[发明专利]一种智能网汽车信息安全风险评估方法及系统

权利要求书

1.一种智能网汽车信息安全风险自动化评估方法，其特征在于，包括以下步骤：

S1：建立汽车安全风险评估模型标准库，及建立支持风险评估所需数据库，其中所需数据库包括资产分类库、威胁场景库、脆弱性基础库、攻击路径库、缓解措施库、测试用例库和资源关系库；

S2：基于所选择的风险评估模型标准，对评估对象进行资产识别评估以获得资产清单，基于资产清单进行威胁场景分析以获得威胁场景清单，基于所述威胁场景清单进行资产脆弱性分析以获得脆弱性分析清单，基于所述脆弱性分析清单来进行攻击路径分析以获得可能攻击路径清单；

S3：基于所述资产清单和所述威胁场景清单进行影响严重性风险评估，基于所述攻击路径清单来进行攻击可能性评估；

S4：基于所述影响严重性风险评估的结果和所述攻击可能性评估的结果来获得最终的风险评估结果。

2.根据权利要求1所述的一种智能网汽车信息安全风险自动化评估方法，其特征在于，所述S2中对评估对象进行资产识别评估以获得资产清单的方法包括以下步骤：

S201：按照数据、软件、硬件、服务、人员、其他资产六方面对资产进行赋值和识别；

S202：根据机密性、完整性和可用性的要求对资产的机密性、完整性和可用性以赋值，并且每个赋值均包括很高、高、中、低四级；

S203：根据机密性、完整性和可用性的赋值对资产进行资产重要性评估以获得资产清单。

3.根据权利要求1所述的一种智能网汽车信息安全风险自动化评估方法，其特征在于，所述S2中基于资产清单进行威胁场景分析以获得威胁场景清单的方法包括以下步骤：

S211：确定已识别资产可能发生的威胁场景；

S212：确定各威胁场景的威胁因子属性及数据类型；

S213：关联评估对象以支持各个威胁因子的数据录入；

S214：基于录入数据，结合威胁场景库数据进行分析，输出威胁分析数据，并将数据放入消息队列；

S215：对修改或者删除已录入的威胁因子数据，自动触发威胁分析，并重新计算入库，放入消息队列。

4.根据权利要求3所述的一种智能网汽车信息安全风险自动化评估方法，其特征在于，所述S211中威胁场景的识别从仿冒、篡改、抵赖、信息泄露、拒绝服务、提权六个维度进行识别。

5.根据权利要求3所述的一种智能网汽车信息安全风险自动化评估方法其特征在于，所述S212中威胁因子包括软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖。

6.根据权利要求1所述的一种智能网汽车信息安全风险自动化评估方法，其特征在于，所述S2中基于所述威胁场景清单进行资产脆弱性分析以获得脆弱性分析清单的方法包括以下步骤：

S221：对资产脆弱性分析的对象进行识别，其中识别对象包括：网络结构、系统软件、数据库软件、应用中间件、应用系统、技术管理和组织管理；

S222：基于所述威胁场景清单分别对识别对象进行分析；

S223：基于威胁场景清单及识别对象的分析结果对所述资产脆弱性清单赋值以等级划分，其中赋值包括很高、高、中、低、很低五种。