- 資產(chǎn):有價值或?qū)r值有貢獻的對象(有形的或無形的),它具有一個或多個值得保護的屬性(即信息安全屬性)�����,其違背可能導致一個或多個不良后果(即損害場景)�����。
- 信息安全屬性:包括機密性����、完整性�����、可用性����。其中���,機密性是信息不泄露�����,如個人車機賬戶;完整性是信息準確性����,不能被非授權(quán)修改;可用性是指授權(quán)的用戶能有效使用���。注意��,關(guān)于信息安全屬性��,不同的模型有不同的定義����,這里只是一種。
- 損害場景(damage scenario):涉及車輛或車輛功能����,并給司機、乘客�����、行人����、車主等道路使用者帶來不良后果。
- 威脅場景(threat scenario):造成一個或多個信息安全屬性被違背的潛在原因�����,會最終造成損害場景��。
(2) 信息安全的目的
對應(yīng)地���,我們來尋找信息安全要解決的問題��,汽車E/E系統(tǒng)或組件(即item)擁有一些對人有價值的資產(chǎn)����,這資產(chǎn)里的一些屬性被損害后,會對人造成一些不良后果�����。
信息安全要做的就是�,通過保護資產(chǎn)的屬性盡可能不被破壞,來讓這不良后果的風險達到可以接受的程度����,讓相關(guān)人不要太“傷心”(傷人也屬于一種傷心,即信息安全也會關(guān)注對人的傷害)����,如圖3所示�����。
圖3 汽車信息安全的基本目的
3.2 從“HARA”到“TARA”
再回顧下功能安全的開發(fā)邏輯�����,大體是從危害事件來識別risk大小,并定義ASIL及對應(yīng)的安全目標�,從而獲得功能安全的大目標和總標準,隨后通過拆解而進入V模型的常規(guī)開發(fā)中�����。對于功能安全而言�����,HARA是核心的增量方法����。
現(xiàn)在來看信息安全,大家大的指引方向都是�����,讓對人不好的東西的發(fā)生被控制在較低的水平��。于是���,信息安全引出了一個核心方法論——TARA(Threat Analysis and Risk Assessment��,威脅分析與風險評估)����。
看到這個詞,大家首先會注意到其中威脅����,延伸一點,威脅其實是來源于威脅場景這個概念��,它可以類似對應(yīng)于功能安全中的危害���,即潛在的危險(在26262中也明確指出���,可以從功能安全角度將信息安全威脅作為危害進行分析,以支持危害分析和風險評估以及安全目標的完整性)�����。而前述的損害場景相當于功能安全中的傷害��,即由潛在的危險轉(zhuǎn)化而成的實際發(fā)生的后果�����。后面的風險評估又和HARA在字面上完全一致(具體方法會有些不同)�����。
這樣一對比�����,TARA和HARA有著高度緊密的映射關(guān)系���,基本的方法論邏輯是一致的����。類似于HARA�,TARA也是信息安全的主要增量內(nèi)容,我們也可以TARA來牽引出信息安全開發(fā)的脈絡(luò)����。
寫到這里,大約是對汽車信息安全是什么有了一個模糊的輪廓�,但很多細節(jié)還未展開,比如���,威脅的源頭是什么��,資產(chǎn)主要包括什么����,屬性里的機密性、完整性及可用性怎么理解�,怎么保護,不良后果的影響有哪些�����,形成的概率高低��,相應(yīng)的風險等級如何評定�����,TARA如何將這些東西串聯(lián)起來......關(guān)于這些問題將在下面回答�。
TARA主要分為7個部分,逐個來展開����。但要注意一點,在21434中�����,整體并不具有明確的線性化次序,包含TARA中7個部分在內(nèi)的各個部分都會有一定的獨立性�����,輸入輸出相互交織����。
4.1 資產(chǎn)識別
資產(chǎn)的識別有一定的事后性與動態(tài)性�����,也就是說資產(chǎn)不會全部清清楚楚擺在一個列表里(一般會有一部分參考���,但不是唯一來源)�����,需要分析�����、確認�����、更新�。
其他渠道有哪些呢?一般��,可以在相關(guān)項定義中識別���、從威脅場景中獲取��,以及通過不良后果的影響評級來判斷����。
當然�,這種泛泛之談會讓人不明就里��,我們通過一個實例來理解下這個邏輯���。
先回顧下有關(guān)資產(chǎn)的定義�,資產(chǎn)是有價值或?qū)r值有貢獻的對象(有形的或無形的),它具有一個或多個值得保護的屬性��,其違背可能導致一個或多個不良后果。
(1) 潛在資產(chǎn)識別
于是�����,第一步�����,在相關(guān)項定義中識別研究對象時�����,我們可以先粗略劃定一個有價值對象的范圍���。比如,分析到軟件中的剎車CAN報文��,它的被篡改可能會造成功能的缺失��,顯然面向價值����,這就可以被劃歸為潛在的資產(chǎn)范圍����。
(2) 威脅與損害場景識別
再進一步�,還提到了資產(chǎn)的3個屬性——機密性�����、完整性與可用性�����,對應(yīng)于剎車CAN報文的篡改,它可劃歸為完整性的違背,它會首先形成一個威脅場景。
那么,這個威脅場景會帶來什么呢��?或許會造成剎車失靈,乃至車毀人亡��,這種后果就是所謂的損害場景��。
(3) 影響評級
可是這損害場景的影響真的如此嚴重嗎�����?我們需要再進行影響評級�����,如果評下來發(fā)現(xiàn)����,確實挺嚴重,那這時就可以將這條“剎車CAN報文”作為資產(chǎn)了�����,或者說有必要開展進一步信息安全活動的資產(chǎn)����。
所以說�����,資產(chǎn)的識別對應(yīng)著一個認識的過程。為了更具象地理解什么是資產(chǎn)�,舉一些典型的例子,如表1所示��。
表1 信息安全資產(chǎn)示例
看得出來����,這些資產(chǎn)和錢有關(guān)系,但不那么緊密��。
最后���,總結(jié)一下�����,在該環(huán)節(jié)需要輸出的內(nèi)容包含:資產(chǎn)�����、資產(chǎn)的信息安全屬性及違反相關(guān)屬性導致的“損害場景”��。
4.2 威脅場景識別
威脅場景是損害場景的潛在來源��,其識別是對技術(shù)根因的向上溯源�。
通常,需要體現(xiàn)出什么信息安全屬性被違背及違背的原因是什么���,比如����,對EPS轉(zhuǎn)向助力CAN報文進行欺騙篡改會導致CAN報文的完整性被違背����,從而導致轉(zhuǎn)向助力功能的異常。
當然,也可以有其他合理的分類方式����,但需要在開發(fā)供應(yīng)鏈中達成共識�����。
從級別的角度看���,每個類別可以從以下4個等級展開:
其中,safety的部分在功能安全中有較為全面的�、詳細的論述��,完全可以參考�����,必要時�����,也可以結(jié)合暴露度與可控度來綜合定義�����,相對而言�����,safety的評價會更充分。對于其余類別����,基于經(jīng)驗的、基于團隊評價的模式居多��。
4.4 攻擊路徑分析
走到這里�����,我們還沒有談到另一個重要的因素�����,究竟是誰造成了這種后果��?信息安全本質(zhì)是人與人的攻防較量����,我們需要知道攻擊者是如何執(zhí)行攻擊的,是如何造成威脅場景的���,而這攻擊者的一系列有預(yù)謀的蓄意行為就是攻擊路徑的概念���。比如��,對于第2部分威脅場景識別處的示例���,黑客通過網(wǎng)關(guān)轉(zhuǎn)發(fā)反向助力信號就是一條攻擊路徑。
形式上����,攻擊路徑的分析可以按照“自上而下”和“自下而上”的方式展開。
- 自上而下是從威脅場景始�����,考慮其可能實現(xiàn)的不同方式�,進而推斷攻擊路徑��。
- 自下而上的方法是��,從已識別的漏洞來構(gòu)建攻擊路徑��。
