安全抽象模型

安全抽象模型（Security Abstraction Model, SAM）是一種專為汽車電子系統架構描述語言 EAST-ADL 設計的模型驅動工程方法，旨在將網路安全分析無縫整合至車輛開發的早期階段。其核心定義在於，它允許開發團隊在不同的系統抽象層級（如：整車功能層、系統分析層、軟體設計層）上，一致性地描述與分析安全相關資訊，包括關鍵資產、威脅情境、安全需求與防護措施。SAM 的應用對於實踐 ISO/SAE 21434:2021 標準第15條所要求的「威脅分析與風險評估（TARA）」至關重要，它能將 TARA 的分析結果直接與系統架構元件連結，確保安全設計的可追溯性。相較於 STRIDE 等通用威脅模型，SAM 的獨特性在於其領域專用性，能與汽車產業既有的 EAST-ADL 開發流程深度整合，提供一個從需求到實作的結構化安全視圖。

在企業風險管理實務中，導入安全抽象模型（SAM）通常遵循以下步驟，以確保與 ISO 21434 標準對齊： 1. **資產識別與目標定義**：在開發流程最初的 V-Model 左側頂端，利用 EAST-ADL 的功能分析架構（Functional Analysis Architecture），識別出車輛的關鍵資產（如：駕駛人隱私資料、車輛控制權）與高階網路安全目標（Cybersecurity Goals），此步驟對應 ISO 21434 的「項目定義（Item Definition）」。 2. **威脅分析與風險評估（TARA）**：進入系統分析層級，應用 SAM 的威脅模型，對已識別的資產進行系統化的 TARA。工程師可將具體威脅（如：ECU 韌體遭竄改）與攻擊路徑對應至特定的功能區塊，並依據衝擊、攻擊可行性等參數評估風險等級。 3. **安全需求分配與追溯**：在設計層級，將 TARA 產出的網路安全需求（Cybersecurity Requirements）往下分配至具體的軟硬體元件。SAM 確保每一項低階安全控制措施（如：啟用安全啟動 Secure Boot）都能追溯回高階的安全目標。例如，德國馬牌（Continental AG）等一階供應商可利用此模型向車廠證明其 ECU 設計已充分緩解整車層級的風險，預期可將 ISO 21434 的合規審計效率提升25%以上。

台灣車用電子供應鏈企業在導入安全抽象模型（SAM）時，普遍面臨三大挑戰： 1. **模型驅動開發（MBSE）成熟度不足**：多數廠商仍習慣以文件為中心的傳統開發模式，缺乏導入 EAST-ADL 等模型化工具的經驗與系統架構人才，導致導入門檻高。 2. **高昂的工具鏈整合成本**：實現 SAM 需要投資商業化的模型建構工具（如 Enterprise Architect）並進行客製化整合，對資源有限的中小企業構成顯著的財務壓力。 3. **跨部門協作文化隔閡**：SAM 的有效運作需要系統、軟體、功能安全與網路安全等多領域專家緊密協作。然而，台灣企業常見的部門壁壘會阻礙資訊流通，導致模型與實際開發脫節。 **對策**： * **優先行動**：建議從單一產品線的小型專案開始試點，並尋求如積穗科研等外部顧問協助，進行為期3個月的客製化培訓與導入輔導，建立內部種子團隊。 * **解決方案**：初期可採用 Papyrus 等開源 EAST-ADL 工具進行概念驗證（PoC），待模型化效益顯現後再評估商業工具。同時，應成立由高階主管支持的跨部門「網路安全任務小組」，建立權責分工（RACI）表，定期召開協作會議，打破溝通壁壘。

積穗科研股份有限公司專注台灣企業Security Abstraction Model相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact