红沙漠>论坛 红沙漠法律问答 网络纠纷
发新帖 返回列表
查看: 92|回复: 0

网络安全TARA介绍(一)

[复制链接]
万万车险

5

主题

5

帖子

15

积分

新手上路

Rank: 1

积分
15
发表于 2022-9-20 10:01:35 | 显示全部楼层 |阅读模式
大家好,我是华说安全。
<hr/>最近一段时间的工作是做驱动控制系统的TARA,学到了一些基本概念和开发过程,也有一些产出。学而思,为了巩固知识,这里做些总结,同时也提出些疑问,希望可以与同行专家们交流探讨。
文章的内容包括三个部分来描述。

  • 概述
  • TARA过程介绍
  • 总结与探讨
<hr/>1. 概述

TARA,全称是Threat Analysis and Risk Assessment,威胁分析与风险评估,是在ISO/SAE 21434中进行网络安全分析的核心方法,是一种为了车辆或系统网络安全概念设计提供客观、合理的风险评估活动和方法。目的是识别车辆或系统或产品中潜在的威胁和风险等级,明确网络安全目标,为后续网络安全概念以及开发活动提供输入。
单纯从缩写名称看,与ISO 26262的HARA(Hazard analysis and risk assessment,危害分析与风险评估)是非常相似的。两者的其中一个区别的是,HARA是分析产品功能失效引起的在整车层面的风险评估,范围是限于在整车层面的。TARA活动覆盖多个层面,包括整车网络架构、整车功能和零部件三个层面。
<hr/>2. TARA过程

TARA过程可以分为8个步骤,过程流如下图所示。



TARA过程流

2.1 相关项定义

该部分是TARA过程的信息输入,描述的内容与ISO26262 Part3的相关项定义内容可以相互参考。内容包括如下关键信息:

  • 描述分析对象的电气架构、系统框图等,用于限定相关项的分析边界
  • 描述分析对象的网络架构,包括对象系统内部部件的链接方式、对象与外部系统的链接方式等
  • 描述分析对象的功能列表和功能描述、功能数据流等
  • 描述分析对象现有的网络安全措施
  • 假设说明,约束说明等限制条件描述
相关项定义描述的内容要尽量详细、全面、完整,目的是使开发人员能够充分理解当前对象和分析边界。
2.2 资产识别

先解释下什么是资产。ISO/SAE 21434对资产的解释是有价值或对价值有贡献的对象。可以理解为资产是某个对象,该对象的网络安全属性被破坏后,会给利益相关方造成影响。



asset定义,摘自ISO/SAE 21434

这里提到的网络安全属性,包括机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
识别一个对象或产品包括哪些资产的方法是,分析资产对象的机密性、完整性和可用性被破坏的情况下,系统是否会遭受损失。
资产识别是TARA过程中的关键环节,后续TARA各项活动均是围绕资产展开的。
前面概念部分说明了,资产是本身具有价值的或产生价值的物体。这里的价值所说的对象,既包括汽车企业也包括了汽车持有者等。汽车的资产一般可以分为如下类型,可在实际分析中参考。

  • 身份与配置信息。比如汽车的功能配置表,控制器内部的版本信息、特殊密钥和证书等信息
  • 固件与应用软件。比如升级的软件包、标定数据等
  • 用户数据。比如娱乐系统记录的用户名、密码、电话以及使用者的隐私信息,如指纹、声音等
  • 通信数据。比如汽车与服务中心或外部设备产生交互的信息,通信指令等。
怎么进行资产识别呢?ISO21434中提出了3种方法,如依据对象定义采用枚举的方式、根据影响评估的结果和根据威胁场景分析的结果。在实际系统分析过程中,一般先依据相关项信息,按照资产类型来定义资产列表,然后结合每项资产所具备的网络安全属性(机密性、完整性和可用性)来综合定义资产。
2.3 影响等级评估

资产识别后,需要确定资产的损害场景(damage scenarios)。损害场景是根据资产的网络安全属性被破坏情况下产生系统功能的异常的影响。
比如驱动控制器的固件资产的完整性被破坏,被恶意代码操纵,导致驱动系统异常的输出扭矩。
影响等级评估的对象即是损害场景。依据ISO21434内容,影响等级评估需要分别资产在安全(Safety)、财产(Financial)、操作使用(Operational)和隐私(Privacy)损害情况进行影响等级评估,并结合S、F、O、P的评估结果,综合给出整体的影响等级评估结果。具体评估标准参考表1 – 表4。
每个方面的评估等级分为四档:Severe 严重的、Major 重大的、Moderate 中等的、Negligible 轻微的。评估标准可参考ISO/SAE 21434附录F.1 – F.4表格内容,同时也可参考标准SAE J3601相关章节。
影响等级评级标准说明
SevereS3:威胁生命的伤害,致命的伤害,不确定是否生还如严重失血、昏迷、颈椎或内脏严重受损等
MajorS2:严重和威胁生命的伤害,可能生还如严重骨折、内脏受损等
ModerateS1:轻度或中度伤害如擦伤、肌肉疼痛等
NegligibleS0:没有伤害如身体不适、惊吓、晕车等
表1:安全损害的影响等级评估标准
安全损害层面的评估,可参考ISO 26262 HARA活动中严重度(severity)评估细则,但需要关注的点,HARA中严重度评估的对象是危害事件(hazardous event),包括了不同的运行场景的。而TARA中的S可参考HARA最坏运行场景的severity评估值。
影响等级评级标准说明
SevereF3:经济损失导致灾难性后果,受影响的道路使用者(road user)可能无法克服财产损失不可接受
MajorF2:经济损失导致重大后果,受影响的道路使用者将能够克服财产受到重大损失
ModerateF1:经济损失会带来不便的后果,受影响的道路使用者将能够用有限的资源克服这些后果财产损失在可接受范围内
NegligibleF0:财务损失不会产生任何影响,可忽略的后果或与道路使用者无关没有财产损失
表2:财产损害的影响等级评估标准
影响等级评级标准说明
SevereO3:使用损坏会导致车辆的核心功能丧失或无法操作车辆无法行驶,或核心功能不能按照预期行为运行。人为不可控。
MajorO2:使用损坏会导致车辆的重要功能丧失如引起驾驶员生气的功能缺陷。但车辆是受人可控的。
ModerateO1:使用损坏会导致车辆功能或性能的部分降级如引起驾驶员不满足的功能缺陷,辅助功能丧失。
NegligibleO0:使用损坏不会导致车辆功能或性能下降,也不会导致性能下降车辆没影响,辅助功能的性能降低。
表3:使用损害的影响等级评估标准
影响等级评级标准说明
SevereP3:隐私损害对道路使用者造成甚至不可逆转的影响。在这种情况下,有关道路使用者的信息非常敏感,并且易于关联到个人身份信息主体如身份证信息
MajorP2:隐私损害会严重影响道路使用者。在这种情况下,有关道路使用者的信息为:a) 高度敏感且难以关联到个人身份信息主体;b) 敏感且易于关联到个人身份信息主体如账号、密码等
ModerateP1:隐私损害给的道路使用者带来极大的不便。在这种情况下,有关道路使用者的信息为:a) 敏感但很难关联到个人身份信息主体;b) 不敏感,但易于关联到个人身份信息主体如电话信息
NegligibleP0:隐私损害不会产生任何影响,也不会给道路使用者带来不便。在这种情况下,有关道路使用者的信息不敏感,并且很难关联到个人身份信息主体
表4:隐私损害的影响等级评估标准
整体影响等级的评估,是综合考虑S、F、O、P的评估值。如何考虑可依据企业内部考虑来给出。比如取max (S、F、O、P),按照如下表格给出。
影响等级Max (S、F、O、P)评估值
Severe3
Major2
Moderate1
Negligible0
另外,也可以考虑安全和财产参数的影响可能导致道路使用者较严重,使用和隐私参数相对于安全和经济损害而言对整体影响相对较低,对应的S、F评估值可做相对的调整。
2.4 威胁场景识别。

威胁场景(Threat Scenarios),ISO21434中给出的定义是:造成一个或多个资产的网络安全属性威胁的潜在原因,以造成损害场景。可以理解为威胁场景是造成资产被损害的原因,也就是资产的网络安全属性被破坏后所造成损害场景的原因。



威胁场景定义,摘自ISO/SAE 21434

威胁场景可从资产、资产网络安全属性被破坏造成的损害场景及安全属性被破坏的原因三个角度来考虑。以驱动系统的MCU固件的资产为例,威胁场景分析示例如下:

  • 资产:AssetID01,驱动系统的MCU固件
  • 网络安全属性:可用性 Availability
  • 损害场景:DS01-AssetID01,MCU固件可用性丧失,导致MCU控制器无法正常运行,导致驱动系统无法启动
  • 威胁场景:TS01-DS01-AssetID01,攻击人员通过对软件进行无意义的篡改,导致其无法使用,实现对MCU固件可用性的破坏
<hr/>内容先分享到这里。下次继续分享剩余的TARA活动。
经验尚浅,欢迎探讨交流。
回复

使用道具 举报

发新帖 返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表