执行脱离上下文的威胁分析与风险评估

作为WITTENSTEIN high integrity system(WHIS)公司的核心产品，SAFERTOS专为安全关键型嵌入式系统设计，使其成为确保联网车辆环境可靠防护的理想选择。在本文中，我们将讨论如何开展SAFERTOS安全分析，结合威胁评估与风险评估（TARA）结果，以及这些实践方法的具体实施，最终推动SAFERTOS增强型安全模块的开发。遵循行业标准，该方法为管理风险并保护互联车辆组件免受不断演变的威胁提供了一个结构化的框架。

ISO 21434标准

ISO 21434是一项专注于管理道路车辆网络安全威胁的标准，适用于供应链中的所有相关组织。它涵盖了组织层面和项目层面的网络安全管理，以及从概念到开发后期支持的整个产品生命周期。关键领域包括在供应链中管理网络安全、持续监控和事件管理，以及将TARA方法纳入产品开发阶段。标准中涉及的TARA是一个持续的过程，旨在识别可能影响组织和产品层面的安全风险。

TARA流程包括多个步骤，如资产识别、威胁场景分析和影响评级，在此过程中会从安全、财务、运营和隐私等方面评估风险。同时会分析攻击路径的可行性，并为风险分配数值。最后一步是风险处置决策，可能包括规避、降低、分担或接受风险。这些活动有助于在汽车系统中以结构化的方式管理和缓解网络安全威胁。

将ISO 21434标准

应用于通用软件组件

ISO 21434认可供应链的作用，并通过两种方式来处理现成组件的使用：将其视为脱离上下文的组件，或者将其视为现成组件。这两种方法并非相互排斥，选择取决于组件的集成方式。

对于现成组件，使用该组件的组织必须通过审查文档来确定其适用性，以确保其满足网络安全要求。如果文档不充分，则必须执行额外的活动以符合ISO 21434的要求。相比之下，当一个组件脱离上下文开发时，供应商提供其用于通用目的，并未考虑特定的应用场景。供应商有责任说明预期用途和外部接口，并基于这些假设生成网络安全要求。当该组件被部署时，其网络安全声明将被验证。

执行SAFERTOS安全分析

由于缺乏终端用户应用程序中定义的外部接口，执行SAFERTOS安全分析会面临诸多挑战。作为实时操作系统，SAFERTOS通过API提供服务，但不了解应用程序的目的或部署情况，安全分析变得困难。

为确定SAFERTOS的威胁边界，我们做出了若干关键假设，如假定存在加密启动过程、使用内存保护单元（MPU）以及使用支持特权级别的处理器架构。此外，由于该组件的部署环境未知，物理访问威胁不在其考虑范围内。这些假设被归类为“共享”需求，由集成商负责解决。威胁边界围绕SAFERTOS内核与主机应用程序之间的接口来定义，TARA过程会识别资产（例如这些接口），并使用STRIDE模型（身份假冒、篡改、抵赖、信息泄露、拒绝服务、权限提升）对其进行威胁场景评估。

在脱离具体上下文的情况下，不知道具体的应用场景，无法全面评估SAFERTOS所面临的安全风险影响，因此所有风险都被归类为影响所有区域。在攻击路径分析过程中，每种威胁的可行性都是基于五个因素进行评估：专业技能、机会窗口、设备/努力程度、经过的时间以及对目标的了解程度。对于未知的系统和环境，假设采用了最坏情况下的数值，例如公开知识和无限制访问。由于潜在损害的不可预测性，风险值被判断为“严重”，并据此做出了风险处理决策，许多风险根据部署和配置被分类为“共享”、“减少”或“接受”。

SAFERTOS增强型安全模块

TARA流程的主要成果是SAFERTOS增强型安全模块（ESM），该模块旨在解决任务管理中的漏洞，即使已具备内存保护（MMU/MPU）的情况下。ESM提供了额外的工具来限制任务行为，并利用硬件支持确保任务与内核之间的空间隔离。它包含一个高级API封装器，可强制实施对象句柄模糊、访问控制策略以及任务上下文数据安全。虽然ESM增强了系统安全性，但必须与其他保护措施（如安全启动、加密和硬件驱动的安全性）一并使用。

ESM的主要特点包括：模糊句柄，可防止对对象控制块的直接引用，并使用查找表进行高效映射；访问控制策略（ACP），它限制任务对特定SAFERTOS功能的访问；对象访问控制策略（OACP）进一步限制任务对特定对象的访问，而渗透检测监视器则能够进行错误检测，以识别潜在的黑客攻击企图。此外，任务上下文数据在内存中隔离，以防止未经授权的访问，而SAFERTOS与用户内存之间的所有数据传输都经过安全验证。

在本文中，我们探讨了增强SAFERTOS以提升其在网络安全敏感环境中安全能力的步骤，讨论了如何将相关标准应用于必须在更广泛的设备生态系统中作为多功能通用组件运行的产品，例如车辆供应链中的产品。我们还讨论了威胁分析与风险评估（TARA）流程如何识别潜在漏洞并评估风险，从而推动SAFERTOS增强型安全模块（ESM）的开发。

网络安全在嵌入式系统中正变得越来越重要，尤其是在汽车行业中，因为车辆的互联程度日益提高。通过与ISO 21434标准保持一致并采用先进的安全措施，SAFERTOS ESM增强了汽车系统的整体安全性，确保其能够更好地抵御不断演变的网络安全挑战。

麦克泰技术是安全认证操作系统SAFERTOS在中国的代理商，具有30年嵌入式实时操作系统和功能安全软件服务的市场、服务和培训经验，联系info@bmrtech.com。

麦克泰技术走过了30年发展历程（1995-2025），秉承“让嵌入式软件开发更容易”的理念，致力于推广嵌入式软件开发工具、测试软件和嵌入式操作系统。麦克泰技术通过举办嵌入式软件和操作系统研讨会、开设培训课程、出版图书，撰写博客文章，倡导和宣传开放和开源的嵌入式软件、操作系统以及开发技术，包括VRTX（90年代）、µC/OS（2000年），Montavista Linux（2010年）和FreeRTOS（2010年）以及IAR/BDI/J-Link等知名的产品和技术。

麦克泰技术具有丰富嵌入式软件项目开发、行业应用与服务经验。今天，我们依托欧美嵌入式软件商业团队支持，提供嵌入式软件商业授权和服务。包括（不限于）SEGGER嵌入式软件开发和编程工具（J-Link/Flasher），OS分析工具Tracealyzer，WITTENSTEIN公司的SafeRTOS（FreeRTOS）、Flexible Safety RTOS（µC/OS-II MPU）以及新一代PX5 RTOS。麦克泰技术专注预认证功能安全操作系统在汽车、轨交、医疗和工业领域的应用以及RISC-V处理器嵌入式开发生态建设。我们正在以开放开源+商业软件的支持，服务产业客户，更多信息请访问www.bmrtech.com以及我们微信公众号“麦克泰技术”。