嵌入式系统“多大程度的 安全才算安全”

评估哪些威胁是最危险的，并且最可能发生。

?将系统性防御这些威胁所需的安全策略进行描述并归档。这将是一系列的声明，例如：“只有可信任的代码才允许进入受限制的内存”，或“密码密钥必须保密”。

?设计并实施能加强系统安全策略的防范措施。理论上，这些防范措施是保护、检测和回应的混合机制。

防范措施

在确定了潜在的攻击，且已定义好安全目标后，就可以考虑实施防范技术来减轻风险。一套有效的安全防范措施包括三个不同的部分：保护、检测、回应。这些对策必须基于系统已知威胁来合理地共同工作。如果保护机制被攻破，必须依靠检测和回应机制来抵御攻击。如果回应机制不存在或无效，那拥有检测机制也就没有意义。

在嵌入式系统中，保护、检测和回应技术可以采取许多形式(参见表2)。这些技术互相配合，可以阻止潜在的攻击，或者在受到攻击后提供有用的法庭审核信息。

表2. 防范技术

结语

安全设计是一个动态的、与具体的系统相关的过程，且往往很复杂。对于本文中谈论的每种安全话题，都有大量研究和专门技术资料供设计师研究和学习。在开始进行设计时，最重要的事情就是尽早开始安全需求评估，定义系统安全目标，并经常性地根据系统用途及市场的变化来确定是否最初的威胁已经改变或扩展。

您什么时候才能知道系统是足够安全的?澳大利亚新南威尔士Country Energy负责安全的Robbie Sinclair曾经说过：“在您感觉不够安全之前，安全措施总是会过量的。”当您开始安全评估时，请给出您对“多大程度的安全才算安全”这个问题的答案。

Philip Giordano是ADI公司高级应用工程师，1998年加入ADI公司，目前负责嵌入式处理器的新产品开发，重点是安全特性