4、资产识别:如何识别和分类网络安全相关的资产
好,咱们进入TARA实战的第四步——资产识别。
说实话,很多刚接触ISO 21434的朋友,一上来就急着做威胁分析。结果呢?分析到一半发现,连自己到底要保护什么都说不清楚。这就像你要修车,结果连发动机在哪都不知道,对吧?
我个人习惯,做TARA之前,先花时间把资产清单理清楚。这一步做扎实了,后面所有工作都会顺很多。
4.1 什么是网络安全资产?
先给个定义。网络安全资产,说白了就是「需要保护的东西」。在汽车电子领域,它可以是硬件、软件、数据,甚至是某个功能。
我遇到过不少团队,把资产识别搞成了「设备清单」。他们把ECU型号、芯片型号列了一大堆,但完全没考虑这些设备里跑的是什么数据、处理的是什么信号。这其实是个坑。
核心原则:资产不是设备本身,而是设备中「有价值」的东西。这个价值,指的是如果被攻击,会造成安全危害。
举个例子。一个ESP控制器,它的硬件本身不是资产。真正需要保护的是:
- 控制算法(软件)
- 标定参数(数据)
- 轮速传感器信号(数据流)
- 制动压力请求(通信报文)
你想想看,攻击者不会去偷你的ECU外壳,他关心的是怎么篡改你的制动指令。
4.2 资产分类的维度
怎么分类?我一般从三个维度入手。嗯,这里要注意,分类的目的是为了后续的威胁分析,不是为了分类而分类。
| 维度 | 说明 | 典型例子 |
|---|---|---|
| 按形态 | 物理资产 vs 逻辑资产 | ECU硬件 vs 固件代码 |
| 按层级 | 系统级 vs 组件级 vs 信号级 | ADAS功能 vs 摄像头驱动 vs 目标检测结果 |
| 按安全属性 | 机密性、完整性、可用性 | 密钥(机密性)、固件(完整性)、制动信号(可用性) |
我个人习惯,先按「层级」走一遍,再按「形态」细化。这样不容易漏。
4.3 资产识别的具体步骤
好,咱们说实操。我在项目里一般分四步走:
- 梳理系统架构——先搞清楚系统里有哪些组件、它们怎么连的。
- 识别数据流——每个接口上跑的是什么数据?CAN信号?以太网报文?诊断服务?
- 标注安全属性——每个数据,它的CIA(机密性、完整性、可用性)要求是什么?
- 形成资产清单——把结果整理成表格,方便后续引用。
小技巧:我建议用Excel或者专门的工具来管理资产清单。每个资产给一个唯一ID,比如ASSET-001、ASSET-002。后面做威胁分析时,直接引用ID就行,不用每次都写全称。
4.4 常见资产类型举例
为了让你更有感觉,我列几个我在项目中实际遇到过的资产类型:
- 固件/软件:ECU的应用程序、Bootloader、操作系统
- 配置数据:VIN码、标定参数、诊断配置
- 密钥/证书:用于安全通信的私钥、公钥证书
- 用户数据:个人信息、驾驶行为数据
- 通信报文:CAN/LIN/Ethernet上的控制信号、诊断请求
- 诊断服务:UDS服务、刷写服务
- 日志数据:事件记录、故障码
我曾经在一个项目中,团队把「诊断服务」漏掉了。结果后来做威胁分析时发现,攻击者可以通过诊断接口刷写非法固件。嗯,这个教训挺深刻的。从那以后,我每次都会专门检查诊断相关的资产。
4.5 资产分类的表格模板
下面是我常用的资产清单模板。你可以直接拿来用:
| 资产ID | 资产名称 | 资产类型 | 所属组件 | 安全属性(C/I/A) | 描述 |
|--------|----------|----------|----------|-------------------|------|
| ASSET-001 | 制动控制固件 | 软件 | ESP控制器 | I(高) | 控制算法,完整性要求极高 |
| ASSET-002 | 轮速传感器信号 | 数据流 | CAN总线 | I(高)、A(高) | 实时信号,篡改或延迟都会影响安全 |
| ASSET-003 | 诊断会话密钥 | 密钥 | 网关 | C(高) | 用于诊断身份认证,泄露可导致未授权访问 |
注意,安全属性那一列,我一般会标出「高/中/低」。这个评级不是随便写的,后面做威胁评估时会用到。
4.6 避坑指南
我曾经踩过的坑:
- 只列硬件,不列数据——资产识别不是BOM清单。数据才是攻击者的目标。
- 忽略外部接口——比如OBD接口、无线通信模块。这些是攻击入口,相关的资产必须识别。
- 资产粒度不一致——有的资产是「整个ECU」,有的是「某个信号」。建议统一粒度,我一般用「功能模块」作为最小单位。
- 忘记更新——项目迭代后,资产清单要同步更新。我见过一个项目,资产清单还是半年前的,新加的OTA功能根本没列进去。
4.7 小结
资产识别,说白了就是搞清楚「你要保护什么」。这一步做扎实了,后面的威胁分析、风险评估才能有的放矢。
我个人建议,第一次做TARA的团队,花至少20%的时间在资产识别上。别急着往下走。你想想看,如果连资产都搞不清楚,后面的分析不就是空中楼阁吗?
好,下一章咱们讲「威胁场景构建」,到时候会用到今天整理的资产清单。记得把表格准备好。