隨著越來越多的功能被嵌入到越來越小的設(shè)備占用空間中，安全問題也在增加。通常，新功能會排擠基本的安全問題，因?yàn)楣?yīng)商將越來越多的功能打包到軟件包中，而幾乎沒有整體系統(tǒng)工程，而只是粗略的安全測試。

嵌入式環(huán)境已經(jīng)成熟，安全性必須走在最前沿，就像 20 世紀(jì) 90 年代 PC 發(fā)展時的安全性一樣。隨著物聯(lián)網(wǎng)（IoT）的爆炸式增長，毫無疑問，任何安全漏洞都將被利用。物聯(lián)網(wǎng)設(shè)備使非常有用的業(yè)務(wù)案例成為現(xiàn)實(shí)。同時，它們也帶來了失去控制的風(fēng)險(xiǎn)。今天的嵌入式系統(tǒng)更加強(qiáng)大和脆弱。如果嵌入式系統(tǒng)要避免1990年代的陷阱，協(xié)議和方法在成為新一代黑客的切入點(diǎn)之前必須到位。

IT 標(biāo)準(zhǔn)組織（如 IT 軟件質(zhì)量聯(lián)盟 （CISQ）、MITRE 常見弱點(diǎn)枚舉 （CWE） 以及 ISO 9000 和 ISO 25000）發(fā)布了指南和軟件質(zhì)量標(biāo)準(zhǔn)。CISQ發(fā)布了針對安全性、可靠性、性能效率和可維護(hù)性的自動化質(zhì)量措施。這些度量提供了一些特定屬性，這些屬性應(yīng)用作嵌入式系統(tǒng)可能需要實(shí)現(xiàn)其業(yè)務(wù)/任務(wù)功能的證據(jù)。在檢查嵌入式系統(tǒng)的狀態(tài)時，很明顯，安全性應(yīng)該預(yù)先設(shè)計(jì)。

實(shí)施安全策略

在考慮安全性時，大多數(shù)嵌入式系統(tǒng)工程師會立即關(guān)注保護(hù)數(shù)據(jù)的問題。系統(tǒng)不僅應(yīng)該保護(hù)數(shù)據(jù)（在應(yīng)用程序中），還應(yīng)該保護(hù)接口不被濫用。這五個步驟代表了開發(fā)嵌入式安全策略的合理起點(diǎn)。

執(zhí)行空間中沒有未經(jīng)測試的程序 – 除了執(zhí)行函數(shù)所需的程序之外，其他任何程序都不應(yīng)存在于可以執(zhí)行它們的位置

數(shù)據(jù)必須是私有的 - 程序不應(yīng)無意中向彼此或向網(wǎng)絡(luò)公開信息

在兩端確認(rèn)數(shù)據(jù) – 所有信息必須能夠得到驗(yàn)證，并且必須在預(yù)期范圍內(nèi)，并且越界信息被拒絕

安全設(shè)備 – 設(shè)備應(yīng)能夠在啟動期間驗(yàn)證其完整性;設(shè)備應(yīng)在發(fā)送或接收數(shù)據(jù)之前對自己進(jìn)行身份驗(yàn)證

遵循標(biāo)準(zhǔn) – 查看 IT 軟件質(zhì)量聯(lián)盟 （CISQ） 質(zhì)量特征度量，這些度量值可以自動執(zhí)行，以進(jìn)行持續(xù)的安全性和軟件質(zhì)量分析和緩解

采取措施 – 如果發(fā)生異常，程序在處理問題時必須繼續(xù)運(yùn)行

執(zhí)行空間中沒有未經(jīng)測試的程序

隨著嵌入式供應(yīng)商努力使其產(chǎn)品與眾不同，他們將程序添加到其標(biāo)準(zhǔn)分發(fā)中。其中許多將不會被使用，并代表潛在的安全風(fēng)險(xiǎn)。這些程序必須被消除，或者更好的是，永遠(yuǎn)不要安裝。要求一個操作系統(tǒng)發(fā)行版，除了操作系統(tǒng)工作和手動安裝程序的必需品之外，沒有任何內(nèi)容。極簡主義策略最適合代碼。如果供應(yīng)商不提供精簡的分發(fā)，操作系統(tǒng)可以限制這些程序和敏感 API 的訪問權(quán)限，或者可以刪除未使用的代碼。

更好的方法是為自定義和第三方應(yīng)用程序提供一個沙盒，以便執(zhí)行，然后通過 API 推送通信，從而提供必要的隔離。

硬件本身應(yīng)該是“干凈的”，沒有安裝任何程序。開發(fā)人員安裝設(shè)備上的任何程序都是關(guān)鍵。每段代碼都必須來自受信任的開發(fā)人員，并且在安裝之前無法更改。

數(shù)據(jù)必須是私有的

程序不應(yīng)無意中相互暴露信息或向網(wǎng)絡(luò)公開信息。盡管相信一臺設(shè)備不能在互聯(lián)網(wǎng)上被黑客入侵是很誘人的，但它根本不是現(xiàn)實(shí)。隨著程序中模塊的增長，數(shù)據(jù)工件往往會隨之增長，數(shù)據(jù)往往會變得越來越暴露。

嵌入式設(shè)備收集敏感數(shù)據(jù)（例如，醫(yī)療保健，企業(yè)），并且很有可能在數(shù)據(jù)流量到達(dá)目的地之前重新路由和修改數(shù)據(jù)流量。應(yīng)該進(jìn)行檢查以防止復(fù)制和粘貼，以及在設(shè)備落入壞人之手時遠(yuǎn)程擦除數(shù)據(jù)的能力。

開發(fā)人員在滿足最后期限的壓力下，傾向于從自己和同事那里借用代碼和例程。任何安全漏洞都將被傳播。在第一時間正確設(shè)計(jì)和構(gòu)建代碼。

在兩端確認(rèn)數(shù)據(jù)

所有信息都必須在預(yù)期范圍內(nèi)進(jìn)行驗(yàn)證，并明確識別。在兩端使用相同的例程來驗(yàn)證內(nèi)容至關(guān)重要。接口應(yīng)該對傳入的內(nèi)容敏感，并且能夠在數(shù)據(jù)不正確時采取措施。當(dāng)設(shè)備從“受信任”的設(shè)備接收到不良數(shù)據(jù)時，入侵很可能是黑客攻擊。對于直接硬件接口也是如此。

與隱私一樣，所有與外部世界的聯(lián)系都需要被視為可疑。應(yīng)驗(yàn)證接口并檢查數(shù)據(jù)。

保護(hù)設(shè)備

設(shè)備應(yīng)該能夠在啟動期間驗(yàn)證其完整性，并應(yīng)在發(fā)送或接收數(shù)據(jù)之前對自己進(jìn)行身份驗(yàn)證。知道誰在發(fā)送數(shù)據(jù)很重要，其中一個更簡單的黑客是替換未經(jīng)驗(yàn)證的設(shè)備。

啟動時，設(shè)備必須使用加密生成的數(shù)字簽名。資源受限的設(shè)備可以使用獨(dú)特的硬件特征而不是計(jì)算密集型算法來生成用于身份驗(yàn)證的數(shù)字簽名。未通過該檢查的設(shè)備應(yīng)具有計(jì)劃的響應(yīng)。默認(rèn)操作可能不適用于任何給定設(shè)備。

每個設(shè)備都應(yīng)該有一個密鑰，每個設(shè)備都應(yīng)該知道其類型的可接受密鑰。當(dāng)收到未識別的密鑰時，應(yīng)計(jì)劃響應(yīng)，而不是簡單地忽略響應(yīng)。如果接收信息對設(shè)備的功能至關(guān)重要，則多次接收錯誤的 ID 應(yīng)被視為攻擊。規(guī)劃此故障至關(guān)重要。

遵循標(biāo)準(zhǔn)

CISQ發(fā)布了一個安全標(biāo)準(zhǔn)，旨在識別由MITRE在常見弱點(diǎn)枚舉（CWE）中維護(hù)的IT應(yīng)用軟件中的前25個已知安全漏洞。CWE 是一組可衡量的項(xiàng)目，可用作復(fù)原能力、安全性和安全性的證據(jù)。代碼分析器（如 CAST）可以從復(fù)雜的環(huán)境中挑選出這些代碼。開發(fā)人員應(yīng)該始終與這些重要標(biāo)準(zhǔn)保持聯(lián)系。

下手

如果發(fā)生異常，程序在處理問題時必須繼續(xù)運(yùn)行。開發(fā)人員通常專注于接收到良好數(shù)據(jù)時會發(fā)生什么，但錯誤處理通常過于簡單。開發(fā)人員培訓(xùn)假設(shè)不良數(shù)據(jù)是編程的產(chǎn)物，而不是黑客攻擊，這是需要審查的策略。對所有關(guān)鍵組件進(jìn)行保證案例測試。保證案例支持對實(shí)現(xiàn)進(jìn)行迭代審查和修訂，直到系統(tǒng)顯示正確的行為。

在某些情況下，設(shè)備可能有一種方法可以通知另一個設(shè)備它受到攻擊。在其他情況下，它可能只是選擇忽略或解決威脅。無論哪種情況，通信都是避免黑客攻擊的強(qiáng)大武器。

保護(hù)嵌入式設(shè)備

嵌入式安全正在成為嵌入式設(shè)備的關(guān)鍵需求。通過遵循這些建議，您的嵌入式解決方案可以專注于解決其旨在解決的問題，而不會為新一代黑客打開閘門。

審核編輯：郭婷