Hi同路人，这里是青骥信息安全公益小组，上周我们依次介绍了BP系列的《应急响应》、《第三方合作管理》、《威胁检测监控与分析》，按照团队运营发布计划，本周我们会继续完成BP的编译和内容介绍工作。本篇将与您分享汽车信息安全风险管理相关内容，也欢迎大家参阅的《汽车风险评估方法探讨》。本期统筹编译为公益翻译团荣誉创始成员 @王颖会 同学，校稿为荣誉创始成员 @龚桓毅 同学，为他们的无私奉献点赞。

– 主理人：李强 @Keellee

Q & A

欢迎大家来到本系列的第四篇技术文章，后台收到反馈，为什么我们总是介绍信息安全管理方面的内容？

其实也并非有意为之，而是受到该系列BP内容本身的局限，既然是业内可公开的最佳实践，更多是方法论方面的经验介绍，而大家所希望的技术细节，确实只是点到为止。但我们还是想继续介绍下去，原因有三：

一是作为信息安全从业人员，我们的思路还是希望大家对于汽车信息安全有个整体的概念，有了全局的视野和整体的框架思维之后，才能更好的理解我们本职工作的意义以及其周边的衔接关系，

二是现在国内的信息安全产业还处于起步阶段，国内OEM也在逐步完善内部的信息安全团队，角色定义以及职责分工一定是以信息安全业务为牵引，对于信息安全部门在人员招聘和岗位设置方面，那就必须要深入的了解信息安全业务的需要，而BP介绍的各要素提供了很好的参考。

三是信息安全管理本身是件重要而不紧急的事情。在信息安全业务整体的规划中，它需要领导者对信息安全要素有所了解，对于信息安全业务要有长远的规划，那么该系列BP所提到的内容也是我们业务绕不开的。

不管从专业技术的深入，还是到部门负责人，高层管理，对于信息安全工作的开展，心里还是要有这么一张地图。同时经过青骥信安公益小组内部讨论。目前行业所关心的技术热点或要求，后续我们也会陆续深挖并分享给大家。下面我们还是要回到今天推文主题《汽车信息安全风险评估与管理》，按照惯例给大家介绍本篇内容的概要。

本篇概述

本篇重点介绍了产品各阶段的风险管理工作，从业务实际开展的角度对风险管理所涉及的范围、角色与职责，覆盖周期，以及风险容忍度、结果评价和风险处置，以及相应的沟通问题，合规问题。秉承BP一贯的风格，只是方法论和涉及到的关键要点进行了阐述，不拘泥于单一的技术方法。

文档首先介绍了信息安全风险管理的覆盖范围，如果产品的开发模式遵循瀑布模型和V模型，举例说明了风险评估及管理要涉及到其中五个阶段：设计、实施和集成、测试、生产和售后服务。

设计：在早期阶段，对车辆或产品的整体功能概念进行安全风险分析(书面分析)，将有助于考虑资产、威胁向量和行为者，以及由此产生的保护目标。基于书面分析的结果，可以识别网络风险管理的新风险，就总体架构的新需求做出设计决策并达成一致。

实施和集成：在设计阶段之后，在实施之前，所有需求都可以根据其在实现公司特定保护目标方面的有效性进行衡量，也就是在此过程中开展相关的风险评估工作。

测试：在测试阶段中，安全性测试里程碑的规划通常考虑修复已识别的漏洞的时间和开发阶段的剩余时间。使用风险评估方法对识别出的漏洞进行评级，并在此基础上对修复工作进行优先级排序。可能无法迅速修复的漏洞，以及新发现的漏洞，可以通过售后服务汽车网络风险管理流程进行处理。

生产：公司可以考虑在测试阶段结束时执行安全批准，以检查产品安全性，生产阶段的网络安全风险管理不能以生产安全批准为终点。在整个生产过程中保持对安全的关注有助于管理风险环境。经常进行信息安全质量检查，以确保安全措施得到正确实施，且没有未授权的更改被应用。

售后服务：在产品上市后，进行威胁监控是有用的，有助于识别威胁环境中的新趋势(例如，在黑客场景中，潜在的新兴攻击向量，新发现的漏洞，网络安全事件)。为了实现长期的网络安全产品改进，可以向网络风险评估团队通报新发现的攻击向量，并不断更新组织的网络风险保护目标。除了威胁监控和漏洞管理活动之外，制造商还可以管理可能有影响的售后环境部分的风险，在经销商网络中，服务工具等相关项需要进行设计、生产和维护，以实现适当的安全控制。

介绍完风险评估及管理的覆盖范围之后，然后就是车辆及产品信息安全风险管理过程中角色和职责的介绍。由于产品信息安全团队的结构和成员在不同公司之间可能会有很大的差异，本文档也只是简单的举了示例。

角色包括网络领导者、产品信息安全团队（包括网络风险经理和网络安全分析师），渗透测试团队、应急响应团队、设计团队、开发人员、适当的执行管理者。

网络领导者被定义为负责领导和管理产品网络安全团队、渗透测试团队和车辆事件响应团队的个人。网络领导者是所有评估结果的推动者，负责将结果传达给感兴趣的利益相关者。

产品网络安全团队在安全领域通常被称为“蓝队”。它通常由执行日常网络安全流程的个人组成，包括对概念进行网络风险评估，以及定义新的保护目标以应对不断变化的威胁环境

渗透测试团队在安全领域中称为“红队”，定义为对车辆、ECU或功能进行渗透测试的人员。这个团队可能是内部的，也可能是外部的。渗透测试团队与设计团队的分离支持了公正性。它可以减少可能的车辆网络攻击的实用性，从而可以评估产品对网络攻击的鲁棒性。

应急响应团队的定义是负责对与车辆相关的网络事件进行技术分析，对发现的风险进行评级，并通过生成企业响应来处理事件的小组。

设计团队是那些从事工程工作，开发或支持正在创建和测试的硬件和软件的开发的人员。设计团队通常负责确保所有者(网络领导者和产品网络安全团队)获得准确的风险评估的评估证据，通常是项目经理。

开发人员实施由设计团队定义的产品需求。设计团队和开发人员之间的区别是，软件和硬件通常由不同的供应商开发，而功能和规范通常由公司内部设计。根据公司的结构，产品网络安全团队与开发人员直接沟通、讨论漏洞或源代码审计发现并对他们进行网络安全最佳实践教育可能更容易，也可能更困难。

公司管理层做出的商业决策会影响产品的网络安全。管理团队收到安全部门领导的简报，以便对公司做出最有利的决策。

以上为整体的风险评估管理奠定了基础，接下来的章节介绍了风险评估周期、风险容忍度、结果评价和风险处置建议、与利益相关者沟通问题，以及治理和合规。其中可参考细节较多部分为风险容忍度和评价处置建议，具体的内容大家可参考文档具体内容，欢迎下载转发。

以上，但愿对您的学习和工作有所帮助，再次感谢您的支持！

–主编: 杨文昌@VincentYang