作者 | 郁靜華 上海控安可信軟件創(chuàng)新研究院研究員

來(lái)源 | 鑒源實(shí)驗(yàn)室

引言：近年來(lái)，汽車的網(wǎng)絡(luò)安全問(wèn)題逐漸被重視，在汽車產(chǎn)品的全生命周期中，需要進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理，其主要活動(dòng)包括網(wǎng)絡(luò)安全需求分析、安全策略設(shè)計(jì)與實(shí)施、運(yùn)營(yíng)階段安全監(jiān)控與應(yīng)急響應(yīng)等。安全需求分析工作作為系統(tǒng)安全設(shè)計(jì)的第一步，將為系統(tǒng)后續(xù)的設(shè)計(jì)、開發(fā)、安全運(yùn)營(yíng)管理等活動(dòng)起到重要的作用。安全需求分析主要是對(duì)目標(biāo)對(duì)象實(shí)施分析，以獲得與安全相關(guān)設(shè)計(jì)需求的活動(dòng)。安全需求主要用于指導(dǎo)后續(xù)的安全設(shè)計(jì)，以降低安全風(fēng)險(xiǎn)，為目標(biāo)對(duì)象全生命周期中的安全活動(dòng)提供決策依據(jù)。

01 安全需求分析框架

本章節(jié)將基于所調(diào)研的相關(guān)標(biāo)準(zhǔn)、行業(yè)指南、論文等材料，介紹目前相關(guān)行業(yè)中，主流的網(wǎng)絡(luò)安全需求分析方法框架。由于并非所有的方法都顯式地被稱為需求分析方法。因此，在調(diào)研需求分析方法時(shí)規(guī)定，只要所開展活動(dòng)的目標(biāo)是辨識(shí)安全需求，則認(rèn)為其是所需的方法。

例如，在汽車網(wǎng)絡(luò)安全領(lǐng)域中，并不常使用“安全需求分析”一詞，取而代之的是“威脅分析與風(fēng)險(xiǎn)評(píng)估”（即TARA - Threat Analysis and Risk Assessment）。根據(jù)ISO 21434標(biāo)準(zhǔn)規(guī)定，在系統(tǒng)設(shè)計(jì)的概念階段，需要對(duì)目標(biāo)系統(tǒng)實(shí)施網(wǎng)絡(luò)安全目標(biāo)的辨識(shí)。根據(jù)定義，網(wǎng)絡(luò)安全目標(biāo)是指目標(biāo)對(duì)象的概念層網(wǎng)絡(luò)安全需求，該安全需求可與一個(gè)或多個(gè)威脅場(chǎng)景相關(guān)聯(lián)。簡(jiǎn)而言之，網(wǎng)絡(luò)安全目標(biāo)即為系統(tǒng)設(shè)計(jì)早期進(jìn)行的最上層安全需求。而具體用于實(shí)施網(wǎng)絡(luò)安全目標(biāo)辨識(shí)活動(dòng)的主要工作即為大家所熟知的TARA分析，TARA分析為安全需求分析的重要工作部分。

以下為汽車及相關(guān)領(lǐng)域內(nèi)常用的網(wǎng)絡(luò)安全需求分析框架：

· EVITA TARA

· NIST網(wǎng)絡(luò)安全框架

· TVRA流程

· OCTAVE Allegro

· HEAVENS TARA

· FMVEA

· STPA-Sec

EVITA（E-Safety Vehicle Intrusion Protected Applications）是一個(gè)起始于2008年、由歐盟資助的研究項(xiàng)目，其目標(biāo)在于設(shè)計(jì)、驗(yàn)證并試制一個(gè)安全的車載網(wǎng)絡(luò)架構(gòu)。該項(xiàng)目中提出了一種系統(tǒng)的威脅分析及風(fēng)險(xiǎn)評(píng)估方法，其首先需辨識(shí)目標(biāo)系統(tǒng)潛在的威脅，并從安全（safety）、隱私、經(jīng)濟(jì)及操作方面對(duì)所獲得的威脅的嚴(yán)重性進(jìn)行評(píng)估。然后，需評(píng)估每一個(gè)威脅實(shí)現(xiàn)的可能性。最后，根據(jù)風(fēng)險(xiǎn)等級(jí)映射表獲得最終的風(fēng)險(xiǎn)評(píng)估結(jié)果[1]。EVITA TARA分析的輸出可作為后續(xù)系統(tǒng)安全設(shè)計(jì)的需求輸入。

NIST網(wǎng)絡(luò)安全框架是一種由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST：National Institute of Standards and Technology）提出的、用于管理關(guān)鍵設(shè)施風(fēng)險(xiǎn)的大框架，其主要包括五個(gè)核心功能，分別為：辨識(shí)、保護(hù)、發(fā)現(xiàn)、響應(yīng)和恢復(fù)。其中，與TARA活動(dòng)相關(guān)的步驟包括辨識(shí)并整理目標(biāo)資產(chǎn)漏洞及風(fēng)險(xiǎn)、接收來(lái)自于共享資源的網(wǎng)絡(luò)安全威脅信息、評(píng)估威脅潛在的商業(yè)影響及發(fā)生可能性等，并根據(jù)以上因素的分析結(jié)果，可最終獲得相關(guān)風(fēng)險(xiǎn)的評(píng)估結(jié)果[2]。

圖1 Framework Core Structure[2]

圖2 Function and Category Unique Identifiers[2]

TVRA（Threat, Vulnerabilities, and Implementation Risks Analysis）是一個(gè)由歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（ETSI）提出的流程驅(qū)動(dòng)型威脅分析及風(fēng)險(xiǎn)評(píng)估方法。TVRA中一共有十個(gè)工作步驟，包括辨識(shí)需要評(píng)估的目標(biāo)（TOE: Target of Evaluation）、系統(tǒng)地辨識(shí)目標(biāo)漏洞及威脅等級(jí)、計(jì)算攻擊發(fā)生可能性及其影響等。TVRA主要基于攻擊可能性及攻擊對(duì)系統(tǒng)的影響來(lái)辨識(shí)目標(biāo)系統(tǒng)存在的安全風(fēng)險(xiǎn)，從而采取相應(yīng)的措施以避免攻擊事件[3]。

圖3 Structure of Security Analysis and Development in Standards Documents[3]

OCTAVE Allegro是一個(gè)針對(duì)信息財(cái)產(chǎn)的流程型方法，其共有八個(gè)步驟，包括建立風(fēng)險(xiǎn)測(cè)量標(biāo)準(zhǔn)、辨識(shí)威脅場(chǎng)景、辨識(shí)并分析風(fēng)險(xiǎn)，以及選擇減輕威脅的方法等。OCTAVE Allegro是從OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）方法變化而來(lái)的，前者優(yōu)化了原有的信息安全風(fēng)險(xiǎn)評(píng)估流程，幫助組織能夠在有限投入的情況下獲得足夠的評(píng)估結(jié)果。OCTAVE方法最早是于1999年由卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院提出，并受到了美國(guó)國(guó)防部的資助[4]。

圖4 OCTAVE Allegro Roadmap[4]

HEAVENS（HEAling Vulnerabilities to ENhance Software Security and Safety）是一個(gè)針對(duì)車輛電子電器系統(tǒng)的系統(tǒng)性安全需求分析方法，其中包括了用于威脅分析及風(fēng)險(xiǎn)評(píng)估的流程及支持工具[5]。HEAVENS安全模型首先需基于功能用例分析系統(tǒng)的潛在威脅，并輸出所辨識(shí)獲得的威脅、目標(biāo)資產(chǎn)及安全屬性。然后，根據(jù)要求評(píng)定各潛在威脅的威脅等級(jí)及影響等級(jí)，并獲得目標(biāo)系統(tǒng)的安全等級(jí)評(píng)估。最終，設(shè)計(jì)者可從分析輸出中提取用于指導(dǎo)系統(tǒng)安全設(shè)計(jì)的設(shè)計(jì)需求[6]。

圖5 Workflow of the HEAVENS Security Model[5]

FMVEA（Failure Mode, Vulnerabilities and Effects Analysis）是一種由FMEA（Failure Mode and Effects Analysis）方法演變而來(lái)的、用于辨識(shí)系統(tǒng)漏洞因果鏈的分析方法。FMVEA主要通過(guò)辨識(shí)系統(tǒng)的漏洞、威脅模式、威脅實(shí)施者、威脅影響、攻擊概率等步驟，以最終獲得目標(biāo)系統(tǒng)的安全因果鏈及對(duì)各威脅模式的評(píng)價(jià)[7]。

圖6 FMVEA - Analysis Flow Chart[7]

STPA-Sec是一種由STPA（System-Theoretic Process Analysis）方法演變而來(lái)的、用于分析系統(tǒng)安全損失場(chǎng)景的方法，其使用了系統(tǒng)理論過(guò)程分析框架，可自上而下地對(duì)系統(tǒng)的安全漏洞進(jìn)行分析。STPA-Sec的主要步驟包括：分析目標(biāo)定義、目標(biāo)系統(tǒng)控制結(jié)構(gòu)的建立、不安全控制行為的辨識(shí)以及損失場(chǎng)景的辨識(shí)。最終，分析者可從所辨識(shí)出的損失場(chǎng)景中提取系統(tǒng)設(shè)計(jì)的安全需求[8]。

圖7 Overview of the Basic STPA Method[8]

02 威脅分析及風(fēng)險(xiǎn)評(píng)估方法

上一章節(jié)中所介紹的安全需求分析方法均是在一個(gè)上層的流程或框架層面方法，而上述框架方法中的核心活動(dòng)為對(duì)目標(biāo)對(duì)象實(shí)施威脅分析及風(fēng)險(xiǎn)評(píng)估活動(dòng)。針對(duì)這兩項(xiàng)重點(diǎn)活動(dòng)，相關(guān)領(lǐng)域內(nèi)已有很多操作層面的技術(shù)，可以被靈活地運(yùn)用于各個(gè)框架之中。在各類框架方法中，也涉及到了各類不同的操作方法。

關(guān)于威脅辨識(shí)部分，HEAVENS和FMVEA方法使用了微軟的STRIDE模型[9]來(lái)辨識(shí)潛在的威脅。EVITA項(xiàng)目中使用了攻擊樹的方法進(jìn)行深入的攻擊分析，并獲得攻擊路徑即場(chǎng)景[1]。在EVITA流程中也可使用威脅及操作性分析方法（THROP）來(lái)實(shí)施功能層面的威脅辨識(shí)[6]。美國(guó)國(guó)家公路交通安全管理局（NHTSA）提出了一個(gè)基于威脅矩陣的綜合威脅模型以幫助安全分析中的威脅辨識(shí)[10]。WP.29 R155法規(guī)附錄五的第一部分中枚舉的共七大類32子類的威脅可作為安全威脅分析的基本引導(dǎo)詞使用。該法規(guī)中也明確指出，在評(píng)估風(fēng)險(xiǎn)時(shí)，車輛制造商應(yīng)該考慮附錄五第一部分中羅列的所有威脅的風(fēng)險(xiǎn)，以及其他可能相關(guān)的風(fēng)險(xiǎn)（WP.29 R155 7.3.3條款）[11]。

關(guān)于風(fēng)險(xiǎn)評(píng)價(jià)部分，當(dāng)前有以下幾種主要的評(píng)價(jià)體系被使用：

EVITA項(xiàng)目從系統(tǒng)的操作性、安全性（safety）、隱私性以及經(jīng)濟(jì)性四個(gè)方面對(duì)系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行評(píng)價(jià)，結(jié)合攻擊概率、攻擊影響以及可控制性等因素，最終獲得一個(gè)風(fēng)險(xiǎn)等級(jí)（R0至R7+，R0表示最低風(fēng)險(xiǎn)，R7+表示最高風(fēng)險(xiǎn)）[1]。

在HEAVENS流程中，通過(guò)對(duì)威脅等級(jí)以及影響等級(jí)打分評(píng)級(jí)后，根據(jù)映射矩陣最終獲得系統(tǒng)的安全等級(jí)[6]。

Ben Sapiro提出了一個(gè)二元風(fēng)險(xiǎn)分析方法（BRA），該方法首先需回答十個(gè)是與否的問(wèn)題，并將問(wèn)題的回答映射到對(duì)應(yīng)的輸入矩陣中，如威脅范圍矩陣、保護(hù)能力矩陣等，然后通過(guò)可能性評(píng)價(jià)和影響評(píng)價(jià)，最終獲得目標(biāo)系統(tǒng)的風(fēng)險(xiǎn)等級(jí)。BRA是一個(gè)輕量級(jí)的用于快速構(gòu)建的定性風(fēng)險(xiǎn)評(píng)價(jià)工具，可融合于現(xiàn)有的風(fēng)險(xiǎn)管理框架中使用[12]。

通用漏洞評(píng)分系統(tǒng)（CVSS）是一個(gè)用于評(píng)價(jià)軟件系統(tǒng)漏洞的開放框架。該系統(tǒng)根據(jù)相關(guān)漏洞的主要特征，生成一個(gè)可以反映該漏洞嚴(yán)重程度的分?jǐn)?shù)以及相關(guān)解釋[13]。ISO/SAE 21434標(biāo)準(zhǔn)的G.3章節(jié)中，提供了基于CVSS評(píng)分標(biāo)準(zhǔn)的攻擊可行性評(píng)估方法指南[14]。

此外，ISO/SAE 21434中定義了網(wǎng)絡(luò)安全保障等級(jí)（CAL），該等級(jí)可依據(jù)系統(tǒng)威脅場(chǎng)景的影響力及暴露水平等參數(shù)而評(píng)定。標(biāo)準(zhǔn)中還依據(jù)該CAL評(píng)級(jí)，定義了一系列系統(tǒng)應(yīng)該滿足的網(wǎng)絡(luò)安全保障需求，并可作為在產(chǎn)品的網(wǎng)絡(luò)安全工程活動(dòng)的決策依據(jù)[14]。正如車輛安全完整性等級(jí)（ASIL）在車輛功能安全領(lǐng)域內(nèi)的作用一樣，CAL可為參與到車輛生命周期內(nèi)的相關(guān)廠商或組織提供了一個(gè)行業(yè)內(nèi)統(tǒng)一的交流、設(shè)計(jì)及評(píng)價(jià)標(biāo)準(zhǔn)。

03 總結(jié)

本文主要介紹了汽車及相關(guān)領(lǐng)域內(nèi)，用于實(shí)施網(wǎng)絡(luò)安全需求分析的方法及技術(shù)，以展示該領(lǐng)域內(nèi)的技術(shù)概況，幫助從業(yè)者更好地了解相關(guān)方法，以在實(shí)際工作中選用合適的方法進(jìn)行工作。

審核編輯：湯梓紅