“多大程度的安全才算安全”

　　僅僅列出一堆威脅是不夠的，由于不同威脅的風險不同，您還需要知道每種威脅的風險。威脅建模的下一個步驟是風險評估，這是在任何安全系統(tǒng)設(shè)計中的一個至關(guān)重要的部分。

　　風險評估

　　在風險評估中，不可避免地要討論一些基礎(chǔ)問題，即What、Why以及Who?

　　What—您在保護什么?在設(shè)計最初階段，就需要在您的系統(tǒng)中確定需要保護的關(guān)鍵對象。這些對象可能包括密鑰、特殊算法、器件標識符、數(shù)字媒體、生物特征識別或產(chǎn)品固件。

　　Why—您為什么要保護這個設(shè)計?您是否需要作為與商業(yè)伙伴協(xié)議的一部分而保護IP，該商業(yè)伙伴只在您承諾在自己設(shè)計的產(chǎn)品中能保護其安全才會向您提供IP?您是否需要在一個醫(yī)療設(shè)備或商業(yè)銷售點系統(tǒng)中保證機密的用戶信息是安全的?您所設(shè)計的產(chǎn)品是否將是黑客攻擊目標的熱門產(chǎn)品?所有這些問題都將決定對有效的安全防范技術(shù)的選擇。

　　Who—是誰真正地想要您的IP?當然，攻擊者名單是列不盡的。不管他是享受攻擊挑戰(zhàn)的經(jīng)驗豐富的技術(shù)專家，還是意圖獲取您的IP的大型組織、政府或競爭對手，關(guān)鍵都是要識別攻擊者的動機、資源和專有技術(shù)，這樣您才能設(shè)計適當?shù)姆烙胧?/p>

　　安全策略

　　一旦您已經(jīng)識別出了您的威脅，并且權(quán)衡了風險，接下來就該建立安全策略了。安全策略是解決方案背后的戰(zhàn)略，而技術(shù)僅僅是戰(zhàn)術(shù)手段。安全策略描述“為什么”，而不是“如何做”。

　　例如，一個基于FPGA設(shè)計的安全策略目標之一也許是“保持配置碼流的機密性”，這是系統(tǒng)的目標之一。“如何做”或?qū)Σ叩膶嵤┛赡軙遣捎弥T如AES等對稱密鑰加密的方式，對配置碼流進行加密以便實現(xiàn)這個目標。

　　下面總結(jié)了如何將這個工作放入到整體的設(shè)計流程中。