汽车安全威胁分析与风险评估技术及缓解方法

摘要

车辆无线连接以及应用程序之间增强的互联性可能会增加网络犯罪、攻击者甚至恐怖分子利用汽车的风险。此外，随着自动驾驶技术的发展，车辆系统的自主性不断提高，使得车辆漏洞造成的破坏更为严重。智能互联汽车所面临的这些多样化、多维度问题，不仅会威胁到人身安全和隐私，还会影响国家安全。鉴于上述情况，多个国家已提出加强车辆安全的法规和指南。汽车制造商也高度重视提高其产品的安全性。本研究在深入分析汽车行业风险及漏洞评估技术的基础上，旨在完善安全机制。

1.引言

为提供汽车安全防护，已提出多种安全解决方案。遗憾的是，当前的安全防护措施大多仅针对特定安全风险提供被动或单一防护，因此安全漏洞难以得到快速解决。TARA（威胁分析与风险评估）技术通过识别潜在的安全风险和漏洞，有助于在流程早期发现可能的威胁，并为选择缓解策略提供理论依据。

此外，关于汽车行业中 TARA 策略和工具的相关信息较为有限，也缺乏关于如何从理论上应用有效对策来应对相关威胁的探讨。本研究旨在全面调查汽车行业近期与 TARA 相关的研究成果，分析当前汽车行业已采用的 TARA 技术，总结所提出方法的特点，并介绍标准的 TARA 技术。

1.1 威胁分析与风险评估方法（TARA）

在智能互联汽车制造领域，TARA 目前仍处于发展初期。通过漏洞评估和风险分析，此类智能互联汽车的信息物理系统能够以最低成本将感知到的攻击总体漏洞降低到可接受水平，进而提高汽车的安全性。风险分析和风险评估的流程如图 1 所示。TARA 主要包括三个步骤：

· 漏洞评估：负责识别与特定汽车基础设施相关的潜在威胁。

· 风险评估：能够对已发现的漏洞进行分类和分析，并确定相关风险。风险评估会根据风险等级对风险进行排序，判断特定威胁带来的风险是否合理，以及是否需要采取风险降低措施。

· 清单制定、分类流程、规划流程、文档编制、变更审查

TARA 方法主要分为两类：基于公式的方法和基于原型的方法。基于公式的方法是指主要利用统计数据、文本或方程式进行系统风险评估和风险分析的技术。

根据所解决的不同问题，基于公式的方法可进一步分为三类：基于资产的方法、基于漏洞和威胁的方法以及基于攻击者的方法。基于模型的方法是漏洞分析技术的一种，它利用流程图、图表和树状建模等多种系统对网络的风险和威胁进行建模与分析。根据所处理问题的不同，基于模型的方法可分为基于图的方法和基于树的方法。基于模型的方法通过多种手段分析系统漏洞，具有较高的真实性，其定量分析结果更准确，且可重复性更强。然而，这些方法的复杂性使其理解和应用难度较大。后续章节将详细介绍 TARA 方法的分类。

图1、威胁分析和风险评估程序

2.基于公式的方法

2.1 基于资产的方法

基于资产的方法是汽车行业中最常用的 TARA 策略。这类方法首先确定当前遭受攻击的最终目标资产，然后全面排查可能危及该目标资产的所有潜在攻击路径和攻击向量，因此也被称为自上而下的方法。OCTAVE 方法于 1999 年由 CERT/CC 推出，是目前应用最广泛的 TARA 技术之一。

OCTAVE 方法将评估分为三个阶段，旨在让组织员工充分了解企业的网络安全需求，在这些阶段中，会对管理问题和技术因素进行评估与讨论。OCTAVE 方法被描述为一种融合资产、风险和暴露评估的评估技术，它使管理层能够利用评估结果选择合适的策略，并对需要解决的威胁进行排序。此外，该方法还会考虑云服务提供商的使用情况及其对实现组织目标的贡献。图 2 展示了 OCTAVE 方法进行风险分析的阶段。

图 2、OCTAVE 方法的阶段

OCTAVE 结合了计算环境下的互联技术配置，提供了一种可重复、灵活的方法，可根据不同企业的需求进行调整。EVITA 方法是一种基于资产的漏洞评估技术，它提供了一种经济高效的网络安全策略，能够在车辆通信的架构设计、验证或原型设计等多个发展阶段提供全面的安全保障。EVITA 方法会对网络中的每一项资产进行威胁评估，然后根据攻击发生的可能性和造成的损害程度确定风险等级，并对风险进行评级。对于高风险，可采用 EVITA 风险评估方法进行重点评估，通过对已识别的潜在威胁按风险等级排序，将评估重点集中在风险等级最高的威胁上。

SGM 方法使非安全专业人员能够快速、轻松地识别资产和防护目标。该方法生成了十个参考术语，包括准入、断开连接、延迟、移除、暂停、拒绝、触发、纳入、重置和操纵。它提供了一种可定制的认证协议，该协议在设备的整个生命周期内具有可控性和适应性，且基于策略的认证流程可根据特定使用场景的安全目标进行调整。原始设备制造商（OEM）通过基于规则实施安全要求，可避免过度依赖外部供应商的安全承诺。部署策略能够确保硬件按照原始设备制造商的预期运行。例如，若设备在制造后发现重大漏洞，导致安全规格发生变化，原始设备制造商可提供安全规格更新。与其他一些基于资产的方法能够进行定量威胁分析不同，上述漏洞扫描方法侧重于对暴露程度的定性分析。

TVRA 可根据攻击发生的可能性以及攻击对网络造成的影响，确定系统的风险等级。它能够对网络资产风险进行定量评估，并提供详细的安全防护措施清单，以降低管理复杂性。US2 采用简单的统计方法，同时评估安全风险和威胁，有效确定安全防护需求。

2.2 基于漏洞的方法

与基于资产的方法类似，基于漏洞的方法是一种自下而上的 TARA 方法。这类方法从系统中已发现的漏洞入手，分析该漏洞可能导致的其他更严重的缺陷和故障。CVSS（通用漏洞评分系统）是行业公认的标准，用于评估漏洞的重要性和需要响应的严重程度。

CVSS 的核心目标是帮助建立评估漏洞严重程度的标准，以便对漏洞的严重程度进行比较，并确定修复的优先级。CVSS 评分基于对多个被称为指标的变量的测试结果，包括三种不同类型的评分：基本评分、时间评分和环境评分。FMVEA（故障模式、影响及漏洞分析）通过基于 FMEA（故障模式与影响分析）扩展安全特性，成为一种保障安全与防护的协同分析技术。它采用风险分类来分析安全特性是否失效，并通过故障模式分析元件的质量参数是否失效。通过识别风险因素，可估算风险模式的发生频率，而风险模式发生的可能性则取决于潜在攻击者和漏洞情况。

CHASSIS（汽车安全与安保集成系统）建模方法将整个流程分为两个部分，明确了可用性、安全性和防护的目标。第一阶段主要制定性能要求，以整合安全和防护标准；第二阶段则实施安全和防护标准。该阶段将依靠网络安全行业专家的集体知识，提出可能的滥用场景，作为全面研究结果的重要依据。这意味着 CHASSIS 评估方法包含多个主观因素。

通过汽车 FOTA（远程在线升级）应用场景，从抽象级别、重复分析的准确性、评估工件的可重用性、评估背景、风险等级的适用性以及对动态环境的灵活性六个标准对 FMVEA 和 CHASSIS 两种方法进行评估。此外，NIST SP 800-30《信息技术系统风险管理指南》中提出了一种分九个连续阶段进行风险评估的方法。

2.3 基于攻击者的方法

基于攻击者的方法是一种分析入侵者的风险建模方法。它通过考虑攻击者的专业知识水平、可能的攻击手段、攻击目标以及未来攻击的资源可获得性，对系统进行漏洞评估和威胁评估，从而从攻击的根本原因出发对风险进行描述和分析。SARA（安全评估与风险分析）是另一种适用于具备自动驾驶系统的汽车的安全漏洞评估方法，它综合考虑了安全专家的观点、新兴威胁类别、网络入侵、资源映射以及攻击树描述等因素。此外，SARA 引入了一个新的参数，在计算风险等级时将操作员或自动驾驶汽车技术的可预测性纳入考量。SAM（安全抽象模型）通过对汽车安全建模基础进行抽象描述，将安全实践与基于模型的需求工程紧密结合。威胁代理风险管理方法分为六个阶段，旨在识别互联汽车的关键漏洞，该方法由 TAL（威胁代理库）、MOL（方法与目标库）和 CEL（常见暴露库）组成。威胁代理风险评估能够生成一系列可能的攻击，并根据其发生的可能性进行评分。遗憾的是，威胁代理风险评估方法相对较新，除英特尔安全公司提供的少量信息外，几乎没有相关配套资料。

2.4 基于图的方法

基于图的方法通过终端和单向连接构建而成。利用基于图的方法可以表示每个组件模块之间直接的数学统计关系，从而简化系统的定量风险评估。STRIDE 模型由欺骗（S）、篡改（T）、否认（R）、信息泄露（I）、拒绝服务（D）和权限提升（E）六个部分组成。STRIDE 方法已在信息技术行业广泛应用，并被证明能够有效识别和评估可能出现的问题，显著降低网络被攻击的可能性。由于其出色的效果，STRIDE 方法正逐渐被应用于其他行业。

SAE J3061 标准明确倡导将 STRIDE 方法用于车辆数据保护。除 STRIDE 方法外，PASTA（攻击模拟与威胁分析流程）是一种七阶段风险分析技术，在软件分解层仅使用数据流图。LINDDUN 方法通过六步分析，保护平台的数据机密性和隐私性，利用基于数据流图的增量开发组件来分析和发现各种风险。VAST（可视化、自动化和简化威胁建模）方法可扩展用于大规模风险模型评估。

2.5 基于树的方法

基于树的方法能够表示和描述组件之间的关联及其组织关系。攻击树模型是这类方法中最具代表性的一种，它可以解释系统面临的威胁并展示攻击路径。攻击树分析是一种利用树状结构进行漏洞评估的技术，图 3 展示了攻击树的基本结构。

关注事件代表攻击目标，攻击目标下方的节点代表所有可能导致攻击目标发生的事件。这些事件之间的逻辑关系可通过 "或" 门和 "与" 门建立。攻击树分析可采用自上而下的方式，即先确定攻击目标，然后据此排查所有可能的攻击路径；也可采用自下而上的方式，先分析潜在的攻击面，再据此检查安全漏洞。

遗憾的是，传统的攻击树分析方法在处理大型系统的漏洞评估时，需要手动生成多种攻击可能性。新漏洞可能被利用以及车辆技术被攻击的概率增加，这是许多原始设备制造商无法接受的。为解决攻击树评估的这一缺陷，已开发出一种针对恶意软件威胁的汽车网络攻击森林自动生成技术。通过模拟环境，该系统能够动态确定攻击者与目标资源之间的最佳攻击路径。

图 3、攻击树的基本结构

即使在最坏情况下，该方法也能在短时间内完成大型平台的风险分析和漏洞评估，这对于经常需要对车辆系统进行大规模风险分析的原始设备制造商来说尤为有利。RISKEE 方法通过在攻击树分析的基础上引入概率密度函数，实现了对安全风险的定量评估，同时采用 RISKEE 传播算法通过正向和反向两种方式计算风险。此外，BDMP（布尔逻辑驱动的马尔可夫过程）方法通过对故障树和攻击树评估的分析，扩大了风险描述的范围。然而，BDMP 方法并不适用于风险分析和风险评估的初始阶段。

如前文所述，近期的漏洞暴露表明，汽车的几乎所有互联组件都存在多种风险：为保护租赁车辆中通过汽车访问第三方服务和设备的外部连接安全，汽车制造商现在充当本地互联网注册机构，管理着一系列 IP 地址、证书和凭证监控系统。现代汽车通过运行 Linux 系统的桥接网关实现对第三方服务的远程访问，并在生产线末端（EOL）制造过程中，为每辆汽车的网关服务器配置独特的原始密钥和凭证。

除网关基础设施外，汽车还提供多种其他机制来处理车载功能，包括特定的车对万物（Vehicle2X）路由协议、无线局域网（WLAN）、蓝牙、车载诊断（OBD）接口及相关功能。

这些连接特性扩大了现代汽车的攻击面，使其更容易受到外部攻击。在这种多层攻击中，攻击者利用外部连接中的漏洞控制汽车的车载系统，最终导致非预期的行驶状态。该攻击策略的步骤如下：

1. 信息泄露：在初始阶段，黑客针对相同型号和制造商的汽车准备攻击。通过 OBD 接口，黑客能够拦截汽车网络通信，获取网络通信的某些特征（即消息目录的部分内容），甚至可以定位汽车制造商的 IP 地址集群。在后续攻击中，通过监听目标车辆与管理人员手机之间的通信，获取目标车辆的精确 IP 地址。

2. 权限提升：黑客随后利用 Linux 网关防火墙中的重大漏洞获取管理员权限，从而进入汽车的网络基础设施。此时，黑客可通过网关向内部网络环境发送恶意指令，并在网关上安装恶意程序。

3. 欺骗：最后阶段，黑客运行预先在网关上植入的代码对汽车发起攻击。该代码向汽车的本地网络发送包含恶意链接的消息，同时伪装成合法的自动转向指令和车速数据。初始攻击阶段获取的消息结构被用于伪造的 IP 地址，以模拟其他公共交通设备的行为和通信。例如，在汽车以较快速度行驶（即驾驶员行驶速度超过 5 公里 / 小时）时，通过伪造的车速数据，欺骗转向控制单元（SCU）接受来自停车辅助控制单元（PACU）的转向指令。

3.汽车安全相关的ISO 26262标准

ISO 26262《道路车辆 - 功能安全》是关于新车辆中电气和 / 或电子设备安全要求的国际标准。该标准遵循 ISO 31000 的理念，是一种基于风险的标准，也是适用于所有行业的基于风险的检验测试标准 IEC 61508 的具体应用。该标准通过采用主观的 HARA（危害分析与风险评估）技术处理危害运行状态的可能性，规定了预防或减轻系统性故障影响的安全流程。从流程角度来看，该标准遵循汽车的 W 型生命周期，为硬件和软件组件设定了两个 V 阶段。在概念阶段进行的 HARA 会识别出重大风险，并通过对运行环境等级、可控性程度以及造成伤害的严重程度的评级系统来评估相关威胁。风险评估采用汽车安全完整性等级（ASIL），从 A 级到 D 级（D 级为最危害等级）。该标准为低漏洞技术规定了流程改进措施，概述了开发初期的基本网络安全原则，但未包含处理特定网络安全威胁、生产后阶段、拆解阶段或车辆计算机安全的严格指南。

3.1 汽车网络安全相关的 ISO 21434 标准

ISO 21434 标准旨在促进汽车行业在网络安全关键问题上达成行业共识。该标准将取代 J3061 实践指南，并提供更系统的建议，体现了企业对保障车辆信息安全的重视程度。其适用范围目前集中在商用车（如轿车、货车和公交车），涵盖其所有模块、组件、互联系统及相关程序。该标准的目标是确保制造商和供应链中的所有利益相关者都具备系统化的流程，推动 "安全设计" 理念的实施。

与 ISO 26262 类似，ISO 21434 从管理角度审视汽车的整个项目开发和演进过程，采用 V 模型，并考虑多种任务，包括开发阶段的 TARA、测试阶段的验证与确认、安全管理以及运维阶段的事件响应管理。该标准的结构分为十个部分和十五个条款，首先解释以下内容：（1）背景；（2）规范性引用文件；（3）术语；（4）基本原则；（5）管理框架（第 5-7 条）；随后重点关注威胁评估（第 8 条）；接着是三个部分，分别涉及概念阶段（第 9 条）、产品设计（第 10-11 条）以及生产、运维和服务（第 12-14 条）；最后一部分涵盖配套机制（第 15 条）。

该标准并未强制要求采用特定的 TARA 方法进行风险评估，但根据 ISO 27005 的要求，第 8 条明确了风险评估应包含的必要步骤。新汽车的便利性和经济性无需依赖管理软件即可实现，但特别是先进的安全措施（如事故预防）离不开智能软件应用。尽管汽车中一直存在软件应用，但随着汽车互联性的不断提高，安全问题日益突出。熟练的黑客有可能通过互联网和车对万物（Car2X）技术发起大规模远程网络攻击，而此类攻击对安全的影响是最大的担忧。如果刹车、车轮或其他关键组件被破坏，可能导致严重后果，危及车辆安全。值得注意的是，在过去，黑客要对车辆系统发起远程网络攻击，至少需要偶尔物理接触车辆，但近期的攻击事件表明，物理接触已非必要条件。

为抵御此类攻击，需要采用保护总线通信并为每个执行技术产品的电子控制单元（ECU）引入可信计算的技术。大多数此类技术无需修改分布式运行应用程序及其设计阶段，只需修改基于 AUTOSAR（汽车开放系统架构）的底层基础软件，即可减少各种安全问题，提高攻击者的攻击门槛。然而，这些技术与信息技术平台面临相同的基本管理挑战，且会显著增加每个 ECU 的成本。由于单位成本是汽车制造中最重要的因素之一，可信计算硬件的实施成本可能过高。此外，由于消费者对基本安全有需求，向消费者解释针对恶意黑客的汽车安全解决方案可能存在困难。

研究人员提出了一种全面的方法，而非采用 "一刀切" 的定制解决方案来解决汽车中基于 ISO 26262 开发的安全关键技术的网络安全问题。研究人员希望将 ISO 26262 与全球认可的安全标准相结合，其中 ISO 27001 标准和通用准则（Common Criteria）是两种广泛认可的安全标准。这些数据涵盖全球范围内的证书，充分体现了安全标准的重要性。因此，该方法遵循先进的 ISO 27001 安全模型，用于识别风险、执行安全漏洞评估，并制定专门处理威胁的流程。

该方法与两项 ISO 标准均兼容，通过将安全生命周期所需的可持续工件整合到安全生命周期中，实现对安全关键技术的系统检查。尽管如此，研究表明该方法尚未强制要求认证，即使不以认证为目标，也可在流程安全生命周期中考虑网络安全。该方法利用现有信息提供经济高效且合适的防护措施，能够从宏观角度判断安全漏洞是否通过不适当或成本过高的流程得到处理，并可为汽车行业提供特定的防护措施，例如合理性检查或加强不同总线之间的网关，这些措施已被证明能够有效抵御攻击。

4.系统性风险评估框架

汽车安全风险评估必须考虑汽车生命周期内安全架构的变化和相关信息。车辆安全漏洞可能会影响人身安全、造成经济损失并侵犯隐私。

图 4、汽车网络安全风险管理框架

此外，由于安全资源的广泛多样性和潜在攻击的复杂性，汽车安全的威胁评估尤为复杂。因此，本研究提出了一种系统化的方法。该框架主要由两个部分组成：风险评估流程和结构化评估技术。风险评估流程包括三个步骤：风险识别、风险分析和漏洞评估。如图 4 所示，每个步骤中都定义了相应的评估程序。

4.1 风险识别

在汽车风险评估中，进行实际资产识别之前，必须先确定评估对象（TOE）或用例，以评估某个组件中的候选对象是否为真实资产。接下来是风险评估，即识别资产安全特性中的风险场景。根据 ENISA（欧洲网络与信息安全局）的资产分类方法，汽车资源将分为八个子类别（即传感器和执行器等），以评估项目中的候选对象是否为真实资产。在汽车风险评估中，资产识别之前也应确定评估对象（TOE）或用例。

利用 ENISA 资产分类系统，可将汽车资源分为八个类别。基于资产类别和评估对象 / 用例创建数据流图，以定义细粒度资源，并明确相关的安全机制和潜在损害可能性。随后采用 STRIDE 威胁分类方案对资产进行威胁识别。STRIDE 框架利用 SDL（安全开发生命周期）漏洞评估软件，确定假设性网络攻击的影响或攻击目标。

4.2 风险分析

风险分析的目的是评估每个风险场景的影响以及每条攻击路径的可行性，包括结果评估和攻击评估。结果评估旨在计算安全特性被破坏的资源所造成的损害程度。攻击评估主要包括攻击路径分析和威胁能力评估两个基本部分。

可以评估影响驾驶员安全、隐私保护和国防安全的汽车网络攻击对相关方（即安全（S）、财务（F）、运营（O）以及隐私或法律（P））的影响。可采用相关行业最佳实践（如 BSI 100-4）来衡量影响评估的各个组成部分。本模型中的影响评估标准参考了 HEAVENS 方法。

4.3 传输层安全通信

传输层安全（TLS）能够在电动汽车（EV）和电动汽车供电设备（EVSE）之间建立加密连接并实现 EV 对 EVSE 的验证，确保数据流的机密性和安全性。然而，在某些情况下，ISO-15118 并未要求使用 TLS，这在对可信度有规定要求的场景中尤为明显。在共享环境中，EV 和 EVSE 之间的通信通常需要安全保障，因此如果可信系统受到破坏，缺乏 TLS 可能会构成严重的安全问题。

4.4 支付方式

对于个人消费者，ISO-15118 系统提供了更简便的支付选项。多个政府机构和收费项目会收取电力供应相关费用。该标准规定了两种具体的支付方式：外部识别手段（EIM）和即插即充（PnC），用户只需提供所需信息即可获取电力。

外部识别手段（EIM）：一种替代交易机制，利用销售终端（POS）设备（如支付终端或射频识别（RFID）设备）与 EVSE 进行通信。采用这种支付方式时，操作员或车辆驾驶员需像在加油站加油一样，亲自支付费用。目前，这是 EVSE 运营中最常用的支付方式。尽管该方法不需要证书，但可通过 TLS 建立安全通信线路。EIM 还可整合手机应用程序，用于授权和支付。

即插即充（PnC）：另一种替代 EIM POS 的支付方式，通过充电连接器验证 EV 的身份。PnC 利用证书自动完成 EV 识别并授权其使用 EVSE。EVSE 通过公钥基础设施机制提供契约证书，汽车或 EVSE 的所有者需将该证书安装在汽车中。如果 EVSE 采用该支付方式，则通信必须进行加密保护，确保只有指定方能够解密相关信息（包括密钥和数字证书）。

4.5 威胁分析

攻击者可利用以下技术利用组合充电系统（CCS）充电平台的漏洞：

· 欺骗：更改 EV 或 EVSE 的表面身份以获取充电授权。这可能使攻击者无需支付费用或验证订阅即可为车辆充电。由于认证流程薄弱，该漏洞还可能影响其他 EVSE 用户。未使用 TLS / 加密通信的 EIM 以及不需要 TLS 即可运行的 PnC 配置面临的此类风险更高。

· 篡改：物理访问 EVSE 控制装置可能导致电力盗窃、系统不稳定，甚至损坏 EV 的机械系统。当前的电子设备和控制装置尤其容易受到攻击。例如，恶意黑客篡改消息可能会影响本地电力设备的输入功率，或者恶意方可能延迟或阻止充电。如果仪表或定价数据被篡改，可能导致零费用充电。与 PnC 相比，EIM POS 系统以及 EVSE 移动软件更容易受到篡改攻击。

· 中间人攻击：在 EVSE 和 EV 之间安装伪造的桥接组件，用于植入恶意软件或转移资金。

· 契约共享：在 PnC 实施过程中，如果 EV 所有者与其他 EV 所有者共享电子契约凭证和密钥，且这些所有者能够重新配置自己车辆的凭证，则他们可能能够按照原始所有者的契约条款免费为自己的车辆充电，这将导致充电站所有者遭受收入损失。

· 窃听：如果未采取充分的安全保护措施，EV 及其所有者的机密信息可能会被窃听者获取。任何恶意组织都可能利用这些数据谋取商业利益。

· 拒绝服务（DoS）：恶意方可能对 EVSE 的通信线路发起 DoS 攻击，以阻止充电或干扰电网运行，进而导致电网不稳定。

存在多种整合安全与防护的方法，可对安全与防护及其相关相互依赖关系进行协同分析。本质上，这指的是一系列促进开发安全可靠平台的实践方法。这类方法提供了结合安全与防护评估的创新手段，处理评估过程中的相互关系，减少因不同方法中安全与防护标准冲突而可能导致的重复工作。尽管减少安全与防护协调的迭代次数是一个重要目标，但这类方法的一个局限性是通常较为复杂，需要投入更多精力进行实施，例如需要分别进行安全和防护评估两项操作。此外，由于企业中安全和防护流程的实践水平存在较大差异，这些方法在实际应用中可能面临困难。

这类方法在促进安全与可靠性方面的效果（即是否至少能够检测到风险和漏洞，以及是否具备自动化流程）是一个普遍存在的问题。例如，这些方法重点关注因透明度和可用性受损造成的损害，而忽略了保密性。此外，这些方法在帮助研究人员评估安全限制随时间推移的恶化情况方面的能力尚未得到探索。

研究人员提出的一种方法中，与模型安全相关的特性可能难以评估。为解决这一问题，研究人员还关注所得出结论的稳健性，试图确定在大多数依赖变量的较大取值范围内仍然有效的结论。所提出的基于 MILS（分离内核架构）基础设施和契约式方法的技术被认为是一种有前景的替代方案，因为它支持网络拓扑设计、基于契约的架构风格评估、自动化平台配置以及基于模式的验证用例生成。然而，该技术具有较强的特殊性，若缺乏相关领域经验，可能导致评估结果不准确，且该技术不支持对细粒度数据流特性的管理。研究人员对基于硬件故障的标准故障模式与影响分析（FMEA）以及作为计算机风险评估方法的 STPA-Sec（系统理论过程分析 - 安全扩展）进行了研究。由于不清楚低级别故障或风险是否足以支持具有复杂关系和自发行为的系统建模，该方法的可持续性受到质疑。

以安全为最终目标、提供安全与隐私综合评估的方法（即安全导向的集成安全方法）。由于这类方法侧重于提高安全性，且考虑到故障、互联性和复杂攻击等限制因素，大多数方法都根据特定标准进行了适当设计，但所研究的方法较为复杂。由于这类方法的主要重点是防护，因此在非安全相关的安全问题同样重要的网络中应用时可能存在局限性。在这种情况下，由于部分信息安全工作已在安全导向的集成风险评估中完成，但仍需独立进行全面分析，因此会存在重复工作。

尽管这可能减少安全与可靠性协调的可行迭代次数，但与综合整体方法相比，仍会导致任务冗余。

此外，部分方法具有特殊性，需要进一步研究才能应用于其他领域。例如，该方法结合布尔逻辑驱动的马尔可夫过程（BDMP），利用 ISO 26262 和危害与可操作性研究（HAZOP）方法设定标准，因此需要较高的复杂性和专业知识。由于该方法依赖于专业知识和经验，且不同团队的专业水平可能存在差异，从而影响评估结果，因此在重复分析中难以重用。

所提出的方法符合铁路法规，且在实践中依赖领域专家。因此，研究人员不确定该方法在未根据具体需求进行定制的情况下是否适用于其他领域。该研究基于 FMEA，仅评估单个影响源，未考虑多阶段攻击。

5.结论

若缺乏先进的管理软件，汽车难以实现诸如事故预测等先进安全功能。此外，尽管汽车一直配备软件应用，但随着汽车互联性的不断提高，网络安全变得愈发重要。本研究认为，熟练的黑客有可能通过互联网和车对万物（Car2X）服务发起大规模远程攻击，而此类攻击对安全的破坏是最大的担忧。本研究还指出，一些恶意行为（如破坏刹车、车轮或其他关键组件）可能会危及驾驶员的车辆安全，导致致命后果。传统的针对安全技术的网络攻击要求攻击者在对安全关键系统发起远程攻击之前，至少需要物理接触车辆一次，但多项攻击事件表明，物理接触已非必要条件。最后，本研究总结了汽车领域威胁与风险评估方法的详细分析。