ISO 21434汽车网络安全标准深度解读系列（九）：持续网络安全活动与监控

本文链接：https://blog.youkuaiyun.com/VehSwHwDeveloper/article/details/149761362

前言

持续网络安全活动是贯穿汽车产品全生命周期的重要环节，通过持续的监控、评估和响应来应对不断变化的网络安全威胁。本文将深入解读ISO 21434标准第8条"持续的网络安全活动"，详细阐述网络安全监控、事件评估、漏洞分析和漏洞管理的方法与实践。

1. 持续网络安全活动概述

1.1 持续活动的必要性

现代汽车面临的网络安全威胁具有动态性特征：

威胁演进：攻击技术不断发展
漏洞发现：新漏洞持续被发现
环境变化：运行环境不断变化
技术更新：系统和软件持续更新

1.2 持续活动的特点

持续网络安全活动具有以下特点：

全生命周期：覆盖产品整个生命周期
跨项目性：可在特定项目之外进行
动态响应：对变化做出及时响应
持续改进：不断优化安全水平

1.3 核心目标

持续网络安全活动的四大目标：

信息监控：监测网络安全信息以确定网络安全事件
事件评估：评估网络安全事件，以确定薄弱环节
漏洞识别：从弱点中识别漏洞
漏洞管理：管理已查明的漏洞

2. 网络安全监控

2.1 监控概述

网络安全监控是持续活动的起点，通过系统性的信息收集和分析来识别潜在的网络安全威胁和事件。#### 2.1 .1 监控要求（RQ-08-01）

应选择收集网络安全信息的来源，可以选择内部和/或外部来源。

2.1.2 信息来源分类

网络安全信息来源：

外部来源：
├── 研究人员：学术研究机构、安全研究人员
├── 商业来源：安全厂商、威胁情报服务商
├── 非商业来源：开源情报、社区分享
├── 供应链：供应商安全公告、合作伙伴信息
├── 客户反馈：用户报告、客户投诉
└── 政府来源：CERT、国家安全机构

内部来源：
├── 脆弱性分析结果：内部安全评估发现
├── 现场信息：漏洞扫描报告、维修信息
├── 消费者使用信息：用户行为数据、异常报告
├── 配置信息：硬件和软件物料清单
├── 运营数据：系统日志、性能监控数据
└── 测试结果：安全测试、渗透测试结果

2.2 触发器管理

2.2.1 触发器定义（RQ-08-02）

应定义并维护触发器，以便对网络安全信息进行分类。

2.2.2 触发器类型

触发器分类体系：

关键词触发器：
├── 产品名称：具体产品型号、代码名称
├── 组件名称：ECU名称、软件组件名称
├── 技术术语：协议名称、算法名称
└── 威胁术语：攻击类型、漏洞类型

配置触发器：
├── 硬件配置：芯片型号、硬件版本
├── 软件配置：软件版本、固件版本
├── 网络配置：协议版本、端口配置
└── 安全配置：加密算法、认证机制

供应商触发器：
├── 供应商名称：一级、二级供应商
├── 产品系列：供应商产品线
├── 技术平台：供应商技术平台
└── 服务类型：供应商提供的服务

威胁等级触发器：
├── 严重等级：CVSS评分、风险等级
├── 影响范围：影响的系统、功能
├── 利用难度：攻击复杂度、技能要求
└── 公开程度：是否公开披露、利用代码

2.3 信息分类处理

2.3.1 分类要求（RQ-08-03）

应收集和分流网络安全信息，以确定该网络安全信息是否成为一个或多个网络安全事件。

2.3.2 分类流程

信息分类处理流程：

信息收集：
├── 自动化收集：RSS订阅、API接口
├── 人工收集：专家分析、会议交流
├── 合作收集：供应商通报、客户反馈
└── 购买收集：商业威胁情报服务

初步筛选：
├── 相关性判断：是否与产品相关
├── 可信度评估：信息来源可信度
├── 时效性检查：信息是否及时有效
└── 完整性验证：信息是否完整准确

深度分析：
├── 技术分析：技术细节分析
├── 影响评估：对产品的潜在影响
├── 风险评估：风险等级初步评估
└── 关联分析：与已知信息的关联

分类决策：
├── 网络安全事件：需要进一步处理
├── 一般信息：记录存档，定期回顾
├── 无关信息：过滤丢弃
└── 待定信息：需要更多信息确认

2.4 监控系统建设

2.4.1 监控架构

网络安全监控系统架构：

数据收集层：
├── 威胁情报收集：外部威胁情报源
├── 日志收集：系统日志、安全日志
├── 网络监控：网络流量、异常检测
└── 终端监控：终端行为、文件监控

数据处理层：
├── 数据清洗：去重、格式化、标准化
├── 数据关联：事件关联、模式识别
├── 数据分析：统计分析、机器学习
└── 数据存储：历史数据、实时数据

分析决策层：
├── 规则引擎：基于规则的自动分析
├── 机器学习：异常检测、模式识别
├── 专家系统：知识库、推理引擎
└── 人工分析：专家判断、经验分析

展示应用层：
├── 监控大屏：实时状态展示
├── 报表系统：定期报告生成
├── 告警系统：实时告警通知
└── 分析工具：交互式分析工具

2.4.2 监控指标

网络安全监控关键指标：

威胁指标：
├── 威胁数量：每日/周/月威胁数量
├── 威胁类型：威胁类型分布统计
├── 威胁等级：高/中/低威胁分布
└── 威胁趋势：威胁数量变化趋势

事件指标：
├── 事件数量：安全事件发生数量
├── 事件类型：事件类型分布统计
├── 处理时间：事件平均处理时间
└── 处理效果：事件处理成功率

漏洞指标：
├── 漏洞发现：新发现漏洞数量
├── 漏洞修复：漏洞修复完成率
├── 修复时间：漏洞平均修复时间
└── 残留风险：未修复漏洞风险评估

系统指标：
├── 系统可用性：监控系统运行时间
├── 数据质量：数据完整性、准确性
├── 响应时间：告警响应时间
└── 覆盖范围：监控覆盖的系统范围

3. 网络安全事件评估

3.1 事件评估概述

网络安全事件评估是对监控发现的安全事件进行深入分析，确定其对特定项目或组件的影响程度。

3.1.1 评估要求（RQ-08-04）

应评估网络安全事件，以确定一个项目和/或组件的弱点。

3.1.2 评估目标

事件评估的主要目标：

影响确定：确定事件对产品的具体影响
弱点识别：识别可能存在的安全弱点
风险评估：评估相关的安全风险
响应决策：决定是否需要采取响应措施

3.2 评估方法

3.2.1 评估流程

网络安全事件评估流程：

事件接收：
├── 事件信息收集：详细的事件描述
├── 初步分类：事件类型和严重程度
├── 责任分配：指定评估负责人
└── 时间记录：事件发生和接收时间

技术分析：
├── 技术细节分析：攻击技术、利用方法
├── 影响范围分析：可能影响的系统和功能
├── 利用条件分析：攻击成功的前提条件
└── 防护措施分析：现有防护措施的有效性

风险评估：
├── 威胁可能性：攻击发生的可能性
├── 影响严重性：攻击成功的影响程度
├── 风险等级：综合风险等级评估
└── 紧急程度：需要响应的紧急程度

决策制定：
├── 响应策略：是否需要立即响应
├── 资源分配：需要投入的资源
├── 时间安排：响应的时间计划
└── 责任分工：各方的责任分工

3.2.2 评估标准

事件评估标准：

技术标准：
├── 攻击复杂度：攻击实施的技术难度
├── 利用条件：攻击成功的前提条件
├── 影响范围：可能影响的系统范围
└── 检测难度：攻击被发现的难度

业务标准：
├── 业务影响：对业务运营的影响
├── 用户影响：对用户体验的影响
├── 声誉影响：对企业声誉的影响
└── 合规影响：对法规合规的影响

时间标准：
├── 发现时间：从攻击到发现的时间
├── 响应时间：从发现到响应的时间
├── 修复时间：从响应到修复的时间
└── 恢复时间：从修复到恢复的时间

资源标准：
├── 人力资源：需要的人力投入
├── 技术资源：需要的技术支持
├── 财务资源：需要的资金投入
└── 时间资源：需要的时间投入

3.3 评估结果处理

3.3.1 结果分类

事件评估结果分类：

确认弱点：
├── 存在安全弱点：需要进一步分析
├── 弱点描述：详细的弱点描述
├── 影响评估：弱点的潜在影响
└── 处理建议：建议的处理措施

无关事件：
├── 与产品无关：不影响当前产品
├── 已知问题：已经识别和处理的问题
├── 误报事件：经分析确认为误报
└── 过期信息：已经过时的信息

待定事件：
├── 信息不足：需要更多信息确认
├── 分析复杂：需要深入技术分析
├── 影响不明：影响程度不明确
└── 等待确认：等待相关方确认

3.3.2 结果记录

事件评估结果应详细记录：

评估过程：评估的详细过程和方法
分析结果：技术分析和风险评估结果
决策依据：决策制定的依据和理由
后续行动：建议的后续行动计划

4. 脆弱性分析

4.1 脆弱性分析概述

脆弱性分析是对识别出的弱点进行深入分析，确定其是否可以被攻击者利用形成实际的安全漏洞。

4.1.1 分析要求（RQ-08-05）

应分析弱点，以确定脆弱性。

4.1.2 分析目标

脆弱性分析的主要目标：

可利用性评估：评估弱点是否可以被利用
攻击路径分析：分析可能的攻击路径
影响程度评估：评估成功攻击的影响
修复优先级：确定修复的优先级

4.2 分析方法

4.2.1 分析流程

脆弱性分析流程：

弱点收集：
├── 事件评估结果：来自事件评估的弱点
├── 产品开发发现：开发过程中发现的弱点
├── 测试发现：安全测试发现的弱点
└── 外部报告：外部研究人员报告的弱点

技术分析：
├── 弱点机制分析：弱点的技术原理
├── 利用条件分析：利用弱点的前提条件
├── 攻击路径构建：可能的攻击路径
└── 影响范围评估：成功攻击的影响范围

可利用性评估：
├── 攻击复杂度：实施攻击的技术难度
├── 攻击条件：攻击成功的必要条件
├── 攻击工具：需要的攻击工具和技能
└── 攻击成本：实施攻击的成本投入

风险评估：
├── 攻击可能性：攻击发生的可能性
├── 影响严重性：攻击成功的影响程度
├── 风险等级：综合风险等级评估
└── 修复紧急性：修复的紧急程度

4.2.2 分析技术

脆弱性分析技术：

静态分析：
├── 代码审计：源代码安全审计
├── 配置检查：系统配置安全检查
├── 架构分析：系统架构安全分析
└── 文档审查：设计文档安全审查

动态分析：
├── 渗透测试：模拟攻击测试
├── 模糊测试：输入模糊测试
├── 运行时分析：运行时行为分析
└── 交互测试：人机交互安全测试

混合分析：
├── 灰盒测试：结合静态和动态分析
├── 交互式测试：人工和自动化结合
├── 多阶段测试：分阶段深入分析
└── 协同分析：多种技术协同使用

4.3 分析结果处理

4.3.1 漏洞确认

对于确认为漏洞的弱点，应：

漏洞描述：详细描述漏洞的技术细节
影响评估：评估漏洞的潜在影响
利用方法：描述可能的利用方法
修复建议：提供修复建议和方案

4.3.2 非漏洞处理（RQ-08-06）

对于未被确定为漏洞的弱点，应提供理由：

技术理由：从技术角度说明为什么不是漏洞
环境理由：基于运行环境的限制条件
成本理由：基于成本效益的考虑
风险理由：基于风险可接受性的判断

5. 漏洞管理

5.1 漏洞管理概述

漏洞管理是对确认的安全漏洞进行全生命周期管理，确保漏洞得到及时有效的处理。

5.1.1 管理要求（RQ-08-07）

漏洞的管理应做到对每个漏洞：

对相应的网络安全风险进行评估和处理
通过应用独立于TARA的可用补救措施来消除该漏洞

5.1.2 管理目标

漏洞管理的主要目标：

风险控制：将漏洞风险控制在可接受范围内
及时响应：对漏洞进行及时有效的响应
资源优化：合理分配漏洞处理资源
持续改进：不断改进漏洞管理流程

5.2 漏洞管理流程

5.2.1 管理流程

漏洞管理流程：

漏洞登记：
├── 漏洞信息记录：详细的漏洞信息
├── 漏洞分类标记：漏洞类型和等级
├── 责任人分配：指定处理责任人
└── 时间节点设定：处理时间要求

风险评估：
├── 威胁分析：漏洞可能面临的威胁
├── 影响评估：漏洞被利用的潜在影响
├── 可能性评估：漏洞被利用的可能性
└── 风险等级：综合风险等级评估

处理决策：
├── 处理策略：修复、缓解、接受、转移
├── 处理优先级：处理的优先级排序
├── 资源分配：需要的人力和物力资源
└── 时间计划：处理的时间安排

处理实施：
├── 修复开发：开发修复补丁或方案
├── 测试验证：验证修复效果
├── 部署实施：部署修复方案
└── 效果监控：监控修复效果

跟踪管理：
├── 状态跟踪：跟踪处理进度和状态
├── 效果评估：评估处理效果
├── 风险监控：持续监控残留风险
└── 经验总结：总结处理经验教训

5.2.2 处理策略

漏洞处理策略：

修复策略：
├── 根本修复：从根本上解决漏洞
├── 补丁修复：通过补丁修复漏洞
├── 配置修复：通过配置变更修复
└── 升级修复：通过版本升级修复

缓解策略：
├── 访问控制：限制对漏洞的访问
├── 监控检测：加强对漏洞的监控
├── 隔离保护：隔离存在漏洞的组件
└── 备用方案：启用备用安全方案

接受策略：
├── 风险接受：接受漏洞带来的风险
├── 监控管理：持续监控漏洞状态
├── 应急准备：准备应急响应方案
└── 定期评估：定期重新评估风险

转移策略：
├── 供应商责任：转移给供应商处理
├── 保险转移：通过保险转移风险
├── 合同转移：通过合同转移责任
└── 用户责任：转移给用户承担

5.3 漏洞处理优先级

5.3.1 优先级评估

漏洞处理优先级评估：

严重程度评估：
├── 影响范围：漏洞影响的系统范围
├── 影响程度：漏洞造成的损害程度
├── 利用难度：漏洞被利用的技术难度
└── 公开程度：漏洞信息的公开程度

业务影响评估：
├── 业务关键性：对业务的关键程度
├── 用户影响：对用户的影响程度
├── 声誉影响：对企业声誉的影响
└── 合规影响：对法规合规的影响

资源可用性：
├── 技术资源：可用的技术资源
├── 人力资源：可用的人力资源
├── 时间资源：可用的时间资源
└── 财务资源：可用的财务资源

外部因素：
├── 威胁情报：相关的威胁情报信息
├── 行业趋势：行业内的处理趋势
├── 法规要求：相关的法规要求
└── 客户需求：客户的特殊需求

5.3.2 优先级分级

漏洞处理优先级分级：

紧急（P0）：
├── 严重安全漏洞，可能导致重大损失
├── 已有公开利用代码或正在被利用
├── 影响关键业务功能或安全功能
└── 处理时间：24小时内

高（P1）：
├── 高风险安全漏洞，可能导致重要损失
├── 技术细节已公开但暂无利用代码
├── 影响重要业务功能
└── 处理时间：1周内

中（P2）：
├── 中等风险安全漏洞，影响有限
├── 漏洞信息未公开或利用条件苛刻
├── 影响一般业务功能
└── 处理时间：1个月内

低（P3）：
├── 低风险安全漏洞，影响轻微
├── 利用条件复杂或影响范围小
├── 不影响关键功能
└── 处理时间：下个版本

6. 事件响应

6.1 事件响应概述

当漏洞管理的风险处理决定需要进行网络安全事件响应时，应启动相应的响应流程。

6.1.1 响应要求（RQ-08-08）

如果根据15.9作出的风险处理决定需要进行网络安全事件应对，则应适用13.3。

6.1.2 响应目标

事件响应的主要目标：

快速响应：对安全事件进行快速响应
损失控制：最小化安全事件造成的损失
恢复服务：尽快恢复正常服务
经验积累：积累事件处理经验

6.2 响应流程

6.2.1 响应阶段

网络安全事件响应流程：

准备阶段：
├── 响应团队组建：组建事件响应团队
├── 响应计划制定：制定详细响应计划
├── 工具准备：准备必要的响应工具
└── 培训演练：进行响应培训和演练

检测识别：
├── 事件检测：通过监控系统检测事件
├── 事件确认：确认事件的真实性
├── 事件分类：对事件进行分类
└── 影响评估：评估事件的影响范围

遏制处理：
├── 短期遏制：立即阻止事件扩散
├── 系统备份：备份关键系统和数据
├── 长期遏制：实施长期遏制措施
└── 证据保全：保全相关证据

根除恢复：
├── 根除威胁：彻底清除安全威胁
├── 系统加固：加强系统安全防护
├── 服务恢复：恢复正常业务服务
└── 监控验证：验证恢复效果

总结改进：
├── 事件总结：总结事件处理过程
├── 经验教训：提取经验教训
├── 流程改进：改进响应流程
└── 预防措施：制定预防措施

6.2.2 响应团队

事件响应团队组成：

核心团队：
├── 事件指挥官：统一指挥协调
├── 技术专家：技术分析和处理
├── 安全分析师：安全事件分析
└── 沟通协调员：内外部沟通协调

支持团队：
├── 系统管理员：系统操作和维护
├── 网络管理员：网络分析和处理
├── 法务专员：法律事务处理
└── 公关专员：媒体和公众沟通

外部支持：
├── 安全厂商：专业安全服务
├── 执法部门：法律执法支持
├── 监管机构：监管合规支持
└── 合作伙伴：业务合作支持