TARA分析为何成车企信息安全的“必修课”？

原创于 2025-08-22 14:35:01 发布 · 826 阅读

16 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #安全 #web安全

汽车正面临前所未有的信息安全风险

随着汽车新四化及互联网技术的飞速发展，车联网、智能辅助驾驶和交通安全信息共享等方面变得越来越普及，也增加了黑客攻击车辆的可能性，从而给汽车信息安全带来了新的风险。

Upstream发布的2025汽车与智能出行领域全球信息安全报告中指出，2024年，汽车网络威胁仍急剧增加，大规模的勒索软件攻击造成了前所未有的破坏。

网络攻击及影响持续扩大：2023~2024年，92%为远程攻击（其中65%为黑帽黑客攻击），具有重大影响的事件占比60%；
大范围深网和暗网活动：截止2024年，近43%的深网和暗网活动（其中55%涉及多个OEM或遍及全球），可能会影响数千甚至数百万的移动资产；
大规模事件增加：大规模事件增加两倍多，占比19%；
汽车网络攻击持续扩大：汽车和智能移动生态系统中的远程信息处理和应用服务器攻击从 2023 年的 43% 增加到 2024 年的 66%。

国内蓬勃发展的新能源汽车产业也面临着网络安全风险的增加，OEM的app、云端系统、车内信息娱乐系统、近场通信等方面的关键漏洞也成了攻击的主要目标。

如近些年披露的利用车载信息娱乐系统的蓝牙芯片组“BrakTooth”漏洞，攻击破坏设备固件，导致的拒绝服务（DoS），或蓝牙通信出现死锁状态等。根据去年9月的测试显示，国内部分主流车型仍容易受到该攻击。

再如有研究人员通过低功耗蓝牙（BLE）中继攻击，模拟手机钥匙解锁并启动车辆。虽然车企通过增加PinToDrive（P2D）功能暂时解决，但随后绕过P2D启动车辆的漏洞又被爆出……

（图片来源：国外对某车型授权定时器攻击注册有效钥匙并绕过P2D启动车辆视频）

风险应对

为应对相关风险，全球近年密集推出信息安全技术规范，国际标准体系加速构建。

2021年联合国欧洲经济委员会（UNECE）的 WP.29法规：R155（信息安全）和 R156（软件升级）发布，成为2024年后进入欧盟市场的“准入通行证”，要求车企构建信息安全管理体系（CSMS）和软件升级管理体系（SUMS），否则无法上市销售；同年发布的ISO/SAE 21434率先确立全生命周期的信息安全框架，覆盖设计、开发、生产、运维到报废各环节，提出了威胁分析和风险评估方法（TARA）。这些标准推动车企从“事后修补”转向“原生安全设计”。

中国强标落地筑牢防线，2024年9月，工信部发布三项强制性国家标准，GB 44495-2024《汽车整车信息安全技术要求》、GB 44496-2024《汽车软件升级通用技术要求》、GB 44497-2024《智能网联汽车自动驾驶数据记录系统》。上述标准将于2026年1月1日生效，标志着汽车信息安全监管进入“硬约束”时代。

国内外信息安全相关标准

什么是TARA

TARA，即Threat Analysis and Risk Assessment，是ISO/SAE 21434标准提出的一种威胁分析和风险评估方法，是汽车全生命周期内信息安全分析的核心环节和关键手段。

TARA分析过程包括对整车进行全面的威胁分析，识别出可能的攻击路径和潜在的安全漏洞；对这些威胁的可能性和影响程度进行风险评估，确定风险等级；最后，制定网络安全目标并实施风险缓解措施，以降低或消除高风险威胁对车辆系统的潜在影响。

TARA方法分析过程

TARA分析前，应参照如下流程分析确认车辆功能是否与信息安全相关。

信息安全相关性分析

TARA的信息安全及需求分析目的是指导定义零部件信息安全开发需求及测试验证。

相关项定义作为TARA分析的前提，用以确认该功能场景是否与信息安全相关；
TARA分析包括资产识别、威胁场景分析、影响评级、攻击路径分析、攻击可行性分析、风险值评级、风险决策、定义安全目标；
根据功能场景的TARA分析结果进行信息安全设计，提出信息安全需求。

TARA分析流程

资产识别：将安全资产的信息安全属性按机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）三个类别进行分类并分析，得出资产具备哪种安全属性，以确认危害场景；

威胁场景识别：识别功能相关零部件、安全资产的损害及原因、产生的后果；

影响评级：对所有的安全资产属性的威胁场景分析完成后进行威胁场景的影响评级（评分）。应用SFOP模型，即安全（Safety）、财产（Financial）、运转（Operational）和隐私（Privacy）四个维度对危害场景进行评估；并按严重（Severe）、重大（Major）、中等（Moderate）、忽略不计（Negligible）四个等级为损害场景定义影响等级；

攻击路径分析：可以通过自上而下的方法，分析可能实现威胁场景的不同方式，推断攻击路径，例如攻击树、攻击图；或自下而上的方法，根据识别的漏洞构建攻击路径。也可以根据CVSS漏洞评估模型，从攻击向量、攻击复杂度、攻击权限、攻击交互等方面进行综合评估；

攻击可行性评级：根据场景分析基于SFOP模型评分，结合攻击路径分析进行攻击可行性评级，包括高（High）、中等（Medium）、低（Low）、很低（Very low）；

风险值评级：威胁场景的风险值介于1和5之间，其中1表示风险最小。通过风险矩阵，根据危害场景影响和相关攻击路径的攻击可行性确定。

风险矩阵

风险决策：对于每个威胁场景，考虑其风险值，确定一个或多个风险处理方式：避免风险、降低风险、分担风险和保留风险。

风险决策分析

安全目标：依据前面对功能的信息安全风险评估，定义信息安全目标。安全目标的设定需考虑功能的安全资产类别和安全属性类别。

整车信息安全相关TARA分析矩阵

通过上述TARA分析流程，制定出整车信息安全相关TARA分析矩阵，结合具体车型开展相关功能的安全概念设计；通过矩阵所明确的潜在信息安全风险点，进行后续的信息安全目标设计，指导零部件的信息安全相关功能开发。

TARA分析矩阵

总结

GB 44495-2024《汽车整车信息安全技术要求》等一系列信息安全相关标准将于2026年1月1日强制实施，对汽车行业而言面临很大挑战。时间窗口紧迫，新申请型式批准的车型需在2026年1月1日前完成合规整改，已获批准的车型也需在2028年1月1日前达标；整改复杂度高，需要建立车辆全生命周期的信息安全管理体系，涉及风险评估、供应链责任划分、漏洞响应机制等系统性工程。因此，掌握全车型风险评估方法等信息安全相关工作已迫在眉睫。