如何確定網(wǎng)絡(luò)安全保障級(jí)別（CAL）？

CAL 可以由開(kāi)發(fā)相關(guān)項(xiàng)的組織確定，也可以由開(kāi)發(fā)脫離上下文組件的組織假定。

CAL的確定意味著后續(xù)產(chǎn)品開(kāi)發(fā)活動(dòng)中所需的嚴(yán)格程度被指定?？梢栽诙x網(wǎng)絡(luò)安全目標(biāo)的時(shí)將CAL作為一個(gè)屬性，并明確CAL對(duì)應(yīng)的網(wǎng)絡(luò)安全要求（集）。

一個(gè)單一的CAL可以分配給相關(guān)項(xiàng)的所有網(wǎng)絡(luò)安全目標(biāo)，不同的CAL也可以分配給單一的網(wǎng)絡(luò)安全目標(biāo)。如果網(wǎng)絡(luò)安全目標(biāo)被合并，應(yīng)選取各獨(dú)立的CAL中的最高值作為合并后的網(wǎng)絡(luò)安全目標(biāo)CAL。

是否可以基于TARA中的風(fēng)險(xiǎn)值來(lái)定義CAL呢？

答案是否定的，因?yàn)榫W(wǎng)絡(luò)安全風(fēng)險(xiǎn)動(dòng)態(tài)的變化的，具體取決于相關(guān)項(xiàng)或組件不斷變化的規(guī)范、設(shè)計(jì)、實(shí)現(xiàn)過(guò)程和運(yùn)行環(huán)境。CAL表示的保障級(jí)別將隨著時(shí)間的推移保持固定，所以CAL與風(fēng)險(xiǎn)不直接相關(guān)，不能從TARA報(bào)告的風(fēng)險(xiǎn)值中確定CAL。在概念甚至更早的階段，就基于受保護(hù)資產(chǎn)的關(guān)鍵度，確定了預(yù)期的網(wǎng)絡(luò)安全保障水平。

ISO/SAE 21434 給出了CAL與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)系，詳見(jiàn)附錄E中 圖表E.1

那么如何確定網(wǎng)絡(luò)安全保障級(jí)別CAL呢？

? 基于相對(duì)確定性的參數(shù)，或階段性能夠保持確定下的參數(shù)確定CAL

可以在產(chǎn)品概念開(kāi)始開(kāi)發(fā)的時(shí)候，使用預(yù)期在網(wǎng)絡(luò)安全支持結(jié)束之前都保持穩(wěn)定的參數(shù)確定CAL，例如依據(jù)在網(wǎng)絡(luò)安全控制措施實(shí)施之前，相關(guān)項(xiàng)的資產(chǎn)的重要性、復(fù)雜度以及其他相關(guān)的風(fēng)險(xiǎn)參數(shù)，在企業(yè)實(shí)踐中，可以對(duì)于所開(kāi)發(fā)的產(chǎn)品按網(wǎng)絡(luò)安全相關(guān)度大小、產(chǎn)品類型、軟硬件架構(gòu)、業(yè)務(wù)復(fù)雜度等因素設(shè)定CAL。

?基于標(biāo)準(zhǔn)及實(shí)踐經(jīng)驗(yàn)，對(duì)零部件分層分類設(shè)定CAL

汽車網(wǎng)絡(luò)安全相關(guān)的技術(shù)標(biāo)準(zhǔn)給出了整車或零部件需要開(kāi)展的網(wǎng)絡(luò)安全管理要求、技術(shù)要求、測(cè)試要求，不同的組織可以參考這些標(biāo)準(zhǔn)法規(guī)，對(duì)自己所開(kāi)發(fā)的產(chǎn)品設(shè)定CAL。

不同的組織產(chǎn)品和服務(wù)不同、規(guī)模不同、能力不同，投入的資源也不同，要結(jié)合自己的實(shí)際情況合理設(shè)定CAL，重要的是結(jié)合風(fēng)險(xiǎn)管理思維以及對(duì)風(fēng)險(xiǎn)所導(dǎo)致危害的可接受程度。

如何使用網(wǎng)絡(luò)安全保障級(jí)別（CAL）？

CAL 分類方案可以用于決定執(zhí)行網(wǎng)絡(luò)活動(dòng)的嚴(yán)格程度，通過(guò)必要的工作項(xiàng)滿足所需的安全保障。可用于選擇：

—用于開(kāi)發(fā)和驗(yàn)證的方法；

—識(shí)別脆弱性和分析漏洞的方法

—網(wǎng)絡(luò)安全評(píng)估機(jī)制

ISO/SAE 21434提供了一些CAL及其如何在產(chǎn)品概念和開(kāi)發(fā)階段中使用的示例，可以說(shuō)明在使用CAL分類方法以適應(yīng)開(kāi)發(fā)措施的嚴(yán)格程度和范圍。對(duì)每一個(gè)CAL中的提升，相應(yīng)的設(shè)計(jì)、驗(yàn)證和網(wǎng)絡(luò)安全評(píng)估方法都有實(shí)際的增加，以加強(qiáng)對(duì)相關(guān)項(xiàng)和組件的保障。

?在概念階段使用CAL

在概念階段，隨著網(wǎng)絡(luò)安全概念的定義以及對(duì)初步架構(gòu)中組件的網(wǎng)絡(luò)安全需求分配，可以使用CAL作為對(duì)[RQ-09-10]的擴(kuò)展：

a) 從網(wǎng)絡(luò)安全目標(biāo)中導(dǎo)出的網(wǎng)絡(luò)安全需求繼承了該網(wǎng)絡(luò)安全目標(biāo)的CAL；

b) 如果從多個(gè)網(wǎng)絡(luò)安全目標(biāo)繼承的多個(gè)不同CAL的網(wǎng)絡(luò)安全需求分配給某一架構(gòu)層面的組件，那么將最高等級(jí)的CAL分配給該組件；

c) 如果確定一個(gè)組件是受保護(hù)的，且不被架構(gòu)中的其他組件所影響，可以根據(jù)理由降低已分配給該組件的CAL或宣布其不必要。

?在產(chǎn)品開(kāi)發(fā)階段使用CAL

CAL的分類方案在產(chǎn)品開(kāi)發(fā)階段的應(yīng)用可以是使用依賴于CAL的方法和措施。在產(chǎn)品開(kāi)發(fā)中，如果網(wǎng)絡(luò)安全需求已分配給組件，且無(wú)法確認(rèn)其與其他組件無(wú)關(guān)，那么組件可以依據(jù)這些網(wǎng)絡(luò)安全需求的最高CAL開(kāi)發(fā)。

ISO/SAE 21434提供了一個(gè)CAL如何應(yīng)用于網(wǎng)絡(luò)安全活動(dòng)樣本的示例，可以使用類似的方式處理進(jìn)一步的網(wǎng)絡(luò)安全活動(dòng)。

?在分布式開(kāi)發(fā)活動(dòng)中使用CAL

當(dāng)相關(guān)項(xiàng)或組件的網(wǎng)絡(luò)安全活動(dòng)責(zé)任被分配時(shí)就涉及到網(wǎng)絡(luò)安全活動(dòng)的分布式管理，客戶與供應(yīng)商直接使用網(wǎng)絡(luò)安全接口協(xié)議CIA約定網(wǎng)絡(luò)安全要求及責(zé)任。

掃描二維碼提交問(wèn)卷即可獲得特別福利【SGS汽車網(wǎng)絡(luò)安全資料包】