作者：ROBERT DAY，MICHAEL SLONOSKY

在高威脅的軍事環(huán)境中，連接的設備必須具有內(nèi)置的安全性。此外，這些設備在連接之前必須符合安全標準。由于這些設備的大部分功能都是在軟件中定義的 - 包括安全訪問控制 - 因此應該將大部分安全性內(nèi)置到軟件中，特別是控制軟件操作的操作系統(tǒng)中。所有這些都需要一個安全的操作系統(tǒng)，或者更具體地說，對于嵌入式系統(tǒng)，一個安全的實時操作系統(tǒng)（RTOS）。軍方多年來一直在使用安全的操作系統(tǒng)，其中許多僅用于國防部（DoD）的部署。然而，隨著國防部轉(zhuǎn)向商用現(xiàn)貨 （COTS） 硬件和軟件解決方案以降低成本，對在 COTS 操作系統(tǒng)中內(nèi)置安全性的需求已經(jīng)出現(xiàn)。

安全實時操作系統(tǒng)最初是為了滿足軍事部署系統(tǒng)的需求而構建的，但現(xiàn)在可用于任何需要其連接系統(tǒng)安全功能的行業(yè)。新的網(wǎng)絡攻擊對任何以某種方式與人類生活相關的行業(yè)來說都特別令人擔憂;美國安全公司IID最近的一份報告預測，第一起通過“被黑客入侵的互聯(lián)網(wǎng)連接設備”的謀殺案將在2014年底發(fā)生。潛在的脆弱行業(yè)包括關鍵基礎設施/工業(yè)控制系統(tǒng)、互聯(lián)醫(yī)療設備、聯(lián)網(wǎng)車輛，甚至智能家居。

傳統(tǒng)上，嵌入式系統(tǒng)比主流計算機系統(tǒng)更容易受到網(wǎng)絡攻擊，部分原因是在這些系統(tǒng)上運行的RTOS和軟件的專有性質(zhì)。此外，由于我們的許多嵌入式系統(tǒng)已連接到專有網(wǎng)絡而不是互聯(lián)網(wǎng)，因此較少受到網(wǎng)絡攻擊。然而，Stuxnet Worm - 2010年發(fā)現(xiàn)的計算機蠕蟲 - 是這些專有嵌入式系統(tǒng)如何仍然受到攻擊的一個很好的例子。在Stuxnet攻擊中，連接到伊朗一個鎖定設施中的專有網(wǎng)絡的微控制器系統(tǒng)被專門針對此應用程序的計算機病毒破壞和控制，使用傳統(tǒng)的惡意軟件技術（如網(wǎng)絡釣魚電子郵件和USB記憶棒）到達其預期目標。

如果伊朗一個封閉設施中的微控制器系統(tǒng)可以受到網(wǎng)絡攻擊，那么可以做些什么來阻止這種網(wǎng)絡恐怖主義被用來攻擊各種連接的嵌入式系統(tǒng)？

系統(tǒng)內(nèi)置安全性

使用軍用級安全RTOS是一個很好的起點;這種類型的RTOS在最低級別將安全性構建到系統(tǒng)中，并有助于防止入口點的攻擊，無論是網(wǎng)絡還是其他物理設備。這種安全的RTOS引入了許多關鍵的安全概念，可幫助操作系統(tǒng)防止惡意攻擊，無論它們?nèi)绾芜M入系統(tǒng)。具有這些內(nèi)置安全功能的RTOS是嵌入式連接設備的最佳保護，因為它仍然提供實時特性，支持所需的網(wǎng)絡功能，并且通常比Linux等通用操作系統(tǒng)占用空間更小。具有內(nèi)置安全性的 RTOS 還提供高級安全保護，包括對文件系統(tǒng)對象的任意訪問控制、使用角色和功能的細粒度用戶訪問控制、用戶的識別和身份驗證控制、設備和系統(tǒng)配額以幫助阻止分布式拒絕服務 （DDoS） 攻擊、用于保證通信鏈路的可信路徑機制，以及通過重用或查看已用內(nèi)存來阻止攻擊的剩余信息保護。要了解系統(tǒng)如何充分防范惡意攻擊，最好更詳細地了解其中一些關鍵安全功能。

防范惡意攻擊

標識和身份驗證是指網(wǎng)絡上的設備識別有效用戶身份并可以驗證（驗證）用戶聲明身份的安全過程。如果未正確識別和驗證用戶，則嵌入式設備可能容易受到未經(jīng)授權的用戶訪問。用戶身份驗證的行業(yè)標準稱為 OpenPAM（可插入身份驗證模塊），它提供了一個通用的應用程序編程接口 （API），以允許應用程序使用動態(tài)調(diào)用的各種身份驗證模塊。強大的識別和授權機制大大降低了未經(jīng)授權的用戶訪問嵌入式設備的風險。

自由訪問控制 （DAC） 是一種根據(jù)對象（如文件、應用程序、目錄和設備）所屬的用戶或組的標識限制對對象（如文件、應用程序、目錄和設備）的訪問的方法。當使用 Posix.1e 標準定義的訪問控制列表 （ACL） 實現(xiàn)時，DAC 可以提供對誰可以訪問對象的非常細粒度的控制。DAC 使聯(lián)網(wǎng)設備能夠仔細控制誰可以訪問和執(zhí)行設備上的文件和數(shù)據(jù)。角色和功能規(guī)則為不同的用戶提供精細的權限級別。從歷史上看，在 UNIX 和類似系統(tǒng)中，執(zhí)行管理任務的權限是為 root 用戶保留的，root 用戶擁有查看或修改整個系統(tǒng)的完全自主權，無論手頭的原始任務是否需要這些權限。相反，普通用戶沒有任何管理權限。

通常，UNIX root 用戶包羅萬象的權限使其容易受到濫用，無論是無意的還是惡意的。借助 DAC，角色和功能從“全能根用戶”轉(zhuǎn)變?yōu)榭梢詣?chuàng)建多個管理“角色”的用戶，每個角色都具有特定于手頭任務的特權子集（稱為“功能”）。實現(xiàn)不同角色的嵌入式設備（每個角色的功能有限）將更安全地抵御針對和破壞系統(tǒng)上特定“用戶”帳戶的攻擊。

不要用完空間

配額是一種安全控制，用于防止設備耗盡磁盤、內(nèi)存或 CPU。例如，如果對系統(tǒng)進行DDOS攻擊以過度使用CPU，則未受保護的設備基本上可能會凍結。通過能夠?qū)θ蝿漳軌蛳牡年P鍵資源（如CPU）的數(shù)量設置限制，整個系統(tǒng)可以免受此類攻擊。同樣，如果進程嘗試分配內(nèi)存或磁盤資源，并且用戶或組的使用量超過配額，則將返回錯誤，并且分配將失敗。

剩余信息保護是另一種安全功能，可確保無論何時分配或釋放資源，資源的內(nèi)容都可用于其他進程。安全的RTOS使用戶內(nèi)存和文件系統(tǒng)數(shù)據(jù)在釋放時對其他人不可用，從而使系統(tǒng)更安全。每當刪除文件系統(tǒng)對象時，分配給該文件系統(tǒng)對象的所有塊都將填充為零。

審計設施允許嵌入式設備捕獲重要的系統(tǒng)事件并對這些事件進行安全監(jiān)控。細粒度事件審核的示例包括登錄、注銷、對象訪問和管理任務等事件，所有這些事件都可以記錄到審核跟蹤中。審核跟蹤包含有價值的信息，可用于查看安全關鍵事件、發(fā)現(xiàn)繞過安全機制的嘗試以及執(zhí)行取證分析。因此，審計跟蹤可以阻止企圖的攻擊，因為審計日志記錄會捕獲任何入侵嘗試?？梢蕴峁┌踩蝿諄肀O(jiān)視實時審核事件的發(fā)生，并分析寫入審核跟蹤的審核記錄，從而幫助使連接的設備更加安全。

隨著越來越多的嵌入式設備連接到無處不在的互聯(lián)網(wǎng)，網(wǎng)絡威脅變得越復雜，對操作系統(tǒng)級別的內(nèi)置安全性的需求就越大，因為許多網(wǎng)絡威脅通過操作系統(tǒng)漏洞進入我們的設備。Lynx Software Technologies的LynxOS 7.0 RTOS具有內(nèi)置的安全功能。它可用于Curtiss-Wright Defense Solutions堅固型單板計算機：VPX6-187，它基于飛思卡爾的Power Architecture P4080處理器;以及基于英特爾酷睿 i7 第四代四核處理器的 VME-1908 和 VPX6-1958 SBC。

審核編輯：郭婷