CN112686499A - 车辆信息安全水平评价方法及装置、电子设备、介质 - Google Patents
车辆信息安全水平评价方法及装置、电子设备、介质 Download PDFInfo
- Publication number
- CN112686499A CN112686499A CN202011463933.6A CN202011463933A CN112686499A CN 112686499 A CN112686499 A CN 112686499A CN 202011463933 A CN202011463933 A CN 202011463933A CN 112686499 A CN112686499 A CN 112686499A
- Authority
- CN
- China
- Prior art keywords
- evaluation
- score
- risk
- safety
- test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 374
- 238000012360 testing method Methods 0.000 claims abstract description 126
- 230000004044 response Effects 0.000 claims abstract description 68
- 238000000034 method Methods 0.000 claims abstract description 46
- 230000008569 process Effects 0.000 claims abstract description 19
- 230000015654 memory Effects 0.000 claims description 22
- 238000012502 risk assessment Methods 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 6
- 238000003745 diagnosis Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000013215 result calculation Methods 0.000 claims description 4
- 206010062282 Silver-Russell syndrome Diseases 0.000 claims description 3
- 238000012550 audit Methods 0.000 claims description 3
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 claims description 3
- 239000000126 substance Substances 0.000 claims description 3
- 201000001845 syndromic X-linked intellectual disability Snyder type Diseases 0.000 claims description 3
- 230000000007 visual effect Effects 0.000 abstract 1
- 239000011159 matrix material Substances 0.000 description 15
- 238000011835 investigation Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 3
- 238000002405 diagnostic procedure Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- BTCSSZJGUNDROE-UHFFFAOYSA-N gamma-aminobutyric acid Chemical compound NCCCC(O)=O BTCSSZJGUNDROE-UHFFFAOYSA-N 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种车辆信息安全水平评价方法及装置、电子设备、介质。该方法根据型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价,进行车辆信息安全水平评价,包括以下步骤:采用层次分析法分别得到型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重;根据所述权重,分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数;根据型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,得到车辆信息安全水平评价结果。该方法公正、全面、直观,实现了车辆信息安全水平的可量化,可对比。
Description
技术领域
本发明涉及汽车信息安全领域,具体而言,涉及一种车辆信息安全水平评价方法及装置、电子设备、介质。
背景技术
随着汽车智能化、网联化程度的不断提高,汽车信息安全问题日益凸显,国内外信息安全事件的频发也引起了国内外汽车行业的广泛重视,国际方面,汽车信息安全领域的ISO/SAE 21434等标准、法规、政策将陆续发布,国内方面也加快了相关标准的制定与发布。随着标准的陆续发布,汽车信息安全热度越来越高,众多主机厂纷纷加强自身产品的信息安全能力建设,建设的过程中也面临了一系列问题,主要体现在整车企业对于自身产品的信息安全水平了解不足,无法判断自己的产品是否达到了标准要求,有哪些信息安全薄弱环节需要加强。
国内汽车信息安全评价领域目前还处于空白状态,缺少公正客观的测评规程,目前主机厂迫切寻求第三方权威机构出具相关准则,以客观评估自身产品的信息安全水平,做到自身产品信息安全能力可验证、可量化,因此汽车信息安全评价工作势在必行。
有鉴于此,特提出本发明。
发明内容
本发明的目的在于提供一种车辆信息安全水平评价方法及装置、电子设备、介质,以解决现有技术中存在的汽车信息安全评价主观性强、无法客观评估以及量化汽车信息安全水平的问题。
为了实现上述目的,本发明采用以下技术方案:
第一方面,本发明提供了一种车辆信息安全水平评价方法,根据型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价,进行车辆信息安全水平评价,所述方法包括以下步骤:
采用层次分析法分别得到型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重;
根据所述权重,分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数;
根据型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,得到车辆信息安全水平评价结果。
作为进一步优选的技术方案,根据所述权重,分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,包括:
根据所述权重,分别确定型式试验总分数、应急响应能力评价总分数、风险评估体系评价总分数、安全升级评价总分数和防护项评价总分数,然后分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数。
作为进一步优选的技术方案,所述型式试验分数采用以下方式得到:根据型式试验总分数、型式试验检测出的低危漏洞个数、型式试验检测出的中危漏洞个数和型式试验检测出的高危漏洞个数,得到型式试验分数;根据CVSS 2.0标准的评分原则,所述低危漏洞是指得分高于0且小于4的漏洞,所述中危漏洞是指得分高于4且小于7的漏洞,所述高危漏洞是指得分高于7且低于10的漏洞。
作为进一步优选的技术方案,所述型式试验分数采用以下方式计算得到:
SV=V总-(Vl+2Vm+4Vh);
其中,Sv为型式试验分数;V总为型式试验总分数;Vl为型式试验检测出的低危漏洞个数;Vm为型式试验检测出的中危漏洞个数;Vh为型式试验检测出的高危漏洞个数。
作为进一步优选的技术方案,所述型式试验包括对整车网络架构、ECU、T-box、IVI、无线电、App和云平台的试验;
根据总线和网关,确定整车网络架构的10~12个测试点;
根据EPS诊断测试、ESC诊断测试和SRS诊断测试,确定ECU的4~6个测试点;
根据硬件安全、密钥管理、数据安全、操作***、软件升级、固件安全、日志审计、通信安全、浏览器安全、USB安全,确定T-Box的35~38个测试点和IVI的35~41个测试点;
根据蓝牙、WIFI、无钥匙进入***和GPS,确定无线电的12~16个测试点;
根据客户端程序安全、敏感信息安全、通信安全、业务安全和组件安全,确定App的20~24个测试项;
根据WEB应用安全、数据库安全、中间件安全和服务器安全,确定云平台的15~21个测试项。
作为进一步优选的技术方案,所述应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数采用以下方式得到:
获取应急响应报告、风险评估报告、安全升级报告和防护项报告,根据应急响应能力评价总分数、风险评估体系评价总分数、安全升级评价总分数和防护项评价总分数,设定各个报告的评定项和评定项分数;
根据各个评定项分数,得到应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数。
作为进一步优选的技术方案,所述根据型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,得到车辆信息安全水平评价结果,包括:
将型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数相加,得到车辆信息安全水平评价结果。
第二方面,本发明提供了一种车辆信息安全水平评价装置,包括:
型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重获得模块,用于采用层次分析法分别得到型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重;
型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数计算模块,用于根据所述权重,分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数;
车辆信息安全水平评价结果计算模块,用于根据型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,得到车辆信息安全水平评价结果。
第三方面,本发明提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的方法。
第四方面,本发明提供了一种介质,所述介质上存储有计算机指令,所述计算机指令用于使所述计算机执行上述的方法。
与现有技术相比,本发明的有益效果为:
本发明提供的车辆信息安全水平评价方法,通过型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价五个维度进行全方面的综合考察,并且考察结果为具体分数,实现了车辆信息安全水平的可量化,可对比。并且在实施过程中,还解决了诸如五个维度如何确定所占分数权重、采取何种方式进行考察、各自考察哪些方面等关键问题。相比之前的评价方式,有益效果主要有:
更加公正。方法实施过程的各个阶段均尽量避免主观因素带来的评价结果偏差,例如我们采用层次分析法确定权重等,相比之前完全主观的评价方式,所提出的方法更加公正。
更加全面。通过五个维度进行考察,可全方位的体现车辆的信息安全水平,以往仅采用测试的方式进行评价,且存在测试点不全面,测试方式不科学等问题。本文所提出的方法在型式试验中共进行七大测试项,包含35个二级测试项,158个三级测试项。同时,新增了与整车信息安全密切相关的应急响应能力、风险评估体系、安全升级、防护项四个方面的考察。
更加直观。以往主观性的汽车信息安全评价方式的输出结果多为“较好”、“一般”、“很差”等描述性词汇,使读者很难直观了解车辆的真实信息安全水平,本文提出的方法输出结果为百分制分数,使信息安全做到了可量化,可对比,更加直观。
而以往评价一辆汽车信息安全水平,往往是进行信息安全测试,针对测出的漏洞进行主观的评价汽车的大致水平,主观性强,缺少量化指标;并且存在考察的因素不全面等问题,仅仅通过漏洞测试结果很难如实反应一辆车的信息安全水平。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例1提供的车辆信息安全水平评价方法的流程图;
图2是本发明实施例1提供的车辆信息安全水平评价方法中采用的层次分析法的分层结果图;
图3是本发明实施例2提供的车辆信息安全水平评价装置的结构示意图;
图4是本发明实施例3提供的电子设备的结构示意图。
图标:301-型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重获得模块;302-型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数计算模块;303-车辆信息安全水平评价结果计算模块;401-处理器;402-存储器;403-输入装置;404-输出装置。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
实施例1
图1是本实施例提供的一种车辆信息安全水平评价方法的流程图,本实施例适用于对车辆进行信息安全水平评价。该方法可以由车辆信息安全水平评价装置来执行,该装置可以由软件和/或硬件构成,并一般集成在电子设备中。
如图1所示,本实施例提供了一种车辆信息安全水平评价方法,根据型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价,进行车辆信息安全水平评价,所述方法包括以下步骤:
S110、采用层次分析法分别得到型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重。
本实施例基于层次分析法对型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重进行确定。由于本文所提出的整车信息安全评价最终结果为型式试验、应急响应能力评价、风险评估评价、安全升级评价、防护项评价五个维度得分的总和,而五部分重要程度并非一致,因此如何确定五个维度所占总分的比重,从而合理的反映汽车信息安全水平成为至关重要的问题之一。本文基于层次分析法确定各部分所占权重,权重确定的原理及过程如下:
(1)首先根据层次分析法对整车信息安全进行分层,分层结果如图2所示。
(2)然后根据层次结构确定判断矩阵表。
判断矩阵表的设置:层次分析法的核心是将所有元素两两相互比较,因此采用相对尺度,以尽可能减少性质不同的诸因素相互比较的困难,例如aij为元素i与元素j的重要程度比较结果,重要性等级及其赋值如下表1所示:
表1
| 因素i比因素j | 量化值 |
| 同等 | 1 |
| 稍微 | 3 |
| 较强 | 5 |
| 强烈 | 7 |
| 极端 | 9 |
| 两相邻判断的中间值 | 2,4,6,8 |
按两两比较结果构成的矩阵称作判断矩阵,判断矩阵具有如下性质:
为了避免判断矩阵表由单一人员填写造成的主观因素过强的现象,优选通过问卷填写的方式,尽可能多的考虑大众的看法。为了保证调查的科学性、普遍性和有效性,将性别、年龄、专业知识、职业生涯等方面综合考虑。可选地,共发放问卷50份,其中企业专业技术人员30人,随机抽取人员15人,汽车销售人员5人。
此处,通过问卷对元素aij的处理方式如下:
上式中,n为问卷数,此处n=50,aijm为第m份问卷的aij值,计算后得到判断矩阵Ak为:
| A<sub>k</sub> | a<sub>1</sub> | a<sub>2</sub> | a<sub>3</sub> | a<sub>4</sub> | a<sub>5</sub> |
| a<sub>1</sub> | 1 | 6 | 5 | 8 | 8 |
| a<sub>2</sub> | 1/6 | 1 | 1/2 | 3 | 3 |
| a<sub>3</sub> | 1/5 | 2 | 1 | 3 | 3 |
| a<sub>4</sub> | 1/8 | 1/3 | 1/3 | 1 | 1 |
| a<sub>5</sub> | 1/8 | 1/3 | 1/3 | 1 | 1 |
a1—型式试验;a2—应急响应能力评价;a3—风险评估体系评价;a4—安全升级评价;a5—防护项评价。
为验证该权重的产生过程是否合理,需进行一致性校验,只有通过校验才能寿命判断矩阵在逻辑上是合理的,一致性校验的步骤如下:
①计算一致性指标C.I.
其中,λmax为判断矩阵的最大特征根。
②查平均一致性指标表(表2)确定平均随机一致性指标R.I.。
表2平均一致性指标表
| 矩阵阶数 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| R.I. | 0 | 0 | 0.52 | 0.89 | 1.12 | 1,26 | 1.36 | 1.41 | 1.46 | 1.49 |
查表知,5阶判断矩阵对应的平均随机一致性指标R.I.为1.12。
③计算一致性比例C.R.并进行判断
经计算得C.R.为0.03,当C.R.<0.1时,则认为该判断矩阵是有效的,因此判断矩阵Ak有效。若C.R.大于或等于0.1,则认为该判断矩阵是无效的,因此重新问卷收集数据。
经计算后该矩阵特征向量如下:(0.9965,0.1949,0.2034,0.0862,0.0862),经归一化后得到各部分所占权重为:
| 型式试验 | 应急响应 | 风险评估 | 安全升级 | 防护项 |
| 0.65 | 0.12 | 0.13 | 0.05 | 0.05 |
因此得到各部分的分值分别为,型式试验65分,应急响应12分,风险评估13分,安全升级5分,防护项5分。
S120、根据所述权重,分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数。
根据所述权重,分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,包括:
根据所述权重,分别确定型式试验总分数、应急响应能力评价总分数、风险评估体系评价总分数、安全升级评价总分数和防护项评价总分数,然后分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数。
所述型式试验分数采用以下方式计算得到:
SV=V总-(Vl+2Vm+4Vh);
其中,Sv为型式试验分数;V总为型式试验总分数;Vl为型式试验检测出的低危漏洞个数;Vm为型式试验检测出的中危漏洞个数;Vh为型式试验检测出的高危漏洞个数。
根据CVSS 2.0标准的评分原则,所述低危漏洞是指得分高于0且小于4的漏洞,所述中危漏洞是指得分高于4且小于7的漏洞,所述高危漏洞是指得分高于7且低于10的漏洞。CVSS 2.0标准是指通用漏洞评估***第2.0版。
其中,本实施例中,如前权重确定结果,本实施例V总的取值为65。
所述型式试验包括对整车网络架构、ECU(Electronic Control Unit,电子控制单元)、T-box(Telematics BOX)、IVI(In-Vehicle Infotainment,车载信息娱乐***)、无线电、App(Application,应用软件)和云平台的试验;
根据总线和网关,确定整车网络架构的10~12个测试点;
根据EPS(Electric Power Steering,电子助力转向)诊断测试、ESC(ElectronicStability Controller,车身电子稳定性控制***)诊断测试和SRS(electronic controlof safety airbag,电子安全气囊)诊断测试,确定ECU的4~6个测试点;
根据硬件安全、密钥管理、数据安全、操作***、软件升级、固件安全、日志审计、通信安全、浏览器安全、USB安全,确定T-Box的35~38个测试点和IVI的35~41个测试点;
根据蓝牙、WIFI、无钥匙进入***和GPS(Global Positioning System,全球定位***),确定无线电的12~16个测试点;
根据客户端程序安全、敏感信息安全、通信安全、业务安全和组件安全,确定App的20~24个测试项;
根据WEB(World Wide Web,全球广域网)应用安全、数据库安全、中间件安全和服务器安全,确定云平台的15~21个测试项。
优选地,所述应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数采用以下方式得到:
获取应急响应报告、风险评估报告、安全升级报告和防护项报告,根据应急响应能力评价总分数、风险评估体系评价总分数、安全升级评价总分数和防护项评价总分数,设定各个报告的评定项和评定项分数;
根据各个评定项分数,得到应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数。
可选地,应急响应能力评价分数采用以下方式得到:
可选地,风险评估体系评价分数采用以下方式得到:
可选地,安全升级评价分数采用以下方式得到,若每一评定项符合要求,则评价分数加0.5分:
可选地,防护项评价分数采用以下方式得到,若每一评定项符合要求,则评价分数加0.25分:
S130、根据型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,得到车辆信息安全水平评价结果。
将型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数相加,得到车辆信息安全水平评价结果。
Score=SV+SE+SR+SU+SP;
其中:Score为车辆信息安全水平评价分数;SV—型式试验分数;SE—应急响应能力评价分数;SR—风险评估评价分数;SU—安全升级评价分数;SP—防护项评价分数。
实施例2
如图3所示,本实施例提供了一种车辆信息安全水平评价装置,包括:
型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重获得模块301,用于采用层次分析法分别得到型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重;
型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数计算模块302,用于根据所述权重,分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数;
车辆信息安全水平评价结果计算模块303,用于根据型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,得到车辆信息安全水平评价结果。
该车辆信息安全水平评价装置通过采用以上各模块,可实现与上述车辆信息安全水平评价方法相同的优势。
实施例3
如图4所示,本实施例提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的方法。该电子设备中的至少一个处理器能够执行上述方法,因而至少具有与上述方法相同的优势。
可选地,该电子设备中还包括用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI(Graphical UserInterface,图形用户界面)的的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器***)。图4中以一个处理器401为例。
存储器402作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的车辆信息安全水平评价方法对应的程序指令/模块(例如,车辆信息安全水平评价装置中的型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重获得模块301、型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数计算模块302和车辆信息安全水平评价结果计算模块303)。处理器401通过运行存储在存储器402中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述的车辆信息安全水平评价方法。
存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器402可进一步包括相对于处理器401远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
该电子设备还可以包括:输入装置403和输出装置404。处理器401、存储器402、输入装置403和输出装置404可以通过总线或者其他方式连接,图4中以通过总线连接为例。
输入装置403可接收输入的数字或字符信息,输出装置404可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
实施例4
本实施例提供了一种介质,所述介质上存储有计算机指令,所述计算机指令用于使所述计算机执行上述的方法。该介质上的计算机指令用于使计算机执行上述方法,因而至少具有与上述方法相同的优势。
本发明中的介质,可以采用一个或多个计算机可读的介质的任意组合。介质可以是计算机可读信号介质或者计算机可读存储介质。介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF(Radio Frequency,射频)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
应该理解的是,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (10)
1.一种车辆信息安全水平评价方法,其特征在于,根据型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价,进行车辆信息安全水平评价,所述方法包括以下步骤:
采用层次分析法分别得到型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重;
根据所述权重,分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数;
根据型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,得到车辆信息安全水平评价结果。
2.根据权利要求1所述的车辆信息安全水平评价方法,其特征在于,根据所述权重,分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,包括:
根据所述权重,分别确定型式试验总分数、应急响应能力评价总分数、风险评估体系评价总分数、安全升级评价总分数和防护项评价总分数,然后分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数。
3.根据权利要求2所述的车辆信息安全水平评价方法,其特征在于,所述型式试验分数采用以下方式得到:根据型式试验总分数、型式试验检测出的低危漏洞个数、型式试验检测出的中危漏洞个数和型式试验检测出的高危漏洞个数,得到型式试验分数;根据CVSS2.0标准的评分原则,所述低危漏洞是指得分高于0且小于4的漏洞,所述中危漏洞是指得分高于4且小于7的漏洞,所述高危漏洞是指得分高于7且低于10的漏洞。
4.根据权利要求3所述的车辆信息安全水平评价方法,其特征在于,所述型式试验分数采用以下方式计算得到:
SV=V总-(Vl+2Vm+4Vh);
其中,Sv为型式试验分数;V总为型式试验总分数;Vl为型式试验检测出的低危漏洞个数;Vm为型式试验检测出的中危漏洞个数;Vh为型式试验检测出的高危漏洞个数。
5.根据权利要求4所述的车辆信息安全水平评价方法,其特征在于,所述型式试验包括对整车网络架构、ECU、T-box、IVI、无线电、App和云平台的试验;
根据总线和网关,确定整车网络架构的10~12个测试点;
根据EPS诊断测试、ESC诊断测试和SRS诊断测试,确定ECU的4~6个测试点;
根据硬件安全、密钥管理、数据安全、操作***、软件升级、固件安全、日志审计、通信安全、浏览器安全、USB安全,确定T-Box的35~38个测试点和IVI的35~41个测试点;
根据蓝牙、WIFI、无钥匙进入***和GPS,确定无线电的12~16个测试点;
根据客户端程序安全、敏感信息安全、通信安全、业务安全和组件安全,确定App的20~24个测试项;
根据WEB应用安全、数据库安全、中间件安全和服务器安全,确定云平台的15~21个测试项。
6.根据权利要求1所述的车辆信息安全水平评价方法,其特征在于,所述应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数采用以下方式得到:
获取应急响应报告、风险评估报告、安全升级报告和防护项报告,根据应急响应能力评价总分数、风险评估体系评价总分数、安全升级评价总分数和防护项评价总分数,设定各个报告的评定项和评定项分数;
根据各个评定项分数,得到应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数。
7.根据权利要求1~6任一项所述的车辆信息安全水平评价方法,其特征在于,所述根据型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,得到车辆信息安全水平评价结果,包括:
将型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数相加,得到车辆信息安全水平评价结果。
8.一种车辆信息安全水平评价装置,其特征在于,包括:
型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重获得模块,用于采用层次分析法分别得到型式试验、应急响应能力评价、风险评估体系评价、安全升级评价和防护项评价的权重;
型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数计算模块,用于根据所述权重,分别计算型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数;
车辆信息安全水平评价结果计算模块,用于根据型式试验分数、应急响应能力评价分数、风险评估体系评价分数、安全升级评价分数和防护项评价分数,得到车辆信息安全水平评价结果。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1~7中任一项所述的方法。
10.一种介质,其特征在于,所述介质上存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1~7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011463933.6A CN112686499A (zh) | 2020-12-14 | 2020-12-14 | 车辆信息安全水平评价方法及装置、电子设备、介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011463933.6A CN112686499A (zh) | 2020-12-14 | 2020-12-14 | 车辆信息安全水平评价方法及装置、电子设备、介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112686499A true CN112686499A (zh) | 2021-04-20 |
Family
ID=75449317
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011463933.6A Pending CN112686499A (zh) | 2020-12-14 | 2020-12-14 | 车辆信息安全水平评价方法及装置、电子设备、介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112686499A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113325825A (zh) * | 2021-06-07 | 2021-08-31 | 深圳市金城保密技术有限公司 | 一种智能网联汽车数据与信息安全评测*** |
| CN113537794A (zh) * | 2021-07-22 | 2021-10-22 | 北京中科闻歌科技股份有限公司 | 对目标对象的分析方法、装置、电子设备及存储介质 |
| CN115021977A (zh) * | 2022-05-17 | 2022-09-06 | 蔚来汽车科技(安徽)有限公司 | 车机***及包括其的车辆、预警方法以及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110705852A (zh) * | 2019-09-19 | 2020-01-17 | 安徽百诚慧通科技有限公司 | 一种基于层次分析法的车辆风险评估方法 |
| CN110826848A (zh) * | 2019-09-19 | 2020-02-21 | 安徽百诚慧通科技有限公司 | 基于层次分析法的驾驶人风险评估方法 |
| CN111126832A (zh) * | 2019-12-20 | 2020-05-08 | 中国汽车技术研究中心有限公司 | 一种汽车信息安全测试评价方法 |
-
2020
- 2020-12-14 CN CN202011463933.6A patent/CN112686499A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110705852A (zh) * | 2019-09-19 | 2020-01-17 | 安徽百诚慧通科技有限公司 | 一种基于层次分析法的车辆风险评估方法 |
| CN110826848A (zh) * | 2019-09-19 | 2020-02-21 | 安徽百诚慧通科技有限公司 | 基于层次分析法的驾驶人风险评估方法 |
| CN111126832A (zh) * | 2019-12-20 | 2020-05-08 | 中国汽车技术研究中心有限公司 | 一种汽车信息安全测试评价方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李华君: "从实践中学习Nessus与OpenVAS漏洞扫描", 机械工业出版社 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113325825A (zh) * | 2021-06-07 | 2021-08-31 | 深圳市金城保密技术有限公司 | 一种智能网联汽车数据与信息安全评测*** |
| CN113537794A (zh) * | 2021-07-22 | 2021-10-22 | 北京中科闻歌科技股份有限公司 | 对目标对象的分析方法、装置、电子设备及存储介质 |
| CN115021977A (zh) * | 2022-05-17 | 2022-09-06 | 蔚来汽车科技(安徽)有限公司 | 车机***及包括其的车辆、预警方法以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112686499A (zh) | 车辆信息安全水平评价方法及装置、电子设备、介质 | |
| Martins et al. | Requirements engineering for safety-critical systems: A systematic literature review | |
| Oberkampf et al. | Predictive Capability Maturity Model for computational modeling and simulation. | |
| US8645455B2 (en) | Analyzing anticipated value and effort in using cloud computing to process a specified workload | |
| Zhou et al. | A hybrid approach for safety assessment in high-risk hydropower-construction-project work systems | |
| US20120102361A1 (en) | Heuristic policy analysis | |
| US20120066166A1 (en) | Predictive Analytics for Semi-Structured Case Oriented Processes | |
| Luo et al. | Threat analysis and risk assessment for connected vehicles: A survey | |
| CN113837596B (zh) | 一种故障确定方法、装置、电子设备及存储介质 | |
| CN104022899A (zh) | 一种网络管理***的三维评估方法及*** | |
| CN112037007A (zh) | 针对小微企业信贷审批的方法及电子设备 | |
| Deng et al. | A cognitive failure model of construction workers’ unsafe behavior | |
| CN114004700A (zh) | 业务数据处理方法、装置、电子设备及存储介质 | |
| Vogel et al. | Metrics in automotive software development: A systematic literature review | |
| CN111563673A (zh) | 一种计算机技术数字化程度评估方法和装置 | |
| CN116957320A (zh) | 一种电网物资供应链***韧性策略调度方法、装置及介质 | |
| CN112668842A (zh) | 车险理赔风险因子评价方法及装置、电子设备、介质 | |
| CN113254944B (zh) | 漏洞处理方法、***、电子设备、存储介质及程序产品 | |
| CN114968821A (zh) | 基于强化学习的测试数据生成方法及装置 | |
| KR102637554B1 (ko) | 정보 보호 인증에 관한 프로젝트 내의 과제 분석 및 정보 제공 시스템 | |
| CN114996668B (zh) | 开源组件的处理方法、装置、设备及介质 | |
| CN113034123B (zh) | 异常资源转移识别方法、装置、电子设备及可读存储介质 | |
| Ding-wei et al. | Ranking the importance of classes via software structural analysis | |
| US9229685B2 (en) | Automated corruption analysis of service designs | |
| Bonstrom | A first-order reliability approach to building portfolio loss estimation and mitigation prioritization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210420 |