3. 信息安全開發(fā)舉例

3.1??Item Definition

描述產(chǎn)品功能時，ISO21434著重強調(diào)整個產(chǎn)品生命周期的功能，包括生產(chǎn)階段、運營維修、報廢等階段的功能。比如：軟件通過OTA升級。這個對于信息安全的TARA分析也很重要，黑客可以通過OTA升級進行攻擊。

與信息安全相關(guān)的產(chǎn)品運行環(huán)境，是信息安全item definition需要考慮的一個重要方面（例如：系統(tǒng)通過CAN總線與Gateway ECU通信）。

3.2??TARA

此過程包括資產(chǎn)識別、威脅場景識別、影響分析、攻擊路徑分析、攻擊可行性評級、風(fēng)險等級評定和風(fēng)險處理措施（其中包括安全目標(biāo)）。

3.3??Cybersecurity Concept

為了實現(xiàn)安全目標(biāo)，編寫安全信息安全需求，并把需求分配到item和component。為了避免需求考慮不完整，實際項目中，建議針對TARA分析中的威脅場景，提出安全需求。

?

需求中的安全措施，可以參考ECE R155附錄5 part B. Mitigations to the threats intended for vehicles，從中選擇針對威脅的應(yīng)對措施。比如：

?

Source: ECE R155 Annex 5