作者：ROBERT DAY，MICHAEL SLONOSKY

在高威脅的軍事環(huán)境中，連接的設(shè)備必須具有內(nèi)置的安全性。此外，這些設(shè)備在連接之前必須符合安全標準。由于這些設(shè)備的大部分功能都是在軟件中定義的 - 包括安全訪問控制 - 因此應(yīng)該將大部分安全性內(nèi)置到軟件中，特別是控制軟件操作的操作系統(tǒng)中。所有這些都需要一個安全的操作系統(tǒng)，或者更具體地說，對于嵌入式系統(tǒng)，一個安全的實時操作系統(tǒng)（RTOS）。軍方多年來一直在使用安全的操作系統(tǒng)，其中許多僅用于國防部（DoD）的部署。然而，隨著國防部轉(zhuǎn)向商用現(xiàn)貨 （COTS） 硬件和軟件解決方案以降低成本，對在 COTS 操作系統(tǒng)中內(nèi)置安全性的需求已經(jīng)出現(xiàn)。

安全實時操作系統(tǒng)最初是為了滿足軍事部署系統(tǒng)的需求而構(gòu)建的，但現(xiàn)在可用于任何需要其連接系統(tǒng)安全功能的行業(yè)。新的網(wǎng)絡(luò)攻擊對任何以某種方式與人類生活相關(guān)的行業(yè)來說都特別令人擔憂;美國安全公司IID最近的一份報告預(yù)測，第一起通過“被黑客入侵的互聯(lián)網(wǎng)連接設(shè)備”的謀殺案將在2014年底發(fā)生。潛在的脆弱行業(yè)包括關(guān)鍵基礎(chǔ)設(shè)施/工業(yè)控制系統(tǒng)、互聯(lián)醫(yī)療設(shè)備、聯(lián)網(wǎng)車輛，甚至智能家居。

傳統(tǒng)上，嵌入式系統(tǒng)比主流計算機系統(tǒng)更容易受到網(wǎng)絡(luò)攻擊，部分原因是在這些系統(tǒng)上運行的RTOS和軟件的專有性質(zhì)。此外，由于我們的許多嵌入式系統(tǒng)已連接到專有網(wǎng)絡(luò)而不是互聯(lián)網(wǎng)，因此較少受到網(wǎng)絡(luò)攻擊。然而，Stuxnet Worm - 2010年發(fā)現(xiàn)的計算機蠕蟲 - 是這些專有嵌入式系統(tǒng)如何仍然受到攻擊的一個很好的例子。在Stuxnet攻擊中，連接到伊朗一個鎖定設(shè)施中的專有網(wǎng)絡(luò)的微控制器系統(tǒng)被專門針對此應(yīng)用程序的計算機病毒破壞和控制，使用傳統(tǒng)的惡意軟件技術(shù)（如網(wǎng)絡(luò)釣魚電子郵件和USB記憶棒）到達其預(yù)期目標。

如果伊朗一個封閉設(shè)施中的微控制器系統(tǒng)可以受到網(wǎng)絡(luò)攻擊，那么可以做些什么來阻止這種網(wǎng)絡(luò)恐怖主義被用來攻擊各種連接的嵌入式系統(tǒng)？

系統(tǒng)內(nèi)置安全性

使用軍用級安全RTOS是一個很好的起點;這種類型的RTOS在最低級別將安全性構(gòu)建到系統(tǒng)中，并有助于防止入口點的攻擊，無論是網(wǎng)絡(luò)還是其他物理設(shè)備。這種安全的RTOS引入了許多關(guān)鍵的安全概念，可幫助操作系統(tǒng)防止惡意攻擊，無論它們?nèi)绾芜M入系統(tǒng)。具有這些內(nèi)置安全功能的RTOS是嵌入式連接設(shè)備的最佳保護，因為它仍然提供實時特性，支持所需的網(wǎng)絡(luò)功能，并且通常比Linux等通用操作系統(tǒng)占用空間更小。具有內(nèi)置安全性的 RTOS 還提供高級安全保護，包括對文件系統(tǒng)對象的任意訪問控制、使用角色和功能的細粒度用戶訪問控制、用戶的識別和身份驗證控制、設(shè)備和系統(tǒng)配額以幫助阻止分布式拒絕服務(wù) （DDoS） 攻擊、用于保證通信鏈路的可信路徑機制，以及通過重用或查看已用內(nèi)存來阻止攻擊的剩余信息保護。要了解系統(tǒng)如何充分防范惡意攻擊，最好更詳細地了解其中一些關(guān)鍵安全功能。

防范惡意攻擊

標識和身份驗證是指網(wǎng)絡(luò)上的設(shè)備識別有效用戶身份并可以驗證（驗證）用戶聲明身份的安全過程。如果未正確識別和驗證用戶，則嵌入式設(shè)備可能容易受到未經(jīng)授權(quán)的用戶訪問。用戶身份驗證的行業(yè)標準稱為 OpenPAM（可插入身份驗證模塊），它提供了一個通用的應(yīng)用程序編程接口 （API），以允許應(yīng)用程序使用動態(tài)調(diào)用的各種身份驗證模塊。強大的識別和授權(quán)機制大大降低了未經(jīng)授權(quán)的用戶訪問嵌入式設(shè)備的風險。

自由訪問控制 （DAC） 是一種根據(jù)對象（如文件、應(yīng)用程序、目錄和設(shè)備）所屬的用戶或組的標識限制對對象（如文件、應(yīng)用程序、目錄和設(shè)備）的訪問的方法。當使用 Posix.1e 標準定義的訪問控制列表 （ACL） 實現(xiàn)時，DAC 可以提供對誰可以訪問對象的非常細粒度的控制。DAC 使聯(lián)網(wǎng)設(shè)備能夠仔細控制誰可以訪問和執(zhí)行設(shè)備上的文件和數(shù)據(jù)。角色和功能規(guī)則為不同的用戶提供精細的權(quán)限級別。從歷史上看，在 UNIX 和類似系統(tǒng)中，執(zhí)行管理任務(wù)的權(quán)限是為 root 用戶保留的，root 用戶擁有查看或修改整個系統(tǒng)的完全自主權(quán)，無論手頭的原始任務(wù)是否需要這些權(quán)限。相反，普通用戶沒有任何管理權(quán)限。

通常，UNIX root 用戶包羅萬象的權(quán)限使其容易受到濫用，無論是無意的還是惡意的。借助 DAC，角色和功能從“全能根用戶”轉(zhuǎn)變?yōu)榭梢詣?chuàng)建多個管理“角色”的用戶，每個角色都具有特定于手頭任務(wù)的特權(quán)子集（稱為“功能”）。實現(xiàn)不同角色的嵌入式設(shè)備（每個角色的功能有限）將更安全地抵御針對和破壞系統(tǒng)上特定“用戶”帳戶的攻擊。

不要用完空間

配額是一種安全控制，用于防止設(shè)備耗盡磁盤、內(nèi)存或 CPU。例如，如果對系統(tǒng)進行DDOS攻擊以過度使用CPU，則未受保護的設(shè)備基本上可能會凍結(jié)。通過能夠?qū)θ蝿?wù)能夠消耗的關(guān)鍵資源（如CPU）的數(shù)量設(shè)置限制，整個系統(tǒng)可以免受此類攻擊。同樣，如果進程嘗試分配內(nèi)存或磁盤資源，并且用戶或組的使用量超過配額，則將返回錯誤，并且分配將失敗。

剩余信息保護是另一種安全功能，可確保無論何時分配或釋放資源，資源的內(nèi)容都可用于其他進程。安全的RTOS使用戶內(nèi)存和文件系統(tǒng)數(shù)據(jù)在釋放時對其他人不可用，從而使系統(tǒng)更安全。每當刪除文件系統(tǒng)對象時，分配給該文件系統(tǒng)對象的所有塊都將填充為零。

審計設(shè)施允許嵌入式設(shè)備捕獲重要的系統(tǒng)事件并對這些事件進行安全監(jiān)控。細粒度事件審核的示例包括登錄、注銷、對象訪問和管理任務(wù)等事件，所有這些事件都可以記錄到審核跟蹤中。審核跟蹤包含有價值的信息，可用于查看安全關(guān)鍵事件、發(fā)現(xiàn)繞過安全機制的嘗試以及執(zhí)行取證分析。因此，審計跟蹤可以阻止企圖的攻擊，因為審計日志記錄會捕獲任何入侵嘗試?？梢蕴峁┌踩蝿?wù)來監(jiān)視實時審核事件的發(fā)生，并分析寫入審核跟蹤的審核記錄，從而幫助使連接的設(shè)備更加安全。

隨著越來越多的嵌入式設(shè)備連接到無處不在的互聯(lián)網(wǎng)，網(wǎng)絡(luò)威脅變得越復雜，對操作系統(tǒng)級別的內(nèi)置安全性的需求就越大，因為許多網(wǎng)絡(luò)威脅通過操作系統(tǒng)漏洞進入我們的設(shè)備。Lynx Software Technologies的LynxOS 7.0 RTOS具有內(nèi)置的安全功能。它可用于Curtiss-Wright Defense Solutions堅固型單板計算機：VPX6-187，它基于飛思卡爾的Power Architecture P4080處理器;以及基于英特爾酷睿 i7 第四代四核處理器的 VME-1908 和 VPX6-1958 SBC。

審核編輯：郭婷