美國(guó)及其在世界各地的盟國(guó)的武裝部隊(duì)依賴(lài)于不斷受到威脅的關(guān)鍵軍事技術(shù)。這些威脅的范圍從對(duì)戰(zhàn)場(chǎng)上丟失的系統(tǒng)進(jìn)行逆向工程到在工廠車(chē)間意外引入假冒組件。作為回應(yīng)，商業(yè)現(xiàn)貨 （COTS） 供應(yīng)商更頻繁地被要求幫助用戶滿足對(duì)防篡改 （AT） 和網(wǎng)絡(luò)安全或信息保障 （IA） 功能快速增長(zhǎng)的需求。

有效緩解對(duì)關(guān)鍵系統(tǒng)的威脅需要開(kāi)發(fā)和實(shí)施先進(jìn)的、行業(yè)領(lǐng)先的技術(shù)和技巧，由于顯而易見(jiàn)的原因，這些安全策略和技術(shù)的細(xì)節(jié)無(wú)法詳細(xì)描述。為了向讀者提供對(duì)當(dāng)代 AT 和 IA 技術(shù)的有用介紹和高級(jí)概述，可以在適當(dāng)?shù)母邔哟紊嫌懻?COTS 硬件可能受到攻擊的一些方式，并提供一些可用于防止此類(lèi)入侵的方法的概述。

縱深防御

實(shí)施 AT 和 IA 技術(shù)以通過(guò)“深度防御”策略保護(hù)已部署的 COTS 系統(tǒng)的最有效方法是實(shí)施多層安全性，以在模塊和組件級(jí)別保護(hù) CPI（關(guān)鍵程序信息）。它還確保以受信任的方式進(jìn)行制造。如今，有多種選項(xiàng)可用于在設(shè)備和模塊級(jí)別保護(hù)硬件。

其中一些方法涉及使用戶可以自行決定將自己的保護(hù)措施添加到系統(tǒng)硬件中的技術(shù)。為了幫助減少將假冒部件引入其系統(tǒng)硬件，用戶必須確保其 COTS 模塊供應(yīng)商的供應(yīng)鏈能夠在防止其模塊上存在假冒部件方面發(fā)揮積極作用。COTS供應(yīng)商的供應(yīng)鏈管理應(yīng)使用批準(zhǔn)的供應(yīng)商名單進(jìn)行，所有供應(yīng)商都應(yīng)接受審核并能夠遵守質(zhì)量條款。同樣重要的是：確保 COTS 供應(yīng)商的質(zhì)量管理體系 （QMS） 經(jīng)過(guò)適當(dāng)認(rèn)證。

安全 COTS 產(chǎn)品的獨(dú)特屬性要求，當(dāng)模塊需要維修或不再可維修時(shí)，應(yīng)以確保正確處置該模塊上的任何 CPI 的方式進(jìn)行處理。處理 CPI 的方法包括使用算法安全地擦除模塊的非易失性存儲(chǔ)器，以便永久刪除 CPI。還有一些方法可用于處理可能包含關(guān)鍵信息的特殊組件。

為了支持任何特定和獨(dú)特的客戶要求，COTS 供應(yīng)商還應(yīng)該能夠支持自定義，以便根據(jù)需要添加額外的安全層。

保護(hù)硬件的一個(gè)關(guān)鍵要素是能夠盡快識(shí)別并有效響應(yīng)任何攻擊。幸運(yùn)的是，對(duì)系統(tǒng)硬件的惡意入侵可能會(huì)導(dǎo)致可以實(shí)時(shí)識(shí)別的異常情況。識(shí)別此類(lèi)入侵的技術(shù)可能涉及使用集成傳感器，例如溫度和電壓傳感器，這些傳感器能夠識(shí)別任何異常情況。

另一種用于攻擊系統(tǒng)硬件的惡意技術(shù)涉及探測(cè)來(lái)自模塊電跡線的信號(hào)。一種用于防止這種企圖侵犯數(shù)據(jù)的技術(shù)涉及將任何敏感痕跡（尤其是那些攜帶關(guān)鍵數(shù)據(jù)的痕跡，深入PCB基板）埋入，以消除對(duì)手分析和探測(cè)它們的能力。模塊的輸入/輸出 （I/O） 接口還可以為攻擊者提供有吸引力的攻擊目標(biāo)。已經(jīng)開(kāi)發(fā)了保護(hù)JTAG和串行端口的方法，以保護(hù)模塊的I / O。

為了防止基于英特爾至強(qiáng)處理器家族的硬件受到遠(yuǎn)程攻擊，模塊設(shè)計(jì)人員可以實(shí)施英特爾的可信執(zhí)行技術(shù) （TXT）。此“測(cè)量啟動(dòng)”技術(shù)使用啟動(dòng)代碼來(lái)驗(yàn)證處理器上運(yùn)行的代碼是否正確。英特爾、電源架構(gòu)和基于 ARM 處理器的模塊的安全選項(xiàng)還包括對(duì)安全啟動(dòng)的支持。為了在機(jī)箱或模塊級(jí)別為數(shù)據(jù)提供保護(hù)，系統(tǒng)設(shè)計(jì)人員可以實(shí)施容量保護(hù)技術(shù)，使模塊能夠被物理“包圍”，以便報(bào)告任何嘗試的入侵并觸發(fā)對(duì)該入侵的適當(dāng)響應(yīng)。

除了在模塊和機(jī)箱級(jí)別保護(hù)硬件外，全面的數(shù)據(jù)保護(hù)方法還需要在系統(tǒng)中安全地存儲(chǔ)、檢索和移動(dòng)數(shù)據(jù)，同時(shí)僅允許對(duì)此數(shù)據(jù)進(jìn)行授權(quán)訪問(wèn)。這需要用于動(dòng)態(tài)數(shù)據(jù)解決方案的安全網(wǎng)絡(luò)路由器以及用于靜態(tài)數(shù)據(jù)的安全存儲(chǔ)，并支持類(lèi)型 I、FIPS 140-2、FIPS-197、AES-256 和 AES-128 加密。

實(shí)現(xiàn)下一代安全性的靈活方法

在保護(hù) CPI 方面，每個(gè)程序和每個(gè)用戶都是不同的;沒(méi)有放之四海而皆準(zhǔn)的方法。有效緩解安全漏洞需要靈活性。COTS 供應(yīng)商需要積極、緊密地與用戶合作，在模塊和子系統(tǒng)級(jí)別構(gòu)建滿足特定系統(tǒng)特定要求的 AT 和 IA 功能。由此產(chǎn)生的解決方案可能基于現(xiàn)有的“構(gòu)建塊”方法，或者可能需要自定義模塊設(shè)計(jì)。對(duì)于現(xiàn)有構(gòu)建塊無(wú)法滿足的需求，有興趣的人應(yīng)該尋找能夠提供MCOTS（修改后的COTS）服務(wù)的供應(yīng)商來(lái)開(kāi)發(fā)新產(chǎn)品或定制產(chǎn)品。

上述風(fēng)險(xiǎn)緩解技術(shù)提供了 Curtiss-Wright 通過(guò)我們的 TrustedCOTS 計(jì)劃實(shí)施的 AT 和 IA 策略的示例，該計(jì)劃采用基于標(biāo)準(zhǔn)產(chǎn)品的硬件和軟件，然后設(shè)計(jì)安全功能，使需要保護(hù)的人能夠?qū)嵤╆P(guān)鍵技術(shù)和數(shù)據(jù)的保護(hù)計(jì)劃。這些產(chǎn)品使用戶能夠在標(biāo)準(zhǔn) COTS 硬件和軟件上開(kāi)始開(kāi)發(fā)，然后在準(zhǔn)備好實(shí)施其程序保護(hù)要求時(shí)遷移到安全的 100% 軟件和性能兼容的產(chǎn)品版本。

移動(dòng)目標(biāo)

保護(hù) CPI 免受意外入侵的復(fù)雜任務(wù)帶來(lái)了不斷且不斷發(fā)展的工程挑戰(zhàn)。COTS行業(yè)需要保持警惕，并繼續(xù)開(kāi)發(fā)復(fù)雜的方法來(lái)保護(hù)關(guān)鍵數(shù)據(jù)不落入壞人之手。多級(jí)縱深防御策略使 COTS 供應(yīng)商能夠利用經(jīng)濟(jì)高效的現(xiàn)成技術(shù)、專(zhuān)用數(shù)據(jù)和硬件 IP 以及定制設(shè)計(jì)解決方案的組合，有效緩解惡意攻擊。為了安心和盡可能高的信心，系統(tǒng)設(shè)計(jì)人員應(yīng)與其模塊供應(yīng)商進(jìn)行認(rèn)真而詳細(xì)的討論，以確保最好的安全技術(shù)可用并可以在其關(guān)鍵系統(tǒng)上實(shí)施。

審核編輯：郭婷