点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
网络安全保障级别cybersecurity assurance level (CAL)是ISO/SAE 21434中提到的概念,正如ISO/SAE 21434标准不规定与网络安全相关的具体技术或解决方案一样,CAL分类方案不指定任何网络安全控制的技术性要求,它可以在相关组织(如组织内部团队,外部供应链)之间以通用的语言传递网络安全保障要求,以驱动网络安全工程的实施,增强网络安全管理体系的有效性。
CAL的本质是指定和传达一组适宜或足够的网络保障要求,在这些保障要求集中约定对E/E相关项或组件资产的网络安全保障严格程度。
CAL在ISO/SAE 21434标准中不是一个强制的要求,即使用是否CAL是可选的。ISO/SAE 21434标准中仅在部分资料性的描述中提及了CAL,如
CAL 可以由开发相关项的组织确定,也可以由开发脱离上下文组件的组织假定。
CAL的确定意味着后续产品开发活动中所需的严格程度被指定。可以在定义网络安全目标的时将CAL作为一个属性,并明确CAL对应的网络安全要求(集)。
一个单一的CAL可以分配给相关项的所有网络安全目标,不同的CAL也可以分配给单一的网络安全目标。如果网络安全目标被合并,应选取各独立的CAL中的最高值作为合并后的网络安全目标CAL。
是否可以基于TARA中的风险值来定义CAL呢?
答案是否定的,因为网络安全风险动态的变化的,具体取决于相关项或组件不断变化的规范、设计、实现过程和运行环境。CAL表示的保障级别将随着时间的推移保持固定,所以CAL与风险不直接相关,不能从TARA报告的风险值中确定CAL。在概念甚至更早的阶段,就基于受保护资产的关键度,确定了预期的网络安全保障水平。
ISO/SAE 21434 给出了CAL与网络安全风险的关系,详见附录E中 图表E.1
ISO/SAE 21434 附录E中 图表E.1
✴ 基于相对确定性的参数,或阶段性能够保持确定下的参数确定CAL
可以在产品概念开始开发的时候,使用预期在网络安全支持结束之前都保持稳定的参数确定CAL,例如依据在网络安全控制措施实施之前,相关项的资产的重要性、复杂度以及其他相关的风险参数,在企业实践中,可以对于所开发的产品按网络安全相关度大小、产品类型、软硬件架构、业务复杂度等因素设定CAL。
✴基于对已识别的威胁场景的考虑确定CAL
ISO/SAE 给出了一个基于4个系列CAL的示例,每个系列中随着不同的网络安全工程方法的应用,安全保障不断提升:
依据影响程度和攻击途径参数决定CAL的示例图
✴基于标准及实践经验,对零部件分层分类设定CAL
汽车网络安全相关的技术标准给出了整车或零部件需要开展的网络安全管理要求、技术要求、测试要求,不同的组织可以参考这些标准法规,对自己所开发的产品设定CAL。
不同的组织产品和服务不同、规模不同、能力不同,投入的资源也不同,要结合自己的实际情况合理设定CAL,重要的是结合风险管理思维以及对风险所导致危害的可接受程度。
CAL 分类方案可以用于决定执行网络活动的严格程度,通过必要的工作项满足所需的安全保障。可用于选择:
—用于开发和验证的方法;
—识别脆弱性和分析漏洞的方法
—网络安全评估机制
ISO/SAE 21434提供了一些CAL及其如何在产品概念和开发阶段中使用的示例,可以说明在使用CAL分类方法以适应开发措施的严格程度和范围。对每一个CAL中的提升,相应的设计、验证和网络安全评估方法都有实际的增加,以加强对相关项和组件的保障。
✴在概念阶段使用CAL
在概念阶段,随着网络安全概念的定义以及对初步架构中组件的网络安全需求分配,可以使用CAL作为对[RQ-09-10]的扩展:
a) 从网络安全目标中导出的网络安全需求继承了该网络安全目标的CAL;
b) 如果从多个网络安全目标继承的多个不同CAL的网络安全需求分配给某一架构层面的组件,那么将最高等级的CAL分配给该组件;
c) 如果确定一个组件是受保护的,且不被架构中的其他组件所影响,可以根据理由降低已分配给该组件的CAL或宣布其不必要。
✴在产品开发阶段使用CAL
CAL的分类方案在产品开发阶段的应用可以是使用依赖于CAL的方法和措施。在产品开发中,如果网络安全需求已分配给组件,且无法确认其与其他组件无关,那么组件可以依据这些网络安全需求的最高CAL开发。
ISO/SAE 21434提供了一个CAL如何应用于网络安全活动样本的示例,可以使用类似的方式处理进一步的网络安全活动。
Table — Example of level of independence of cybersecurity activities
网络安全活动的独立性水平
Table — Example of parameters of testing methods
测试方法参数示例
✴在分布式开发活动中使用CAL
当相关项或组件的网络安全活动责任被分配时就涉及到网络安全活动的分布式管理,客户与供应商直接使用网络安全接口协议CIA约定网络安全要求及责任。
在客户与供应商之间分享有记录在案的CAL决定理由可以增加相互理解,CAL划分方案和已确定的CAL也可以成为客户和供应商之间网络安全接口协议的一部分。
因为CAL分类方案不指定任何网络安全控制的技术性要求,所以CAL无法代表、证明某产品的网络安全防护能力或等级。
产品所面临的网络安全风险是动态变化的,网络安全攻击技术也是不断发展的,只有在产品全生命周期的各个阶段充分识别风险并加以管理,借鉴科学有效的管理体系最佳实践,并进行技术层面的防护和测试评价,才能确保我们的产品安全可控、合规运营。
注:文章部分内容翻译自ISO/SAE 21434:2021标准。
更多文章
智能网联汽车信息安全综述
会员权益: (点击可进入)谈思实验室VIP会员
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。