我们曾在文章“智能网联汽车风险评估方法EVITA”中，介绍了智能网联汽车信息安全风险评估的实践方法，同时也实现了将功能安全和信息安全的有机结合。

在风险评估方面，EVITA参考了ISO 26262中的功能安全评估方式，同时也结合信息安全特点进行了扩展，将非功能安全和多车场景纳入其中。最后使用THROP评估方法将所有的威胁和风险进行统一整理，并最终形成信息安全开发优先级，在保证整车总体信息安全基础上，合理分配研发资源。除了EVITA评估方法，J3061还重点介绍了HEAVENS评估方法，鉴于当前智能网联汽车信息安全风险评估具体指导意见、方法和标准尚未出台，梆梆安全研究院建议可以根据车厂的实际情况，采用EVITA、HEAVENS或者其他方法对智能汽车信息安全风险进行评估。

HEAVENS是针对汽车电子电气系统威胁分析和风险评估的方法，同时也提供了完整的评估流程，其目标是提出一种系统方法，以便可以获得汽车电子电气系统的信息安全需求。

HEAVENS具有四个主要的特点：

1. 适用性范围广泛，可以适用于乘用车和商用车；

2. 以威胁为中心，同时采用微软的STRIDE方法对汽车电子电气系统进行威胁评估；

3. 在威胁分析期间建立了安全属性与威胁之间的直接映射关系，有助于及早评估特定资产对特定技术的影响程度，这种影响程度包括机密性、完整性和可用性；

4. 将安全目标（例如信息安全、财产、操作、隐私和法规等）与威胁分析期间的影响程度相结合，有助于评估威胁对于相关利益方，比如整车制造商的潜在业务影响。因此HEAVENS是一个非常适用于评估整车电子电气系统信息安全风险的评估方法。

HEAVENS相比于EVITA来说更加完整，除了评估方法外，还提供了一整套评估流程，具体流程如下所示，功能安全评估流程包括三个阶段：威胁分析、风险评估和安全需求。

该流程主要应用于信息安全规划阶段，流程大概思路是：首先相关利益方（主要是整车厂）明确自己的安全属性和安全目标，同时提供相应评估对象或功能的典型应用场景，作为整个流程的起始；接着进行威胁分析，通过评估对象或功能典型应用场景，将威胁与评估对象、安全属性进行映射，形成对应关系；然后对威胁与评估对象进行等级划分，具体是通过综合考虑威胁和影响级别两个维度实现安全等级划分；最后再将威胁、评估对象、安全属性和安全等级这四个维度进行整合形成安全需求。开发人员拿到这些需求，根据安全等级最终确定开发优先级。下面对每个阶段的评估内容进行详细描述。

威胁分析

威胁分析是指识别与评估资产相关威胁以及威胁与安全属性的映射。在该阶段中使用了微软的STRIDE方法对威胁进行分析，虽然STRIDE方法主要应用于软件领域，但是目前已经扩展到汽车电子电气领域。STRIDE将威胁与安全属性，即真实性、完整性、不可否认性、机密性、可用性等相关联，每个类别映射到一组安全属性中。具体威胁与映射关系如下表所示：

在这个阶段中，需要明确评估对象或功能典型应用场景，并且将这些场景与威胁和安全属性形成对应关系，为后续风险评估阶段做准备。

风险评估

在基于STRIDE方法识别特定资产和威胁之后，需要对风险进行评估，即对威胁进行排名，也就是说要导出每个威胁和资产对应的安全等级（Security Level）。安全等级用于衡量安全相关资产满足特定安全级别所需的安全机制强度。安全级别的是通过确定威胁等级（Threat Level），即对应于风险的“可能性”，和影响等级（Impact Level），即风险的“影响”程度，这两个维度共同确定的。

威胁等级（Threat Level）主要通过四个参数进行评估，即经验、评估对象的知识、所需设备和机会窗口，针对这四个参数进行分值评估。这四个参数在EVITA中也有提及，但是评估内容有所区别。具体评估列表如下所示：

通过使用这些参数对评估对象的威胁进行评估，然后根据参数值进行等级划分，具体划分原则如下所示。采用无、低、中、高和严重，这五个等级，同时得出TL具体分值。

影响等级（Impact Level）主要是指确保车辆乘客、道路和基础设施安全的要求。针对于这部分的评估参数主要由功能安全、财产损失、操作和隐私及法规这四部分构成。这部分的评估相对会比较复杂，既涉及到功能安全，又涉及到信息安全隐私，甚至还需要和法规有关系，因此该部分参考的标准较多，除了ISO26262外，还会参考BSI的相关标准。

功能安全借鉴了ISO 26262-3概念阶段中HARA的评估参数，即严重性（Severity）来实现，具体评估内容如下表所示。严重性在实践落地中可以采用AIS进行参考，这也是ISO 26262中所推荐的。

财务损失主要指的是相关利益方，比如整车厂的财产损失，这个和整车厂的财务实力有关。HEAVENS将限额表示为总销售额、总利润或类似基值的百分比，并且需要将损害定性地分类而不是定量计算损失。这部分评估借鉴了BSI-100-4中的内容。具体评估内容如下表所示。

操作性主要是通过车辆缺陷程度对其进行评估，可以借鉴功能安全中的FMEA方法来实现，具体评估内容如下所示。

隐私和法规是两个概念，隐私指的针对车主、车辆运营方和驾驶员等的隐私侵犯；法规是指车主、车辆运营方和驾驶员等因为驾驶违背了相关法律法规，比如环境和交通法规等。具体隐私和法规的相关评估内容如下表所示，该部分评估内容主要与BSI中的“隐私影响评估指南”保持一致。

经过上面的功能安全、财产损失、操作和隐私及法规这四部分的评估，可以评估出影响等级（Impact Level），具体分级如下所示。

通过上面的评估，完成威胁等级和影响等级评估获得TL和IL分值后，就可以通过两个参数的矩阵共同决定安全等级（Security Level），具体评估如下所示。

安全需求

HEAVENS的最后部分是安全需求，即对资产、威胁、安全属性和安全级别进行评估的列表，研发人员根据列表中的安全级别，确定开发优先级。需要注意的是，有可能存在一个资产会存在多个威胁，因此这个资产也会有多个安全等级，在进行开发的时候，通常的做法是关注安全等级最高的。下面给出两个最终评估完成的例子，供参考。

梆梆安全研究院认为HEAVENS和EVITA相比具有如下相同点：首先，二者都是同功能安全相结合，并且借鉴了ISO 26262-3中的HARA评估方法和思路；其次，二者都可以应用于汽车电子电气系统的信息安全评估；最后，二者都关注财产和隐私，而这两个也正是信息安全关注的核心。

梆梆安全研究院认为HEAVENS和EVITA相比也有不少不同点：首先，HEAVENS除了评估方法外，还形成了一整套评估流程；其次，HEAVENS在影响等级评估方面除了隐私和财产外，还将操作性和法规纳入到影响度评估范围中，评估的维度比EVITA要大；最后，HEAVENS的评估内容除了参考ISO 26262外，还借鉴了BSI相关标准，使得评估的可信程度得到了一定的提高。

智能网联汽车信息安全建设需要在规划阶段开始，威胁分析与风险评估是整个信息安全建设的基石，梆梆安全研究院认为可以采用HEAVENS作为J3061在车厂信息安全威胁分析与风险评估的实践落地，梆梆安全研究院同时也在多个智能网联汽车项目中，采用该方法同EVITA、ISO 26262等标准相结合的方式进行安全评估，因此具有较强的借鉴意义。