3)相关项初步架构,初步识别相关项的组成部分及其交互,以及项目的外部接口;
4)与网络安全相关的运行环境信息,包括运行环境、与其他相关项的相互作用。这信息后续可以用于识别相关的威胁场景和攻击路径,比如在整车的安装位置。可以包括假设,比如假设相关项所依赖的每个公钥基础设施正式颁发机构都得到了适当的管理。
另外,相关项定义也要考虑相关项的约束条件和相关网络安全标准的信息。对于平台件的开发,因脱离环境背景,本活动也可以用假设的方式进行。
2**、网络安全目标**
活动目的:明确网络安全目标和网络安全声明
活动输入:相关项定义,持续性网络安全活动的网络安全事件也可用于更新TARA
活动输出:TARA分析报告(包括网络安全目标和网络安全声明),评审报告
活动要求:
基于相关项定义,利用第15章的方法,完整进行威胁分析和风险评估,如果相关项定义没有提供足够的信息,可以进一步假设。
按照第15章的方法,为每一种威胁场景确定风险处置方案:
- 如果选择避免风险,就按照变更管理进行即可;
- 如果选择降低风险,定义一个或多个网络安全目标,如果有使用CAL等级,网络安全目标则对应等级;
- 如果选择分担风险或保留风险,制定一个或多个网络安全声明,将作为网络安全信息持续监控,对于分析过程产生的假设,同样要考虑制定网络安全声明(也就是说,有些网络安全目标是基于假设、对应的网络安全声明才成立的)。
本活动的输出物应审
最低0.47元/天 解锁文章
扫一扫
1882
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
