“多大程度的安全才算安全”

　　引言

　　若沒(méi)有應(yīng)用環(huán)境，安全就沒(méi)有意義。嵌入式系統(tǒng)設(shè)計(jì)師經(jīng)常誤解安全，認(rèn)為諸如特定的加密算法和安全協(xié)議等安全措施只是系統(tǒng)的附加特性。安全是一個(gè)過(guò)程，而不是永遠(yuǎn)保持不變的一款產(chǎn)品或一種終極狀態(tài)。而且，也不能在產(chǎn)品將永遠(yuǎn)保持安全的假設(shè)下，把安全措施簡(jiǎn)單地加入到一款產(chǎn)品中。設(shè)計(jì)師應(yīng)該在設(shè)計(jì)過(guò)程開(kāi)始的時(shí)候，就把安全和其他參數(shù)如成本、性能和功耗等一并進(jìn)行考慮。

　　在設(shè)計(jì)的初始階段，利用安全設(shè)計(jì)檢測(cè)威脅

　　在設(shè)計(jì)安全解決方案的時(shí)候，首先必須做的就是定義一個(gè)威脅模型，然后再創(chuàng)建安全策略。一旦評(píng)估完成，就能安心地選擇具體的技術(shù)來(lái)實(shí)現(xiàn)安全對(duì)策。威脅決定應(yīng)對(duì)策略，策略決定設(shè)計(jì)。

　　許多設(shè)計(jì)師都會(huì)犯同一個(gè)錯(cuò)誤，在設(shè)計(jì)安全系統(tǒng)時(shí)沒(méi)有首先明確和了解可能遇到的真正威脅、以及這些威脅會(huì)為他們的終端產(chǎn)品帶來(lái)的重大風(fēng)險(xiǎn)。相反，他們教條地把分類的安全技術(shù)堆在一起，并希望能獲得很高的安全性。這樣做代價(jià)高昂，沒(méi)有系統(tǒng)能防御所有的安全威脅，在設(shè)計(jì)中囊括那些沒(méi)有必要的技術(shù)和防御沒(méi)有實(shí)際威脅的風(fēng)險(xiǎn)毫無(wú)意義。

　　即使威脅建模有價(jià)值，它本身也存在風(fēng)險(xiǎn)

　　對(duì)于資源受限的設(shè)備，嵌入式系統(tǒng)必須在存儲(chǔ)容量、功耗、處理能力、上市時(shí)間及成本等參數(shù)和安全需求之間獲取一種平衡。盡管存在資源不足的挑戰(zhàn)，通過(guò)仔細(xì)考慮威脅模型并設(shè)計(jì)系統(tǒng)使其工作在能滿足該模型的可用計(jì)算能力限制之內(nèi)，仍有可能開(kāi)發(fā)出使產(chǎn)品在開(kāi)放環(huán)境中有效工作的系統(tǒng)。

　　對(duì)系統(tǒng)設(shè)計(jì)師來(lái)說(shuō)，考慮“威脅建模”的原理非常有用。威脅建模是基于一種假設(shè)，即每個(gè)系統(tǒng)都有值得保護(hù)的固有價(jià)值。然而，因?yàn)檫@些系統(tǒng)是有價(jià)值的，他們對(duì)內(nèi)部或外部威脅也是開(kāi)放的，這些威脅能夠且經(jīng)常給終端產(chǎn)品帶來(lái)?yè)p害。設(shè)計(jì)完成后的安全漏洞常常是無(wú)法修正的，且危及投入的資金和開(kāi)發(fā)資源，因此需要在設(shè)計(jì)周期的初始階段增強(qiáng)對(duì)安全評(píng)估的需求，并在整個(gè)設(shè)計(jì)周期中進(jìn)行監(jiān)測(cè)和重復(fù)修正。

　　本質(zhì)上，我們可以把威脅模型定義為識(shí)別一組可能的攻擊，以便考慮配合一套徹底的風(fēng)險(xiǎn)評(píng)估策略。有了威脅模型，您就能估計(jì)攻擊的概率、潛在危害和優(yōu)先級(jí)。

　　威脅建模很難，但是很有必要，威脅建模需要考慮系統(tǒng)是怎樣被攻擊的。建模完成后，它解決了潛在的系統(tǒng)安全故障隱患，解決了諸如它是如何產(chǎn)生、以及在出現(xiàn)安全故障時(shí)發(fā)生了什么等問(wèn)題。通常在市場(chǎng)和成本的壓力下，這個(gè)評(píng)估以一種特別的方式來(lái)進(jìn)行，即通過(guò)集思廣益征集系統(tǒng)有可能受到的所有攻擊(當(dāng)然，潛在的黑客或許比您更超前一步)。對(duì)這個(gè)過(guò)程來(lái)說(shuō)，一個(gè)更加系統(tǒng)化及可重復(fù)的方法是使用攻擊樹(shù)，這個(gè)概念首先是由Bruce Schneier [1,2]提出來(lái)的。攻擊樹(shù)提供一種將攻擊系統(tǒng)的不同方式進(jìn)行系統(tǒng)性分類的方法。大致來(lái)說(shuō)，就是您以一種樹(shù)的結(jié)構(gòu)描述了系統(tǒng)所受的攻擊，在樹(shù)結(jié)構(gòu)中節(jié)點(diǎn)代表著攻擊時(shí)間。樹(shù)的根節(jié)點(diǎn)是攻擊者的總目標(biāo)，達(dá)到該目標(biāo)的不同路徑則是葉節(jié)點(diǎn)。

　　當(dāng)正確完成威脅建模時(shí)，真正的威脅就被確定下來(lái)了。然而，如果弄錯(cuò)了可能存在的威脅的話，其代價(jià)將是高昂的。設(shè)計(jì)師弄錯(cuò)威脅的一個(gè)案例是DVD的保護(hù)。盡管DVD碟片被加密，密鑰也被放在播放機(jī)里，只要播放機(jī)里包含抗篡改硬件，這種保護(hù)方式是沒(méi)有問(wèn)題的。但當(dāng)引入軟件播放器時(shí)，密鑰就被曝露出來(lái)，通過(guò)反向工程就能恢復(fù)密鑰，也使任何人都能自由復(fù)制和散布任何DVD內(nèi)容。在這種情況下，它是有缺陷的威脅模型。雖然有安全措施，但是這無(wú)法真正解決問(wèn)題。