作者 | 郁靜華 上?？匕部尚跑浖?chuàng)新研究院研究員

來源 | 鑒源實驗室

引言：近年來，汽車的網(wǎng)絡(luò)安全問題逐漸被重視，在汽車產(chǎn)品的全生命周期中，需要進行網(wǎng)絡(luò)安全風(fēng)險管理，其主要活動包括網(wǎng)絡(luò)安全需求分析、安全策略設(shè)計與實施、運營階段安全監(jiān)控與應(yīng)急響應(yīng)等。安全需求分析工作作為系統(tǒng)安全設(shè)計的第一步，將為系統(tǒng)后續(xù)的設(shè)計、開發(fā)、安全運營管理等活動起到重要的作用。安全需求分析主要是對目標對象實施分析，以獲得與安全相關(guān)設(shè)計需求的活動。安全需求主要用于指導(dǎo)后續(xù)的安全設(shè)計，以降低安全風(fēng)險，為目標對象全生命周期中的安全活動提供決策依據(jù)。

01 安全需求分析框架

本章節(jié)將基于所調(diào)研的相關(guān)標準、行業(yè)指南、論文等材料，介紹目前相關(guān)行業(yè)中，主流的網(wǎng)絡(luò)安全需求分析方法框架。由于并非所有的方法都顯式地被稱為需求分析方法。因此，在調(diào)研需求分析方法時規(guī)定，只要所開展活動的目標是辨識安全需求，則認為其是所需的方法。

例如，在汽車網(wǎng)絡(luò)安全領(lǐng)域中，并不常使用“安全需求分析”一詞，取而代之的是“威脅分析與風(fēng)險評估”（即TARA - Threat Analysis and Risk Assessment）。根據(jù)ISO 21434標準規(guī)定，在系統(tǒng)設(shè)計的概念階段，需要對目標系統(tǒng)實施網(wǎng)絡(luò)安全目標的辨識。根據(jù)定義，網(wǎng)絡(luò)安全目標是指目標對象的概念層網(wǎng)絡(luò)安全需求，該安全需求可與一個或多個威脅場景相關(guān)聯(lián)。簡而言之，網(wǎng)絡(luò)安全目標即為系統(tǒng)設(shè)計早期進行的最上層安全需求。而具體用于實施網(wǎng)絡(luò)安全目標辨識活動的主要工作即為大家所熟知的TARA分析，TARA分析為安全需求分析的重要工作部分。

以下為汽車及相關(guān)領(lǐng)域內(nèi)常用的網(wǎng)絡(luò)安全需求分析框架：

· EVITA TARA

· NIST網(wǎng)絡(luò)安全框架

· TVRA流程

· OCTAVE Allegro

· HEAVENS TARA

· FMVEA

· STPA-Sec

EVITA（E-Safety Vehicle Intrusion Protected Applications）是一個起始于2008年、由歐盟資助的研究項目，其目標在于設(shè)計、驗證并試制一個安全的車載網(wǎng)絡(luò)架構(gòu)。該項目中提出了一種系統(tǒng)的威脅分析及風(fēng)險評估方法，其首先需辨識目標系統(tǒng)潛在的威脅，并從安全（safety）、隱私、經(jīng)濟及操作方面對所獲得的威脅的嚴重性進行評估。然后，需評估每一個威脅實現(xiàn)的可能性。最后，根據(jù)風(fēng)險等級映射表獲得最終的風(fēng)險評估結(jié)果[1]。EVITA TARA分析的輸出可作為后續(xù)系統(tǒng)安全設(shè)計的需求輸入。

NIST網(wǎng)絡(luò)安全框架是一種由美國國家標準技術(shù)研究所（NIST：National Institute of Standards and Technology）提出的、用于管理關(guān)鍵設(shè)施風(fēng)險的大框架，其主要包括五個核心功能，分別為：辨識、保護、發(fā)現(xiàn)、響應(yīng)和恢復(fù)。其中，與TARA活動相關(guān)的步驟包括辨識并整理目標資產(chǎn)漏洞及風(fēng)險、接收來自于共享資源的網(wǎng)絡(luò)安全威脅信息、評估威脅潛在的商業(yè)影響及發(fā)生可能性等，并根據(jù)以上因素的分析結(jié)果，可最終獲得相關(guān)風(fēng)險的評估結(jié)果[2]。

圖1 Framework Core Structure[2]

圖2 Function and Category Unique Identifiers[2]

TVRA（Threat, Vulnerabilities, and Implementation Risks Analysis）是一個由歐洲電信標準協(xié)會（ETSI）提出的流程驅(qū)動型威脅分析及風(fēng)險評估方法。TVRA中一共有十個工作步驟，包括辨識需要評估的目標（TOE: Target of Evaluation）、系統(tǒng)地辨識目標漏洞及威脅等級、計算攻擊發(fā)生可能性及其影響等。TVRA主要基于攻擊可能性及攻擊對系統(tǒng)的影響來辨識目標系統(tǒng)存在的安全風(fēng)險，從而采取相應(yīng)的措施以避免攻擊事件[3]。

圖3 Structure of Security Analysis and Development in Standards Documents[3]

OCTAVE Allegro是一個針對信息財產(chǎn)的流程型方法，其共有八個步驟，包括建立風(fēng)險測量標準、辨識威脅場景、辨識并分析風(fēng)險，以及選擇減輕威脅的方法等。OCTAVE Allegro是從OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）方法變化而來的，前者優(yōu)化了原有的信息安全風(fēng)險評估流程，幫助組織能夠在有限投入的情況下獲得足夠的評估結(jié)果。OCTAVE方法最早是于1999年由卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院提出，并受到了美國國防部的資助[4]。

圖4 OCTAVE Allegro Roadmap[4]

HEAVENS（HEAling Vulnerabilities to ENhance Software Security and Safety）是一個針對車輛電子電器系統(tǒng)的系統(tǒng)性安全需求分析方法，其中包括了用于威脅分析及風(fēng)險評估的流程及支持工具[5]。HEAVENS安全模型首先需基于功能用例分析系統(tǒng)的潛在威脅，并輸出所辨識獲得的威脅、目標資產(chǎn)及安全屬性。然后，根據(jù)要求評定各潛在威脅的威脅等級及影響等級，并獲得目標系統(tǒng)的安全等級評估。最終，設(shè)計者可從分析輸出中提取用于指導(dǎo)系統(tǒng)安全設(shè)計的設(shè)計需求[6]。

圖5 Workflow of the HEAVENS Security Model[5]

FMVEA（Failure Mode, Vulnerabilities and Effects Analysis）是一種由FMEA（Failure Mode and Effects Analysis）方法演變而來的、用于辨識系統(tǒng)漏洞因果鏈的分析方法。FMVEA主要通過辨識系統(tǒng)的漏洞、威脅模式、威脅實施者、威脅影響、攻擊概率等步驟，以最終獲得目標系統(tǒng)的安全因果鏈及對各威脅模式的評價[7]。

圖6 FMVEA - Analysis Flow Chart[7]

STPA-Sec是一種由STPA（System-Theoretic Process Analysis）方法演變而來的、用于分析系統(tǒng)安全損失場景的方法，其使用了系統(tǒng)理論過程分析框架，可自上而下地對系統(tǒng)的安全漏洞進行分析。STPA-Sec的主要步驟包括：分析目標定義、目標系統(tǒng)控制結(jié)構(gòu)的建立、不安全控制行為的辨識以及損失場景的辨識。最終，分析者可從所辨識出的損失場景中提取系統(tǒng)設(shè)計的安全需求[8]。

圖7 Overview of the Basic STPA Method[8]

02 威脅分析及風(fēng)險評估方法

上一章節(jié)中所介紹的安全需求分析方法均是在一個上層的流程或框架層面方法，而上述框架方法中的核心活動為對目標對象實施威脅分析及風(fēng)險評估活動。針對這兩項重點活動，相關(guān)領(lǐng)域內(nèi)已有很多操作層面的技術(shù)，可以被靈活地運用于各個框架之中。在各類框架方法中，也涉及到了各類不同的操作方法。

關(guān)于威脅辨識部分，HEAVENS和FMVEA方法使用了微軟的STRIDE模型[9]來辨識潛在的威脅。EVITA項目中使用了攻擊樹的方法進行深入的攻擊分析，并獲得攻擊路徑即場景[1]。在EVITA流程中也可使用威脅及操作性分析方法（THROP）來實施功能層面的威脅辨識[6]。美國國家公路交通安全管理局（NHTSA）提出了一個基于威脅矩陣的綜合威脅模型以幫助安全分析中的威脅辨識[10]。WP.29 R155法規(guī)附錄五的第一部分中枚舉的共七大類32子類的威脅可作為安全威脅分析的基本引導(dǎo)詞使用。該法規(guī)中也明確指出，在評估風(fēng)險時，車輛制造商應(yīng)該考慮附錄五第一部分中羅列的所有威脅的風(fēng)險，以及其他可能相關(guān)的風(fēng)險（WP.29 R155 7.3.3條款）[11]。

關(guān)于風(fēng)險評價部分，當(dāng)前有以下幾種主要的評價體系被使用：

EVITA項目從系統(tǒng)的操作性、安全性（safety）、隱私性以及經(jīng)濟性四個方面對系統(tǒng)的網(wǎng)絡(luò)安全進行評價，結(jié)合攻擊概率、攻擊影響以及可控制性等因素，最終獲得一個風(fēng)險等級（R0至R7+，R0表示最低風(fēng)險，R7+表示最高風(fēng)險）[1]。

在HEAVENS流程中，通過對威脅等級以及影響等級打分評級后，根據(jù)映射矩陣最終獲得系統(tǒng)的安全等級[6]。

Ben Sapiro提出了一個二元風(fēng)險分析方法（BRA），該方法首先需回答十個是與否的問題，并將問題的回答映射到對應(yīng)的輸入矩陣中，如威脅范圍矩陣、保護能力矩陣等，然后通過可能性評價和影響評價，最終獲得目標系統(tǒng)的風(fēng)險等級。BRA是一個輕量級的用于快速構(gòu)建的定性風(fēng)險評價工具，可融合于現(xiàn)有的風(fēng)險管理框架中使用[12]。

通用漏洞評分系統(tǒng)（CVSS）是一個用于評價軟件系統(tǒng)漏洞的開放框架。該系統(tǒng)根據(jù)相關(guān)漏洞的主要特征，生成一個可以反映該漏洞嚴重程度的分數(shù)以及相關(guān)解釋[13]。ISO/SAE 21434標準的G.3章節(jié)中，提供了基于CVSS評分標準的攻擊可行性評估方法指南[14]。

此外，ISO/SAE 21434中定義了網(wǎng)絡(luò)安全保障等級（CAL），該等級可依據(jù)系統(tǒng)威脅場景的影響力及暴露水平等參數(shù)而評定。標準中還依據(jù)該CAL評級，定義了一系列系統(tǒng)應(yīng)該滿足的網(wǎng)絡(luò)安全保障需求，并可作為在產(chǎn)品的網(wǎng)絡(luò)安全工程活動的決策依據(jù)[14]。正如車輛安全完整性等級（ASIL）在車輛功能安全領(lǐng)域內(nèi)的作用一樣，CAL可為參與到車輛生命周期內(nèi)的相關(guān)廠商或組織提供了一個行業(yè)內(nèi)統(tǒng)一的交流、設(shè)計及評價標準。

03 總結(jié)

本文主要介紹了汽車及相關(guān)領(lǐng)域內(nèi)，用于實施網(wǎng)絡(luò)安全需求分析的方法及技術(shù)，以展示該領(lǐng)域內(nèi)的技術(shù)概況，幫助從業(yè)者更好地了解相關(guān)方法，以在實際工作中選用合適的方法進行工作。

審核編輯：湯梓紅