文章总结： 本文介绍汽车网络安全风险评估的两种核心方法EVITA和HEVENS。EVITA基于ISO26262利用攻击树识别威胁并结合严重度与攻击潜力评估风险。HEVENS采用STRIDE模型分析威胁通过威胁与影响等级确定安全需求。小结指出EVITA侧重场景化而HEVENS流程更规范均为汽车安全设计提供了方法论支持。 综合评分： 79 文章分类： 车联网安全,安全建设,技术标准

---

汽车网络安全风险评估方法

谈思实验室

2026年2月14日 18:36 上海

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

01

概述

THREAT ANALYSIS & RISK ASSESSMENT AND VULNERABILITY ANALYSIS METHODS 是概念阶段用到的核心方法，也是整个系统安全的起点工程。在计算机网络发展的多年来，也提出了很多方法。本文主要介绍针对汽车工程的两个方法EVITA和HEVENS。

02

EVITA

E-Safety Vehicle Intrusion Protected Applications是欧盟于2008年发起的一个针对网联汽车安全的项目，其目标是设计一个车载网络的体系结构的原型，使其中与网络安全相关的组件受到保护。EVITA方法主要参考ISO/IEC 15408 (7)和ISO 26262，设立了四个安全目标：可用性（Operational），功能安全（safety），隐私（privacy）和资产（Financial）。

对于每个网络安全目标，EVITA项目考虑:

威胁识别:使用“暗面”场景和攻击树来识别一般性威胁，从而识别一般性威胁网络安全的需求。威胁分类:根据威胁结果的严重程度和成功攻击的概率，制定了对威胁风险进行分类的建议。

对于每个严重度等级可以从下表获得（与26262相比，其拓展了非功能安全相关的目标）

在EVITA中成功攻击的概率基于IT安全评估中使用的“攻击潜力”概念，并同时考虑攻击者和系统。对于攻击者，攻击潜力考虑许多因素，例如攻击者确定如何攻击系统和成功执行攻击所需的时间、攻击者所需的专业知识、系统所需的知识、对专业设备的需求等。每一个因素都应用一个矩阵表示（就像严重度一样），最后攻击潜力由以下矩阵确定。

将以上两者作为两个维度就可以合成威胁的等级，不过这个又分为了两类；一类是privacy, financial, and operational这三个no-safety的，而safety的要再考虑可控性（同26262）。

可控性用于评估人类以某种方式避免与安全相关的潜在事故的可能性。可控性分类为C1- C4。其中C1表示正常的人类反应有可能避免事故，C4表示人类不能以任何方式避免事故。

最后safety类的风险矩阵为：

EVITA方法是一个总体性架构。在面对特定的特征或系统层面的时候采用THROP方法，ＴＨＲＯＰ方法脱胎于HAZOP (Hazard and Operability Analysis)方法，只不过将风险分析变为威胁分析。其分为三步：

1. 确定特征的最小功能，作为分析对象
2. 确定潜在威胁
3. 确定“暗面”的最坏场景

然后就按照EVITA方法进行风险等级的确定。

03

HEVENS

HEVENS方法也是欧洲的一个项目产生的，很多相关研究可以参考查尔姆斯理工大学的一些详细研究。

HEVENS: link.

其方法主要有三个过程：

威胁分析―――风险评估―――安全需求

威胁分析

-输入：描述的功能用例图；输出：资产与威胁的映射，威胁与安全要素的映射（采用STRIDE方法）

风险评估

-输入：资产与威胁的映射、威胁等级、影响等级；输出：风险（安全）等级

威胁等级确定：

影响等级确定（影响等级对应的四个目标与EVITA一致）

最后将以上四个合成最后的IL

最后第二步的输出为

安全需求

-输入：威胁与安全要素的映射、安全等级；输出：最高等级的安全需求（因为对同一资产可能有不同的安全等级，这里取最高的）

04

小结

HEVENS和EVITA明显的一个区别就是在威胁分析的时候，HEVENS是基于安全要素的，采用STRIDE而EVITA是基于场景的，采用攻击树。另外，HEVENS考虑的维度更细致，其流程更加规范。

来源：CSDN@闻着文也

原文链接：

https://blog.csdn.net/Pan_w_w/article/details/106022699

谈思-汽车出海安全合规（欧洲）

交流群

谈思 AutoSec Europe 峰会旨在搭建一个能融汇全球视野与中国实践、连接技术前沿与落地应用的国际性专业平台，以助力中国汽车应对在出海过程中面临的网络与数据安全合规痛点。从前沿技术研讨、合规要点解析到经验交流，都将通过本平台为您提供持续支持。社群已超过200人，需邀请加入，如需入群，欢迎添加社群小助手微信taaslabs01。

谈思-SDV&AIDV技术出海

交流群

诚邀行业同仁加入谈思SDV&AIDV出海技术交流群，聚焦软件定义汽车、AI定义汽车、下一代EEA、智能座舱、智能驾驶、软件架构、域控制器开发、芯片技术、软件工具等核心议题，欢迎大家加群交流探讨~~社群已超过200人，需邀请加入，如需入群，欢迎添加社群小助手微信taaslabs01。

end

谈思汽车媒体门户

精品活动推荐

AutoSec系列沙龙

专业社群

部分入群专家来自：

新势力车企：

特斯拉、理想、极氪、小米、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯……

外资传统主流车企代表:

大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚……

内资传统主流车企：

吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用……

全球领先一级供应商：

博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、潍柴集团、地平线、紫光同芯、字节跳动、……

二级供应商(500+以上)：

中科数测、ETAS、BlackDuck、NXP、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、加特兰微电子、浙江大学……

人员占比

公司类型占比

文章

不要错过哦，这可能是汽车网络安全产业最大的专属社区！

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全：TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些？

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言：关于构建完善汽车数据安全管理体系的建议

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：谈思实验室 《汽车网络安全风险评估方法》