[发明专利]面向智能网联汽车全生命周期的信息安全风险评估方法

权利要求书

1.一种面向智能网联汽车全生命周期的信息安全风险评估方法，其特征在于：包括如下步骤：

步骤一，将智能网联汽车划分为五个生命周期，分别为：概念阶段、开发阶段、生产阶段、运维阶段和报废阶段；

步骤二，针对步骤一中所划分的五个生命周期，对每个生命周期中的汽车进行风险评估，其中对处于生产阶段和报废阶段的汽车不进行风险评估。

2.根据权利要求1所述的面向智能网联汽车全生命周期的信息安全风险评估方法，其特征在于：所述步骤二中对于概念阶段进行风险评估的步骤如下：

步骤二一，对汽车进行资产识别，识别资产、安全属性及损害场景；

步骤二二，识别可能损害资产的信息安全特性的威胁场景；

步骤二三，评估被分析资产的信息安全属性受到损害而造成的损害程度；

步骤二四，识别和/或更新攻击路径，以实现威胁场景；

步骤二五，评估确定的攻击路径可以被利用的难易程度；

步骤二六，根据影响等级和攻击可行性等级确定威胁场景的风险级别。

3.根据权利要求1或2所述的面向智能网联汽车全生命周期的信息安全风险评估方法，其特征在于：所述步骤二中对于开发阶段进行风险评估的步骤具体包括对于汽车处于设计和验证阶段的风险评估步骤和在整车级项目信息安全验证以后的残余风险评估步骤。

4.根据权利要求3所述的面向智能网联汽车全生命周期的信息安全风险评估方法，其特征在于：所述对于汽车处于设计和验证阶段的风险评估步骤包括：

步骤1，对汽车进行资产识别，识别资产、安全属性及损害场景；

步骤2，识别可能损害资产的信息安全特性的威胁场景；

步骤3，评估被分析资产的信息安全属性受到损害而造成的损害程度；

步骤4，识别和分析信息安全脆弱性；

步骤5，识别和/或更新攻击路径，以实现威胁场景；

步骤6，评估确定的攻击路径可以被利用的难易程度；

步骤7，根据影响等级和攻击可行性等级确定威胁场景的风险级别。

5.根据权利要求4所述的面向智能网联汽车全生命周期的信息安全风险评估方法，其特征在于：所述在整车级项目信息安全验证以后的残余风险评估步骤包括：

步骤11，识别和分析信息安全脆弱性；

步骤12，识别和/或更新攻击路径，以实现威胁场景；

步骤13，评估确定的攻击路径可以被利用的难易程度；

步骤14，根据影响等级和攻击可行性等级确定威胁场景的风险级别。

6.根据权利要求1或2所述的面向智能网联汽车全生命周期的信息安全风险评估方法，其特征在于：所述步骤二中对于运维阶段的汽车进行风险评估时，是先评估信息安全事件，然后在基于信息安全事件的基础上对信息安全事件进行评估，其中对信息安全事件进行评估的具体步骤如下；

步骤21，对汽车进行资产识别，识别资产、安全属性及损害场景；

步骤22，识别可能损害资产的信息安全特性的威胁场景；

步骤23，评估被分析资产的信息安全属性受到损害而造成的损害程度；

步骤24，识别和分析信息安全脆弱性；

步骤25，识别和/或更新攻击路径，以实现威胁场景；

步骤26，评估确定的攻击路径可以被利用的难易程度；

步骤27，根据影响等级和攻击可行性等级确定威胁场景的风险级别。