嵌入式系统“多大程度的 安全才算安全”

够的，由于不同威胁的风险不同，因此还需要知道每种威胁的风险。威胁建模的下一个步骤是风险评估，这是在任何安全系统设计中的一个至关重要的部分。风险评估的一些基础问题，即"保护什么"、"为什么要保护"和"防范的对象是谁"，应在设计周期的最初阶段厘清。尽早采取表1所示的措施，将有助于您选择有效、安全的防范技术和防御策略。

　　表1. 风险评估

　　安全策略

　　识别出威胁，并权衡风险后，接下来就该建立安全策略了。安全策略是解决方案背后的战略，而技术仅仅是战术手段。安全策略描述"为什么"，而不是"如何做"。

　　例如，基于FPGA设计的安全策略目标之一也许是"保持配置位流的机密性"，这是一个系统目标。"如何做"或对策的实施可能是采用诸如AES等对称密钥加密的方式，对配置位流进行加密以便实现这个目标。

　　整体的设计流程总结如下：

　　了解系统的真正威胁，并评估这些威胁的风险。

　　评估哪些威胁是最危险的，并且最可能发生。

　　?将系统性防御这些威胁所需的安全策略进行描述并归档。这将是一系列的声明，例如："只有可信任的代码才允许进入受限制的内存"，或"密码密钥必须保密"。

　　?设计并实施能加强系统安全策略的防范措施。理论上，这些防范措施是保护、检测和回应的混合机制。

　　防范措施

　　在确定了潜在的攻击，且已定义好安全目标后，就可以考虑实施防范技术来减轻风险。一套有效的安全防范措施包括三个不同的部分：保护、检测、回应。这些对策必须基于系统已知威胁来合理地共同工作。如果保护机制被攻破，必须依靠检测和回应机制来抵御攻击。如果回应机制不存在或无效，那拥有检测机制也就没有意义。

　　在嵌入式系统中，保护、检测和回应技术可以采取许多形式（参见表2）。这些技术互相配合，可以阻止潜在的攻击，或者在受到攻击后提供有用的法庭审核信息。

　　表2. 防范技术

　　结语

　　安全设计是一个动态的、与具体的系统相关的过程，且往往很复杂。对于本文中谈论的每种安全话题，都有大量研究和专门技术资料供设计师研究和学习。在开始进行设计时，最重要的事情就是尽早开始安全需求评估，定义系统安全目标，并经常性地根据系统用途及市场的变化来确定是否最初的威胁已经改变或扩展。

　　您什么时候才能知道系统是足够安全的？澳大利亚新南威尔士Country Energy负责安全的Robbie Sinclair曾经说过："在您感觉不够安全之前，安全措施总是会过量的。"当您开始安全评估时，请给出您对"多大程度的安全才算安全"这个问题的答案。

　　Philip Giordano是ADI公司高级应用工程师，1998年加入ADI公司，目前负责嵌入式处理器的新产品开发，重点是安全特性