统计,这些测量维度被称为量度。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常为高危漏洞,得分4~6.9被称为中危漏洞,得分0~3.9的被定义为低危漏洞。
1.2通用漏洞评分要素
新能源汽车发展趋势>车展门票通用漏洞评分系统包括基本评价、生命周期评价、环境评价3个评估要素,评估要素下面包含多个影响因子基本评价评估要素包括:攻击途径AV 、攻击复杂度AC 、认证AU 、机密性影响C 、完整性影响I 、可用性影响A 6个因子;生命周期评估要素包括:利用代码E 、修正措施RL 、报告可信任度RC 3个因子;环境评价要素包括:影响程度CDP 、目标分布TD 、安全要求CR 3个因子。所有影响因子整合组成了CVSS 的评估要素。2汽车漏洞分析
2.1汽车漏洞类型划分全新哈弗h5开启预订
通过对整车信息安全进行研究,参考CVSS 对于漏洞的类型划分标准,将汽车漏洞划分为七大类型:总线漏洞、ECU 漏洞、T-box 漏洞、IVI 漏洞、云平台漏洞、APP 漏洞、无线电漏洞。
雪佛兰乐驰1.0报价
在总线方面,存在发动机和BMS 拒绝服务、篡改动力ECU 、欺骗车身ECU 、总线信息披露、欺骗舒
适ECU ,获取ECU 开发权限等问题;在ECU 方面,存在动力ECU 敏感信息泄露、汽车升级可利用漏洞等问题;在T-box 方面,存在敏感信息泄漏、T-Box 与车内总线交互逻辑泄漏、T-Box 与云端通信接口泄漏、车机升级可利用漏洞等问题;在IVI 方面,存在访问控制、设备内存泄漏、设备物理接口故障、网络通信漏洞等问题;在云平台方面,存在弱口令、API 接口泄露、漏洞执行权限等问题;在APP 方面,存在APP 交互的域名与接口数据泄漏、车主手机号等敏感信息泄漏、越权获取对车辆控制等问题;在无线电方面,存在设计策略,滚动码加密不严格等问题[2]。
作者简介:邵学彬(1986—),男,山东菏泽人,工程师,硕士;研究方向:汽车信息安全。
江苏科技信息
Jiangsu Science &Technology Information
基于HEAVENS 模型的汽车行业漏洞等级划分研究
摘要:智能网联化给汽车行业带来了新的发展方向,同时也带来了威胁。传统互联网有着成熟的漏
洞等级标准,但汽车行业暂无信息安全标准的制定,制约了汽车行业的发展。文章参考CVSS 通用评分系统,基于HEAVENS 模型对汽车漏洞类型和评估指标进行了研究,为汽车行业漏洞划分标准的制定提供参考。关键词:汽车信息安全;CVSS 系统;HEAVENS 模型;漏洞等级中图分类号:U46文
献标识码:A
-什么导航仪好
-75