车辆网络安全ISO/SAE 21434解读(十)TARA分析

已于 2022-12-23 15:54:59 修改
阅读量4.6k 收藏 13
点赞数 1
分类专栏: 车辆网络安全标准—ISO/SAE 21434解读 文章标签: 安全 网络安全 威胁分析 汽车
于 2022-12-23 00:29:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxiabang/article/details/128402938
版权
本文详细介绍了ISO/SAE 21434中的威胁分析和风险评估(TARA)方法,包括资产识别、威胁场景识别、影响评级、攻击路径分析、攻击可行性等级、风险确定和风险处置决策七个步骤。TARA旨在识别车辆网络安全风险,指导网络安全正向开发。文章阐述了各步骤的关键点,如资产识别涉及通信数据、软件和数据,威胁场景识别关注损害场景和原因,影响评级从安全、财务、操作和隐私四个方面评估影响程度,攻击路径分析考虑攻击向量和可行性,最后通过风险矩阵确定风险等级并作出处置决策。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一. 概述

威胁分析和风险评估 (Threat analysis and risk assessment methods, 后文简称TARA)通过识别整车/系统的网络安全资产,分析其的潜在安全威胁,综合考虑威胁攻击可行性、危害影响等因素,识别出整车/系统可能存在的风险,并确定其风险等级,为网络安全正向开发、安全漏洞修复提供依据。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
车辆网络安全ISO/SAE 21434解读(三)项目相关的网络安全管理
xiaoxiabang的博客
12-21 3085
项目相关的网络安全管理(Project dependent cybersecurity management) 一章描述了普适性的针对项目网络安全活动的管理原则。包括各项活动的职责分配,制定网络安全活动计划,裁剪原则,以及网络安全案例和网络安全评估、后开发阶段释放的要求。
车辆网络安全ISO/SAE 21434解读(二)组织级网络安全管理
xiaoxiabang的博客
12-21 2881
组织级网络安全管理(organizational cybersecurity management)规定了组织最高层级的网络安全管理要求,企业中CSMS的牵头部门应基于本章内容制定企业网络安全管理的总体方针,然后识别和推动各相关责任方建立各自模块(如开发,运维,供应商管理等)的网络安全管理体系。
iso21434-TARA分析示例1
08-03
下图摘要刻画了相关活动,包括需要产出的输出和可采的法。项定义 Item Definition项定义。这是项早期活动,定义了将要评估其险评估的项。在这项活动中,描
车联网安全-TARA分析
a1207129057的专栏
02-02 1486
另外需要重点说明的是,风险的转移,只是在风险发生时第三方以金钱等方式对组织进行一定的补偿,但是风险的责任本身不会被转移,还是在组织中。与影响评级一样,攻击可行性评级的时候,每一个维度的权重,以及每一个维度的分值定义,在没有强制(或通用)标准的情况下,组织可以根据自己的实际情况来定义。另外,对于每一个维度中的几个影响级别(可以定义更加精细化的级别)可以赋予不同的分值(可以使用5分制、10分制、100分制等),不同维度上的相同影响级别可以赋予不同的分值,这也跟组织的风险偏好以及目标产品的特点有关系。
MUNIK解读ISO21434专题分享(7):网络安全TARA(网络安全网络安全概念)
最新发布
m0_61714886的博客
04-09 688
采用基于攻击潜力的分析方法对攻击可行性进行分析时,需要从经历时间Elapsed time、专业知识Expertise、相关项或组件知识Knowledge of the item or component、机会窗口Window of opportunity、设备Equipment这五个参数进行分析,最终取值由以上5个参数累加而成,并根据下表中的映射关系得出攻击可行性,攻击可行性分为Very low、Low、Medium、High4个层级。确定损害场景的影响等级时,取四类影响等级中最严重的等级。
信息安全(Cyber Security)之TARA分析(二)
king110108的专栏
03-25 3163
讲述信息安全TARA分析方法和流程
TARA威胁分析与风险评估)分析方法论
wangluoanquan111的博客
08-03 3275
网络安全管理贯穿于ISO/SAE21434所提出的汽车系统全生命周期,例如在概念阶段(21434标准第9章节)中,完成“对象”(Item)定义后,就需要进行TARA分析来识别车辆潜在的威胁及其风险等级,以明确网络安全目标,并为后续生成网络安全需求提供输入,最终指导后续的正向开发。在后开发阶段可对网络安全进行分析,得到的安全漏洞及其风险等级可指导后续的风险处置决策。在ISO/SAE21434的第15章节中介绍了TARA的方法论,同时在附录H中以汽车大灯系统为例进行了TARA分析
信息安全(Cyber Security)之TARA分析(一)
king110108的专栏
03-25 4070
本文讲述信息安全TARA分析方法
车辆网络安全ISO/SAE 21434解读(四)分布式网络安全活动
xiaoxiabang的博客
12-21 1704
21434是一份面对整个汽车行业的指导标准,因此对供应商管理要求的适用范围不仅限于OEM,同时也适用于Tier 1, Tier 2等供应链上各环节的企业和组织,此外,组织的内部供应商也需要遵循本章要求。
车辆网络安全ISO/SAE 21434解读(六)概念阶段
xiaoxiabang的博客
12-21 2254
第9章概念阶段(Concept phase)的主要工作是定义网络安全对象,并通过TARA分析,确定网络安全目标,产生相应的网络安全概念。
车辆网络安全ISO/SAE 21434解读(五)持续的网络安全活动
xiaoxiabang的博客
12-21 1185
网络安全工程是一项贯穿产品全生命周期的持续性的活动,OEM不仅要进行TARA分析安全概念设计、网络安全开发测试和生产,还要在项目的全生命周期中,持续地收集和监控与项目有关的网络安全信息,建立信息监控和漏洞管理机制,持续地保证产品的网络安全
网络安全TARA分析
Suresoft China的博客
09-27 1354
威胁分析和风险评估(Threat Analysis and Risk Assessment)通过识别整车/项目的网络安全资产,分析其中的潜在的安全威胁,综合考虑威胁攻击可行性、危害影响等因素,识别出整车/项目可能存在的风险,并确定其风险等级,为网络安全正向开发、安全漏洞修复提供依据。TARA可在车辆的全生命周期的各个阶段进行,例如在概念识别整车的网络安全风险,作为整车网络安全概念的输入,或者在后开发阶段对漏洞进行分析,确定漏洞的风险等级,指导后续的漏洞处置。
汽车电子电气TARA分析从入门到放弃
阿尔泰野狼的博客
08-10 7863
本文基于ISO/SAE 21434以及项目执行过程中的实际操作,从整体上阐述了TARA分析
TARA威胁分析和风险评估方法)
qq_20017869的博客
10-25 7863
目录 1.资产识别(见15.3) 2.威胁情景识别(见15.4) 3.影响评级(见15.5) 4.攻击路径分析(见15.6) 5.攻击可行性评级(见15.7) 6.风险值确定(见15.8) 7.风险处理决策(见15.9) 概述: 本条款描述了确定道路使用者受威胁情景影响程度的方法。这些方法及其工作产品统称为威胁分析和风险评估(TARA),从受影响道路使用者的角度执行。本条款中定义的方法是通用模块,可以从项目或组件生命周期的任何点系统地调用。 目的: 识别资产、其网络...
TARA详解
xxdw1992的博客
10-11 1757
TARA是一种用于识别、评估和应对组织信息系统(特别是汽车电子系统)潜在威胁的方法论。其目的在于帮助汽车制造商和零部件供应商有效地优先处理网络安全风险,分配资源以实现最佳的安全效果,从而确保车辆安全和可靠性。主要包含了资产识别、威胁场景识别、影响等级、攻击路径分析、攻击可行性等级、风险评估上确定、风险处置决策,共7个基本的步骤。
【AutoSec 汽车安全直播课】:整车网络安全威胁分析与风险评估(TARA)方法与实践
TaasLabs的博客
07-06 2360
随着智能网联汽车的不断普及与演进,网络安全问题日益突显,其所存在的安全威胁与风险亟需通过科学、全面的分析,建立有效的安全应对措施。从SAE J3061到ISO 21434威胁分析与风险评估(TARA)均被作为核心的网络安全分析方法,并已成为智能汽车网络安全功能开发实施与测试的前提和基础。如何评估智能汽车网络安全威胁与风险?如何定义智能汽车网络安全需求? 本期谈思实验室特邀广东为辰信息科技有限公司 副总经理 罗建超博士为大家介绍在多个主机厂成功实施的TARA方法及案例,为整车、零部件、车联网业务等的TAR
威胁分析风险评估(TARA)影响和攻击可行性评估参考
weixin_43586667的博客
08-01 1360
威胁分析风险评估(TARA)过程中,风险等级由对资产安全属性侵害造成后果的影响等级和威胁的可能性两方面综合评估。备注:以上内容的评估皆是建立在由信息安全问题引起并导致的前提下。
TARA分析方法论——威胁分析和风险评估方法
Suresoft China的博客
09-27 1507
威胁分析和风险评估(Threat Analysis and Risk Assessment)通过识别整车/项目的网络安全资产,分析其中的潜在的安全威胁,综合考虑威胁攻击可行性、危害影响等因素,识别出整车/项目可能存在的风险,并确定其风险等级,为网络安全正向开发、安全漏洞修复提供依据。TARA可在车辆的全生命周期的各个阶段进行,例如在概念识别整车的网络安全风险,作为整车网络安全概念的输入,或者在后开发阶段对漏洞进行分析,确定漏洞的风险等级,指导后续的漏洞处置。
鉴源实验室丨TARA分析方法论
TICPSH的博客
09-14 5079
TARA威胁分析与风险评估(Threat Analysis and Risk Assessment)的缩写,其在ISO/SAE 21434中被认为是网络安全分析的核心方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XXB小虾棒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值