R155提出的网络安全威胁和响应的缓解措施

R155法规附件5中列出了车企需要重点关注的网络安全威胁和相应的缓解措施，共由三部分组成。

A部分描述了常见的威胁、漏洞和攻击方法。

B部分描述了针对车辆类型的威胁缓解措施。

C部分描述了针对车辆以外区域（例如IT后端、云平台）的威胁缓解措施。

车辆制造商应针对A部分、B部分和C部分进行风险评估和制定缓解措施。

高级漏洞及其相应示例已在A部分中编制索引。相同的索引会在B部分和C部分的表格中引用，以将每个攻击/漏洞与相应的缓解措施联系起来。

威胁分析还应考虑攻击可能的影响。这些有助于确定风险的严重性并识别其他风险。攻击的影响可能包括：

（a）受影响车辆的安全运行；

（b）车辆功能停止工作；

（c）软件修改，性能改变；

（d）软件被修改但没有影响；

（e）数据完整性泄露；

（f）数据机密性泄露；

（g）数据可用性丧失；

（h）其他，包括犯罪。