T-SHV2X 3-2025 車聯(lián)網(wǎng)服務平臺風險評估實施指南

ICS33.040.40CCSM19ImplementationguidelinestoriskassessmentofserviceplatformofInternetofvehicles上海市車聯(lián)網(wǎng)協(xié)會發(fā)布T/SHV2X3—2025 II 12規(guī)范性引用文件 13術(shù)語和定義 14概述 24.1評估對象 24.2評估原則 24.3評估過程和方法 25風險評估實施 35.1風險評估準備 35.2風險要素識別 65.3風險分析 12附錄A（規(guī)范性）資產(chǎn)賦值計算 16附錄B（資料性）風險評估列表 17參考文獻 20T/SHV2X3—2025本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由上海市車聯(lián)網(wǎng)協(xié)會提出并歸口。本文件起草單位：上研智聯(lián)智能出行科技（上海）有限公司、上海計算機軟件技術(shù)開發(fā)中心、上海銀基科技股份有限公司、潤成安全技術(shù)有限公司、工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心（上海）有限公司、上海蔚來汽車有限公司、零束科技有限公司、上汽大眾汽車有限公司、福特汽車（中國）有限公司、沃爾沃汽車技術(shù)(上海)有限公司、艾普拉斯（上海）質(zhì)量檢測有限公司、上海優(yōu)咔網(wǎng)絡科技有限公司。本文件主要起草人：楊偉利、潘政偉、宋曉航、毛爭艷、何旺君、李爽、嚴超、劉海、曹遠晶、張孟、周悅、楊曉光、王菲、王艷艷，杜同禎、楊清羽、李澤惠、薛超、楊靖、王寨納。T/SHV2X3—2025車聯(lián)網(wǎng)服務平臺風險評估實施指南本文件描述了車聯(lián)網(wǎng)服務平臺風險評估實施的過程和方法。本文件適用于指導智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)、車聯(lián)網(wǎng)服務平臺運營企業(yè)等車聯(lián)網(wǎng)服務平臺相關企業(yè)以及評測機構(gòu)對車聯(lián)網(wǎng)服務平臺風險評估的實施，也可供相關主管部門參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。T/CCSA339—2021車聯(lián)網(wǎng)網(wǎng)絡安全防護定級備案實施指南T/CCSA441—2023車聯(lián)網(wǎng)服務平臺網(wǎng)絡安全防護要求3術(shù)語和定義下列術(shù)語和定義適用于本文件。車聯(lián)網(wǎng)Internetofvehicle通過新一代網(wǎng)絡通信技術(shù)實現(xiàn)與汽車、電子、道路交通運輸?shù)阮I域深度融合，實現(xiàn)車、路、人、平臺等之間的全方位互聯(lián)和信息交互，促進車輛行駛安全、交通效率服務以及支撐自動駕駛演進的復雜網(wǎng)絡及相關系統(tǒng)。[來源：T/CCSA339—2021,3.1]3.2車聯(lián)網(wǎng)服務平臺serviceplatformofInternetofvehicle面向車聯(lián)網(wǎng)業(yè)務應用，負責車輛及相關設備信息的接入、匯聚、計算、監(jiān)控或管理等功能（可負責一種或多種功能提供信息管理或服務等的信息系統(tǒng)/平臺，例如車輛運營管理、信息娛樂、在線升級、遠程診斷、遠程控制、車聯(lián)網(wǎng)卡管理等應用服務或管理功能。[來源：T/CCSA441—2023,3.1]3.3企業(yè)敏感數(shù)據(jù)organizationsensitivedata2T/SHV2X3—2025智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)、車聯(lián)網(wǎng)服務平臺運營企業(yè)業(yè)務過程中涉及的，一旦被泄露或篡改、損毀，可能直接危害經(jīng)濟運行、社會穩(wěn)定、公共健康和安全、個人權(quán)益，或?qū)ζ髽I(yè)合法權(quán)益、經(jīng)濟利益造成嚴重危害的數(shù)據(jù)。4概述4.1評估對象本文件給出了車聯(lián)網(wǎng)結(jié)構(gòu)層次的一般描述，并對應到車聯(lián)網(wǎng)服務平臺的類型上，如圖1所示。圖1車聯(lián)網(wǎng)層次結(jié)構(gòu)模型及對應的車聯(lián)網(wǎng)服務平臺類型本文件的風險評估對象為圖1中各類型車聯(lián)網(wǎng)服務平臺安全運行所涉及的必要要素，評估內(nèi)容包括組成車聯(lián)網(wǎng)服務平臺的信息系統(tǒng)所涉及的物理環(huán)境、網(wǎng)絡、系統(tǒng)、應用及管理等層面所面臨的安全風險。4.2評估原則對各類車聯(lián)網(wǎng)服務平臺實施風險評估遵循以下原則：a)關鍵業(yè)務原則：將被評估方的關鍵業(yè)務作為評估工作的核心，將涉及這些業(yè)務的相關網(wǎng)絡與系統(tǒng)作為評估的重點；b)可控性原則：在風險評估項目實施過程中，嚴格按照標準的項目管理方法對服務過程、人員和工具等進行控制，保證風險評估實施過程的安全可控；c)最小影響原則：首要保障業(yè)務系統(tǒng)的穩(wěn)定運行，而對于需要進行攻擊性測試的工作內(nèi)容，與被評估方溝通并進行應急備份，同時避開業(yè)務的高峰時間進行。4.3評估過程和方法如圖2所示，對車聯(lián)網(wǎng)服務平臺實施風險評估的過程可劃分為風險評估準備、風險要素識別和風險分析三個階段。3T/SHV2X3—2025風險評估準備階段需確認評估目標、范圍、依據(jù)和評估方法，組建團隊，制定實施方案，并完成信息調(diào)研和評估工具準備；風險要素識別階段是對車聯(lián)網(wǎng)服務平臺中的資產(chǎn)、威脅、脆弱性、安全措施等風險要素進行識別與賦值的過程；風險分析階段是對獲得的車聯(lián)網(wǎng)服務平臺相關信息進行關聯(lián)分析，并計算車聯(lián)網(wǎng)服務平臺所面臨風險的大??；最終通過風險評估報告給出風險評估結(jié)果，說明車聯(lián)網(wǎng)服務平臺中存在的安全風險。圖2車聯(lián)網(wǎng)服務平臺風險評估過程對車聯(lián)網(wǎng)服務平臺的風險評估可綜合采用人員訪談、文檔審查、實地查看、配置核查、工具測試等手段對車聯(lián)網(wǎng)服務平臺及其相關設施的風險情況進行評估。評估可采取自評估和檢查評估兩種方式，自評估由車聯(lián)網(wǎng)服務平臺相關企業(yè)自身發(fā)起，組成機構(gòu)內(nèi)部評估小組或委托第三方評估機構(gòu)進行評估，檢查評估一般由車聯(lián)網(wǎng)服務平臺運營者的上級主管部門、業(yè)務主管部門或國家有關主管（監(jiān)管）部門發(fā)起評估工作。5風險評估實施5.1風險評估準備5.1.1確定評估目標和范圍根據(jù)車聯(lián)網(wǎng)服務平臺承載的業(yè)務需求、業(yè)務流程、系統(tǒng)規(guī)模和結(jié)構(gòu)，識別當前運行環(huán)境中車聯(lián)網(wǎng)服務平臺的安全需求，針對車聯(lián)網(wǎng)服務平臺在技術(shù)和管理上的脆弱性和面臨的威脅，確定車聯(lián)網(wǎng)服務平臺風險評估的目標。確定評估目標后，進一步明確風險評估的評估范圍，確定車聯(lián)網(wǎng)服務平臺相關的信息系統(tǒng)及其相關的信息資產(chǎn)、關鍵業(yè)務流程、管理機構(gòu)等。在確定評估范圍時，結(jié)合已確定的評估目標和車聯(lián)網(wǎng)服務平臺運營管理的實際情況，合理定義評估對象和評估邊界，可以參考以下依據(jù)來確定評估范圍：a)車聯(lián)網(wǎng)服務平臺的業(yè)務邏輯邊界；b)組成車聯(lián)網(wǎng)服務平臺的網(wǎng)絡及設備載體邊界；c)車聯(lián)網(wǎng)服務平臺所在的物理環(huán)境邊界；4T/SHV2X3—2025d)車聯(lián)網(wǎng)服務平臺的組織管理權(quán)限邊界。5.1.2明確評估依據(jù)和手段根據(jù)車聯(lián)網(wǎng)服務平臺的評估目標和范圍，確定風險評估的評估依據(jù)和評估手段。評估依據(jù)包括：a)適用的法律、法規(guī)；b)現(xiàn)行國際標準、國家標準、行業(yè)標準、團體標準；c)行業(yè)主管部門對車聯(lián)網(wǎng)服務平臺的管理要求；d)T/CCSA441—2023中與車聯(lián)網(wǎng)網(wǎng)絡安全防護級別相應的基本要求；e)被評估組織的安全要求。評估手段包括：a)人員訪談；b)文檔審查；c)實地查看；d)配置核查；e)工具測試。5.1.3組建團隊和制定實施方案對于自評估，風險評估團隊由車聯(lián)網(wǎng)服務平臺運營管理各部門技術(shù)及業(yè)務負責人、風險評估專家等組成，明確風險評估工作中相關的管理和技術(shù)人員的任務，并由車聯(lián)網(wǎng)服務平臺安全責任人確認。對于檢查評估，風險評估團隊由被評估方的技術(shù)及業(yè)務負責人、檢查方指定評估機構(gòu)相關人員組成，被評估方有支持和配合的責任和義務，以確保檢查評估的有序進行。風險評估團隊組建完成后制定風險評估實施方案，用于指導評估工作的開展過程和實施內(nèi)容，使評估各階段工作有序進行。風險評估實施方案需得到被評估方的確認。風險評估實施方案內(nèi)容包括：a)風險評估目標、范圍、依據(jù)等；b)風險評估團隊成員、職責等；c)風險評估工作計劃，包括實施階段、實施內(nèi)容、實施方法、時間進度安排、交付物等；d)技術(shù)測試方案，包括技術(shù)測試方法、工具選擇、工作環(huán)境要求、應急預案等。5.1.4信息調(diào)研和準備工具信息調(diào)研是了解和熟悉被評估車聯(lián)網(wǎng)服務平臺的過程，風險評估團隊對車聯(lián)網(wǎng)服務平臺相關業(yè)務過程、信息系統(tǒng)和應用、管理過程進行充分的調(diào)研，以保障風險評估過程的順利實施。信息調(diào)研內(nèi)容包括：a)車聯(lián)網(wǎng)服務平臺網(wǎng)絡安全防護定級備案等級（參照T/CCSA339—2021）；b)車聯(lián)網(wǎng)服務平臺支撐的業(yè)務內(nèi)容和流程；5T/SHV2X3—2025c)車聯(lián)網(wǎng)服務平臺的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡環(huán)境；d)車聯(lián)網(wǎng)服務平臺的組成軟件和硬件及相應的基礎設施；e)車聯(lián)網(wǎng)服務平臺中的數(shù)據(jù)；f)車聯(lián)網(wǎng)服務平臺的用戶、管理和維護人員；g)車聯(lián)網(wǎng)服務平臺的安全管理組織建設和人員職責情況；h)車聯(lián)網(wǎng)服務平臺的安全管理制度和合規(guī)要求；i)車聯(lián)網(wǎng)服務平臺的安全防護措施；j)其它與車聯(lián)網(wǎng)服務平臺安全風險相關的內(nèi)容。根據(jù)車聯(lián)網(wǎng)服務平臺技術(shù)特點、評估目標和范圍準備適當?shù)募夹g(shù)評估工具，技術(shù)評估工具的選擇和使用遵循以下原則：a)車聯(lián)網(wǎng)服務平臺脆弱性技術(shù)評估工具具備已知脆弱性核查與檢測能力；b)技術(shù)評估工具的檢測規(guī)則庫能夠及時更新；c)技術(shù)評估工具使用的檢測策略和檢測方式不對車聯(lián)網(wǎng)服務平臺正常運營造成影響；d)可采用多種技術(shù)評估工具對同一測試對象進行檢測，如果出現(xiàn)檢測結(jié)果不一致的情況，進一步采用必要的人工檢測和關聯(lián)分析，并給出與實際情況最為相符的結(jié)果判定；e)技術(shù)評估工具的選擇和使用符合國家有關規(guī)定。根據(jù)車聯(lián)網(wǎng)服務平臺技術(shù)特點、評估目標和范圍準備適當?shù)脑u估過程指導和記錄文件，在文件使用前：a)確認文件發(fā)布前是得到批準的；b)確認文件的更改和現(xiàn)行修訂狀態(tài)是可識別的；c)確認文件的分發(fā)得到適當?shù)目刂?，并確認在使用時可獲得有關版本的適用文件；d)防止作廢文件的非預期使用，若因任何目的需保留作廢文件時，對這些文件進行適當?shù)臉俗R；e)規(guī)定文件的標識、存儲、保護、檢索、保存期限以及處置所需的控制。5.1.5規(guī)避評估風險風險評估工作自身的風險，一是來自于評估結(jié)果是否準確有效，二是評估中的某些測試操作可能給被評估組織或信息系統(tǒng)引入新的風險。風險評估工作實行質(zhì)量控制，保證評估結(jié)果準確有效。風險評估工作的各階段要根據(jù)相應的管理規(guī)范開展評估工作，保證數(shù)據(jù)采集的準確性和有效性，并充分了解被評估方的業(yè)務和安全特性要求。在進行脆弱性識別前做好應急準備。評估方需對測試工具進行核查，包括測試工具是否安裝了必要的系統(tǒng)補丁，是否存有與本次評估工作無關的殘余信息、病毒木馬，漏洞庫或檢測規(guī)則庫的升級情況，以及工具運行情況；核查人員需填寫測試工具核查記錄；評估人員需事先將測試方法與被評估方充分溝通；測試過程中，評估人員需在被評估方相關人員配合下進行測試操作。6T/SHV2X3—20255.2風險要素識別5.2.1資產(chǎn)識別5.2.1.1概述車聯(lián)網(wǎng)服務平臺資產(chǎn)包括設備、機房及相關設施、企業(yè)敏感數(shù)據(jù)、網(wǎng)絡及服務、系統(tǒng)及應用、管理制度及文檔、人員等。通過資產(chǎn)識別形成資產(chǎn)清單以記錄車聯(lián)網(wǎng)服務平臺的資產(chǎn)及其對應的屬性，并通過資產(chǎn)賦值（見5.2.1.3）明確各項資產(chǎn)的價值大小。5.2.1.2資產(chǎn)分類從風險評估實施的角度出發(fā)，對資產(chǎn)進行分類有助于提高資產(chǎn)識別的全面性和準確性。表1給出了資產(chǎn)分類方法的參考。表1資產(chǎn)分類方法參考分類說明設備網(wǎng)絡設備：路由器、交換機等服務器設備：服務器、虛擬機等存儲設備：磁盤陣列等安全設備：認證網(wǎng)關等機房及相關設施通信線路：光纖通信適配器等電力設施：不間斷電源等保障設施：消防設施等企業(yè)敏感數(shù)據(jù)保存在設備上的各種敏感數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)等網(wǎng)絡及服務各種網(wǎng)絡設備、設施及其提供的網(wǎng)絡連接服務等系統(tǒng)及應用車聯(lián)網(wǎng)服務平臺相關的信息系統(tǒng)及應用管理制度及文檔規(guī)定組織內(nèi)部管理體系和制度流程的成文信息及其載體人員掌握重要技術(shù)的人員，如數(shù)據(jù)庫管理人員、網(wǎng)絡維護人員、網(wǎng)絡或業(yè)務的研發(fā)人員等其他企業(yè)形象、客戶關系等5.2.1.3資產(chǎn)賦值5.2.1.3.1概述車聯(lián)網(wǎng)服務平臺資產(chǎn)的賦值體現(xiàn)出資產(chǎn)的安全狀況對于車聯(lián)網(wǎng)服務平臺持續(xù)正常運營的重要性。資產(chǎn)賦值綜合考慮資產(chǎn)的社會影響力、業(yè)務價值和可用性三方面屬性。5.2.1.3.2社會影響力T/SHV2X3—2025根據(jù)車聯(lián)網(wǎng)服務平臺資產(chǎn)在社會影響力上的不同，將其分為5個不同的等級，表示資產(chǎn)在被破壞后對社會公共利益、社會穩(wěn)定性、社會公眾集體等的影響。表2提供了一種車聯(lián)網(wǎng)服務平臺資產(chǎn)社會影響力賦值的參考。表2車聯(lián)網(wǎng)服務平臺資產(chǎn)社會影響力賦值賦值標識定義5很高資產(chǎn)的社會影響力價值非常高，資產(chǎn)被破壞會對社會造成特別嚴重的損害或潛在影響4高資產(chǎn)的社會影響力價值較高，資產(chǎn)被破壞會對社會造成嚴重損害或潛在影響3資產(chǎn)的社會影響力價值中等，資產(chǎn)被破壞會對社會造成一定損害或潛在影響2低資產(chǎn)的社會影響力價值較低，資產(chǎn)被破壞會對社會造成輕微損害或潛在影響1很低資產(chǎn)的社會影響力價值非常低，資產(chǎn)被破壞會對社會造成的危害或潛在影響可以忽略5.2.1.3.3業(yè)務價值根據(jù)車聯(lián)網(wǎng)服務平臺資產(chǎn)所提供業(yè)務的價值的不同，將其分為5個不同的等級，分別對應資產(chǎn)在業(yè)務價值缺失時對整個車聯(lián)網(wǎng)服務平臺支撐業(yè)務運營和滿足用戶需求方面的影響。表3提供了一種車聯(lián)網(wǎng)服務平臺資產(chǎn)業(yè)務價值賦值的參考。表3車聯(lián)網(wǎng)服務平臺資產(chǎn)業(yè)務價值賦值賦值標識定義5很高資產(chǎn)所提供業(yè)務的價值非常關鍵，資產(chǎn)被破壞，導致業(yè)務無法正常運行，會對車聯(lián)網(wǎng)服務平臺造成特別嚴重的或無法接受的影響4高資產(chǎn)所提供業(yè)務的價值較高，資產(chǎn)被破壞，導致業(yè)務無法正常運行，會對車聯(lián)網(wǎng)服務平臺造成嚴重影響3資產(chǎn)所提供業(yè)務的價值中等，資產(chǎn)被破壞，導致業(yè)務無法正常運行，會對車聯(lián)網(wǎng)服務平臺造成一定影響2低資產(chǎn)所提供業(yè)務的價值較低，資產(chǎn)被破壞，導致業(yè)務無法正常運行，會對車聯(lián)網(wǎng)服務平臺造成輕微影響1很低資產(chǎn)所提供業(yè)務的價值非常低，資產(chǎn)被破壞，導致業(yè)務無法正常運行，會對車聯(lián)網(wǎng)服務平臺造成的影響可以忽略5.2.1.3.4可用性根據(jù)車聯(lián)網(wǎng)服務平臺資產(chǎn)在可用性上的不同要求，將其分為5個不同的等級，分別對應資產(chǎn)在可用性上滿足車聯(lián)網(wǎng)服務平臺正常運營的不同程度。表4提供了一種車聯(lián)網(wǎng)服務平臺資產(chǎn)可用性賦值的參考。8T/SHV2X3—2025表4車聯(lián)網(wǎng)服務平臺資產(chǎn)可用性賦值賦值標識定義5很高可用性要求非常高，可用性在正常工作時間達到年度99.999%以上4高可用性要求較高，可用性在正常工作時間達到年度99.99%以上3可用性要求中等，可用性在正常工作時間達到年度99.9%以上2低可用性要求較低，可用性在正常工作時間達到年度99%以上1很低可用性要求非常低，可用性在正常工作時間低于年度99%5.2.1.3.5資產(chǎn)賦值方法根據(jù)資產(chǎn)在社會影響力、業(yè)務價值和可用性這三個安全屬性上的賦值等級，通過加權(quán)計算得到車聯(lián)網(wǎng)服務平臺資產(chǎn)價值。附錄A中給出了車聯(lián)網(wǎng)服務平臺資產(chǎn)價值的具體計算方法。車聯(lián)網(wǎng)服務平臺資產(chǎn)按最終計算結(jié)果劃分為5級，表5中提供了一種資產(chǎn)價值等級描述。重要資產(chǎn)的范圍可根據(jù)資產(chǎn)賦值結(jié)果確定，并作為風險評估的關鍵對象。表5車聯(lián)網(wǎng)服務平臺資產(chǎn)價值等級及含義描述等級標識定義5很高非常重要，其安全屬性被破壞后可能對車聯(lián)網(wǎng)服務平臺造成非常嚴重的損失4高重要，其安全屬性被破壞后可能對車聯(lián)網(wǎng)服務平臺造成比較嚴重的損失3比較重要，其安全屬性被破壞后可能對車聯(lián)網(wǎng)服務平臺造成中等程度的損失2低不太重要，其安全屬性被破壞后可能對車聯(lián)網(wǎng)服務平臺造成較低的損失1很低不重要，其安全屬性被破壞后可能對車聯(lián)網(wǎng)服務平臺造成非常低的損失，甚至忽略不計5.2.2威脅識別5.2.2.1概述威脅是客觀存在的可能導致危害車聯(lián)網(wǎng)服務平臺的安全事故的潛在起因，是一種對車聯(lián)網(wǎng)服務平臺資產(chǎn)構(gòu)成潛在破壞的可能性因素。威脅可以通過威脅主體、動機、途徑等多種屬性來描述，造成威脅的因素包括技術(shù)因素、環(huán)境因素和人為因素等。威脅作用形式可以是對車聯(lián)網(wǎng)服務平臺及相關設施直接或間接的攻擊，在社會影響力、業(yè)務價值和可用性等方面造成損害。5.2.2.2威脅分類通過識別車聯(lián)網(wǎng)服務平臺威脅的來源，可對威脅進行粗略分類以快速判斷存在威脅的領域。表6提供了一種根據(jù)威脅來源的車聯(lián)網(wǎng)服務平臺威脅分類方法。9T/SHV2X3—2025表6車聯(lián)網(wǎng)服務平臺威脅來源分類來源威脅描述技術(shù)因素由于車聯(lián)網(wǎng)服務平臺設備自身的軟硬件故障、系統(tǒng)本身設計缺陷或軟件缺陷環(huán)境物理環(huán)境斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，車聯(lián)網(wǎng)服務平臺意外事故或通信線路方面的故障鼠蚊蟲害、洪災、火災、泥石流、山體滑坡、地震、臺風、閃電人為惡意人員內(nèi)部人員對車聯(lián)網(wǎng)服務平臺的網(wǎng)絡或系統(tǒng)進行惡意破壞，或采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，以獲取利益；外部人員利用車聯(lián)網(wǎng)服務平臺的脆弱性，對車聯(lián)網(wǎng)服務平臺進行破壞，以獲取利益或炫耀能力無惡意人員內(nèi)部人員由于缺乏責任心，或者由于不關心和不專注，或者沒有遵循規(guī)章制度和操作流程而導致故障或信息損壞；內(nèi)部人員由于缺乏培訓，專業(yè)技能不足，不具備崗位技能要求而導致車聯(lián)網(wǎng)服務平臺故障或被攻擊基于表現(xiàn)形式對車聯(lián)網(wǎng)服務平臺威脅進行分類的方式可以直觀地體現(xiàn)威脅的外在特征，表7提供了一種基于表現(xiàn)形式威脅分類方法。表7基于表現(xiàn)形式的車聯(lián)網(wǎng)服務平臺威脅分類種類描述軟硬件故障由于設備硬件故障、通信鏈路中斷、系統(tǒng)本身設計或軟件缺陷導致對業(yè)務高效穩(wěn)定運行的影響物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蚊蟲害、電磁干擾、洪災、火災、地震等環(huán)境問題和自然災害無作為或操作失誤由于應該執(zhí)行而沒有執(zhí)行相應的操作或無意地執(zhí)行了錯誤的操作，對車聯(lián)網(wǎng)及相關系統(tǒng)造成影響管理不到位安全管理無法落實、不到位，造成安全管理不規(guī)范或者管理混亂，從而破壞車聯(lián)網(wǎng)及相關系統(tǒng)正常有序運行惡意代碼和病毒具有自我復制、自我傳播能力，對車聯(lián)網(wǎng)及相關系統(tǒng)構(gòu)成破壞的程序代碼越權(quán)或濫用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用職權(quán)，做出破壞車聯(lián)網(wǎng)及相關系統(tǒng)的行為黑客攻擊技術(shù)利用黑客工具和技術(shù)，例如偵查、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務攻擊等手段對車聯(lián)網(wǎng)及相關系統(tǒng)進行攻擊和入侵物理攻擊物理接觸、物理破壞、盜竊泄密機密信息泄露給他人篡改非法修改信息抵賴不承認收到的信息和所做的操作或交易T/SHV2X3—20255.2.2.3威脅賦值基于車聯(lián)網(wǎng)服務平臺威脅行為出現(xiàn)的頻率對威脅進行賦值，并設定相應的評級方法進行等級劃分，等級越高表示威脅利用脆弱性的可能性越大。不同等級分別代表威脅出現(xiàn)頻率的高低，等級數(shù)值越大，威脅出現(xiàn)的頻率越高。車聯(lián)網(wǎng)服務平臺威脅的頻率可根據(jù)經(jīng)驗并參考組織、行業(yè)和區(qū)域有關的統(tǒng)計數(shù)據(jù)進行判斷，綜合考慮以下方面，形成車聯(lián)網(wǎng)服務平臺運行環(huán)境中各種威脅出現(xiàn)的頻率：a)以往安全事件報告中出現(xiàn)過的威脅及其頻率統(tǒng)計；b)實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率統(tǒng)計；c)近期公開發(fā)布的社會或特定行業(yè)威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警。表8給出了一種車聯(lián)網(wǎng)服務平臺威脅頻率的賦值方法。可在附錄B中的“威脅”部分對車聯(lián)網(wǎng)服務平臺及相關系統(tǒng)給出威脅分析和識別結(jié)果。表8車聯(lián)網(wǎng)服務平臺威脅頻率賦值等級標識描述5很高出現(xiàn)的頻率很高，或在大多數(shù)情況下幾乎不可避免或可以證實頻繁發(fā)生過4高出現(xiàn)的頻率較高，或在大多數(shù)情況下很有可能會發(fā)生或可以證實多次發(fā)生過3出現(xiàn)的頻率中等，或在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較小，或一般不太可能發(fā)生或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生5.2.3脆弱性識別5.2.3.1概述脆弱性是對一個或多個資產(chǎn)弱點的總稱。脆弱性識別也稱為弱點識別，脆弱性是資產(chǎn)本身存在的，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。車聯(lián)網(wǎng)服務平臺中資產(chǎn)脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)。在識別已經(jīng)運行的車聯(lián)網(wǎng)服務平臺資產(chǎn)脆弱性時，盡量避免影響車聯(lián)網(wǎng)服務平臺的正常運行。脆弱性識別對物理環(huán)境層、設備和系統(tǒng)層、網(wǎng)絡層、數(shù)據(jù)庫、業(yè)務/應用層各層面的資產(chǎn)中存在的可能被威脅利用的脆弱性進行識別，并同時對脆弱性的嚴重程度進行評估。5.2.3.2脆弱性識別內(nèi)容脆弱性識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性涉及物理環(huán)境層、設備和系統(tǒng)層、網(wǎng)絡層、數(shù)據(jù)庫、業(yè)務/應用層等各個層面的安全問題；管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動相關，后者與管理環(huán)境相關。表9提供了一種脆弱性識別內(nèi)容的參考。表9脆弱性識別內(nèi)容類型識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境層從機房場地、機房防火、機房供配電、機房防靜電、T/SHV2X3—2025機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設備管理等方面進行識別設備和系統(tǒng)層（含操作系從物理保護、用戶賬號、口令策略、資源共享、訪問控制、新系統(tǒng)配置（初始化）等方面進行識別網(wǎng)絡層從網(wǎng)絡結(jié)構(gòu)設計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡安全配置等方面進行識別數(shù)據(jù)庫從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡和服務設置、備份及恢復機制、敏感數(shù)據(jù)加密存儲和傳輸?shù)确矫孢M行識別業(yè)務/應用層從訪問控制策略、業(yè)務連續(xù)性、通信、鑒別機制、密碼保護、人工智能模型與內(nèi)容安全等方面進行識別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性等方面進行識別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全等方面進行識別5.2.3.3脆弱性賦值可以根據(jù)對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、脆弱性流行程度，對已識別的脆弱性的嚴重程度進行賦值。對于引起同一方面問題的或可能造成相似后果的脆弱性，賦值時綜合考慮這些脆弱性的共同作用，最終確定某一方面的脆弱性的嚴重程度。對一項具體的車聯(lián)網(wǎng)服務平臺資產(chǎn)，其技術(shù)脆弱性的嚴重程度還受到該資產(chǎn)所屬車聯(lián)網(wǎng)服務平臺管理脆弱性的影響，因此資產(chǎn)的脆弱性賦值需要綜合考慮技術(shù)管理和組織管理脆弱性的嚴重程度。脆弱性嚴重程度可按等級化進行賦值，不同的等級分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高。表10提供了脆弱性嚴重程度的一種賦值方法。表10車聯(lián)網(wǎng)服務平臺脆弱性嚴重程度賦值等級標識描述5很高如果被威脅利用，將對車聯(lián)網(wǎng)服務平臺資產(chǎn)造成特別嚴重損害4高如果被威脅利用，將對車聯(lián)網(wǎng)服務平臺資產(chǎn)造成嚴重損害3如果被威脅利用，將對車聯(lián)網(wǎng)服務平臺資產(chǎn)造成一般損害2低如果被威脅利用，將對車聯(lián)網(wǎng)服務平臺資產(chǎn)造成較小損害1很低如果被威脅利用，將對車聯(lián)網(wǎng)服務平臺資產(chǎn)造成的損害可以忽略在附錄B中的“脆弱性”部分對車聯(lián)網(wǎng)服務平臺中各項資產(chǎn)給出脆弱性識別和賦值結(jié)果。T/SHV2X3—20255.2.4已有安全措施確認對車聯(lián)網(wǎng)服務平臺中已采取的安全措施的有效性進行確認。安全措施可以分為預防性安全措施和保護性安全措施兩種，預防性安全措施可以降低威脅利用脆弱性導致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護性安全措施可以減少因安全事件發(fā)生對資產(chǎn)造成的影響，如業(yè)務持續(xù)性計劃。車聯(lián)網(wǎng)服務平臺中已有安全措施的確認需要注意與脆弱性識別之間存在的聯(lián)系。以確認安全措施的有效性為目標，確認安全措施的使用可降低車聯(lián)網(wǎng)服務平臺資產(chǎn)的脆弱性，但確認過程并不與脆弱性識別過程同步，不需具體到每個資產(chǎn)的脆弱性，而只需確認一類具體措施的集合。例如，確認防火墻的訪問控制策略的有效性，不需描述具體的端口控制策略、用戶控制策略，只需確認已采用的訪問控制措施。已有安全措施確認的結(jié)果是識別出車聯(lián)網(wǎng)服務平臺針對已知風險具備的各項安全措施，并綜合評判其對車聯(lián)網(wǎng)服務平臺中各項資產(chǎn)及其對應的威脅和脆弱性的防護程度，可通過已有安全措施有效率的方式來衡量已有安全措施對威脅和脆弱性的防護，已有安全措施有效率表示某項具體的安全措施對資產(chǎn)的防護效果，以數(shù)值方式量化標識已有安全措施對具體資產(chǎn)所起到的保護作用（見表11）。已有安全措施有效率的賦值如下：表11已有安全措施有效率賦值已有安全措施有效率賦值定義0.1針對該脆弱點基本未采取安全防護措施0.5針對該脆弱點采取了較為簡單的安全防護措施0.9針對該脆弱點采取的措施能進行有效的安全防護5.3風險分析5.3.1概述對車聯(lián)網(wǎng)服務平臺進行風險分析時，需要整體考慮車聯(lián)網(wǎng)服務平臺的資產(chǎn)及其脆弱性、威脅和已有安全措施等基本因素，可針對可能發(fā)生安全事件的車聯(lián)網(wǎng)服務平臺資產(chǎn)，采用綜合考慮了已有安全措施有效性的資產(chǎn)價值、威脅值、脆弱性值的“相乘法”作為車聯(lián)網(wǎng)服務平臺風險值計算的方法，風險分析的原理如圖3所示。圖3車聯(lián)網(wǎng)服務平臺風險分析原理T/SHV2X3—20255.3.2風險值計算如圖3所示的風險分析過程，在完成了車聯(lián)網(wǎng)服務平臺的資產(chǎn)識別及相應的威脅識別、脆弱性識別和賦值后，再對資產(chǎn)已有安全措施的有效率進行確認。這些賦值使得車聯(lián)網(wǎng)服務平臺風險的計算方法可采用“相乘法”計算風險值。這一計算過程可以確定車聯(lián)網(wǎng)服務平臺中各項資產(chǎn)面臨的威脅利用資產(chǎn)固有的脆弱性導致安全事件發(fā)生的可能性，綜合資產(chǎn)價值及脆弱性的嚴重程度，整合已有安全措施的正面影響，判斷安全事件一旦發(fā)生后造成車聯(lián)網(wǎng)服務平臺資產(chǎn)損失的風險，最終計算得出的車聯(lián)網(wǎng)服務平臺風險值。對車聯(lián)網(wǎng)服務平臺風險計算原理可以采用以下公式表示：Risk=AV×T×Vul×(1?E)其中，Risk表示車聯(lián)網(wǎng)服務平臺風險值，AV為資產(chǎn)價值，T為威脅值，Vul為脆弱性，E為已有安全措施有效率。5.3.3風險結(jié)果判定為了方便對車聯(lián)網(wǎng)服務平臺風險的管理與控制，可以進一步對車聯(lián)網(wǎng)服務平臺風險評估過程中得出的風險值進行等級化處理。按車聯(lián)網(wǎng)服務平臺風險值的計算范圍將風險等級劃分為五級，每個等級代表了相應風險的嚴重程度，等級越高，風險越高。表12、表13提供了風險等級判定標準。表12風險等級判定風險等級54321風險值Risk>9060<Risk≤9030<Risk≤6010<Risk≤30Risk≤10表13風險等級描述等級標識描述5很高一旦發(fā)生將使車聯(lián)網(wǎng)服務平臺及相關系統(tǒng)遭受非常嚴重破壞，組織利益受到非常嚴重損失，如組織信譽嚴重破壞、嚴重影響組織業(yè)務的正常運行、經(jīng)濟損失重大、社會影響惡劣4高如果發(fā)生將使車聯(lián)網(wǎng)服務平臺及相關系統(tǒng)遭受比較嚴重的破壞，組織利益受到很嚴重損失3發(fā)生后將使車聯(lián)網(wǎng)服務平臺及相關系統(tǒng)受到一定的破壞，組織利益受到中等程度的損失2低發(fā)生后將使車聯(lián)網(wǎng)服務平臺及相關系統(tǒng)受到的破壞程度和利益損失一般1很低即使發(fā)生只會使車聯(lián)網(wǎng)服務平臺及相關系統(tǒng)受到較小的破壞根據(jù)評估準備階段確定的風險評估依據(jù)，可將車聯(lián)網(wǎng)服務平臺風險分為可接受風險和不可接受風險，通過對計算得出的風險值設置具體的閾值來區(qū)分，其中風險值低于可接受風險閾值的風險為可接T/SHV2X3—2025受風險，高于可接受風險閾值的風險為不可接受風險。如表14中的閾值給出車聯(lián)網(wǎng)服務平臺中不同資產(chǎn)類型在不同安全防護等級下區(qū)分可接受風險和不可接受風險的具體閾值參考值。表14風險閾值對象的安全等級2級3級4級5級風險閾值（風險值大于此閾值的風險視為不可接受）設備類風險（包括設備、機房、數(shù)據(jù)、網(wǎng)絡）6045255人員類風險90604020管理制度、文檔類風險503055.4風險評估報告車聯(lián)網(wǎng)服務平臺風險分析完成后，對風險評估過程進行總結(jié)，并編制風險評估報告。風險評估報告內(nèi)容包括：a)概述，說明車聯(lián)網(wǎng)服務平臺風險評估的背景和目的、內(nèi)容及范圍、風險評估方法和風險評估依據(jù)；b)資產(chǎn)分析，說明車聯(lián)網(wǎng)服務平臺所包含的資產(chǎn)，包括資產(chǎn)清單、重要資產(chǎn)列表、資產(chǎn)賦值方法和資產(chǎn)賦值的結(jié)果；c)威脅識別，說明車聯(lián)網(wǎng)服務平臺中資產(chǎn)所面臨的威脅，包括威脅概述、威脅列表和威脅賦值的結(jié)果；d)脆弱性分析，說明車聯(lián)網(wǎng)服務平臺中資產(chǎn)所存在的脆弱性，包括脆弱性概述、脆弱性列表和脆弱性賦值的結(jié)果；e)已有安全措施，說明車聯(lián)網(wǎng)服務平臺中已采取的安全防護措施，包括概述和已有安全措施的統(tǒng)計列表；f)安全風險分析，說明對車聯(lián)網(wǎng)服務平臺中的資產(chǎn)進行風險分析的過程和結(jié)果，包括風險計算方法、風險閾值確定、風險分析列表、風險結(jié)果判定；g)安全整改建議，根據(jù)安全風險的嚴重程度、加固措施實施的難易程度、降低風險的緊迫性、需投入的成本等因素，綜合給出整改建議；h)總結(jié)，說明評估完成后所確認的車聯(lián)網(wǎng)服務平臺風險總體狀況；i)附錄，提供對車聯(lián)網(wǎng)服務平臺進行風險評估過程中所收集的證據(jù)材料和執(zhí)行的技術(shù)測試記錄，以支持風險分析過程中得出的各項結(jié)果。5.5風險評估文件車聯(lián)網(wǎng)服務平臺風險評估文件包括在風險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔：a)風險評估方案：闡述風險評估的目標、范圍、人員、評估方法和依據(jù)、評估內(nèi)容和過程、評估結(jié)果形式和計劃進度等；T/SHV2X3—2025b)資產(chǎn)識別清單：根據(jù)風險評估文件中所確定的資產(chǎn)分類方法進行資產(chǎn)識別，形成資產(chǎn)識別清單，明確資產(chǎn)的責任人/部門；c)重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責任人/部門等；d)威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現(xiàn)的頻率等；e)脆弱性列表：根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括具體脆弱性的名稱、描述、類型及嚴重程度等；f)已有安全措施確認表：根據(jù)已采取的安全措施確認的結(jié)果，形成