76、嵌入式系统安全、问题跟踪与可靠性保障

嵌入式系统安全、问题跟踪与可靠性保障

1. 安全计划

嵌入式系统都应制定安全计划，即便认为系统无安全威胁，也需明确表达思考过程。一个基本的安全计划应涵盖以下要素：
- 安全目标 ：明确系统安全的定义，考虑隐私、保密、认证、商业机密盗窃等方面，确定攻击者是否会导致不安全操作。同时，尽可能设定成本/效益目标，明确安全投入的限度。
- 可能的攻击 ：依据系统预期用途，确定可能遭遇的攻击，常以代表性攻击场景呈现。也可从系统易受攻击的特性入手，如设备的互联网连接通常是安全漏洞。
- 故障严重性 ：区分可能导致关键安全故障的攻击和仅造成干扰的攻击，对攻击的重要性进行优先级排序，以便确定应对措施。可使用表格，为每个威胁标注严重性和应对策略。
- 应对措施 ：针对高严重性威胁，制定相应的应对措施。

此外，安全计划还需考虑系统随威胁变化的演进，包括更新策略和监控策略：
- 更新策略 ：当出现新威胁或旧威胁严重性增加时，制定部署改进安全对策的方案，涵盖自身软件和第三方软件的修复。若通过互联网分发安全更新，要警惕更新机制遭受攻击；若依赖用户更新，需防范攻击者设置恶意更新网站欺骗用户。
- 监控策略 ：持续监控系统遭受的攻击，了解威胁的实际情况，以便应对不断变化的威胁环境。同时，跟踪第三方软件的安全修复发布情况。

有时，嵌入式系统可能无需设计安全功能，而是依赖用户提供安全环境。此时，仍需制定安全计划，包括向用户说明不提供