1、安全启动的TARA分析

首先我们来看看什么叫做TARA分析。

在ISO\SAE 21434 中对于TARA描述为threat analysis and risk assessment，即威胁分析和风险评估。这个使用模块化的方法，用于评估信息安全的风险程度，大致可以按以下步骤总结：运行环境描述 -> 风险资产定义及影响分级 -> 危险场景定义 -> 攻击路径分析  -> 攻击可行性分析 -> 风险等级定义 -> 预防机制。

按照上述步骤，要对安全启动进行分析。首先就要确定安全启动的运行环境：在当前多核MCU架构下，HSM充当一个安全岛，运行时相对独立，此外由于HSM自身特性，其BootRom可以作为安全启动的信任根。除了上述环境，我们还要对整个安全启动的流程进一步梳理，分析每一个启动步骤的信息安全风险（这里不考虑OTA/离线升级等情况）。

安全启动具体可以分为以下几个步骤：

对于每个步骤，我们来进行风险资产定义：

很明显，在安全启动中，有几个最为重要的风险资产：启动安全启动的标志位、待认证程序的签名、完成安全启动后应用程序的首地址。

那么在TARA分析中就要围绕着几个资产开始分析攻击场景。

2、安全启动的HARA分析

HARA：Hazard analysis and risk assessment。来源于ISO26262-3

其中最重要的就是失效模式鉴别。老规矩，我们还是沿用上述表格的形式。

在上述分析里，我没有加入降低失效的措施，毕竟作为软件工程师，对硬件的活还是不敢乱说。

通过上面分析，其实可以发现，TARA和HARA分析是从两个不同的角度去对同一个东西进行风险评估，二者在切入点虽不一致，但分析方法上还是比较雷同。此外，在ISO26262和ISO\SAE21434的文档结构上，我发现这两者也很相似。所以想要摸清信息安全，建议首选掌握功能安全。注意哦，一个系统不是过了功能安全，信息安全就必定能过，信息安全主要还是从外部攻击的角度来对风险资产进行分析。