TARA-基于J3061的概念阶段流程

     J3061是目前官方针对汽车信息安全唯一的一份流程文档，后面ISO21434的发布可能会完全取代J3061。那么作为过渡指导文件的J3061是如何开展信息安全活动呢？本篇从J3061的concept phrase为大家展开介绍。

重要概念

• Cybersecurity  goal：最高级别的信息安全要求，包含为该feature实现信息安全的目标。一旦经过TARA分析确定了最高风险的威胁，Cybersecuriy goal就确定了。Cybersecurity goal通过avoid或prevent的形式表达，如潜在的威胁是Malicious tamper vehicle data，那么信息安全目标就是avoid malicious tamper vehicle data；
• Cybersecurity concept：网络安全概念是对该功能获取网络安全的高级策略的描述。在此阶段，网络安全概念可能包含TARA期间确定的高级网络安全目标、与每个网络安全目标相关的风险以及满足网络安全目标的潜在高级战略，针对上面的Cybersecurity goal，我们的Cybersecurity concept为private vehicle data shall be encrypted by TLS or Ipsec during transformation。
• cybersecurity assessment：对TARA阶段确定的高级别的信息安全目标、与其关联的风险和确认的开放性问题进行评估，评估的目的是确定功能信息安全需求是否能够减轻威胁和风险；
• design review：核验执行的所有步骤是否正确完成、其正确性、连续性；
• functional feature definition：描述feature的目的，确认feature的主要功能，并描述网络安全边界；我们以Remote Vehicle Disable这个feature为例：

目的：被合法的授权机构使用，在车辆被盗、非法赛车或其他危险情况时远程disable车辆；

主要功能：在权威机构的要求下远程disable车辆；

• functional Cybersecurity requirement：该需求是基于具体的系统架构设计的，我们需要尽可能的结合系统架构描述安全需求，因为需求最终是需要给研发用的，以上面的Cybersecurity concept和Cybersecurity goal为例，我们定义网关ECU给ADAS domain ECU的控制数据传输过程中需要进行加密；

概念设计流程

 

1. 系统功能定义：如图所示，我们的目的是尽可能从OEM、Tier1或其他伙伴中收集目标系统的信息，如会采用什么样的通信（CAN\ethernet\CANfd）、带宽多少、是否保留JTAG口、有多少个接口等等信息。
2. 定义信息安全计划：类似于项目管理计划，根据前面获取的feaure，结合自己的经验，对整个信息安全活动定一个大致的计划，无非包括人、资源。人包括谁负责、谁对接、谁实施、谁验证；资源无非包括设备资源（需要的软硬件设备）、时间资源（各阶段需要的时间）。这个里面一定需要确定大体的责任划分，至于时间节点可以适当放松一点，毕竟处于项目早期，说精确时间点那不就是扯犊子嘛。
3. 威胁分析和风险评级：可以参考我的其他文章。这个过程是额外需要注意的，因为这直接关系到后面开发和测试的整个流程，需要投入大量的人力和物力，大致步骤为获取资产-----确立攻击面-----威胁建模-----对威胁的影响和可利用进行评级-----得出威胁等级-----确定需要保护的资产及其优先处理顺序------得出信息安全目标。
4. 网络安全概念设计：也就是所谓的cybersecurity concept，具体见图，个人理解为针对信息安全目标提出的一些抽象的安全描述，如信息安全目标可能为防止can信号的spoof，那么信息安全概念可能为采用AEAD加密的方式保护can信号；
5. 识别网络安全需求：针对信息安全目标和信息安全概念的精简，还是按照上面的例子，此处的需求可能为对重要的CAN信号采用AES128-GCM的加密保护；当然此处如果有比较详细的系统架构和接口规范，我们也可以直接派生出功能性安全需求，毕竟谁也不想写那么多文字，那么功能性的安全需求就需要结合实际的接口和架构，如可能为动力域与网关的CAN通信（当然也可以具体到具体的信号）需要采用AES128-GCM加密，延迟需要保持在10ms内。PS：此处需求都是瞎扯，大概明白那个意思就行了。
6. 网络安全初步评估：这时候就需要根据信息安全计划中设计到的人员，特别是主要负责人员，对提出的安全需求进行评估了。毕竟实际动手的是人家，他们可以结合自己的实际经验对这些需求提出建议以及是否可行进行评估；
7. 概念阶段审查：算是一个review的过程，对前面概念阶段的输出进行完善，并得出指导开发阶段的需求文档。

           再次强调，概念阶段的所有活动都是不断完善的，需要后面实际的开发、测试以及根据实际的技术发展、法规标准的出台不断进行完善，是一个不断迭代的过程。毕竟一切事务都是在不断发展中的。

具体案例

 推荐一份文档《risk assessment framework for automotive embedded system》，最好翻墙找一下，该文档介绍了一个TARA的完整分析过程，非常具有参考意义；

其次我记得vector在去年有一个关于tara的在线培训视频，也对前期的TARA进行了非常详细的介绍，有空的时候去vector官网上找一下。时间比较久远，具体的链接我就真不知道了。

PS1：目前就21434的2020年2月版来看，其整个分析流程较3061有比较大的改动。在标准还未发布之前，就暂时不就21434进行分析了，但无论怎样，威胁穷举、防护穷举这些都是需要不断积累的，无论流程怎么改，这些基础的模块都需要大家共同学习。

PS2：上面文档找不到的可以评论联系我。