2.2 测试流程

测试流程（图2-1）主要包括4个阶段：测试准备、方案编制、现场测试和报告编制。

（1）测试准备阶段

测试准备阶段主要是确定测试活动的目标，划定测试范围，收集系统信息。

1）确定目标。首先需要确定智能网联汽车信息安全测试的目标与需求，信息安全需求是为保证智能网联汽车正常、有效运转而必须达到的信息安全要求，通过分析组织必须符合的相关法律法规以及在具体业务与功能运转中对信息安全的机密性、可用性、完整性等方面的要求，来确定智能网联汽车信息安全测试的目标。

2）划定范围。在进行现场测试之前，需要确定测试的范围。测试范围包括智能网联汽车内部与信息处理相关的各类软硬件资产、智能网联汽车外部与信息处理相关的各类软硬件资产、外部的服务提供商等方面。

因为信息安全测试的范围根据目标与需求来确定，所以既可以对智能网联汽车生产商、智能网联汽车服务商以及相关软硬件资产进行全面的系统测试，也可以仅对智能网联汽车的关键业务或者关键功能进行测试。

3）系统调研。在确定了智能网联汽车信息安全测试的目标和范围之后，就需要专业人员来进行系统调研，并根据系统调研的结果决定将采用的测试方法等技术手段。其中，信息系统调研的内容包括：

①智能网联汽车主要功能和相关安全要求。

②车联网与智能网联汽车内部网络结构、网络环境（包括内部和外部连接）。

③车联网系统边界。

④主要的软、硬件资产（包括智能网联汽车内部和外部资产）。

⑤智能网联汽车系统和数据的敏感性。

⑥智能网联汽车使用人员。

⑦其他。

（2）方案编制阶段

以系统调研的结果为依据，根据被评估信息的具体情况来确定测试的依据和方法。依据相关信息安全标准、智能网联汽车信息系统安全要求、智能网联汽车系统本身的实时性和性能要求等，综合考虑测试的目的、范围、时间等因素，选择具体的风险计算方法，并且依据对智能网联汽车信息系统安全运行的需求，确定相关的测试依据，使智能网联汽车系统环境能够达到信息安全要求。测试方案主要包含信息安全目标、测试对象、测试指标、测试方法、测试计划、测试工具以及测试内容等。

（3）现场测试阶段

测试方案编制工作完成之后，进一步确认测试活动的时间，开展现场测试活动。现场测试活动主要包括资产、威胁、脆弱性和现有控制措施的识别和评估、风险评估等步骤。

首先开展信息系统的资产梳理及重要性评价，包括数据、软件、硬件、文档、服务人员等，以资产的机密性、完整性、可用性3个方面的属性为基础进行重要性衡量。接着进行威胁分析及发生可能性评估，包括人为因素和环境因素带来的安全威胁，从威胁主体、资源、动机、途径等多种属性来描述，根据过去安全事件报告中威胁的出现频率、国际组织发布的对整个社会或者特定行业的威胁以及其频率的统计等确定威胁发生的可能性。进一步识别系统存在的安全脆弱性，针对每一项需要保护的资产，采用问卷调查、工具检测、人工核查、文档查阅、渗透性测试等方法，识别可能被威胁利用的弱点，并对脆弱点的严重程度进行评估。根据对资产的损害程度、技术实现的难易程度，采用等级方式对已经识别的脆弱性的严重程度进行赋值。接着确认已有安全措施，包括预防性安全措施和保护性安全措施。一般来说，安全措施的使用将减少系统技术或者管理上的弱点，预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，保护性安全措施可以减少因为安全事件发生对系统造成的影响。对已经采取的安全措施的有效性进行检查，检查安全措施是否有效发挥作用，即是否真正降低系统脆弱性、抵御安全威胁。最后在完成资产识别、威胁识别、脆弱性识别以及对已有的安全措施确认后，考虑威胁出现的频率和脆弱性并综合攻击者技术能力、脆弱性被利用的难易程度和资产吸引力等因素来判断安全事件发生的可能性，根据资产价值以及脆弱性的严重性程度，计算安全事件一旦发生后的损失，并采用矩阵法或相乘法计算出风险值。

（4）报告编制阶段

在现场测试活动完成之后，将进行分析报告编制活动，在此阶段将会对资产配置文件、威胁分类文件、脆弱性分类文件等文档进行分析，得出威胁分析结果、脆弱性分析结果和风险分析结果。在风险分析结果中将会对风险评估的结果进行等级化处理。根据所采用的风险计算法方法，计算每种资产面临的危险值，根据风险值的分布情况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理，每个等级代表了相应风险的严重程度。综合考虑风险控制成本与风险造成的影响，提出一个可接受的风险范围。如果风险评估值在可接受范围内，则该风险是可接受的，应保持已有的安全措施；如果风险的评估值在可接受范围外，即风险计算值高于可接受范围上限值，则需要采取安全措施以降低、控制风险。