什么是ISO21434?
ISO21434“道路车辆-网络安全工程”是由国际组织标准(ISO)与汽车工程师协会(SAE)共同制定的汽车行业标准。本标准以其前身ISO26262为基础,ISO21434侧重于汽车电子产品设计和开发中固有的网络安全风险。它为安全管理、持续的安全相关活动以及风险评估和缓解方法提供了最新指南。

TARA分析的七个步骤

一、资产识别 Assest Identification
二、威胁场景分析 Threat Scenario Identification
三、威胁等级划分 Impact Rating
四、攻击路径分析 Attack Path Analysis
五、攻击可行性等级划分 Attack Feasibility Rating
六、风险等级确定 Risk Value Determination
七、风险处置决策 Risk Treatment Decision

一、资产识别

什么是资产?

通俗来讲,就是车辆在使用的过程中,需要被保护不受网络攻击的信息,包括了通讯数据、用户隐私数据、ECU固件、算法等各种类型的信息。

资产定义的目的是识别出这些资产,确定每项资产的网络安全属性,从而分析出潜在的损害场景(Damage Scenario)

—relation between the functionality of the item and the adverse consequence;
——功能与不良后果之间的关系
—description of harm to the road user; and/or
——对道路使用者的伤害的描述
—relevant assets.
——与其相关的资产

如何进行资产识别?

在 21434中的15.3.2 Requirements and recommendations [RQ-15-02] 有如下的描述:

NOTE 2 The identification of assets can be based on:
---- analysing the item definition;
---- performing an impact rating;
---- deriving assets from threat scenarios; and/or
---- using predefined catalogues.

OTE 2 The identification of assets can be based on:
---- analysing the item definition;
---- performing an impact rating;
---- deriving assets from threat scenarios; and/or
---- using predefined catalogues.

所以针对于资产识别的工作可以从以下四个方向开展:

  • 分析项目定义;

  • 进行影响评级; 以下四个角度: safety 安全 financial财务 operational 运行工作 privacy隐私

(客户的个人偏好其网络安全属性是保密的,损害情况是由于失去保密性而未经客户同意泄露个人信息,该资产是存储在信息娱乐系统中的个人信息

  • 从威胁情景中获得资产; 主要是依靠安全模型,或者是从事安全工作者自身的经验。标准给出了四个模型:EVITA[20], TVRA[21], PASTA[22], STRIDE

损坏场景是车辆高速行驶时,刹车完全制动与后续车辆碰撞(追尾碰撞);该资产是制动功能的数据通信,其网络安全属性是完整性;

  • 使用预定义的分类;

前置条件

必要条件

  1. 车辆与外部接口信息;可能需要到现在与客户一起梳理。
  2. EE架构图:
    ECU之间的通信链路设计方案(通信方式、通信协议等);
    通信链路上的安全设计方案(若有);
  3. ECU清单及详细名称,包括简称和全称;
  4. 整车功能清单,内容包括功能定义、功能详细描述,以及每一个功能关联到的ECU;

如有可以附加的条件
5. 与信息安全相关连的关键业务(或功能)的功能场景描述文档,如蓝牙钥匙功能规范;
6. 历史安全事件记录;
7. 安全事件处置策略;

数据流图:提供关于架构设计的硬件和软件组件及其接口规范的详细概述;提供有关正在开发的组件的操作环境的信息;以及详细的硬件、软件和操作要求;

不同的阶段

由于TARA威胁分析进入开发阶段的时间各有不同,在开发完成的中后期,整车的架构清晰、边界明确、功能定义完善,可以将每个信息传输实例作、范围内/外边界的每个信息传输实例、每个信息生成信息的实例、每一个信息转换实例均作为资产;如果是在开发的前期,可以将每个物理模块、每个数据等作为资产。

资产识别的结果

在资产识别阶段需要完成对资产的梳理,识别资产具有的信息安全属性,确定损害场景,并对损害场景进行影响评级(SFOP) 参考:Annex F 中的 Table F.1——Table F.4

其中对于信息安全属性的赋值和损害场景的设定需要具有一定专业能力的信息安全从业者参与过程。

二、威胁场景分析

三、威胁等级划分

四、攻击路径分析

五、攻击可行性等级划分

六、风险值确定

七、风险处置决策