TARA — 威胁分析与风险评估

概述

TARA（威胁分析与风险评估）支柱实现了完整的 ISO/SAE 21434 威胁分析和风险评估方法论。它涵盖资产识别、威胁建模、损害场景分析、攻击路径定义、风险计算和风险处置 — 内置安全目录、AI 辅助建议和丰富的可视化功能。

核心概念

资产

资产代表车辆系统中的网络安全目标。每个资产承载一个或多个网络安全属性（机密性、完整性、可用性、真实性），并与设计支柱中定义的组件相关联。资产按领域和类型分类。

威胁

威胁是使用 STRIDE 方法论分类的潜在攻击场景：

威胁可以手动创建、从安全目录导入或通过 AI 建议生成。

损害场景

损害场景从四个维度评估已实现威胁的潜在影响：

所有维度中最高的影响等级决定用于风险计算的总体影响评级。

攻击路径

攻击路径定义威胁如何被实现，包括：

• 攻击向量（ISO 21434）：物理、本地、相邻、网络
• 可行性指标：专业知识、知识、设备、机会窗口、耗时
• 攻击可行性评级：极低、低、中、高
• 网络安全保障等级 (CAL)：CAL 1–4，根据 ISO 21434 表 G.4 由影响 × 攻击向量计算得出

风险

风险是组合所有 TARA 要素的核心实体：

• 关联的资产及网络安全属性
• 关联的威胁和攻击路径
• 关联的损害场景
• 计算的风险分数（影响 × 可行性矩阵）
• 风险等级：极低 (1)、低 (2)、中 (3)、高 (4)、关键 (5)
• 状态：未处置、已接受、已缓解
• 处置策略：接受、缓解、规避、转移
• 来源：威胁分析、漏洞、事件

风险计算

风险分数通过标准矩阵计算：

CAL 确定（ISO 21434 表 G.4）

网络安全保障等级通过组合影响评级和攻击向量确定：

• 严重 + 网络 = CAL 4（最高）
• 可忽略 + 任意向量 = CAL 1（最低）
• 更高的影响和更远程的攻击向量会提高 CAL

风险处置

处置通过四种实体类型进行结构化：

安全目标

解决风险根本原因的战略目标。每个目标引用一个框架标准，并可链接到多个需求和控制措施。

需求

从目标派生的具体、可衡量的安全需求。每个需求具有类型、验证方法和验收标准。需求可以导出为 ReqIF 格式以实现工具集成。

控制措施

实施需求的具体技术或组织措施。每个控制措施跟踪：

• 控制类型和验证方法
• 实施成本
• 成熟度等级
• 框架标准和参考
• 关联的目标

声明

论证风险已被充分处理的安全断言。每个声明包括：

• 声明陈述和类型
• 置信度（低、中、高）
• 状态（草稿、审核中、已验证、已质疑）
• 版本跟踪
• 证据媒体附件
• 关联的风险和测试用例

安全目录

平台提供两级目录系统：

• 全局目录：组织范围的威胁、损害、控制措施、目标、需求和声明库 — 具有版本管理和框架标记
• 项目目录：链接回全局目录条目的项目特定实例，确保一致性和可重用性

AI 辅助功能

• 威胁建议：AI 根据资产配置文件建议威胁，具有置信度（高、中、低）
• 损害场景建议：AI 根据已识别的威胁生成损害场景
• 基于对话的分析：用于 TARA 问题、风险分析和一般 CSMS 查询的交互式 AI 助手
• 反馈跟踪：用户可以接受或拒绝建议并说明原因，以改进未来的建议

可视化

风险关系图 — 交互式 React Flow 图形，显示单个风险及其跨 8 列的完整实体链：系统组件 → 软件 → 资产 → 威胁/损害 → 风险 → 安全目标/声明 → 需求/控制措施 → 测试用例。14 种颜色编码的实体类型，带标签边。

风险热力图 — 影响与可行性矩阵，绘制所有项目风险以提供投资组合级别的可见性。快速识别关键严重性集群。

风险登记册 — 可筛选、可排序的表格，包含风险 ID、标题、分数、状态、影响、可行性、来源、负责人和最后更新等列。支持批量操作、内联编辑和已删除或未链接实体的警告指示器。

风险互联图 — 基于 D3 的力导向图，显示多个风险及其互联关系，用于跨风险模式分析。

与其他支柱的集成