网络安全目标是在产品概念阶段确定的安全需求。每个目标都与一个或多个威胁场景相关联。它们应该是在产品开发阶段就明确的安全概念的一部分。安全目标是基于已确定减少的风险而建立的。风险及其处理决策(比如降低风险)是TARA的主要结果。
网络安全目标的作用
DIS列出了安全目标与以下的关系:
#网络安全目标是分配给每一项的
#网络安全目标是降低资产风险的
#网络安全目标是定位危害场景的,并是通过它们导致威胁场景的间接参考
#网络安全目标是通过网络安全需求实现的
通过这些关系,安全目标可以作为资产、危害场景和网络安全需求之间的核心链接要素。但是,我们应该记得,在执行 TARA 时还没有创建安全目标。因此,ISO示例出(详见标准附录G)创建了一系列要素。
ISO21434将整个第 9.4 节称为“网络安全目标”。该部分将目标和声明列为其工作产品。这些主要是基于已识别的风险和确定的处理方法。为了获得这些风险和处理方法,它要求按照第8条的规定执行TARA。
与安全异同之处
术语网络安全目标与术语安全目标非常一致,因为它是在ISO26262中引入的。尽管在安全和安全域之间重复使用的流程或工具不起作用(它们的性质非常不同),但这两个领域的目标都是高级的关于时间概念要求。对安全的一个主要区别是,安全控制与具体的实现细节紧密交织在一起。因此,安全控制的实施需要重新分析系统的安全性。特别是需要考虑与控件一起引入的资产。虽然分层安全要求在 V 模型流程中运行良好,但对控件的强烈依赖性使安全流程具有迭代性质。因此,安全目标在安全过程中的作用与安全目标对安全过程的作用不同。
现在怎么办?
想要进一步讨论根据 ISO21434 的安全目标是什么?可以随时联系笔者Leo. (微信号:anling_service)