本系列文章是亚远景科技结合ASPICE for Cybersecurity Guideline，对ASPICE for Cybersecurity进行的一些标准解读和应用说明，希望向更多的人明晰化标准的一些要求，也帮助推动标准在行业的发展。

当前推出的ASPICE for Cybersecurity标准中新增加了6个过程，分别是

目前已经解读了前5个过程，还没有看过的朋友可以点击上方标题前往阅读。

本篇要讲解的过程是：

SEC.4.Risk Treatment Validation风险处理的确认

风险处理确认过程的目的是确认集成系统是否实现了相关的网络安全目标。

网络安全目标(Cybersecurity goal)是针对相关威胁场景的最高级需求。为了实现网络安全目标，我们在开发过程中指定了一组功能性和/或非功能性的网络安全需求和相应的设计。而在前文也谈到了，根据这些需求和设计进行的相应验证工作，是属于风险处理验证过程的范围(SEC.3)。

而风险处理确认过程的工作范围是提供证据证明相应措施的正确性。因此，这个SEC.4过程就是调查和质疑相关提出的解决方案是否能够真正实现对应的安全目标。

因此，风险处理确认策略应定义相应的确认活动，包括某些有效方法去检测TARA未识别的漏洞，而这些漏洞因为没有被TARA识别所以也没有定义相应的风险处理行动。同时，确认网络安全目标和相关网络安全控制的一种典型方法是执行渗透测试，以一种试图破坏系统的视角对产品的网络安全目标进行挑战性质的测试。确认活动还可能包括具有指定测试用例的功能测试或一些探索性的测试方法，如模糊测试，以识别未知的漏洞和攻击路径。

在确认过程中发现的漏洞可能会影响特定威胁场景的风险值，如有发现，则需要迭代网络安全风险管理流程(MAN.7)和网络安全需求挖掘过程(SEC.1)。

（1）制定风险处理确认策略Develop a risk treatment validation strategy

网络安全目标和相关控制的确认活动往往包括用于检测漏洞和未识别的攻击路径的相关活动，这些活动遵循一个确认策略（validation strategy）。

网络安全确认方法可能包括：

确认方法还可能有检查类活动，包括对应用程序和操作系统的安全缺陷的分析，同时也可以通过代码评审来进行检查。

对确认策略的期望包括以下几方面：

注：风险处理确认策略的“h”方面是指问题解决管理过程(SUP. 9)。

建议和规则：

解读：如果风险处理确认策略没有涵盖上述所有方面，则指标BP1不能被评为F级。

解读：如果风险处理确认策略不包括b、c或d方面，则指标BP1的评分不能高于P。

确认策略还是比较通用的策略性文件，可以参考SWE.6或SYS.5及其他测试验证过程的策略文件形成本过程的策略文件，同时覆盖上述要点即可，在实际的项目工作中，往往确认相关的测试方法的定义是最重要的，且这些测试活动会有很强的环境要求，技能要求与独立性要求，因此经常需要与相关方，特别是OEM，就这些确认方法的实施要求达成一致，这些方法最经常被提及的就是渗透测试了。

（2）文档化并执行确认活动Document and perform validation activities 

为了检查策略所定义的确认活动的完整性和适当性，相关文档记录是必要的。

建议和规则：

解读：如果确认活动的文档缺失或不适合评估确认策略活动的执行完整性，则指标BP3的评级不能高于P。

相关内容：

这些关系被用作在以下子章节中定义的评级规则和建议的基础。

评级还应考虑可追溯性和一致性、总结和沟通以及策略和计划的一般方面。请参考VDA ASPICE GUIDELINE（第一版）了解更多信息。

SEC.4以下BP与其他过程有关系：

解读：如果SEC.1的BP1被下调了，SEC.4的BP2应该与其评级保持一致。

上海亚远景信息科技有限公司是国内汽车行业咨询及评估领军机构之一，深耕于ASPICE、ISO26262功能安全、ISO21434网络安全领域，拥有10年以上的行业经验，专精于咨询、评估及培训服务，广受全球车厂及供应商赞誉，客户好评率行业领先。坚持以“探索、研发、融合”引领创新发展，秉持“用心服务、专业技术、合作发展”的理念，不断以新技术新模式为客户提供更有效更敏捷的服务。