TARA

  • ISO/SAE 21434 标准DIS版本已经正式发布,具体内容上有惊喜也有遗憾。本文借此机会浅谈ISO/SAE 21434 标准DIS版本的基本框架,并初步归纳了信息安全设计/网络安全设计的必要设计方法和防控手段。虽然ISO/SAE 21434标准正式版本发布尚待时日,但目前的DIS版本至少可以为广大的业内工作者们提供了必要的参考和借鉴。
     
  • 培训目标

    • 规划ISO/SAE 21434 和UNECE R155 CSMS 相关风险管理要求
    • 确定ISO/SAE 21434 TARA 风险评估方法
    • 确定ISO/SAE 21434 TARA 风险攻击路径的攻击可行性等级
    • 确定ISO/SAE 21434 TARA 对应的风险处理方法。
    • 评价其它网络安全潜在风险的TARA评估方法

    TARA分析培训 - 基本概念

    • ISO/SAE 21434 标准和SAE J3061 标准概述
    • ISO 31000 风险管理标准框架概述
    • ISO/SAE 21434 标准 Vs. TARA分析
    • ISO/SAE 21434 TARA分析方法概述

    TARA分析培训 - ToE建模

    • 网络安全相关功能定义
    • Stakeholders范围定义
    • 网络安全目标资产定义
    • 网络安全资产属性定义
    • 网络安全威胁初步识别
    • 网络安全威胁信息收集

    TARA分析培训 - 网络安全威胁分析

    • 网络安全风险和威胁分析
    • 威胁建模 & S.T.R.I.D.E.模型
    • 攻击向量分析 (Attack Vector)
    • 攻击路径分析 (Top-down Analysis)
    • 攻击树分析 (Attack Tree Analysis)
    • 攻击路径分析 (Bottom-up Analysis)
    • Damage scenarios分析
    • Threats scenarios分析

    TARA分析培训 - 网络安全威胁评分

    • 攻击后果严重度量化评估
    • 攻击可行性分析
    • 网络安全风险定级评估
    • CAL等级 (Cyber Security Assurance level) 量化
    • 网络安全风险评估
    • 网络安全风险风险确认

    TARA分析培训 - 风险防控措施定义

    • 网络安全流程类防控方法
    • 网络安全技术类防控方法
    • ISO/SAE 21434 风险转移措施
    • ISO/SAE 21434 风险规避措施
    • ISO/SAE 21434 风险降低方法
    • 网络安全需求 (Cyber Security Requirement)
    • 网络安全概念 (Cyber Security Concept)
    • Cyber Security Claim