ICS33.040.40CCSM19ImplementationguidelinestoriskassessmentofserviceplatformofInternetofvehicles上海市車聯網協會發布T/SHV2X3—2025 II 12規范性引用文件 13術語和定義 14概述 24.1評估對象 24.2評估原則 24.3評估過程和方法 25風險評估實施 35.1風險評估準備 35.2風險要素識別 65.3風險分析 12附錄A（規范性）資產賦值計算 16附錄B（資料性）風險評估列表 17參考文獻 20T/SHV2X3—2025本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》給出的規則起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由上海市車聯網協會提出并歸口。本文件起草單位：上研智聯智能出行科技（上海）有限公司、上海計算機軟件技術開發中心、上海銀基科技股份有限公司、潤成安全技術有限公司、工業互聯網創新中心（上海）有限公司、上海蔚來汽車有限公司、零束科技有限公司、上汽大眾汽車有限公司、福特汽車（中國）有限公司、沃爾沃汽車技術(上海)有限公司、艾普拉斯（上海）質量檢測有限公司、上海優咔網絡科技有限公司。本文件主要起草人：楊偉利、潘政偉、宋曉航、毛爭艷、何旺君、李爽、嚴超、劉海、曹遠晶、張孟、周悅、楊曉光、王菲、王艷艷，杜同禎、楊清羽、李澤惠、薛超、楊靖、王寨納。T/SHV2X3—2025車聯網服務平臺風險評估實施指南本文件描述了車聯網服務平臺風險評估實施的過程和方法。本文件適用于指導智能網聯汽車生產企業、車聯網服務平臺運營企業等車聯網服務平臺相關企業以及評測機構對車聯網服務平臺風險評估的實施，也可供相關主管部門參考。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。T/CCSA339—2021車聯網網絡安全防護定級備案實施指南T/CCSA441—2023車聯網服務平臺網絡安全防護要求3術語和定義下列術語和定義適用于本文件。車聯網Internetofvehicle通過新一代網絡通信技術實現與汽車、電子、道路交通運輸等領域深度融合，實現車、路、人、平臺等之間的全方位互聯和信息交互，促進車輛行駛安全、交通效率服務以及支撐自動駕駛演進的復雜網絡及相關系統。[來源：T/CCSA339—2021,3.1]3.2車聯網服務平臺serviceplatformofInternetofvehicle面向車聯網業務應用，負責車輛及相關設備信息的接入、匯聚、計算、監控或管理等功能（可負責一種或多種功能提供信息管理或服務等的信息系統/平臺，例如車輛運營管理、信息娛樂、在線升級、遠程診斷、遠程控制、車聯網卡管理等應用服務或管理功能。[來源：T/CCSA441—2023,3.1]3.3企業敏感數據organizationsensitivedata2T/SHV2X3—2025智能網聯汽車生產企業、車聯網服務平臺運營企業業務過程中涉及的，一旦被泄露或篡改、損毀，可能直接危害經濟運行、社會穩定、公共健康和安全、個人權益，或對企業合法權益、經濟利益造成嚴重危害的數據。4概述4.1評估對象本文件給出了車聯網結構層次的一般描述，并對應到車聯網服務平臺的類型上，如圖1所示。圖1車聯網層次結構模型及對應的車聯網服務平臺類型本文件的風險評估對象為圖1中各類型車聯網服務平臺安全運行所涉及的必要要素，評估內容包括組成車聯網服務平臺的信息系統所涉及的物理環境、網絡、系統、應用及管理等層面所面臨的安全風險。4.2評估原則對各類車聯網服務平臺實施風險評估遵循以下原則：a)關鍵業務原則：將被評估方的關鍵業務作為評估工作的核心，將涉及這些業務的相關網絡與系統作為評估的重點；b)可控性原則：在風險評估項目實施過程中，嚴格按照標準的項目管理方法對服務過程、人員和工具等進行控制，保證風險評估實施過程的安全可控；c)最小影響原則：首要保障業務系統的穩定運行，而對于需要進行攻擊性測試的工作內容，與被評估方溝通并進行應急備份，同時避開業務的高峰時間進行。4.3評估過程和方法如圖2所示，對車聯網服務平臺實施風險評估的過程可劃分為風險評估準備、風險要素識別和風險分析三個階段。3T/SHV2X3—2025風險評估準備階段需確認評估目標、范圍、依據和評估方法，組建團隊，制定實施方案，并完成信息調研和評估工具準備；風險要素識別階段是對車聯網服務平臺中的資產、威脅、脆弱性、安全措施等風險要素進行識別與賦值的過程；風險分析階段是對獲得的車聯網服務平臺相關信息進行關聯分析，并計算車聯網服務平臺所面臨風險的大小；最終通過風險評估報告給出風險評估結果，說明車聯網服務平臺中存在的安全風險。圖2車聯網服務平臺風險評估過程對車聯網服務平臺的風險評估可綜合采用人員訪談、文檔審查、實地查看、配置核查、工具測試等手段對車聯網服務平臺及其相關設施的風險情況進行評估。評估可采取自評估和檢查評估兩種方式，自評估由車聯網服務平臺相關企業自身發起，組成機構內部評估小組或委托第三方評估機構進行評估，檢查評估一般由車聯網服務平臺運營者的上級主管部門、業務主管部門或國家有關主管（監管）部門發起評估工作。5風險評估實施5.1風險評估準備5.1.1確定評估目標和范圍根據車聯網服務平臺承載的業務需求、業務流程、系統規模和結構，識別當前運行環境中車聯網服務平臺的安全需求，針對車聯網服務平臺在技術和管理上的脆弱性和面臨的威脅，確定車聯網服務平臺風險評估的目標。確定評估目標后，進一步明確風險評估的評估范圍，確定車聯網服務平臺相關的信息系統及其相關的信息資產、關鍵業務流程、管理機構等。在確定評估范圍時，結合已確定的評估目標和車聯網服務平臺運營管理的實際情況，合理定義評估對象和評估邊界，可以參考以下依據來確定評估范圍：a)車聯網服務平臺的業務邏輯邊界；b)組成車聯網服務平臺的網絡及設備載體邊界；c)車聯網服務平臺所在的物理環境邊界；4T/SHV2X3—2025d)車聯網服務平臺的組織管理權限邊界。5.1.2明確評估依據和手段根據車聯網服務平臺的評估目標和范圍，確定風險評估的評估依據和評估手段。評估依據包括：a)適用的法律、法規；b)現行國際標準、國家標準、行業標準、團體標準；c)行業主管部門對車聯網服務平臺的管理要求；d)T/CCSA441—2023中與車聯網網絡安全防護級別相應的基本要求；e)被評估組織的安全要求。評估手段包括：a)人員訪談；b)文檔審查；c)實地查看；d)配置核查；e)工具測試。5.1.3組建團隊和制定實施方案對于自評估，風險評估團隊由車聯網服務平臺運營管理各部門技術及業務負責人、風險評估專家等組成，明確風險評估工作中相關的管理和技術人員的任務，并由車聯網服務平臺安全責任人確認。對于檢查評估，風險評估團隊由被評估方的技術及業務負責人、檢查方指定評估機構相關人員組成，被評估方有支持和配合的責任和義務，以確保檢查評估的有序進行。風險評估團隊組建完成后制定風險評估實施方案，用于指導評估工作的開展過程和實施內容，使評估各階段工作有序進行。風險評估實施方案需得到被評估方的確認。風險評估實施方案內容包括：a)風險評估目標、范圍、依據等；b)風險評估團隊成員、職責等；c)風險評估工作計劃，包括實施階段、實施內容、實施方法、時間進度安排、交付物等；d)技術測試方案，包括技術測試方法、工具選擇、工作環境要求、應急預案等。5.1.4信息調研和準備工具信息調研是了解和熟悉被評估車聯網服務平臺的過程，風險評估團隊對車聯網服務平臺相關業務過程、信息系統和應用、管理過程進行充分的調研，以保障風險評估過程的順利實施。信息調研內容包括：a)車聯網服務平臺網絡安全防護定級備案等級（參照T/CCSA339—2021）；b)車聯網服務平臺支撐的業務內容和流程；5T/SHV2X3—2025c)車聯網服務平臺的網絡結構和網絡環境；d)車聯網服務平臺的組成軟件和硬件及相應的基礎設施；e)車聯網服務平臺中的數據；f)車聯網服務平臺的用戶、管理和維護人員；g)車聯網服務平臺的安全管理組織建設和人員職責情況；h)車聯網服務平臺的安全管理制度和合規要求；i)車聯網服務平臺的安全防護措施；j)其它與車聯網服務平臺安全風險相關的內容。根據車聯網服務平臺技術特點、評估目標和范圍準備適當的技術評估工具，技術評估工具的選擇和使用遵循以下原則：a)車聯網服務平臺脆弱性技術評估工具具備已知脆弱性核查與檢測能力；b)技術評估工具的檢測規則庫能夠及時更新；c)技術評估工具使用的檢測策略和檢測方式不對車聯網服務平臺正常運營造成影響；d)可采用多種技術評估工具對同一測試對象進行檢測，如果出現檢測結果不一致的情況，進一步采用必要的人工檢測和關聯分析，并給出與實際情況最為相符的結果判定；e)技術評估工具的選擇和使用符合國家有關規定。根據車聯網服務平臺技術特點、評估目標和范圍準備適當的評估過程指導和記錄文件，在文件使用前：a)確認文件發布前是得到批準的；b)確認文件的更改和現行修訂狀態是可識別的；c)確認文件的分發得到適當的控制，并確認在使用時可獲得有關版本的適用文件；d)防止作廢文件的非預期使用，若因任何目的需保留作廢文件時，對這些文件進行適當的標識；e)規定文件的標識、存儲、保護、檢索、保存期限以及處置所需的控制。5.1.5規避評估風險風險評估工作自身的風險，一是來自于評估結果是否準確有效，二是評估中的某些測試操作可能給被評估組織或信息系統引入新的風險。風險評估工作實行質量控制，保證評估結果準確有效。風險評估工作的各階段要根據相應的管理規范開展評估工作，保證數據采集的準確性和有效性，并充分了解被評估方的業務和安全特性要求。在進行脆弱性識別前做好應急準備。評估方需對測試工具進行核查，包括測試工具是否安裝了必要的系統補丁，是否存有與本次評估工作無關的殘余信息、病毒木馬，漏洞庫或檢測規則庫的升級情況，以及工具運行情況；核查人員需填寫測試工具核查記錄；評估人員需事先將測試方法與被評估方充分溝通；測試過程中，評估人員需在被評估方相關人員配合下進行測試操作。6T/SHV2X3—20255.2風險要素識別5.2.1資產識別5.2.1.1概述車聯網服務平臺資產包括設備、機房及相關設施、企業敏感數據、網絡及服務、系統及應用、管理制度及文檔、人員等。通過資產識別形成資產清單以記錄車聯網服務平臺的資產及其對應的屬性，并通過資產賦值（見5.2.1.3）明確各項資產的價值大小。5.2.1.2資產分類從風險評估實施的角度出發，對資產進行分類有助于提高資產識別的全面性和準確性。表1給出了資產分類方法的參考。表1資產分類方法參考分類說明設備網絡設備：路由器、交換機等服務器設備：服務器、虛擬機等存儲設備：磁盤陣列等安全設備：認證網關等機房及相關設施通信線路：光纖通信適配器等電力設施：不間斷電源等保障設施：消防設施等企業敏感數據保存在設備上的各種敏感數據資料，包括源代碼、數據庫數據等網絡及服務各種網絡設備、設施及其提供的網絡連接服務等系統及應用車聯網服務平臺相關的信息系統及應用管理制度及文檔規定組織內部管理體系和制度流程的成文信息及其載體人員掌握重要技術的人員，如數據庫管理人員、網絡維護人員、網絡或業務的研發人員等其他企業形象、客戶關系等5.2.1.3資產賦值5.2.1.3.1概述車聯網服務平臺資產的賦值體現出資產的安全狀況對于車聯網服務平臺持續正常運營的重要性。資產賦值綜合考慮資產的社會影響力、業務價值和可用性三方面屬性。5.2.1.3.2社會影響力T/SHV2X3—2025根據車聯網服務平臺資產在社會影響力上的不同，將其分為5個不同的等級，表示資產在被破壞后對社會公共利益、社會穩定性、社會公眾集體等的影響。表2提供了一種車聯網服務平臺資產社會影響力賦值的參考。表2車聯網服務平臺資產社會影響力賦值賦值標識定義5很高資產的社會影響力價值非常高，資產被破壞會對社會造成特別嚴重的損害或潛在影響4高資產的社會影響力價值較高，資產被破壞會對社會造成嚴重損害或潛在影響3資產的社會影響力價值中等，資產被破壞會對社會造成一定損害或潛在影響2低資產的社會影響力價值較低，資產被破壞會對社會造成輕微損害或潛在影響1很低資產的社會影響力價值非常低，資產被破壞會對社會造成的危害或潛在影響可以忽略5.2.1.3.3業務價值根據車聯網服務平臺資產所提供業務的價值的不同，將其分為5個不同的等級，分別對應資產在業務價值缺失時對整個車聯網服務平臺支撐業務運營和滿足用戶需求方面的影響。表3提供了一種車聯網服務平臺資產業務價值賦值的參考。表3車聯網服務平臺資產業務價值賦值賦值標識定義5很高資產所提供業務的價值非常關鍵，資產被破壞，導致業務無法正常運行，會對車聯網服務平臺造成特別嚴重的或無法接受的影響4高資產所提供業務的價值較高，資產被破壞，導致業務無法正常運行，會對車聯網服務平臺造成嚴重影響3資產所提供業務的價值中等，資產被破壞，導致業務無法正常運行，會對車聯網服務平臺造成一定影響2低資產所提供業務的價值較低，資產被破壞，導致業務無法正常運行，會對車聯網服務平臺造成輕微影響1很低資產所提供業務的價值非常低，資產被破壞，導致業務無法正常運行，會對車聯網服務平臺造成的影響可以忽略5.2.1.3.4可用性根據車聯網服務平臺資產在可用性上的不同要求，將其分為5個不同的等級，分別對應資產在可用性上滿足車聯網服務平臺正常運營的不同程度。表4提供了一種車聯網服務平臺資產可用性賦值的參考。8T/SHV2X3—2025表4車聯網服務平臺資產可用性賦值賦值標識定義5很高可用性要求非常高，可用性在正常工作時間達到年度99.999%以上4高可用性要求較高，可用性在正常工作時間達到年度99.99%以上3可用性要求中等，可用性在正常工作時間達到年度99.9%以上2低可用性要求較低，可用性在正常工作時間達到年度99%以上1很低可用性要求非常低，可用性在正常工作時間低于年度99%5.2.1.3.5資產賦值方法根據資產在社會影響力、業務價值和可用性這三個安全屬性上的賦值等級，通過加權計算得到車聯網服務平臺資產價值。附錄A中給出了車聯網服務平臺資產價值的具體計算方法。車聯網服務平臺資產按最終計算結果劃分為5級，表5中提供了一種資產價值等級描述。重要資產的范圍可根據資產賦值結果確定，并作為風險評估的關鍵對象。表5車聯網服務平臺資產價值等級及含義描述等級標識定義5很高非常重要，其安全屬性被破壞后可能對車聯網服務平臺造成非常嚴重的損失4高重要，其安全屬性被破壞后可能對車聯網服務平臺造成比較嚴重的損失3比較重要，其安全屬性被破壞后可能對車聯網服務平臺造成中等程度的損失2低不太重要，其安全屬性被破壞后可能對車聯網服務平臺造成較低的損失1很低不重要，其安全屬性被破壞后可能對車聯網服務平臺造成非常低的損失，甚至忽略不計5.2.2威脅識別5.2.2.1概述威脅是客觀存在的可能導致危害車聯網服務平臺的安全事故的潛在起因，是一種對車聯網服務平臺資產構成潛在破壞的可能性因素。威脅可以通過威脅主體、動機、途徑等多種屬性來描述，造成威脅的因素包括技術因素、環境因素和人為因素等。威脅作用形式可以是對車聯網服務平臺及相關設施直接或間接的攻擊，在社會影響力、業務價值和可用性等方面造成損害。5.2.2.2威脅分類通過識別車聯網服務平臺威脅的來源，可對威脅進行粗略分類以快速判斷存在威脅的領域。表6提供了一種根據威脅來源的車聯網服務平臺威脅分類方法。9T/SHV2X3—2025表6車聯網服務平臺威脅來源分類來源威脅描述技術因素由于車聯網服務平臺設備自身的軟硬件故障、系統本身設計缺陷或軟件缺陷環境物理環境斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，車聯網服務平臺意外事故或通信線路方面的故障鼠蚊蟲害、洪災、火災、泥石流、山體滑坡、地震、臺風、閃電人為惡意人員內部人員對車聯網服務平臺的網絡或系統進行惡意破壞，或采用自主或內外勾結的方式盜竊機密信息或進行篡改，以獲取利益；外部人員利用車聯網服務平臺的脆弱性，對車聯網服務平臺進行破壞，以獲取利益或炫耀能力無惡意人員內部人員由于缺乏責任心，或者由于不關心和不專注，或者沒有遵循規章制度和操作流程而導致故障或信息損壞；內部人員由于缺乏培訓，專業技能不足，不具備崗位技能要求而導致車聯網服務平臺故障或被攻擊基于表現形式對車聯網服務平臺威脅進行分類的方式可以直觀地體現威脅的外在特征，表7提供了一種基于表現形式威脅分類方法。表7基于表現形式的車聯網服務平臺威脅分類種類描述軟硬件故障由于設備硬件故障、通信鏈路中斷、系統本身設計或軟件缺陷導致對業務高效穩定運行的影響物理環境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蚊蟲害、電磁干擾、洪災、火災、地震等環境問題和自然災害無作為或操作失誤由于應該執行而沒有執行相應的操作或無意地執行了錯誤的操作，對車聯網及相關系統造成影響管理不到位安全管理無法落實、不到位，造成安全管理不規范或者管理混亂，從而破壞車聯網及相關系統正常有序運行惡意代碼和病毒具有自我復制、自我傳播能力，對車聯網及相關系統構成破壞的程序代碼越權或濫用通過采用一些措施，超越自己的權限訪問了本來無權訪問的資源，或者濫用職權，做出破壞車聯網及相關系統的行為黑客攻擊技術利用黑客工具和技術，例如偵查、密碼猜測攻擊、緩沖區溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務攻擊等手段對車聯網及相關系統進行攻擊和入侵物理攻擊物理接觸、物理破壞、盜竊泄密機密信息泄露給他人篡改非法修改信息抵賴不承認收到的信息和所做的操作或交易T/SHV2X3—20255.2.2.3威脅賦值基于車聯網服務平臺威脅行為出現的頻率對威脅進行賦值，并設定相應的評級方法進行等級劃分，等級越高表示威脅利用脆弱性的可能性越大。不同等級分別代表威脅出現頻率的高低，等級數值越大，威脅出現的頻率越高。車聯網服務平臺威脅的頻率可根據經驗并參考組織、行業和區域有關的統計數據進行判斷，綜合考慮以下方面，形成車聯網服務平臺運行環境中各種威脅出現的頻率：a)以往安全事件報告中出現過的威脅及其頻率統計；b)實際環境中通過檢測工具以及各種日志發現的威脅及其頻率統計；c)近期公開發布的社會或特定行業威脅及其頻率統計，以及發布的威脅預警。表8給出了一種車聯網服務平臺威脅頻率的賦值方法。可在附錄B中的“威脅”部分對車聯網服務平臺及相關系統給出威脅分析和識別結果。表8車聯網服務平臺威脅頻率賦值等級標識描述5很高出現的頻率很高，或在大多數情況下幾乎不可避免或可以證實頻繁發生過4高出現的頻率較高，或在大多數情況下很有可能會發生或可以證實多次發生過3出現的頻率中等，或在某種情況下可能會發生或被證實曾經發生過2低出現的頻率較小，或一般不太可能發生或沒有被證實發生過1很低威脅幾乎不可能發生，僅可能在非常罕見和例外的情況下發生5.2.3脆弱性識別5.2.3.1概述脆弱性是對一個或多個資產弱點的總稱。脆弱性識別也稱為弱點識別，脆弱性是資產本身存在的，威脅總是要利用資產的脆弱性才可能造成危害。車聯網服務平臺中資產脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環境下才能顯現。在識別已經運行的車聯網服務平臺資產脆弱性時，盡量避免影響車聯網服務平臺的正常運行。脆弱性識別對物理環境層、設備和系統層、網絡層、數據庫、業務/應用層各層面的資產中存在的可能被威脅利用的脆弱性進行識別，并同時對脆弱性的嚴重程度進行評估。5.2.3.2脆弱性識別內容脆弱性識別主要從技術和管理兩個方面進行，技術脆弱性涉及物理環境層、設備和系統層、網絡層、數據庫、業務/應用層等各個層面的安全問題；管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面，前者與具體技術活動相關，后者與管理環境相關。表9提供了一種脆弱性識別內容的參考。表9脆弱性識別內容類型識別對象識別內容技術脆弱性物理環境層從機房場地、機房防火、機房供配電、機房防靜電、T/SHV2X3—2025機房接地與防雷、電磁防護、通信線路的保護、機房區域防護、機房設備管理等方面進行識別設備和系統層（含操作系從物理保護、用戶賬號、口令策略、資源共享、訪問控制、新系統配置（初始化）等方面進行識別網絡層從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡安全配置等方面進行識別數據庫從補丁安裝、鑒別機制、口令機制、訪問控制、網絡和服務設置、備份及恢復機制、敏感數據加密存儲和傳輸等方面進行識別業務/應用層從訪問控制策略、業務連續性、通信、鑒別機制、密碼保護、人工智能模型與內容安全等方面進行識別管理脆弱性技術管理從物理和環境安全、通信與操作管理、訪問控制、系統開發與維護、業務連續性等方面進行識別組織管理從安全策略、組織安全、資產分類與控制、人員安全等方面進行識別5.2.3.3脆弱性賦值可以根據對資產損害程度、技術實現的難易程度、脆弱性流行程度，對已識別的脆弱性的嚴重程度進行賦值。對于引起同一方面問題的或可能造成相似后果的脆弱性，賦值時綜合考慮這些脆弱性的共同作用，最終確定某一方面的脆弱性的嚴重程度。對一項具體的車聯網服務平臺資產，其技術脆弱性的嚴重程度還受到該資產所屬車聯網服務平臺管理脆弱性的影響，因此資產的脆弱性賦值需要綜合考慮技術管理和組織管理脆弱性的嚴重程度。脆弱性嚴重程度可按等級化進行賦值，不同的等級分別代表資產脆弱性嚴重程度的高低。等級數值越大，脆弱性嚴重程度越高。表10提供了脆弱性嚴重程度的一種賦值方法。表10車聯網服務平臺脆弱性嚴重程度賦值等級標識描述5很高如果被威脅利用，將對車聯網服務平臺資產造成特別嚴重損害4高如果被威脅利用，將對車聯網服務平臺資產造成嚴重損害3如果被威脅利用，將對車聯網服務平臺資產造成一般損害2低如果被威脅利用，將對車聯網服務平臺資產造成較小損害1很低如果被威脅利用，將對車聯網服務平臺資產造成的損害可以忽略在附錄B中的“脆弱性”部分對車聯網服務平臺中各項資產給出脆弱性識別和賦值結果。T/SHV2X3—20255.2.4已有安全措施確認對車聯網服務平臺中已采取的安全措施的有效性進行確認。安全措施可以分為預防性安全措施和保護性安全措施兩種，預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性，如入侵檢測系統；保護性安全措施可以減少因安全事件發生對資產造成的影響，如業務持續性計劃。車聯網服務平臺中已有安全措施的確認需要注意與脆弱性識別之間存在的聯系。以確認安全措施的有效性為目標，確認安全措施的使用可降低車聯網服務平臺資產的脆弱性，但確認過程并不與脆弱性識別過程同步，不需具體到每個資產的脆弱性，而只需確認一類具體措施的集合。例如，確認防火墻的訪問控制策略的有效性，不需描述具體的端口控制策略、用戶控制策略，只需確認已采用的訪問控制措施。已有安全措施確認的結果是識別出車聯網服務平臺針對已知風險具備的各項安全措施，并綜合評判其對車聯網服務平臺中各項資產及其對應的威脅和脆弱性的防護程度，可通過已有安全措施有效率的方式來衡量已有安全措施對威脅和脆弱性的防護，已有安全措施有效率表示某項具體的安全措施對資產的防護效果，以數值方式量化標識已有安全措施對具體資產所起到的保護作用（見表11）。已有安全措施有效率的賦值如下：表11已有安全措施有效率賦值已有安全措施有效率賦值定義0.1針對該脆弱點基本未采取安全防護措施0.5針對該脆弱點采取了較為簡單的安全防護措施0.9針對該脆弱點采取的措施能進行有效的安全防護5.3風險分析5.3.1概述對車聯網服務平臺進行風險分析時，需要整體考慮車聯網服務平臺的資產及其脆弱性、威脅和已有安全措施等基本因素，可針對可能發生安全事件的車聯網服務平臺資產，采用綜合考慮了已有安全措施有效性的資產價值、威脅值、脆弱性值的“相乘法”作為車聯網服務平臺風險值計算的方法，風險分析的原理如圖3所示。圖3車聯網服務平臺風險分析原理T/SHV2X3—20255.3.2風險值計算如圖3所示的風險分析過程，在完成了車聯網服務平臺的資產識別及相應的威脅識別、脆弱性識別和賦值后，再對資產已有安全措施的有效率進行確認。這些賦值使得車聯網服務平臺風險的計算方法可采用“相乘法”計算風險值。這一計算過程可以確定車聯網服務平臺中各項資產面臨的威脅利用資產固有的脆弱性導致安全事件發生的可能性，綜合資產價值及脆弱性的嚴重程度，整合已有安全措施的正面影響，判斷安全事件一旦發生后造成車聯網服務平臺資產損失的風險，最終計算得出的車聯網服務平臺風險值。對車聯網服務平臺風險計算原理可以采用以下公式表示：Risk=AV×T×Vul×(1?E)其中，Risk表示車聯網服務平臺風險值，AV為資產價值，T為威脅值，Vul為脆弱性，E為已有安全措施有效率。5.3.3風險結果判定為了方便對車聯網服務平臺風險的管理與控制，可以進一步對車聯網服務平臺風險評估過程中得出的風險值進行等級化處理。按車聯網服務平臺風險值的計算范圍將風險等級劃分為五級，每個等級代表了相應風險的嚴重程度，等級越高，風險越高。表12、表13提供了風險等級判定標準。表12風險等級判定風險等級54321風險值Risk>9060<Risk≤9030<Risk≤6010<Risk≤30Risk≤10表13風險等級描述等級標識描述5很高一旦發生將使車聯網服務平臺及相關系統遭受非常嚴重破壞，組織利益受到非常嚴重損失，如組織信譽嚴重破壞、嚴重影響組織業務的正常運行、經濟損失重大、社會影響惡劣4高如果發生將使車聯網服務平臺及相關系統遭受比較嚴重的破壞，組織利益受到很嚴重損失3發生后將使車聯網服務平臺及相關系統受到一定的破壞，組織利益受到中等程度的損失2低發生后將使車聯網服務平臺及相關系統受到的破壞程度和利益損失一般1很低即使發生只會使車聯網服務平臺及相關系統受到較小的破壞根據評估準備階段確定的風險評估依據，可將車聯網服務平臺風險分為可接受風險和不可接受風險，通過對計算得出的風險值設置具體的閾值來區分，其中風險值低于可接受風險閾值的風險為可接T/SHV2X3—2025受風險，高于可接受風險閾值的風險為不可接受風險。如表14中的閾值給出車聯網服務平臺中不同資產類型在不同安全防護等級下區分可接受風險和不可接受風險的具體閾值參考值。表14風險閾值對象的安全等級2級3級4級5級風險閾值（風險值大于此閾值的風險視為不可接受）設備類風險（包括設備、機房、數據、網絡）6045255人員類風險90604020管理制度、文檔類風險503055.4風險評估報告車聯網服務平臺風險分析完成后，對風險評估過程進行總結，并編制風險評估報告。風險評估報告內容包括：a)概述，說明車聯網服務平臺風險評估的背景和目的、內容及范圍、風險評估方法和風險評估依據；b)資產分析，說明車聯網服務平臺所包含的資產，包括資產清單、重要資產列表、資產賦值方法和資產賦值的結果；c)威脅識別，說明車聯網服務平臺中資產所面臨的威脅，包括威脅概述、威脅列表和威脅賦值的結果；d)脆弱性分析，說明車聯網服務平臺中資產所存在的脆弱性，包括脆弱性概述、脆弱性列表和脆弱性賦值的結果；e)已有安全措施，說明車聯網服務平臺中已采取的安全防護措施，包括概述和已有安全措施的統計列表；f)安全風險分析，說明對車聯網服務平臺中的資產進行風險分析的過程和結果，包括風險計算方法、風險閾值確定、風險分析列表、風險結果判定；g)安全整改建議，根據安全風險的嚴重程度、加固措施實施的難易程度、降低風險的緊迫性、需投入的成本等因素，綜合給出整改建議；h)總結，說明評估完成后所確認的車聯網服務平臺風險總體狀況；i)附錄，提供對車聯網服務平臺進行風險評估過程中所收集的證據材料和執行的技術測試記錄，以支持風險分析過程中得出的各項結果。5.5風險評估文件車聯網服務平臺風險評估文件包括在風險評估過程中產生的評估過程文檔和評估結果文檔：a)風險評估方案：闡述風險評估的目標、范圍、人員、評估方法和依據、評估內容和過程、評估結果形式和計劃進度等；T/SHV2X3—2025b)資產識別清單：根據風險評估文件中所確定的資產分類方法進行資產識別，形成資產識別清單，明確資產的責任人/部門；c)重要資產清單：根據資產識別和賦值的結果，形成重要資產列表，包括重要資產名稱、描述、類型、重要程度、責任人/部門等；d)威脅列表：根據威脅識別和賦值的結果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現的頻率等；e)脆弱性列表：根據脆弱性識別和賦值的結果，形成脆弱性列表，包括具體脆弱性的名稱、描述、類型及嚴重程度等；f)已有安全措施確認表：根據已采取的安全措施確認的結果，形成