嵌入式系統(tǒng)中如何程度的安全才算真正安全

時間：2020-05-10 18:30:01

關鍵字：安全系統(tǒng) 嵌入式系統(tǒng) 模型建模

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀] （文章來源：電子工程網(wǎng)）當今的嵌入式系統(tǒng)常常處理應用代碼（IP）和數(shù)據(jù)等敏感信息，因此安全是其設計的一個主要關注因素。為了確立一個合理的基礎來判斷建議的安全系統(tǒng)是否足以御敵或是防衛(wèi)過當

（文章來源：電子工程網(wǎng)）

當今的嵌入式系統(tǒng)常常處理應用代碼（IP）和數(shù)據(jù)等敏感信息，因此安全是其設計的一個主要關注因素。為了確立一個合理的基礎來判斷建議的安全系統(tǒng)是否足以御敵或是防衛(wèi)過當，就必須識別所察覺到的安全威脅。這意味著我們需要弄清對手有哪些，他們有什么樣的能力，他們的目標是什么？我們要保護什么，我們要防范誰的威脅或什么威脅？

世界上并沒有一個包打天下的解決方案，也沒有百分之百安全的安全系統(tǒng)。然而，安全系統(tǒng)不必是完美無缺的解決方案，也不需要全然牢不可破以至于失去應用價值。安全系統(tǒng)只要足夠安全即可，也就是在它所保護的數(shù)據(jù)的預期有效時間內(nèi)，它能夠抵御可能的敵人進攻即可。

嵌入式系統(tǒng)設計師經(jīng)常誤解安全，認為諸如特定的加密算法和安全協(xié)議等安全措施只是系統(tǒng)的附加特性。安全是一個過程，而不是永遠保持不變的一款產(chǎn)品或一種終極狀態(tài)。而且，也不能在產(chǎn)品將永遠保持安全的假設下，把安全措施簡單地加入到一款產(chǎn)品中。當今設計師面臨的最棘手難題之一就是明確嵌入式系統(tǒng)的安全要求和目標。有助于解決這一難題的方法很多，本文所討論的方法涉及威脅建模和風險評估，目的是幫助設計師定義安全策略，然后設計對策來實施安全策略。

在設計安全解決方案的時候，首先必須做的就是定義一個威脅模型，然后再創(chuàng)建安全策略。一旦評估完成，就能安心地選擇具體的技術來實現(xiàn)安全對策。威脅決定應對策略，策略決定設計。

許多設計師都會犯同一個錯誤，在設計安全系統(tǒng)時沒有首先明確和了解可能遇到的真正威脅，以及這些威脅會給他們的終端產(chǎn)品帶來的重大風險。相反，他們教條地把各類安全技術堆在一起，并希望能獲得很高的安全性。這樣做代價高昂，沒有系統(tǒng)能防御所有的安全威脅，在設計中囊括那些沒有必要的技術和防御沒有實際威脅的風險毫無意義。

對于資源受限的設備，嵌入式系統(tǒng)必須在存儲容量、功耗、處理能力、上市時間及成本等參數(shù)和安全需求之間獲取一種平衡。盡管存在資源不足的挑戰(zhàn)，通過仔細考慮威脅模型并設計系統(tǒng)使其工作在能滿足該模型的可用計算能力限制之內(nèi)，仍有可能開發(fā)出使產(chǎn)品在開放環(huán)境中有效工作的系統(tǒng)。

對系統(tǒng)設計師來說，考慮“威脅建?！钡脑矸浅Ｓ杏谩Ｍ{建模是基于一種假設，即每個系統(tǒng)都有值得保護的固有價值。然而，因為這些系統(tǒng)是有價值的，他們對內(nèi)部或外部威脅也是開放的，這些威脅能夠且經(jīng)常給終端產(chǎn)品帶來損害。設計完成后的安全漏洞常常是無法修正的，且危及投入的資金和開發(fā)資源，因此需要在設計周期的初始階段增強對安全評估的需求，并在整個設計周期進行監(jiān)測和重復修正。

本質上，我們可以把威脅模型定義為：“識別一組可能的攻擊，以便考慮配合一套徹底的風險評估策略?！庇辛送{模型，我們就能評估攻擊的概率、潛在危害和優(yōu)先級。

當正確完成威脅建模時，真正的威脅就被確定下來了。然而，如果弄錯了可能存在的威脅的話，其代價將是高昂的。設計師弄錯威脅的一個案例是DVD的保護措施。盡管DVD碟片被加密，密鑰也放在播放機里，只要播放機里包含抗篡改硬件，這種保護方式是沒有問題的。但引入軟件播放器時，密鑰會曝露出來，通過逆向工程就能恢復密鑰，也使任何人都能隨便復制和散布任何DVD內(nèi)容。

在這種情況下，它是有缺陷的威脅模型。雖然有安全措施，但是這無法真正解決問題。

僅僅列出一堆威脅是不夠的，由于不同威脅的風險不同，因此還需要知道每種威脅的風險。威脅建模的下一個步驟是風險評估，這是在任何安全系統(tǒng)設計中的一個至關重要的部分。風險評估的一些基礎問題，即“保護什么”、“為什么要保護”和“防范的對象是誰”，應在設計周期的最初階段厘清。盡早采取表1所示的措施，將有助于您選擇有效、安全的防范技術和防御策略。

識別出威脅，并權衡風險后，接下來就該建立安全策略了。安全策略是解決方案背后的戰(zhàn)略，而技術僅僅是戰(zhàn)術手段。安全策略描述“為什么”，而不是“如何做”。

在確定了潛在的攻擊，且已定義好安全目標后，就可以考慮實施防范技術來減輕風險。一套有效的安全防范措施包括三個不同的部分：保護、檢測、回應。這些對策必須基于系統(tǒng)已知威脅來合理地共同工作。如果保護機制被攻破，必須依靠檢測和回應機制來抵御攻擊。如果回應機制不存在或無效，那擁有檢測機制也就沒有意義。

安全設計是一個動態(tài)的、與具體的系統(tǒng)相關的過程，且往往很復雜。對于本文中談論的每種安全話題，都有大量研究和專門技術資料供設計師研究和學習。在開始進行設計時，最重要的事情就是盡早開始安全需求評估，定義系統(tǒng)安全目標，并經(jīng)常性地根據(jù)系統(tǒng)用途及市場的變化來確定是否最初的威脅已經(jīng)改變或擴展。
? ? ? ?