4、资产识别:如何识别和分类网络安全相关的资产

好,咱们进入TARA实战的第四步——资产识别。

说实话,很多刚接触ISO 21434的朋友,一上来就急着做威胁分析。结果呢?分析到一半发现,连自己到底要保护什么都说不清楚。这就像你要修车,结果连发动机在哪都不知道,对吧?

我个人习惯,做TARA之前,先花时间把资产清单理清楚。这一步做扎实了,后面所有工作都会顺很多。

4.1 什么是网络安全资产?

先给个定义。网络安全资产,说白了就是「需要保护的东西」。在汽车电子领域,它可以是硬件、软件、数据,甚至是某个功能。

我遇到过不少团队,把资产识别搞成了「设备清单」。他们把ECU型号、芯片型号列了一大堆,但完全没考虑这些设备里跑的是什么数据、处理的是什么信号。这其实是个坑。

核心原则:资产不是设备本身,而是设备中「有价值」的东西。这个价值,指的是如果被攻击,会造成安全危害。

举个例子。一个ESP控制器,它的硬件本身不是资产。真正需要保护的是:

  • 控制算法(软件)
  • 标定参数(数据)
  • 轮速传感器信号(数据流)
  • 制动压力请求(通信报文)

你想想看,攻击者不会去偷你的ECU外壳,他关心的是怎么篡改你的制动指令。

4.2 资产分类的维度

怎么分类?我一般从三个维度入手。嗯,这里要注意,分类的目的是为了后续的威胁分析,不是为了分类而分类。

维度 说明 典型例子
按形态 物理资产 vs 逻辑资产 ECU硬件 vs 固件代码
按层级 系统级 vs 组件级 vs 信号级 ADAS功能 vs 摄像头驱动 vs 目标检测结果
按安全属性 机密性、完整性、可用性 密钥(机密性)、固件(完整性)、制动信号(可用性)

我个人习惯,先按「层级」走一遍,再按「形态」细化。这样不容易漏。

4.3 资产识别的具体步骤

好,咱们说实操。我在项目里一般分四步走:

  1. 梳理系统架构——先搞清楚系统里有哪些组件、它们怎么连的。
  2. 识别数据流——每个接口上跑的是什么数据?CAN信号?以太网报文?诊断服务?
  3. 标注安全属性——每个数据,它的CIA(机密性、完整性、可用性)要求是什么?
  4. 形成资产清单——把结果整理成表格,方便后续引用。

小技巧:我建议用Excel或者专门的工具来管理资产清单。每个资产给一个唯一ID,比如ASSET-001、ASSET-002。后面做威胁分析时,直接引用ID就行,不用每次都写全称。

4.4 常见资产类型举例

为了让你更有感觉,我列几个我在项目中实际遇到过的资产类型:

  • 固件/软件:ECU的应用程序、Bootloader、操作系统
  • 配置数据:VIN码、标定参数、诊断配置
  • 密钥/证书:用于安全通信的私钥、公钥证书
  • 用户数据:个人信息、驾驶行为数据
  • 通信报文:CAN/LIN/Ethernet上的控制信号、诊断请求
  • 诊断服务:UDS服务、刷写服务
  • 日志数据:事件记录、故障码

我曾经在一个项目中,团队把「诊断服务」漏掉了。结果后来做威胁分析时发现,攻击者可以通过诊断接口刷写非法固件。嗯,这个教训挺深刻的。从那以后,我每次都会专门检查诊断相关的资产。

4.5 资产分类的表格模板

下面是我常用的资产清单模板。你可以直接拿来用:

| 资产ID | 资产名称 | 资产类型 | 所属组件 | 安全属性(C/I/A) | 描述 |
|--------|----------|----------|----------|-------------------|------|
| ASSET-001 | 制动控制固件 | 软件 | ESP控制器 | I(高) | 控制算法,完整性要求极高 |
| ASSET-002 | 轮速传感器信号 | 数据流 | CAN总线 | I(高)、A(高) | 实时信号,篡改或延迟都会影响安全 |
| ASSET-003 | 诊断会话密钥 | 密钥 | 网关 | C(高) | 用于诊断身份认证,泄露可导致未授权访问 |

注意,安全属性那一列,我一般会标出「高/中/低」。这个评级不是随便写的,后面做威胁评估时会用到。

4.6 避坑指南

我曾经踩过的坑:

  • 只列硬件,不列数据——资产识别不是BOM清单。数据才是攻击者的目标。
  • 忽略外部接口——比如OBD接口、无线通信模块。这些是攻击入口,相关的资产必须识别。
  • 资产粒度不一致——有的资产是「整个ECU」,有的是「某个信号」。建议统一粒度,我一般用「功能模块」作为最小单位。
  • 忘记更新——项目迭代后,资产清单要同步更新。我见过一个项目,资产清单还是半年前的,新加的OTA功能根本没列进去。

4.7 小结

资产识别,说白了就是搞清楚「你要保护什么」。这一步做扎实了,后面的威胁分析、风险评估才能有的放矢。

我个人建议,第一次做TARA的团队,花至少20%的时间在资产识别上。别急着往下走。你想想看,如果连资产都搞不清楚,后面的分析不就是空中楼阁吗?

好,下一章咱们讲「威胁场景构建」,到时候会用到今天整理的资产清单。记得把表格准备好。