汽車網絡安全專題 CAL在汽車網絡安全管理中的應用（附下載）

如何確定網絡安全保障級別（CAL）？

CAL 可以由開發相關項的組織確定，也可以由開發脫離上下文組件的組織假定。

CAL的確定意味著后續產品開發活動中所需的嚴格程度被指定。可以在定義網絡安全目標的時將CAL作為一個屬性，并明確CAL對應的網絡安全要求（集）。

一個單一的CAL可以分配給相關項的所有網絡安全目標，不同的CAL也可以分配給單一的網絡安全目標。如果網絡安全目標被合并，應選取各獨立的CAL中的最高值作為合并后的網絡安全目標CAL。

是否可以基于TARA中的風險值來定義CAL呢？

答案是否定的，因為網絡安全風險動態的變化的，具體取決于相關項或組件不斷變化的規范、設計、實現過程和運行環境。CAL表示的保障級別將隨著時間的推移保持固定，所以CAL與風險不直接相關，不能從TARA報告的風險值中確定CAL。在概念甚至更早的階段，就基于受保護資產的關鍵度，確定了預期的網絡安全保障水平。

ISO/SAE 21434 給出了CAL與網絡安全風險的關系，詳見附錄E中 圖表E.1

那么如何確定網絡安全保障級別CAL呢？

? 基于相對確定性的參數，或階段性能夠保持確定下的參數確定CAL

可以在產品概念開始開發的時候，使用預期在網絡安全支持結束之前都保持穩定的參數確定CAL，例如依據在網絡安全控制措施實施之前，相關項的資產的重要性、復雜度以及其他相關的風險參數，在企業實踐中，可以對于所開發的產品按網絡安全相關度大小、產品類型、軟硬件架構、業務復雜度等因素設定CAL。

?基于標準及實踐經驗，對零部件分層分類設定CAL

汽車網絡安全相關的技術標準給出了整車或零部件需要開展的網絡安全管理要求、技術要求、測試要求，不同的組織可以參考這些標準法規，對自己所開發的產品設定CAL。

不同的組織產品和服務不同、規模不同、能力不同，投入的資源也不同，要結合自己的實際情況合理設定CAL，重要的是結合風險管理思維以及對風險所導致危害的可接受程度。

如何使用網絡安全保障級別（CAL）？

CAL 分類方案可以用于決定執行網絡活動的嚴格程度，通過必要的工作項滿足所需的安全保障。可用于選擇：

—用于開發和驗證的方法；

—識別脆弱性和分析漏洞的方法

—網絡安全評估機制

ISO/SAE 21434提供了一些CAL及其如何在產品概念和開發階段中使用的示例，可以說明在使用CAL分類方法以適應開發措施的嚴格程度和范圍。對每一個CAL中的提升，相應的設計、驗證和網絡安全評估方法都有實際的增加，以加強對相關項和組件的保障。

?在概念階段使用CAL

在概念階段，隨著網絡安全概念的定義以及對初步架構中組件的網絡安全需求分配，可以使用CAL作為對[RQ-09-10]的擴展：

a) 從網絡安全目標中導出的網絡安全需求繼承了該網絡安全目標的CAL；

b) 如果從多個網絡安全目標繼承的多個不同CAL的網絡安全需求分配給某一架構層面的組件，那么將最高等級的CAL分配給該組件；

c) 如果確定一個組件是受保護的，且不被架構中的其他組件所影響，可以根據理由降低已分配給該組件的CAL或宣布其不必要。

?在產品開發階段使用CAL

CAL的分類方案在產品開發階段的應用可以是使用依賴于CAL的方法和措施。在產品開發中，如果網絡安全需求已分配給組件，且無法確認其與其他組件無關，那么組件可以依據這些網絡安全需求的最高CAL開發。

ISO/SAE 21434提供了一個CAL如何應用于網絡安全活動樣本的示例，可以使用類似的方式處理進一步的網絡安全活動。

?在分布式開發活動中使用CAL

當相關項或組件的網絡安全活動責任被分配時就涉及到網絡安全活動的分布式管理，客戶與供應商直接使用網絡安全接口協議CIA約定網絡安全要求及責任。

掃描二維碼提交問卷即可獲得特別福利【SGS汽車網絡安全資料包】