TARA 基於J3061的概念階段流程

2021-10-23 02:43:15 字數 1641 閱讀 8122

j3061是目前官方針對汽車資訊保安唯一的乙份流程文件,後面iso21434的發布可能會完全取代j3061。那麼作為過渡指導檔案的j3061是如何開展資訊保安活動呢?本篇從j3061的concept phrase為大家展開介紹。

目的:被合法的授權機構使用,在車輛被盜、非法賽車或其他危險情況時遠端disable車輛;

主要功能:在權威機構的要求下遠端disable車輛;

系統功能定義:如圖所示,我們的目的是盡可能從oem、tier1或其他夥伴中收集目標系統的資訊,如會採用什麼樣的通訊(can\ethernet\canfd)、頻寬多少、是否保留jtag口、有多少個介面等等資訊。

定義資訊保安計畫:類似於專案管理計畫,根據前面獲取的feaure,結合自己的經驗,對整個資訊保安活動定乙個大致的計畫,無非包括人、資源。人包括誰負責、誰對接、誰實施、誰驗證;資源無非包括裝置資源(需要的軟硬體裝置)、時間資源(各階段需要的時間)。這個裡面一定需要確定大體的責任劃分,至於時間節點可以適當放鬆一點,畢竟處於專案早期,說精確時間點那不就是扯犢子嘛。

威脅分析和風險評級:可以參考我的其他文章。這個過程是額外需要注意的,因為這直接關係到後面開發和測試的整個流程,需要投入大量的人力和物力,大致步驟為獲取資產-----確立攻擊面-----威脅建模-----對威脅的影響和可利用進行評級-----得出威脅等級-----確定需要保護的資產及其優先處理順序------得出資訊保安目標。

網路安全概念設計:也就是所謂的cybersecurity concept,具體見圖,個人理解為針對資訊保安目標提出的一些抽象的安全描述,如資訊保安目標可能為防止can訊號的spoof,那麼資訊保安概念可能為採用aead加密的方式保護can訊號;

識別網路安全需求:針對資訊保安目標和資訊保安概念的精簡,還是按照上面的例子,此處的需求可能為對重要的can訊號採用aes128-gcm的加密保護;當然此處如果有比較詳細的系統架構和介面規範,我們也可以直接派生出功能性安全需求,畢竟誰也不想寫那麼多文字,那麼功能性的安全需求就需要結合實際的介面和架構,如可能為動力域與閘道器的can通訊(當然也可以具體到具體的訊號)需要採用aes128-gcm加密,延遲需要保持在10ms內。ps:此處需求都是瞎扯,大概明白那個意思就行了。

網路安全初步評估:這時候就需要根據資訊保安計畫中設計到的人員,特別是主要負責人員,對提出的安全需求進行評估了。畢竟實際動手的是人家,他們可以結合自己的實際經驗對這些需求提出建議以及是否可行進行評估;

概念階段審查:算是乙個review的過程,對前面概念階段的輸出進行完善,並得出指導開發階段的需求文件。

再次強調,概念階段的所有活動都是不斷完善的,需要後面實際的開發、測試以及根據實際的技術發展、法規標準的出台不斷進行完善,是乙個不斷迭代的過程。畢竟一切事務都是在不斷發展中的。

推薦乙份文件《risk assessment framework for automotive embedded system》,最好翻牆找一下,該文件介紹了乙個tara的完整分析過程,非常具有參考意義;

ps1:目前就21434的2023年2月版來看,其整個分析流程較3061有比較大的改動。在標準還未發布之前,就暫時不就21434進行分析了,但無論怎樣,威脅窮舉、防護窮舉這些都是需要不斷積累的,無論流程怎麼改,這些基礎的模組都需要大家共同學習。

基於J2EE網銀系統的安全系統解決方案概述

簡介 本文介紹網路銀行所普遍採用的安全技術和方案,將從資料和業務邏輯的兩個角度詳細地分析一般網路銀行系統的安全需求,並據此引入以 ppdrr 為安全模型的安全設計方案。通過閱讀本文,讀者不但可以了解網上銀行普遍採用的安全系統架構以及相關技術,而且對開發實際安全應用系統具有一定的指導意義。摘要 隨著中...

neo4j安裝 基於Neo4j的知乎關係爬蟲

首先交代一下爬蟲所用到的資料庫和環境 neo4j使用類似sql的查詢語言cypher,關於cypher的使用和簡單demo,可以參考cypher查詢語言 neo4j中的sql。當然,為了減少學習cypher的時間成本,我在python環境中安裝了py2neo,pip install py2neo。p...

基於J2ME的MD5演算法類

基於j2me的md5演算法類 實現md5演算法的類,提供乙個靜態的函式tomd5 供呼叫 還提供乙個ge 5ofstr 函式生成乙個md5加密串 public class md5 static final byte padding private long state private long co...