資料流圖

資料流圖（Data-flow-diagram, DFD）是一種經典的系統分析工具，透過標準化的圖形符號（外部實體、程序、資料儲存、資料流）來描繪資訊系統中資料的來源、目的地、轉換過程與儲存位置。其核心目的在於視覺化呈現「資料如何移動」，而非「程式如何運作」。在汽車網路安全領域，DFD是執行威脅分析與風險評鑑（TARA）的基礎。國際標準ISO/SAE 21434雖未強制指定使用DFD，但其在第15.4條「威脅情境識別」中要求系統性地識別威脅，而DFD正是實現此要求的最佳實踐方法之一。它能清晰地定義系統邊界、標示信任邊界（Trust Boundary），並作為STRIDE等威脅建模方法的輸入，有效幫助工程師識別跨越邊界的資料流所面臨的潛在威脅，例如竊聽、竄改或阻斷服務攻擊。相較於僅關注控制流程的「流程圖」，DFD更專注於資料本身的安全，是從設計階段就導入網路安全的關鍵第一步。

在汽車網路安全風險管理中，DFD的應用主要遵循以下步驟，以確保產品符合ISO/SAE 21434的要求： 1. **定義系統邊界與繪製情境圖（Context Diagram）**：此為最高層級的DFD，首先需明確定義目標系統（如：車載資訊娛樂系統IVI）的範圍，並識別所有與其直接互動的外部實體，例如使用者、GPS天線、CAN匯流排、雲端伺服器等。此步驟旨在建立一個宏觀的視圖，釐清系統與外界的資料交換關係。 2. **逐層拆解與細化（Decomposition）**：將情境圖中的單一系統程序，向下拆解成更詳細的子系統與功能模組。例如，將IVI系統拆解為藍牙模組、媒體播放器、導航引擎等程序，並詳細繪製它們之間的內部資料流與資料儲存（如：使用者設定檔）。此過程可重複進行，直到達到所需的分析粒度為止。 3. **標示信任邊界並結合威脅建模**：在繪製完成的DFD上，標示出不同信任等級區域之間的「信任邊界」。例如，從外部非信任網路進入車內網路的資料流，就跨越了一道關鍵的信任邊界。接著，可結合STRIDE等威脅模型，系統性地檢視每個DFD元件（資料流、程序、資料儲存），識別其可能面臨的威脅。一家歐洲汽車一階供應商透過此方法，在開發階段就發現其TCU（車載資通訊控制器）的日誌上傳流程未加密，及時修正設計，使潛在資料洩漏風險降低了95%，並順利通過客戶的網路安全審核。

台灣汽車供應鏈企業在導入DFD進行網路安全分析時，主要面臨三大挑戰： 1. **跨領域知識斷層**：汽車產業長於硬體與機電整合，但普遍缺乏系統性的軟體安全與威脅建模知識。工程師可能熟悉車輛架構，卻難以準確識別軟體層面的資料流風險。對策是成立由硬體、軟體、系統及安全專家組成的跨職能工作小組，並透過外部專業顧問（如積穗科研）提供客製化培訓，建立共同語言與分析框架。 2. **供應鏈資訊不透明**：整車廠或高階供應商難以取得下游供應商提供的黑盒子（Black Box）元件的詳細內部資料流資訊，導致整車級DFD的完整性與準確性不足。解決方案是建立標準化的供應商安全要求，在採購合約中明確要求供應商提供其元件的外部介面DFD（Sanitized DFD），或填寫標準化的網路安全介面協議文件（Cybersecurity Interface Agreement）。 3. **動態與複雜系統建模困難**：現代車輛包含OTA更新、V2X通訊等動態功能，其資料流並非靜態。為這些複雜情境繪製DFD極具挑戰性。建議採用「情境驅動」的建模方式，針對特定高風險使用案例（如遠端解鎖、軟體更新）分別繪製DFD，而非試圖一次繪製涵蓋所有狀態的單一巨大圖表。優先行動項目應是針對具有對外連網功能的ECU進行建模，預計在3-6個月內完成首輪關鍵系統的威脅分析。

積穗科研股份有限公司專注台灣企業Data-flow-diagram相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact