iso21434-TARA分析示例完整.docx

ISO 21434 示例 源???书：Security Engineering for ISO 21434 ,by fortiss ISO/SAE 21434 是?个新标准，旨在解决汽??络安全的未来挑战本?以实例?式解释ISO21434?程，理解ISO21434的各部分，关键活动，主要?作产出?程师?先要获取标准的?档，然后执?包 括安全?险评估?法 形成安全参数和证据?持 ISO21434 技术部分的摘要信息如下图所示： Part5 详述了构建和维持?络安全?化和治理的需求； Part6 描述了开发特定产品的?络安全活动管理需求； Part7 和 8 描述了在产品?命周期中?于确保?络安全的活动和?法； Part9 详述了概念阶段的需求； part10 和 11 详述了产品阶段的需求； Part 12-14 详述了售后（post-production）阶段的需求 Part 15 详述了供应商管理的需求 实践示例 下?以??灯系统为例，介绍ISO 21434应?实践过程前灯系统的主要架构如下： ?身控制ECU通过CAN总线向电源切换执?器发送信息，以请求打开/关闭前灯； 摄像头ECU连接着电源切换执?器，可以对对?来?进?检测，以?动切换远光/近光； CAN总线与?关ECU相连，?关ECU控制着CAN总线连接的其他部件（如导航系统）到?灯系统的 访问； 导航ECU由两个接?：蜂窝和蓝?； ?关ECU还通过CAN总线连接着OBD-II连接器； OBD-II 是?于监控?辆数据的?载计算机； 蓝?和蜂窝接?与OBD-II连接器是外联??，可能成为攻击的??点 ?险评估 本节描述应?ISO 21434 part8 和part9 进??险评估的具体过程 part 9 使?了Part 8描述的?险评估?法下图摘要刻画了相关活动，包括需要产出的输出和可采?的 ?法 项?定义 Item De?nition 项?定义 这是?项早期活动，定义了将要评估其?险评估的项?在这项活动中，描述了项?的初步 架构，并对其运?环境进?了假设示例 1 在这个阶段，需要分析前?灯系统，形成： 前照灯系统的初步结构 preliminary architecture of the headlamp system. 架构中各元素的描述（例如功能） 项?边界（item boundary） 资产识别 Asset Identi?cation 根据项?定义活动的输出，项?的危险场景（damage scenarios）将被识别，?且需要枚举具有?络安全属性的已识别的资产，?络安全属性指可能导致资产处于危险场景（damage scenarios）的因素ISO21434列出了3种?法执?此活动： 影响评级：该?法评估?络攻击对资产的影响 从威胁场景（Threat scenarios）中获取资产：威胁场景（Threat scenarios）（在危险场景活动中 ?成）有助于识别关键资产 预定义?录：现有?录为识别资产提供了良好的来源 示例 2 例如，前照灯的?个资产是CAN总线，它传输诸如打开/关闭灯的请求等消息与CAN总线相关的?络安全属性包括完整性和可?性 完整性??，CAN总线必须确保传输信息的准确性和完整性 可?性??，CAN总线必须在任何时候都可?，例如，?身控制ECU请求打开/关闭灯 CAN总线的损坏情况包括以下意外?为： 前?灯意外受损：在?夜驾驶过程中，由于CAN信号完整性问题导致前?灯关闭 不能打开前?灯：由于CAN总线可?性问题，电源开关执?器不能接受来??身控制ECU的打开? 灯的请求 威胁场景（Threat scenarios）识别 对于每个危险场景（damage scenarios），威胁场景（Threat scenarios）应当被识别注意某?个危险场景（damage scenarios），可能关联着多个威胁场景（Threat scenarios）?个威胁场景 动（Threat scenarios）可能包含着?标资产被?侵?络安全属性攻击者可能执?的导致危险的活 动 ISO 21434 提出了2类?法或结合?法： 误??例启发（misuse-case elicitation）：威胁场景（Threat scenarios）经常可以通过?意但可能发?的项?进?识别 基于分类记忆法的?法，例如STRIDE威胁模型，系统地进?威胁识别 此外，还可以通过区分攻击者类型进?场景构建，例如脚本???络安全犯罪分?敌对国家?持的特?，所使?的攻击?式是不?样的 示例 3 对于危险场景（damage scenarios）1和2，威胁场景（Threat scenarios）分别有： 攻击者伪造?个CAN信号，引起对前灯发起请求的CAN消息完整性问题； 攻击者发起C