2026-03-26 13:21:54 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详细介绍了ISO/SAE21434标准中的TARA方法论，包括资产识别、威胁场景识别、危害评级、攻击路径分析、攻击可行性评级、风险值确定和风险处置决策七个步骤。文章系统阐述了每个步骤的目标与方法，特别说明了基于CVSS的攻击可行性评级方法，并提供了风险矩阵示例，为汽车网络安全风险评估提供了完整的技术框架和实践指导。 综合评分： 82 文章分类： 技术标准,车联网安全,网络安全,安全建设

cover_image

车载网络安全之ISO/SAE21434

谈思实验室

2026年3月23日 17:13 上海

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

概述

TARA，全称Threat Analysis and Risk Assessment，威胁分析与风险评估，是汽车电子电气架构中常用的网络安全威胁分析与风险评估方法论。TARA从道路交通参与者角度，确定道路交通参与者受威胁场景影响的程度。

注：对照功能安全HARA分析： HARA（Hazard Analysis and Risk Assessment）是指危害分析和风险评估。危害分析：危险分析是整个过程的第一步，用来评估风险的ASIL等级。危险分析的目的是确定ASIL水平和所需的安全状态。风险评估（包含两方面）：危害识别：识别可能造成危害的危害和风险因素。风险分析和评估：通过S、E和C分析和评估与该风险相关的风险。HARA是概念阶段的工作产品，即ISO26262V循环的第3部分。本标准的这一部分提供了HARA的详细说明。

在ISO/SAE 21434中，主要包含了资产识别、威胁场景识别、影响等级、攻击路径分析、攻击可行性等级、风险评估上确定、风险处置决策，共7个基本的步骤，此7个基本步骤不一定需要完全按照ISO/SAE21434的顺序进行。ISO/SAE21434标准中，针对网络安全活动做了很多的定义，同时也对安全活动的裁剪做出了定义和分析方法。

如图1所示

对应着上述七个步骤，TARA分析有七项基本目标：

（1）15.3资产识别，可以根据不同的维度去识别自身控制器的资产

（2）15.4威胁场景

（3）15.5危害评级，确定威胁场景的影响等级

（4）15.6攻击路径，即威胁场景的攻击路径

（5）15.7攻击可行性评级，攻击路径实施的难易程度

（6）15.8风险值确定，

（7）15.9风险处理决策

资产识别

资产：一切有意义的东西都可以叫做资产（通信、数据、硬件等）

在资产识别环节，需要识别出TARA目标范围内那些具有网络安全特性的资产，这些资产的网络安全属性遭到破坏时可能产生一些损害场景。通常情况下，这里指的是软件的信息资产（或称为数据资产），在某些特殊情况下，也可能会是硬件资产。

如：配置数据、代码、标定数据、加密密钥、数字签名可以说都是数据资产；收发的报文、或者无线都可以是通信资产；PCB上的芯片是硬件资产；还有可能存在的调试接口，对外的OBD等

注：安全属性：最基本的是CIA三元组（Confidentiality-保密性，Integrality-完整性，Availability-可用性），除此之外，还可以衍生出真实性（Authenticity）、不可抵赖性（Non-Repudiation）等

威胁场景识别

在进行威胁场景识别时，可以包括或者关联其它更进一步的信息。例如，损害场景，以及资产、攻击者、方法、工具、攻击面之间技术上的相互依赖性。另外，威胁场景识别可以使用小组讨论的方法，也可以使用诸如EVITA、TVRA、PASTA、STRIDE等系统化的威胁建模方法。在进行描述威胁场景时，主要进行描述目标资产、所破坏的资产属性和对应的威胁场景。

危害评级

应根据安全、财产、操作和隐私（分别为S、F、0、P）影响类别中对道路使用者的潜在不利后果评估损害情景。

在对损害场景的影响评级时，除了考虑这几个维度之外，还需要确定每个维度的影响级别，比如：极其严重（severe）、高（major）、中等（moderate）、忽略不计（negligible）。

4.1 安全

4.2 财产

4.3 操作

4.4 隐私

攻击路径分析

应对威胁场景进行分析，以确定攻击路径。

注1：攻击路径分析可基于：自上而下的方法，通过分析实现威胁场景的不同方式（如攻击树、攻击图和自下向上的方法，通过识别的漏洞构建攻击路径。

注2：如果部分攻击路径不会导致威胁场景的实现，则可以停止对该部分攻击路径的分析。

攻击路径应与攻击路径可实现的威胁场景相关联。

注3：在产品开发的早期阶段，攻击路径通常不完整或不精确，因为具体实施细节尚不清楚，无法识别特定漏洞。在产品开发过程中，攻击路径可以随着更多信息的可用而更新，例如，在漏洞分析后。

攻击可行性

攻击可行性评级的主要目的是，给每条攻击路径确定一个攻击可行性的等级。具体的攻击可行性等级，可以基于组织的需要来定义，比如高、中、低。

更进一步，攻击可行性评级的方法有多种，比如基于攻击潜力、基于CVSS、基于攻击向量等。 ISO/SAE 21434中指出可以基于这三种方法中的任何一种进行攻击可行性评级。

注：CVSS相关可以参见路径：http://www.first.org

6.1 基于CVSS的方法

为了评定信息技术的安全漏洞，常用的方法是CVSS。在CVSS的基本指标组中的“可利用性指标”可以用来评估攻击的可行性。可利用性指标主要包括：攻击矢量、攻击复杂性、需要的特权、用户互动。

对于CVSS指标的评估，需要根据预先定义的范围，为每个指标设定数字值。整体的可利用性指标值可以根据下面的简单公式计算产生。

E = 8.22 × V × C × P × U

其中，E是整体可利用性指标值；V是攻击矢量指标值，范围是[0.2, 0.85]；C是攻击复杂性指标，范围是[0.44, 0.77]； P是所需特权的指标值，范围是[0.27, 0.85]；U是用户互通的指标值，范围是[0.62, 0.85]。这样一来，可利用性指标的范围在[0.12, 3.89]。具体打分可以参见CVSS中的评估。

注：https://www.first.org/cvss/v3-1/cvs

攻击矢量

攻击复杂度

需要的权限

用户互动

下表是ISO 21434中给出的CVSS可利用性指标与攻击可行性之间的映射示例，每个范围都是等距的。

风险值确定

对于每一种威胁场景，需要根据其相关损害场景的影响，以及相关攻击路径的攻击可行性来确定风险值。

如果一个威胁场景可以对应一个以上的损害场景；或者一个损害场景在一个以上的影响类别中产生影响，则建议给每个影响等级单独确定一个风险值。

此外，如果一个威胁场景可以与一个以上的攻击路径相对应，则可以将相关的攻击可行性评级结果酌情汇总，比如将攻击可行性评级最大的攻击路径赋予威胁场景。

威胁场景的风险值应设置在[1, 5]上，其中1代表最小的风险，5代表最大的风险。

在实践中，可以使用风险矩阵法或定义好的风险公式来确定威胁场景的风险值，风险矩阵法比较常用。下图所示的是ISO 21434附录中给出的风险矩阵示例。

风险处置决策

对于每个威胁情景，考虑到其风险值，应确定以下一个或多个风险处理选项

避免风险；例1：通过消除风险源来避免风险，决定不开始或继续导致风险的活动

降低风险；

分担风险；例2：通过合同分担风险或通过购买保险转移风险。

保留风险。注意，保留风险和分担风险的理由记录为网络安全索赔，并根据第8条进行网络安全监控和漏洞管理

来源：知乎@Pr快跑

https://zhuanlan.zhihu.com/p/590943970

谈思-汽车出海安全合规（欧洲）

交流群

谈思 AutoSec Europe 峰会旨在搭建一个能融汇全球视野与中国实践、连接技术前沿与落地应用的国际性专业平台，以助力中国汽车应对在出海过程中面临的网络与数据安全合规痛点。从前沿技术研讨、合规要点解析到经验交流，都将通过本平台为您提供持续支持。社群已超过200人，需邀请加入，如需入群，欢迎添加社群小助手微信taaslabs01。

谈思-SDV&AIDV技术出海

交流群

诚邀行业同仁加入谈思SDV&AIDV出海技术交流群，聚焦软件定义汽车、AI定义汽车、下一代EEA、智能座舱、智能驾驶、软件架构、域控制器开发、芯片技术、软件工具等核心议题，欢迎大家加群交流探讨~~社群已超过200人，需邀请加入，如需入群，欢迎添加社群小助手微信taaslabs01。

end

谈思汽车媒体门户

精品活动推荐

AutoSec系列沙龙

专业社群

部分入群专家来自：

新势力车企：

特斯拉、理想、极氪、小米、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯……

外资传统主流车企代表:

大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚……

内资传统主流车企：

吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用……

全球领先一级供应商：

博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、潍柴集团、地平线、紫光同芯、字节跳动、……

二级供应商(500+以上)：

中科数测、ETAS、BlackDuck、NXP、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、加特兰微电子、浙江大学……

人员占比

公司类型占比

文章

不要错过哦，这可能是汽车网络安全产业最大的专属社区！

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全：TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些？

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言：关于构建完善汽车数据安全管理体系的建议

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：谈思实验室《车载网络安全之ISO/SAE21434》