文章总结： 本文针对欧盟《网络弹性法案》(CRA)合规要求，提出结合ISO/IEC27005风险管理框架与STRIDE威胁建模的实操方案。核心内容为7步风险评估流程：界定产品边界、识别资产、STRIDE威胁分析、风险评级、安全控制检查、制定缓解措施及残留风险处理。方案适用于硬件、软件、IoT厂商，提供可直接套用的模板，并强调覆盖全生命周期、第三方组件及可审计性等审核关键点。 综合评分： 85 文章分类： 技术标准,解决方案,安全建设,政策法规,漏洞分析

---

弹性法案CRA 风险评估最简落地法：ISO 27005 + STRIDE 一文讲透

原创

GTG-Hardy GTG-Hardy

GTG网络安全实验室

2026年4月30日 10:04 广东

在小说阅读器读本章

去阅读

面向硬件 / 软件 / IoT 厂商的合规实操指南

在欧盟《网络弹性法案》（CRA）正式落地前，网络安全风险评估已经成为厂商绕不开的硬性要求。

但很多团队都会卡在同一个问题：

风险评估到底怎么做？用什么标准？怎么写进技术文档才符合审核要求？

今天给你一套官方认可、可直接交付、审核通过率极高的组合方案：

ISO/IEC 27005 + STRIDE 威胁建模不用懂复杂理论，照着做就能完成 CRA 合规风险评估。

一、为什么这是CRA最优解

CRA 不强制指定方法，但明确要求：

• 覆盖全生命周期
• 识别威胁与漏洞
• 可审计、可追溯、可更新
• 对应到产品安全要求（Annex I）

ISO/IEC 27005 是国际通用信息安全风险管理标准，提供流程框架。

STRIDE 是最简单、最通用的威胁识别方法，提供检查清单。

两者一结合，就是欧盟审核最认可、企业最容易落地的风险评估方案。

二、一句话看懂：它俩到底干嘛的

• ISO 27005 = 告诉我们风险评估 “按什么步骤走”
• STRIDE = 告诉我们 “要找哪些风险”

一个管流程，一个管内容，完美互补。

三、一步一步照着做：

7步完成CRA风险评估

第 1 步：划定产品边界（ISO 27005）

先明确：你要评估的 “产品” 到底包括什么。必须写清楚：

• 硬件 / 固件 / 软件 / App / 云服务
• 接口：蓝牙、Wi‑Fi、网口、USB、API
• 数据：用户数据、密钥、日志、配置
• 第三方组件、开源库、通信协议
• 使用人群：普通用户 / 儿童 / 工业场景

输出：产品边界图 + 数据流图（DFD）

第 2 步：列出你要保护的资产（ISO 27005）

资产 = 所有一旦被攻破就会出事的东西。例：

• 用户账号、密码、位置、健康数据
• 设备密钥、证书、配置文件
• 固件、升级包、日志
• 云服务、API、后台数据库

输出：资产清单

第 3 步：用 STRIDE 找全所有威胁（核心步骤）

STRIDE 是 6 种最经典的攻击类型，对着产品逐条问一遍，风险就不会漏。

S – Spoofing 伪装 / 假冒

• 别人能冒充设备 / App / 用户吗？
• 有没有弱密码、无认证接口？

T – Tampering 篡改

• 固件能被随便改吗？
• 配置 / 数据 / 日志能被篡改吗？

R – Repudiation 抵赖

• 出了事能查到谁操作的吗？
• 有没有审计日志？

I – Information Disclosure 信息泄露

• 数据明文传输？
• 抓包能拿到敏感信息？

D – Denial of Service 拒绝服务

• 设备会崩溃、变砖、掉线吗？
• 能被轻易打爆？

E – Elevation of Privilege 权限提升

• 普通用户能拿到管理员权限吗？
• 能绕过安全机制？

输出：威胁清单（10–30 条都正常）

第 4 步：给风险评级（ISO 27005）

每条威胁只看两个维度：

1. 可能性：高 / 中 / 低
2. 影响：高 / 中 / 低

风险等级 = 可能性 × 影响

• 高风险：必须立刻修复
• 中风险：规划版本修复
• 低风险：可接受，但必须记录

输出：风险矩阵表

第 5 步：检查你已有哪些安全控制

对照 CRA Annex I 自查：

• 默认安全配置
• 身份认证、权限控制
• 数据加密（传输 + 存储）
• 安全更新机制
• 漏洞处理流程
• 日志与审计

输出：现有安全控制表

第 6 步：制定缓解措施（CRA 强制）

高 / 中风险必须写清楚：

• 缓解措施（如：加 TLS 1.3、固件验签、强密码）
• 对应 CRA Annex I 哪一条
• 负责人 & 截止时间
• 验证方式（扫描 / 渗透 / 测试）

输出：风险处置计划

第 7 步：残留风险 + 持续更新（审核重点）

CRA 不是 “做一次就完事”。必须写明：

• 哪些风险被接受
• 为什么可接受
• 何时重新评估（版本更新 / 高危漏洞发布 / 场景变化）

输出：最终风险评估报告（可直接放入技术文档）

四、直接套用 !

1页风险评估模版

1. 产品范围

• 产品：XXX

• 版本：V1.0

• 组件：MCU、Wi‑Fi、BLE、App、云API

• 数据类型：用户账号、位置、操作日志、设备密钥

1. 资产清单

• 用户敏感数据

• 设备身份密钥

• 固件程序

• 通信通道

1. STRIDE 威胁识别

• S：未授权可假冒设备接入

• T：固件可被篡改刷入恶意代码

• I：数据明文传输可被窃取

• D：设备可被DoS攻击导致瘫痪

• E：普通用户可提权获取管理员权限

1. 风险等级

• 假冒设备：高

• 固件篡改：高

• 数据泄露：中

1. 现有控制

• 设备身份认证

• 基础加密

1. 缓解措施

• 增加固件签名验签

• 强制TLS 1.3加密传输

• 强化密码复杂度策略

• 开启异常流量检测

1. 残留风险与接受说明

• 低风险XXX，因影响极小且难以利用，予以接受

1. 复审计划

• 每次版本更新复审

• 出现高危漏洞立即复审

五、CRA审核最关注的三个点

1. 必须覆盖全生命周期（设计→开发→发布→维护→退市）
2. 必须包含第三方 / 开源组件（SBOM + 组件风险）
3. 必须可审计、可追溯、可更新（不是一次性报告）

ISO 27005 + STRIDE = 最稳、最简、最合规的 CRA 风险评估方法

• 流程标准：ISO 27005
• 威胁识别：STRIDE
• 输出文档：直接满足 CRA 技术文档要求

对硬件、IoT、软件、消费电子、智能家居全部适用。

GTG广测集团：全球数字安全合规优选伙伴

别让合规只停留在“拿证”。

面对欧盟 CRA网络弹性法案、AI法案及 GDPR/CCPA/数据法案 等严苛监管，GTG凭借CNAS(L18872)+A2LA(6947.01)双资质及前360/深信服核心网络安全专家团队，为您提供真正的“实战级”防护。

🏆 为什么GTG能为您降本避险？

• 拒绝模板：不只给报告，我们提供定制化漏洞修复方案，确保产品真安全。
• 极致省心：代写核心文档，免除繁琐填表，让合规效率提升70%。
• 全域覆盖：从消费电子到汽车、工控、医疗，一站式解决全球隐私与数据安全难题。

您的全球合规通行证，从这里开始。

[👉 立即咨询 CRA / AI法案 / 隐私合规]

更多相关内容

欢迎关注视频号“GTG网络安全实验室”

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GTG网络安全实验室 GTG-Hardy GTG-Hardy《弹性法案CRA 风险评估最简落地法：ISO 27005 + STRIDE 一文讲透》