浅谈ISOSAE21434汽车网络安全标准二风险评估方法上.pdfVIP

浅谈ISOSAE21434汽车网络安全标准（二）风险评

估方法（上）

风险评估方法

之前的章节主要描述的是宏观层面的网络安全活动，从第8章开始，21434

将对项目生命周期各个阶段具体的网络安全要求和活动进行详细的叙述。

其中风险评估（RiskAssessment）是最早进行，也是最为重要的一项网络

安全活动之一，它是整个网络安全工作实施的前提。

风险分析通常又被称为TARA（ThreatAnalysisandRiskAssessment)，目

的是在车辆产品开发早期识别潜在的威胁和安全漏洞，再综合考虑攻击可

行性、影响等级等因素，确定系统可能存在的风险及其风险等级，从而得

出相应的网络安全目标，为后续形成网络安全需求，输入给设计开发提供

基础。风险评估是以往软件开发流程中所没有的一项活动，因此在对项目

实施网络安全时，风险评估是一个明确的工作增量。

目前国际上主流的TARA方法有EVITA，HEAVENS，OCTAVE等，在

21434的前身SAEJ3061中，对以上这些方法有所介绍。在21434中，总

结了TARA分析的7个必要的步骤：

•资产定义

•威胁场景分析

•影响等级

•攻击路径分析

•攻击可行性等级

•风险确定

•风险处置决策

在实际实施过程中，OEM可根据自身的需求和偏好选择相应的方法论进行

评估。风险评估的工作通常由专门的团队来进行，团队中的人员需要具备

一定的网络安全或渗透背景。对于风险评估中的各个活动，将在之后的文

章中逐一解读。

资产定义

什么是资产？

通俗来讲，就是车辆在使用的过程中，需要被保护不受网络攻击的信息，

包括了通讯数据、用户隐私数据、ECU固件、算法等各种类型的信息。

资产定义的目的

资产定义的目的是识别出这些资产，确定每项资产的网络安全属性，从而

分析出潜在的损害场景。

输入输出

1.分析对象定义

2.架构设计

威胁场景清单

3.资产及其的网络安全属性

4.损害场景

如何识别？

21434中给出了三种方法：

•基于影响评级枚举；

•基于威胁场景枚举；

•基于预定义分类枚举；

前两种其实可以理解为通过危害场景或攻击场景反推，更多依靠的是以往

的经验。基于预定义分类的方法是预先定义一些资产分类，如通讯数据、

软件、隐私数据等。在资产定义时就可以根据这些分类，对链路上的每个

节点进行资产的枚举，从而尽可能全面地识别资产。

网络安全属性

每一个资产都具有相应的网络安全属性，在HEAVENSE方法中，采用了

微软的STRIDE模型中网络安全属性和威胁的映射，STRIDE中每一类威

胁都映射到相应的一组安全属性上。通过对常见威胁场景的枚举，就可以

识别出相应要保护的资产和对应的网络安全属性。例如，娱乐系统中一个

常见的威胁场景就是车机系统遭到攻击，客户的个人信息被泄露。那么就

可以倒推出相应的资产是用户隐私数据，对应的网络安全属性是机密性。

一项资产可能对应多个网络安全属性。

STRIDE威胁安全属性

欺骗认证，新鲜性

篡改完整性

抵赖不可否认

信息泄露机密性

拒绝服务可用性，新鲜性

提权