用资产驱动方法构建汽车网络安全档案
摘要
网络安全档案(SAC)是结构化的论证与证据集合,用于论证某一系统的安全性。随着汽车领域对安全保障需求的不断增长,网络安全档案正受到汽车行业的广泛关注。然而,当前主流方法缺乏能够满足汽车行业需求的成熟方案。本文提出了一种用于创建网络安全档案的资产驱动方法 ——CASCADE,该方法灵感来源于 ISO/SAE-21434 安全标准以及汽车原始设备制造商(OEMs)的内部需求。此外,CASCADE 通过纳入论证已构建网络安全档案质量的方法,区别于当前主流方法。我们通过迭代式设计科学研究构建了该方法,并以 ISO 标准中提供的道路车辆前照灯示例案例说明研究结果。同时,我们还展示了该方法如何与 ISO/SAE-21434 标准的结构和内容良好契合,进而证明 CASCADE 在工业场景中的实际适用性。
1、引言
安全档案是结构化的论证与证据集合,用于论证系统某一属性是否成立。网络安全档案(SAC)是网络安全领域特有的一种保障档案。本文聚焦网络安全档案的构建,尤其关注汽车应用领域。随着车辆技术不断进步且日益智能化、联网化,该领域的安全审查力度不断加大。此外,新的标准和法规要求通过网络安全档案确保车载系统的安全性。与安全标准(如 ISO-26262)中要求的安全档案类似,ISO/SAE-21434标准也明确要求提供网络安全档案,且所有量产系统都必须具备网络安全档案。
在现有文献中,部分研究提出基于安全标准衍生的需求来构建网络安全档案,但目前尚无能够助力满足即将出台的 ISO/SAE-21434 标准要求的方法。此外,由于网络安全档案相关要求是新增的,文献中并无证据表明行业内的知识储备足以满足这些合规要求。而且,现有文献报道的方法均未涉及网络安全档案的质量保障,尽管这是一个至关重要的方面。要让不同利益相关者认可并使用网络安全档案,关键在于确保其论证具备足够的完整性,且证据能为论证目标主张提供足够的可信度。最后,我们发现当前方法存在一个显著问题 —— 行业参与度不足,这导致了研究与工业实践之间存在差距。
为填补这些差距,我们与瑞典的两家国际汽车原始设备制造商 —— 沃尔沃卡车公司(Volvo Trucks)和沃尔沃汽车公司(Volvo Cars)合作,开发了本文所提出的用于构建网络安全档案的资产驱动方法 CASCADE。CASCADE 的设计灵感来源于 ISO/SAE-21434 标准的需求结构与工作成果,采用资产驱动模式,即最终形成的网络安全档案以资产作为安全论证结构的核心驱动力。因此,该方法能够基于系统中的核心价值资产构建安全保障体系。
此外,在基于 CASCADE 构建网络安全档案时,我们通过区分产品相关主张与档案质量主张,并为两类主张分别构建论证,将质量保障融入其中。同时,CASCADE 还明确规定了在论证过程中需要引入这些档案质量主张的具体位置。
从方法论角度而言,我们通过三轮设计科学研究构建并验证了该方法,具体过程如下:
1. 构建资产驱动型网络安全档案的高层结构,包括资产识别、资产与系统要素(如处理、通信和存储操作)的追溯关联,以及为每项资产确定相关安全资产。
2. 优化 CASCADE 的结构,使其更符合汽车企业的开发流程,更好地满足企业在网络安全档案方面的需求,包括应对 ISO/SAE-21434 标准的需求。随后,结合 ISO/SAE-21434 标准中提及的示例档案,对该方法进行说明。
3. 向某汽车原始设备制造商的安全专家展示最终形成的方法,并收集反馈意见。最后,通过将 ISO/SAE-21434 标准的需求和工作成果与 CASCADE 的相应要素进行映射,进一步评估 CASCADE。我们对映射结果进行分析,并为从业者和研究人员制定指南,以便其在相同或不同标准上重复开展此类映射工作。
在第 2 节讨论相关工作、第 3 节阐述研究方法之后,第 4-7 节将呈现研究结果。
本研究是先前已发表研究的延伸,主要贡献如下:
1. 提出了面向汽车领域的资产驱动型网络安全档案构建方法 CASCADE,该方法灵感来源于汽车领域即将出台的安全标准。此外,CASCADE 通过纳入论证已构建网络安全档案质量的方法,区别于当前主流方法。
2. 从两方面对 CASCADE 方法进行验证:一是与瑞典某汽车原始设备制造商合作开展验证;二是展示 CASCADE 如何与 ISO/SAE-21434 标准的结构和内容相契合,进而证明其在工业场景中的实际适用性。
3. 制定了将安全标准条款映射到 CASCADE 安全档案要素的指南,该指南可帮助从业者满足合规要求。
2、背景与相关工作
本节将介绍网络安全档案(SAC)、汽车领域资产及其相关安全威胁与攻击的背景知识,同时综述文献中基于资产的相关方法。
2.1 网络安全档案
根据文献的定义,保障档案是通过结构化论证组织的证据集合,用于证明系统某一属性相关的特定主张成立。GSN 标准将其定义为 “一套合理且有说服力的论证,辅以一系列证据,用于证明某个系统、服务或组织在特定环境中针对特定应用能按预期运行”。
网络安全档案(SAC)是保障档案的一种特殊类型,其论证围绕系统安全性相关主张展开,证据则用于证明这些安全相关主张的合理性。根据文献,网络安全档案主要包含以下组成部分:
· 安全主张:安全主张的抽象层次各不相同。在论证初期,主张较为宏观;随着论证的深入,主张会逐渐细化。通常,主张源自所论证系统的需求规格说明。
· 背景:指主张成立所需的前提背景,换言之,它界定了论证的范围。例如,某一背景可能是一份文件,其中规定了构建网络安全档案的组织所期望达到的安全级别。
· 策略:构建论证需将主张逐层分解为子主张,直至分解到可通过证据支持的程度。在此过程中,需确定如何分解特定主张(例如,从不同安全属性或不同潜在威胁角度进行分解),这些分解决策在网络安全档案中被称为策略。
· 证据:提供一系列证据以证明论证中提出的主张。例如,某份测试报告证明某电子控制单元(ECU)的代码库通过了所有测试;又如,安全专家出具的报告证明某一漏洞无法被利用。
网络安全档案可采用文本或图形形式呈现,最常用的图形形式包括目标结构符号(GSN)以及主张 - 论证 - 证据符号(CAE)。
2.2 汽车资产及相关安全威胁
根据文献,汽车系统中存在四类易受安全威胁和攻击的资产,分别是硬件、软件、网络与通信以及数据存储。
· 硬件:该类资产包括传感器、执行器以及电子控制单元(ECU)的硬件部分。这些资产常面临导致其可用性和完整性受损的破坏或直接干预威胁。例如,通过安装恶意硬件实施故障注入攻击,进而破坏硬件可用性。
· 软件:该类资产包括外部库、操作系统(OS)、应用程序、虚拟化技术以及电子控制单元(ECU)的软件部分。针对软件资产的安全威胁与攻击包括软件篡改,例如旨在破坏软件可用性和完整性的篡改攻击。
· 网络 / 通信:涵盖内部通信和外部通信。内部通信资产包括 CAN、FlexRay、LIN、MOST 和汽车以太网等总线;外部通信资产包括 WiFi、蓝牙以及车与万物(V2X)通信。针对这类资产的攻击示例包括伪造或干扰攻击、欺骗、消息冲突、窃听、劫持以及拒绝服务(DoS)等,这些攻击可能破坏相关资产的机密性、完整性和可用性。
· 数据存储:包含用户数据、备份数据、加密密钥、取证日志以及系统信息和报告等敏感数据。这类资产面临未授权访问和恶意篡改的威胁,这些威胁通常会影响数据的机密性、完整性和可用性。
2.3 基于资产的方法
研究人员已探索多种基于资产的方法来构建网络安全档案的论证部分。Biao等人提出将论证划分为不同层次,每个层次采用不同模式构建对应层次的论证内容。资产被视为其中一个层次,构建该层次论证所采用的模式包含 “资产受保护” 相关主张以及关键资产分解策略。然而,Biao等人的研究未考虑档案质量,且仅聚焦于论证构建,未涉及证据部分。
Luburic 等人也提出了一种以资产为核心的安全保障方法。该方法所采用的信息来源于:(1)资产清单;(2)特定资产及其操控组件的数据流程图(DFD);(3)规定上述组件保护机制的安全策略。他们提出了以资产为核心的领域模型,将资产与安全目标相关联。论证过程围绕资产全生命周期的保护展开,通过论证对存储、处理和传输资产的组件进行保护来实现。他们提出的网络安全档案较为宏观,包含两种策略:“对所有敏感资产提供合理保护” 以及针对各相关组件的数据流进行论证。作者指出,该方法的主要局限性在于资产和数据流的粒度问题。
在本研究中,我们同样以资产作为方法的核心驱动力,但进一步将论证细化到具体安全需求层面。此外,我们的策略源自行业标准,并与原始设备制造商(OEM)合作对方法进行验证。同时,我们还对方法进行扩展,纳入了档案质量相关考量。
2.4 基于标准的方法
已有多位研究人员探索从安全标准中提取需求,以构建网络安全档案的论证部分。然而,这些研究均未针对汽车网络安全领域即将出台的 ISO/SAE-21434 标准展开。
Finnegan 等人提出了一个面向医疗设备安全档案构建的框架。该框架整合了多个安全文件(如标准和最佳实践),构建安全论证模式。该模式提供了 “一个全面的矩阵,展示安全风险、相关成因、缓解性安全控制措施以及证明这些控制措施已实施以确保安全能力的证据之间的关联”。
Ankrum 等人研究了如何将安全关键领域的安全与安全标准映射到保障档案中。他们采用了目标结构符号(GSN)和 ASCAD(主张 - 论证 - 证据)这两种最常用的保障档案文档符号。该研究中使用的安全标准是《信息技术安全评估通用准则》(ISO/IEC 15408:1999)。Ankrum 等人还阐述了在映射过程中遇到的挑战以及获得的经验教训。
本研究以即将出台的 ISO/SAE 21434 标准为基础,构建网络安全档案的方法,同时兼顾汽车领域的行业需求。选择该标准的原因在于,它明确要求构建安全档案。因此,企业若要符合该标准,就必须为其产品构建安全档案。然而,对于汽车原始设备制造商(OEM)而言,符合标准并非其在保障档案方面的唯一需求。在先前的研究中,我们已识别出多种使用场景。要构建适用于这些场景的网络安全档案,就必须考虑档案的质量,这也是我们提出的方法所涵盖的内容。
Birch 等人提出了一种用于构建汽车网络安全档案论证的分层模型。该模型旨在满足 ISO 26262标准中关于构建安全档案的要求,包含一个代表安全需求依据的核心论证层,以及另外三个论证层,分别代表需求与相应工件的关联、需求开发所采用的方法以及安全活动开展的环境。Birch 等人提出的核心论证在完整性方面与我们的档案质量主张具有相似目的,但仅局限于需求层面。在我们的方法中,每次进行主张分解时,都需要添加此类档案质量主张。
这种差异源于功能安全与网络安全的本质区别。在功能网络安全档案中,论证以需求为驱动;而在我们的方法中,论证以资产为驱动,需经过多个论证层次后才涉及需求。此外,上述分层方法包含环境层和开发方法层,而在我们的方法中,我们将这些视为可能适用于多个档案的主张,可重复使用,因此将其记录在一个名为 “通用子档案” 的特殊论证模块中。同时,我们还考虑了另一种类型的档案质量主张,即与证据可信度相关的主张。
3、研究方法
设计科学研究是一种问题解决型方法论,旨在开发相关成果以突破特定背景下的现有局限。我们遵循 Hevner 等人提出的设计科学指南,开展了三轮研究迭代。在每一轮迭代中,我们均按照 Vaishnavi 和 Kuechler提出的五步法进行,即问题认知、方案建议、成果开发、效果评估和结论总结。三轮迭代过程如图 1 所示,图中还简要概述了每一轮设计科学研究各步骤的内容。
图1:三次迭代设计科学研究
3.1 第一轮迭代:启动阶段
在启动阶段,我们的目标是解决先前研究中识别出的网络安全档案构建需求。具体而言,我们研究了基于资产的网络安全档案构建方法如何帮助汽车企业满足即将出台的 ISO/SAE-21434 标准的合规要求。我们提出了初步的基于资产的方法,并以一个超市管理系统的开源系统规格说明为例对该方法进行说明。随后,我们与两家大型汽车原始设备制造商(OEM)的安全专家讨论并评估了该方法及示例说明结果。专家反馈的核心意见集中在:需使该方法的结构与企业内部工作流程相契合(这也是我们在先前研究中识别出的需求之一)。此外,从启动阶段的评估中还发现,需要建立一种机制来确保该方法成果的质量。因此,我们得出结论:在设计网络安全档案构建方法时,需进一步考虑企业的内部需求。
3.2 第二轮迭代:改进阶段
在改进阶段,我们旨在结合第一轮迭代中获得的经验和反馈,对基于资产的方法进行优化。本轮迭代提出的改进方案是在方法中融入质量保障要素。因此,在开发阶段,我们构建了 CASCADE 方法 —— 一种内置质量保障机制的基于资产的网络安全档案构建方法。
CASCADE 的结构灵感来源于 ISO/SAE-21434 标准的需求和工作成果结构,同时融入了网络安全档案质量保障的需求。该方法的构建基于应用初步方法过程中产生的需求,以及在第一轮迭代中咨询的汽车企业的工作流程。为评估 CASCADE,我们将其应用于 ISO/SAE-21434 标准中的车辆前照灯示例档案,并向第一轮迭代中咨询过的两家原始设备制造商的安全专家展示了应用结果。
第二轮迭代的结论是:需要进一步优化 CASCADE,以满足企业更广泛的内部需求,同时还需评估 CASCADE 是否能够涵盖 ISO/SAE-21434 安全标准的条款内容。
3.3 第三轮迭代:映射阶段
在映射阶段,我们通过分析 ISO/SAE 21434 标准的需求和工作成果与 CASCADE 要素的映射关系,进一步验证 CASCADE。这种映射有助于评估 CASCADE 对标准条款(需求和工作成果)的覆盖程度,并指出 CASCADE 可能的改进方向。
对于 ISO/SAE 21434 标准中的每一项需求和工作成果,我们均确定了其对应的网络安全档案(SAC)要素、CASCADE 要素、CASCADE 模块以及 CASCADE 层次。
为避免评估偏差,由两名研究人员共同开展映射工作。首先,采用分层随机抽样方法,以标准中的每个条款为一个层次,选取了 17 项(占比 10%)需求和工作成果。随后,两名研究人员分别独立将这些需求和工作成果与 CASCADE 进行映射,达成了 71% 的一致率。对于剩余 29% 存在分歧的内容,我们开展了校准工作,通过讨论最终就所有 17 项需求和工作成果的映射达成一致。之后,两名研究人员各自负责一半需求和工作成果的映射,并相互审核对方的映射结果。
映射结果详见附录 A 中的表格。在评估阶段,我们总结了映射过程和结果中的经验教训,并提出了 CASCADE 的潜在改进方向,相关结果将在第 7 节呈现。
基于映射过程中获得的经验,我们制定了一份指南,以便其他研究人员重复开展本研究中的映射工作,或在汽车领域或其他安全关键领域的其他安全。
4、CASCADE 方法
通常而言,资产是特定主体所关注的人工制品。在计算机安全领域,这些人工制品可以是硬件、软件、网络与通信设备或数据。资产的重要性使其成为攻击者的目标。
CASCADE 网络安全档案构建方法充分考虑了资产对组织的重要性,因此在构建论证时以资产为核心,旨在证明这些资产能够抵御网络安全攻击。我们的目标是通过论证资产的安全性,进而证明特定人工制品的安全性。
CASCADE 方法的一个重要设计原则是,从论证完整性和证据可信度两方面融入档案质量保障机制。每个论证层次(即每一项策略)都至少关联一项关于完整性的主张,每个证据层次都至少关联一项关于可信度的主张。Hawkins 等人在论证安全档案可信度时也采用了类似理念。
我们采用与 ISO/SAE 21434 标准相同的安全术语和概念,唯一例外是该标准中的 “安全目标” 概念 —— 在 CASCADE 方法中,我们将其拆分为两个不同层次(安全目标和威胁场景)。
4.1 CASCADE 中网络安全档案的要素
我们采用 GSN符号,通过 CASCADE 方法构建网络安全档案。该符号包含以下要素:(1)主张(Claim):关于特定人工制品的安全主张;(2)策略(Strategy):将某一主张分解为子主张的方法;(3)证据 / 解决方案(Evidence/Solution):证明某一主张 / 一组主张合理性的依据;(4)背景(Context):界定特定主张的适用范围;(5)假设(Assumption):记录针对特定主张所做的假设。
此外,我们还为该方法新增了以下几类要素:(6)档案质量主张(Case Quality-claims, CQ-claims):关于所构建档案本身质量的主张;(7)档案质量证据(Case Quality-evidence, CQ-evidence):用于证明档案质量主张合理性的证据;(8)通用子档案(Generic sub-case):包含主张、策略、背景、假设和证据,这些内容不绑定于特定人工制品,而是适用于产品、项目或组织范围内更广泛的人工制品。
4.2 CASCADE 方法的构建模块
基于资产的 CASCADE 方法由多个构建模块组成(如图 2 所示),每个模块包含档案的一个子集。以下小节将详细说明这些模块及其内容。
图2:创建网络安全档案的CASCADE方法
4.2.1 顶层主张
该模块包含针对特定人工制品的顶层安全主张,同时涵盖主张的背景以及为界定主张范围所做的假设。例如,若研究对象为软件系统,我们可能会假设硬件是安全的。
不同组织的顶层主张存在差异,且顶层主张决定了网络安全档案的粒度。例如,服务提供商可能将某项服务的安全性作为顶层主张,而汽车原始设备制造商(OEM)可能需要将整车安全性作为顶层主张,这就需要纳入不同的服务或用户功能。同样,根据网络安全档案的预期用途,顶层主张可能涵盖后端系统,也可能仅包含车载系统。例如,要确保整车安全,不仅需要保证车辆组件的安全性,还需确保与车辆通信的后端系统安全;相反,若只需确保车辆中某一终端用户功能的安全性,可能仅需考虑车辆中对应的子系统即可。
CASCADE 方法并未规定网络安全档案顶层主张的抽象层次,因此既可以为完整产品构建网络安全档案,也可以为系统的各个组件或功能构建网络安全档案。但在为组件或功能构建档案时,需要构建组合主张来整合两个或多个组件(尤其是当组件之间存在相互依赖关系时),这可能会产生新的资产、安全目标和威胁等。CASCADE 方法虽未专门处理这些依赖关系,但能够反映已实施的安全措施和控制手段。不过,务必在背景节点中明确主张的范围,并记录构建论证时所做的所有假设。
4.2.2 通用子档案
该模块包含的子档案不仅适用于当前正在构建网络安全档案的人工制品,还适用于更广泛的场景。例如,若某企业制定了网络安全政策,并通过网络安全规则和流程强制执行,那么该政策可用于所有产品的安全主张,在为单个人工制品构建网络安全档案时,这些主张可重复使用。再如,某些主张可在产品层面提出,那么这些主张可在该产品所有组件的网络安全档案中重复使用。
设置该模块的目的是提高该方法在拥有复杂产品和多个团队的大型组织中的可扩展性。每个团队可负责构建与其所负责人工制品对应的网络安全档案部分;在更高层面,这些网络安全档案可整合在一起,同时为子档案提供通用论证。
4.2.3 白帽模块
该模块以资产识别为起点,资产也是本方法的核心驱动力。资产识别需通过分析找出系统中可能成为攻击目标的人工制品。
在识别出资产后,可在开发生命周期的不同阶段对其进一步分解。例如,在原始设备制造商(OEM)的概念阶段,会对资产进行高层级分析;而在实施阶段,随着对资产及其用途的了解更加深入,会开展低层级分析。
资产与高层级主张的关联
为将资产与主主张关联,我们需识别存在哪些资产以及哪些组件使用或可访问这些资产。例如,在车辆中,驾驶员信息可视为一项资产,车载信息娱乐系统可访问该资产,因此我们将该资产与信息娱乐系统安全性主张相关联。为使这一关联更具体,我们会关注资产的可追溯性,具体包括:(1)“静态资产”:指资产的存储位置;(2)“传输中资产”:指资产在两个主体之间传输的过程(如传感器数据从传感器传输到电子控制单元(ECU)的过程);(3)“使用中资产”:指资产被使用的过程(如后端系统处理诊断数据的过程)。
资产分解
在分解资产时,我们会分析已识别资产的类型,以此判断资产影响范围 —— 是仅影响车辆局部(单个电子控制单元(ECU)),还是影响车辆较大范围(多个电子控制单元(ECU))。同时,我们还会分析资产之间的关系(如依赖性)。
资产与低层级内容的关联
为将资产与方法中的低层级内容(即安全目标)关联,我们需识别资产相关的安全属性,具体参考机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)(CIA 三元组)。例如,车辆发动机启动功能作为一项资产,具有完整性和可用性这两个相关安全属性。
安全目标识别
在识别出每项资产的相关安全属性后,我们会构建代表安全目标的主张。以发动机启动请求为例,关于安全目标实现的主张可以是 “启动请求的可用性得到保障”。一项资产 / 安全属性组合可能对应多个安全目标,例如,发动机启动功能可通过联网移动应用程序和门户网站实现,这就对应多个安全目标。
为确保在识别安全目标时涵盖所有相关属性,我们会考虑可能导致安全目标受损的损坏场景。例如,发动机启动请求不可用,或发动机被意外启动,这些情况都会破坏资产的完整性。
4.2.4 黑帽模块
该模块旨在识别可能导致已识别安全目标无法实现、进而损害资产的场景。
威胁场景识别
在确定安全目标实现相关主张后,我们会进一步识别威胁场景,并构建主张以排除这些场景发生的可能性,同时将这些主张与安全目标实现相关主张关联起来。例如,针对 “无法实现发动机意外启动请求” 这一主张,可通过威胁模型(如 STRIDE)识别相关威胁场景主张,最终形成的主张可能是 “无法伪造发动机启动请求”。
可能攻击路径识别
在这一步骤中,我们会识别可能导致威胁场景发生的攻击路径。每个威胁场景可能对应多条攻击路径,随后我们会构建主张以排除这些攻击路径发生的可能性。例如,某一攻击路径为 “攻击者破坏蜂窝网络接口并发送发动机启动请求”,对应的主张则是 “攻击者无法通过该路径实现发动机启动”。
4.2.5 解决模块
该模块是 CASCADE 方法论证部分的最后一个模块,负责将基于攻击路径的主张与证据关联起来。
风险评估
在该层级,我们会评估已识别攻击路径的风险。网络安全档案构建者会根据风险等级,构建主张来处理风险(如接受、缓解或转移风险)。
需求
在该层级,需将上一层级识别出的风险处理需求转化为主张。根据网络安全档案的预期用途,构建者可决定主张分解的详细程度,进而形成多个主张分解层级。例如,若网络安全档案供开发团队评估安全级别,可能需要将需求细化到代码层面;相反,若用于与外部方沟通安全问题,则可采用更高的抽象层级。无论采用何种层级,关键是要达到 “可操作” 级别,即主张需细化到可通过证据证明的程度。
4.2.6 证据
证据是网络安全档案的关键组成部分。若无法通过证据证明,再完善的论证也毫无意义。在我们的方法中,可在论证的任意模块中提供证据。例如,若在黑帽模块中可证明某一资产不会面临任何威胁场景,那么提供相关证据后,对应的主张即可被视为合理。若构建者无法为主张提供证据,则表明要么论证未达到可操作级别,要么需要返回开发环节进行调整以满足主张要求。例如,若某一主张缺乏对应的测试报告支持,则可能需要设计测试用例来验证该主张。
4.2.7 档案质量保障
在 CASCADE 方法中,我们从两个主要方面对网络安全档案进行质量保障。
第一个方面是完整性,即网络安全档案各论证层级主张的覆盖程度。CASCADE 的每个层级都至少包含一项策略,针对每项策略,我们会添加至少一项完整性主张对其进行细化。该主张的作用是确保策略涵盖对应论证层级的所有相关主张,且不包含无关主张。
CASCADE 中的这些完整性主张用于增强论证的可信度。我们将论证中的策略要素视为必须提出完整性主张的关键点。完整性主张的内容取决于企业的工作流程(即企业预期形成的成文活动和流程),这种依赖性需在背景节点中记录,以界定完整性主张的范围。例如,若某企业采用已知攻击模式的预定义目录(如通用攻击模式枚举与分类(CAPEC)目录 [2]),则背景节点需引用该目录,相应的主张形式为 “所有攻击路径均已根据 X 文档进行考量”(其中 X 文档即指该攻击模式目录)。再如,若某企业为其活动定义了 “完成标准”(Definition of Done, DoD),则背景节点需引用相应的 “完成标准”。
此外,网络安全工作始终存在不确定性,这源于多种因素,如对攻击者能力的认知有限、未知漏洞的存在等。这一特点再次凸显了为完整性论证界定范围的重要性。除背景节点外,还需明确假设节点。背景节点与假设节点共同提供必要信息,帮助判断在企业认知范围内、基于采用组织所做假设的前提下,完整性主张是否成立。同时,主张的表述也需反映其范围和局限性。
第二个方面是证据可信度,即基于提供的证据判断主张成立的确定程度。在网络安全档案中,只要存在通过证据证明的主张,就需考虑证据可信度。证据可信度以主张形式呈现,例如 “为主张 X 提供的证据达到了可接受的可信度水平”。“可接受的可信度水平” 的定义需结合策略背景确定,而可信度主张本身也必须通过证据证明。
5、示例案例
为验证我们的方法,我们将 CASCADE 应用于 ISO/SAE-21434 标准中的前照灯用例,该用例包含前照灯系统、导航电子控制单元(ECU)和网关电子控制单元(ECU)。图 3、图 4 和图 5 展示了与 CASCADE 各模块对应的网络安全档案部分内容。图 3、图 4 和图 5 中每个层级右上角的文件图标,表示该层级论证主要依据的 ISO/SAE-21434 标准需求。
图3:前照灯用例的白色帽块。每个级别右上角的文件形框表示ISO/SAE-21434中驱动该级别参数的要求
图4:前照灯用例的黑色帽块。每个级别右上角的文件形框表示ISO/SAE-21434中驱动该级别参数的要求
图5:前照灯用例的分解器和证据块。每个级别右上角的文件形框表示ISO/SAE-21434中驱动该级别参数的要求
前照灯示例案例论证所采用的策略,旨在展示通过 CASCADE 构建的网络安全档案结构。我们认为,为每个模块提供一套初始策略作为起点将大有裨益,但这需要在工业场景中应用 CASCADE 构建多个网络安全档案,从中提取模式并形成策略集 —— 这也是我们未来计划开展的工作。
5.1 顶层主张
我们首先构建顶层主张模块,该模块包含以下内容:
· C:1:前照灯用例的顶层安全主张,即 “前照灯用例具备充分的安全性”。
· Cnxt:1.1:界定主张范围的背景节点,该范围由 ISO/SAE-21434 标准示例档案中的前照灯用例边界描述确定。
· Assmp:1.1:假设节点,声明 “该用例具备物理防护”,因此我们的论证仅关注前照灯用例软件部分的安全性。
背景节点引用了一份外部文档,即 ISO/SAE-21434 标准中确定的前照灯用例边界与初步架构文档。
5.2 白帽模块
白帽模块如图 3 所示。我们首先采用策略 S:1.1,基于已识别的前照灯用例资产对主主张进行分解。在本示例中,主要资产包括:存储传输消息的 CAN 帧(CAN Frame),以及包含前照灯系统内部人工制品(如电源开关)控制功能的固件(Firmware)。我们构建了两个主张 C:1.1.1 和 C:1.1.2,分别表明这两项资产具备可接受的安全性。策略 S:1.1 关联了一项档案质量主张 CQ:1.1.1,以确保分解的完整性,进而保障整个档案的完整性。
我们对已识别的两项资产进一步分解为子资产,分解依据是资产所属的组件和功能。例如,基于主张 C:1.1.2,我们采用策略 S:1.2.2 将 CAN 帧资产分解为多个子资产,并为已识别的子资产构建安全主张:C:1.2.2.1、C:1.2.2.2、C:1.2.2.3 和 C:1.2.2.4。最后,策略 S:1.2.2 关联了一项档案质量主张 CQ:1.2.2.1。
此时,我们将资产与安全目标(即第二层级)关联起来。为实现这一关联,我们采用论证策略(如 S:1.3.2),基于 CIA 三元组属性对子网资产的安全主张进行分解。最终形成关于安全目标实现的主张,例如 C:1.3.2.1:“车身控制电子控制单元(ECU)中 CAN 消息传输的完整性得到保障”。
为确保涵盖所有相关属性,我们构建了档案质量主张 CQ:1.3.2.1,并通过策略 S:1.4.2 论证可能导致主张无效的损坏场景,进而构建档案质量主张以排除这些损坏场景的发生。例如,其中一项主张为 CQ:1.4.2.1:“夜间行驶过程中前照灯不会意外关闭”。此时,该主张已足够细化,可作为一项安全目标。接下来,我们将构建黑帽模块。
5.3 黑帽模块
在该模块中,我们将论证可能导致安全目标受损的威胁场景。
图 4 展示了前照灯用例黑帽模块的部分内容,该部分与图 3 中关于安全目标实现的主张 C:1.4.2.1 相关联。我们首先构建策略 S:1.5.1,对所采用的威胁模型进行论证。例如,若采用 STRIDE 作为威胁模型,该策略则需为每个 STRIDE 类别构建一项主张。在本示例档案中,我们构建了主张 C:1.5.1.1:“无法通过伪造信号破坏电源开关执行器电子控制单元(ECU)的 CAN 帧灯请求信号完整性”。为确保档案完整性,我们还为策略 S:1.5.1 关联了一项档案质量主张 CQ:1.5.1.1。
此时,我们的主张变得更加具体,明确了用例、资产、容器组件、安全属性、损坏场景和威胁场景。我们通过分析攻击路径,进一步分解和完善示例档案:采用策略 S:1.6.1 对攻击进行论证,并构建攻击路径主张。最终形成的主张用于排除攻击路径发生的可能性,例如 C:1.6.1.4:“攻击者无法通过蜂窝网络接口破坏导航电子控制单元(ECU)”。
与 CASCADE 中的所有策略一致,我们为攻击路径分析所采用的策略关联了一项档案质量主张 CQ:1.6.1.1,以确保档案完整性。为界定档案质量主张的范围,我们添加了背景节点 CNTX:1.5.1 和 CNTX:1.6.1,这两个节点引用了已知威胁场景和攻击路径的预定义目录,用于确保这些威胁场景和攻击路径均已被考量,从而增强网络安全档案完整性的可信度。
5.4 解决模块与证据模块
在该阶段,我们通过风险评估确定攻击路径的解决方法,并为预期的风险处理措施制定需求,进而构建解决模块。
图 5 展示了示例案例解决模块的部分内容,该部分与攻击路径主张 C:1.6.1.4 相关联。风险评估的结果包括接受、缓解、转移或解决风险:若风险被接受,则无需进一步分解主张;若风险需缓解、转移或解决,则需构建策略(如 S:1.7.1)对攻击路径风险进行分解。在本示例中,我们构建了主张 C:1.7.1.1 以缓解风险,该主张为:“攻击者通过蜂窝网络接口破坏导航电子控制单元(ECU)的风险已降低”。
这一过程进一步引导我们论证需求,明确如何降低或缓解风险。例如,某一需求主张为 C:1.8.1.1:“需验证接收数据是否来自合法实体”。
图 5 还展示了证据模块,其中提供了用于证明需求主张合理性的示例证据。例如,证据 E:1.1 辅以档案质量证据 CQE:1.1,同时结合档案质量主张(如 CQ:1.8.1.1),共同为相关需求主张提供可信的证明依据。
5.5 通用子档案模块
图 6 展示了示例档案的最后一个模块 —— 通用子档案模块。该模块包含与示例案例相关但不局限于该档案的主张。例如,主张 C:G2 为 “企业具备安全意识文化”,该主张由两项证据 E:G2.1 和 E:G2.2 支持,证明企业员工已接受安全培训。
图6:前照灯用例的通用子用例块。右上角的文件形框表示ISO/SAE-21434中驱动参数的要求
本示例中用于支持主张 C:G2 的证据仅用于展示通用子档案模块中可采用的证据类型。在实际场景中,这些证据可能不足以充分证明主张,可能需要补充更多背景、假设和证据来论证企业的安全文化(例如,需说明在安全投入与其他活动资源分配之间如何权衡)。当所有证据均已提供后,需评估其可信度,构建可信度相关的档案质量主张,并提供相关证据支持该主张。
与其他模块类似,通用子档案模块可能包含用于分解主张的策略(如 S:G1),且这些策略同样关联档案质量主张(如 QC:G.1.1),具体如图 6 所示。
6、与 ISO/SAE-21434 标准的映射
本节提供一套指南,该指南源于将 ISO/SAE-21434 标准的需求和工作成果映射到基于 GSN 符号的网络安全档案要素的实践过程。本次映射基于 ISO/SAE-21434 标准的最终草案国际标准(FDIS)版本。
图7:将ISO/SAE-21434项目映射到CASCADE元素(灰色)的工作流程
图 7 展示了将每项 ISO/SAE-21434 标准条款映射到 CASCADE 要素的工作流程。对于某一 ISO/SAE-21434 标准条款,首先需将其归类为 “需求” 或 “工作成果”:
6.1 需求类条款的映射
通常情况下,需求类条款构成网络安全档案的论证部分。首先需判断某一需求是否包含隐含条件:若需求包含隐含条件(即 “A 蕴含 B” 的形式),则存在两种可能的映射结果 ——“非 A” 对应的假设,或 “B” 对应的需求。
例如,某一需求为 “若实施网络安全活动 X,则需提供依据 R”:若未实施网络安全活动 X,则该需求映射为 “假设”;若已实施网络安全活动 X(即需提供依据 R),则需进一步判断该需求属于 “过程导向型” 还是 “产品导向型”。
· 若为过程导向型需求(如涉及组织整体网络安全管理或文化),则将其映射为通用子档案中的 “主张”;
· 若为产品导向型需求,需进一步判断其是否针对特定人工制品的质量:若针对质量,则映射为 “档案质量主张(CQ 主张)”;否则映射为普通 “主张”。
例如,需求 “需评估现有证据是否能为人工制品的网络安全提供可信度” 将映射为可信度主张;而需求 “需通过人工制品验证确保阶段 X 识别的所有风险均已处理” 则属于完整性相关的档案质量主张。
6.2 工作成果类条款的映射
工作成果类条款构成网络安全档案的证据部分。工作成果可分为两类:
· (1)界定网络安全工作范围的文档,此类文档映射为 “背景”;
· (2)包含网络安全监控等信息来源的文档,此类文档映射为 “证据”。
将 ISO/SAE-21434 标准需求映射到 CASCADE 各模块的过程相对直接,遵循以下规则:
· 与安全目标和资产识别相关的需求归入白帽模块;
· 与风险评估(如攻击路径识别与分析、攻击可行性评估、影响等级划分)及漏洞分析相关的需求归入黑帽模块;
· 与风险处理相关的需求归入解决模块。
表 1 列出了 ISO/SAE-21434 标准中驱动 CASCADE 各模块及层级论证的需求和工作成果。
表1:ISO/SAE 21434中与论点相关的要求和工作成果
ISO/SAE-21434 标准与 CASCADE 的详细映射结果详见附录 A。附录 A 表格的前两列分别为 ISO/SAE-21434 标准的条款 ID 和类型;第三列为对应的网络安全档案(SAC)要素;第四列为该要素在 CASCADE 中的具体对应要素;第五列和第六列分别为该条款在 CASCADE 结构中对应的模块和层级;最后一列则为 ISO/SAE-21434 标准规定的、支持对应需求条款所生成要素的工作成果。
7、验证
为评估我们提出的方法,我们与瑞典领先的卡车制造商 —— 沃尔沃卡车公司(Volvo Trucks)网络安全团队的一名安全专家展开合作。在 CASCADE 方法的开发过程中,我们组织了多次会议,讨论该方法的内容、局限性及可能的改进方向。当方法开发完成后,我们与该专家进行了最终评估会议。
首先,我们讨论了该公司在安全活动和安全保障方面的工作流程,并以 ISO/SAE-21434 标准中的前照灯示例为背景展开交流。随后,我们向专家展示了 CASCADE 方法及前照灯用例的示例档案。专家从企业视角出发,评估了网络安全档案的整体结构是否符合 ISO/SAE-21434 标准对安全档案的要求,并将示例档案的各要素与企业内部工作流程进行映射,同时就如何进一步优化该方法提供了见解。
图 8 展示了该公司的各项安全活动及其对应的 CASCADE 模块。若某一活动与某一模块存在关联,则表明该活动的成果可用于构建对应模块中的网络安全档案要素。
图8:将公司的安全活动映射到CASCADE块
沃尔沃卡车公司的软件产品包含车载部分和车外部分:车外部分负责实现车辆与后端系统的通信(例如,诊断服务从车辆电子控制单元(ECU)接收数据,并在后端系统中存储和使用这些数据);车载部分是安装在车辆电子控制单元(ECU)中的软件组件(例如,发动机控制系统和抬头显示单元)。为便于开展网络安全相关分析,这些软件部分被划分为不同的 “用例”:车外系统的用例可视为与车辆通信的独立服务,而车载用例则对应终端用户功能(如外部照明和自动泊车辅助)。
要论证完整产品的安全性,必须同时考虑车载和车外用例。因此,若该公司采用 CASCADE 为完整产品构建网络安全档案,其顶层主张模块需包含该产品各用例的主张。CASCADE 的通用子档案模块有助于避免不同用例网络安全档案中论证和证据的重复。
产品资产的识别需结合用例的损坏场景展开。总体而言,这些资产可归纳为以下三类:
1. 车辆功能:攻击者可能试图利用车辆功能、篡改车辆功能以实现自身目的,或阻止合法用户使用车辆功能;
2. 信息:攻击者可能试图获取敏感信息;
3. 品牌声誉:攻击者可能试图损害企业品牌声誉,或借此提升自身知名度。
根据 ISO-27005标准的定义,已识别的资产可进一步分为主要资产和次要资产。以前照灯示例档案为例,两个可能的损坏场景为:“前照灯失效会大幅降低驾驶员视野和车辆可见性,可能导致严重事故” 和 “前照灯误开启可能对其他车辆造成眩光,增加事故风险”,这两个场景表明前照灯功能应被视为主要资产。
随后,需识别主要资产的相关安全属性并推导安全目标:
1. 前照灯控制功能的完整性需得到保障;
2. 前照灯控制功能的可用性需得到保障。
如图 8 所示,资产识别和安全目标推导对应 CASCADE 的白帽模块。这些安全目标仅关注相关安全属性(即完整性和可用性),因此未考虑机密性和真实性等其他属性。
在概念设计阶段,采用 STRIDE 方法对用例主要资产进行威胁评估与缓解分析(TARA),最终形成针对特定组件(视为支持资产)的网络安全需求。这些需求在 CASCADE 的黑帽模块中转化为主张,具体如图 8 所示。
之后,采用包含以下(但不限于以下)类别的攻击库,自下而上开展攻击路径分析:
1. 预期的无线连接(如 2.5G、3G、4G、5G、WiFi、WPAN、蓝牙、红外数据协会(IrDA)、无线 USB 和 UBW);
2. 预期的物理连接点(如车载诊断系统(OBD)、USB 和光盘驱动器(CD-ROM));
3. 非预期的无线干扰(如雷达、激光、电磁、微波、红外线、超声波和次声波);
4. 非预期的物理连接点(如电子控制单元(ECU)、网络、传感器和执行器)。
这些攻击路径同样在黑帽模块中以主张形式呈现。随后,结合包括网络安全在内的所有需求,启动组件设计工作。组件和系统在 “产品说明” 中进行描述,并依据包括网络安全在内的需求进行验证。产品说明中的网络安全需求对应 CASCADE 解决模块中的需求部分。之后,依据产品说明对组件和系统进行测试,测试结果则作为 CASCADE 中的证据。
与安全专家的讨论还揭示了网络安全档案的其他需求。例如,专家强调需验证产品在生产、运行、服务和退役全生命周期阶段的安全性是否均得到充分保障。我们认为,这一需求可通过解决模块中的质量保障(QA)主张来覆盖。
另一项需求是产品及其网络安全档案需在全生命周期内持续维护。目前 CASCADE 尚未涵盖这一需求,我们认为这是未来工作中需补充的重要内容。具体而言,我们计划研究如何确保网络安全档案要素与相应开发工件之间的可追溯性,这种可追溯性将为网络安全档案的维护提供影响分析依据。
最后,专家强调,需论证产品相关工作是否符合企业采用的网络安全政策和实践。我们认为,要满足这一需求,既需要构建产品相关论证,也需要提出关于安全政策适用性的主张 —— 而这一主张可通过 CASCADE 的通用子档案模块来覆盖。
为更深入地了解 CASCADE 在工业场景中的适用性及其优缺点,我们扩大了评估范围,将瑞典另一家大型原始设备制造商(OEM)—— 沃尔沃汽车公司(Volvo Cars)纳入评估。
我们与该公司的一名安全专家举行了开放式讨论会议,向其展示了 CASCADE 方法及示例档案。以下是讨论的主要内容及专家反馈:
迭代式工作成果管理:沃尔沃汽车公司的工作成果管理采用迭代方式。例如,在设计阶段可能存在一些不确定性,需在后续阶段解决,因此可能需要回溯并重新处理工作包,同一阶段的不同开发迭代中也可能出现类似情况。专家指出,CASCADE 支持 “动态构建” 网络安全档案,其结构与企业的安全活动及迭代式工作流程相契合。因此,CASCADE 无需等待所有工件和工作成果全部完成即可启动档案构建,而是可在产品开发的概念、设计、实施等阶段逐步构建和完善网络安全档案。在此过程中,网络安全档案能够全面反映当前工作的安全状态,进而实现以下目标:
i. 及早识别潜在问题,降低问题修复成本;
ii. 简化变更影响分析,以便就新开发内容的集成做出决策,包括:(i)需针对更新后的工件 / 工作成果(如 TARA 报告、概念文档、验证与确认需求)开展哪些工作;(ii)需对保障档案进行哪些更新;(iii)需开展哪些审查和重新评估以应对变更;
iii. 更快地了解变更对安全的影响及当前安全状况,为部署决策提供支持。
安全工件质量保障:该公司通过审查确保安全工件质量,审查内容包括分析完整性和范围覆盖度(边界)。专家认同网络安全档案应体现这些审查结果,而 CASCADE 的档案质量保障部分恰好实现了这一目标。
网络安全档案的多利益相关者适配性:网络安全档案存在多种使用场景,因此涉及众多利益相关者,而不同利益相关者对网络安全档案的抽象层次需求不同。对于部分利益相关者而言,可能无需了解详细的档案质量论证和证据,只需一个能直观展示档案质量的抽象视图(如通过指标呈现)。但要衡量网络安全档案论证的完整性,必须具备完整的档案质量论证。专家认为,CASCADE 中对档案质量主张的明确区分有助于实现这种抽象,但建议在档案层面增设一个直接反映档案质量的属性,而非需逐一查看所有相关要素才能判断质量 —— 部分保障档案创建与管理工具已实现这一功能,且该功能已成为行业实践的一部分。
CASCADE 与 ISO/SAE-21434 标准的关联性:目前尚无法清晰区分 CASCADE 特有的内容与直接映射自 ISO/SAE-21434 标准结构的内容,且无法确定该方法是否能充分覆盖标准需求。专家建议需进一步深入分析标准与 CASCADE 之间的对应关系。
7.1 改进方向
通过将 ISO/SAE-21434 标准与 CASCADE 进行映射,我们识别出了 CASCADE 的优势及需改进的方向。本节将阐述评估周期中的主要发现:
7.1.1 可复用性
CASCADE 将用例相关论证与通用论证分离,这使得我们在构建主张时即可考虑其可复用性(即在早期阶段就实现可复用性设计)。ISO/SAE-21434 标准未明确区分(1)产品相关需求与工作成果,以及(2)过程相关需求与工作成果。但通过从需求中推导主张并确定其在 CASCADE 中对应的模块,可轻松实现这种区分。
主张的复用对于降低不同产品网络安全档案的构建成本至关重要。然而,网络安全档案构建中的可复用性不仅限于过程相关主张的复用,还包括产品相关主张的跨用例复用。例如,若车辆中有多个用例通过网关与外部连接,那么关于该网关的安全论证可适用于所有相关用例,且应在这些用例的安全论证中重复使用。
要实现这类复用,必须了解系统架构及不同用例之间的关系和依赖。因此,需优化 CASCADE 的通用子档案模块结构,使其能够同时支持上述两类复用;此外,还需制定相关技术和机制,实现不同网络安全档案之间论证内容的迁移。
7.1.2 不确定性处理
在映射过程中,我们发现多项需求存在不确定性,例如部分需求包含条件语句(如 “if-then” 形式)。如第 6 节所述,我们将这类需求映射为 “假设” 或 “主张”。
这一现象表明,在网络安全档案构建初期就需捕捉这些不确定性。由于网络安全档案需与开发生命周期同步推进,因此必须明确标记网络安全档案中需后续完善的部分。在构建初期,不确定性必然导致论证不完整。为解决这一问题,可引入一种标记机制,将某一论证范围标记为 “待完善”,并根据特定条件(如需求中的条件语句)提供替代方案。这种机制与统一建模语言(UML)中行为视图(尤其是序列图)处理替代方案的方式类似。
这一改进可能会影响网络安全档案的构建流程,但当用例开发完成且网络安全档案最终定稿后,结果不受影响。此外,记录构建过程中做出的决策(形成历史日志)也具有重要意义,该日志可在档案中体现,展示开发过程中存在决策节点的论证内容。
7.1.3 充分性
ISO/SAE-21434 标准的条款不足以覆盖档案质量主张和证据的需求。在 CASCADE 中,我们规定:论证的每个层级(即主张分解为子主张的过程)都必须进行完整性审查,每项证据都必须进行可信度审查。然而,标准条款无法满足这些质量审查需求。
此外,构建网络安全档案还需引入标准未涵盖的背景和假设。而且,仅依据标准条款可能无法满足企业自身标准对安全级别的要求。因此,即使符合标准要求且在网络安全档案中完整反映相关工作,也不意味着网络安全档案本身是完整的。
基于此,需为网络安全档案工作制定 “完成标准”(Definition of Done),并将其作为顶层主张的背景内容。
综上所述,验证结果表明,CASCADE 与汽车原始设备制造商(OEM)的内部工作流程高度契合,适用于在开发生命周期中动态构建网络安全档案;同时,通用子档案模块和质量保障模块能够满足评估企业对论证抽象化和完整性的需求。在将 ISO/SAE-21434 标准的需求和工作成果与 CASCADE 的要素及结构进行映射的过程中,我们也识别出了方法的改进方向,尤其是在主张复用机制、需求不确定性处理以及成果 “完成标准” 制定方面 —— 这些将成为我们未来工作的重点。
8、结论与未来工作
本文提出了一种内置质量保障机制的资产驱动型网络安全档案构建方法 CASCADE,该方法专为需符合即将出台的 ISO/SAE-21434 安全标准的汽车企业设计。
我们结合 ISO/SAE-21434 标准中的示例档案对 CASCADE 进行了说明,并在两家工业原始设备制造商(OEM)中开展了验证。同时,我们将该标准的需求和工作成果与 CASCADE 的要素进行映射,评估了 CASCADE 覆盖这些条款的能力。此外,我们还总结了映射过程中的经验,为希望开展类似工作的从业者制定了指南。
未来,我们计划进一步优化该方法,以支持网络安全档案的维护工作;同时,将制定实现 CASCADE 成果复用和质量保障所需的机制与技术;此外,还将纳入更多需求来源,以更好地满足汽车行业的需求。