如何确定网络安全保障级别(CAL)?
CAL 可以由开发相关项的组织确定,也可以由开发脱离上下文组件的组织假定。
CAL的确定意味着后续产品开发活动中所需的严格程度被指定。可以在定义网络安全目标的时将CAL作为一个属性,并明确CAL对应的网络安全要求(集)。
一个单一的CAL可以分配给相关项的所有网络安全目标,不同的CAL也可以分配给单一的网络安全目标。如果网络安全目标被合并,应选取各独立的CAL中的最高值作为合并后的网络安全目标CAL。
是否可以基于TARA中的风险值来定义CAL呢?
答案是否定的,因为网络安全风险动态的变化的,具体取决于相关项或组件不断变化的规范、设计、实现过程和运行环境。CAL表示的保障级别将随着时间的推移保持固定,所以CAL与风险不直接相关,不能从TARA报告的风险值中确定CAL。在概念甚至更早的阶段,就基于受保护资产的关键度,确定了预期的网络安全保障水平。
ISO/SAE 21434 给出了CAL与网络安全风险的关系,详见附录E中 图表E.1
那么如何确定网络安全保障级别CAL呢?
✴ 基于相对确定性的参数,或阶段性能够保持确定下的参数确定CAL
可以在产品概念开始开发的时候,使用预期在网络安全支持结束之前都保持稳定的参数确定CAL,例如依据在网络安全控制措施实施之前,相关项的资产的重要性、复杂度以及其他相关的风险参数,在企业实践中,可以对于所开发的产品按网络安全相关度大小、产品类型、软硬件架构、业务复杂度等因素设定CAL。
✴基于对已识别的威胁场景的考虑确定CAL
ISO/SAE 给出了一个基于4个系列CAL的示例,每个系列中随着不同的网络安全工程方法的应用,安全保障不断提升:
✴基于标准及实践经验,对零部件分层分类设定CAL
汽车网络安全相关的技术标准给出了整车或零部件需要开展的网络安全管理要求、技术要求、测试要求,不同的组织可以参考这些标准法规,对自己所开发的产品设定CAL。
不同的组织产品和服务不同、规模不同、能力不同,投入的资源也不同,要结合自己的实际情况合理设定CAL,重要的是结合风险管理思维以及对风险所导致危害的可接受程度。
如何使用网络安全保障级别(CAL)?
CAL 分类方案可以用于决定执行网络活动的严格程度,通过必要的工作项满足所需的安全保障。可用于选择:
—用于开发和验证的方法;
—识别脆弱性和分析漏洞的方法
—网络安全评估机制
ISO/SAE 21434提供了一些CAL及其如何在产品概念和开发阶段中使用的示例,可以说明在使用CAL分类方法以适应开发措施的严格程度和范围。对每一个CAL中的提升,相应的设计、验证和网络安全评估方法都有实际的增加,以加强对相关项和组件的保障。
✴在概念阶段使用CAL
在概念阶段,随着网络安全概念的定义以及对初步架构中组件的网络安全需求分配,可以使用CAL作为对[RQ-09-10]的扩展:
a) 从网络安全目标中导出的网络安全需求继承了该网络安全目标的CAL;
b) 如果从多个网络安全目标继承的多个不同CAL的网络安全需求分配给某一架构层面的组件,那么将最高等级的CAL分配给该组件;
c) 如果确定一个组件是受保护的,且不被架构中的其他组件所影响,可以根据理由降低已分配给该组件的CAL或宣布其不必要。
✴在产品开发阶段使用CAL
CAL的分类方案在产品开发阶段的应用可以是使用依赖于CAL的方法和措施。在产品开发中,如果网络安全需求已分配给组件,且无法确认其与其他组件无关,那么组件可以依据这些网络安全需求的最高CAL开发。
ISO/SAE 21434提供了一个CAL如何应用于网络安全活动样本的示例,可以使用类似的方式处理进一步的网络安全活动。
✴在分布式开发活动中使用CAL
当相关项或组件的网络安全活动责任被分配时就涉及到网络安全活动的分布式管理,客户与供应商直接使用网络安全接口协议CIA约定网络安全要求及责任。
在客户与供应商之间分享有记录在案的CAL决定理由可以增加相互理解,CAL划分方案和已确定的CAL也可以成为客户和供应商之间网络安全接口协议的一部分。
网络安全保障级别CAL在使用过程中的误区
因为CAL分类方案不指定任何网络安全控制的技术性要求,所以CAL无法代表、证明某产品的网络安全防护能力或等级。
产品所面临的网络安全风险是动态变化的,网络安全攻击技术也是不断发展的,只有在产品全生命周期的各个阶段充分识别风险并加以管理,借鉴科学有效的管理体系最佳实践,并进行技术层面的防护和测试评价,才能确保我们的产品安全可控、合规运营。
注:文章部分内容翻译自ISO/SAE 21434:2021标准。
扫描二维码提交问卷即可获得特别福利【SGS汽车网络安全资料包】
作为国际公认的测试、检验和认证机构,SGS在信息与通讯技术(ICT)领域深耕多年,为诸多知名企业提供网络安全、信息安全及隐私安全管理等技术支持,致力于为各行业机构提供全方位管理提升服务,为企业网络及信息安全保驾护航,如:
✴ISO/IEC 20000 IT服务管理
✴ISOI/IEC 27001 信息安全管理体系
✴ISO/IEC 27018 云隐私保护
✴ISO/IEC 27701 隐私信息管理体系
✴ISO 22301 业务连续性管理体系
✴ISO/SAE 21434 道路车辆 - 网络安全工程
✴TISAX® 评估