作者：ROBERT DAY，MICHAEL SLONOSKY

在高威脅的軍事環(huán)境中，連接的設備必須具有內置的安全性。此外，這些設備在連接之前必須符合安全標準。由于這些設備的大部分功能都是在軟件中定義的 - 包括安全訪問控制 - 因此應該將大部分安全性內置到軟件中，特別是控制軟件操作的操作系統(tǒng)中。所有這些都需要一個安全的操作系統(tǒng)，或者更具體地說，對于嵌入式系統(tǒng)，一個安全的實時操作系統(tǒng)（RTOS）。軍方多年來一直在使用安全的操作系統(tǒng)，其中許多僅用于國防部（DoD）的部署。然而，隨著國防部轉向商用現貨 （COTS） 硬件和軟件解決方案以降低成本，對在 COTS 操作系統(tǒng)中內置安全性的需求已經出現。

安全實時操作系統(tǒng)最初是為了滿足軍事部署系統(tǒng)的需求而構建的，但現在可用于任何需要其連接系統(tǒng)安全功能的行業(yè)。新的網絡攻擊對任何以某種方式與人類生活相關的行業(yè)來說都特別令人擔憂;美國安全公司IID最近的一份報告預測，第一起通過“被黑客入侵的互聯網連接設備”的謀殺案將在2014年底發(fā)生。潛在的脆弱行業(yè)包括關鍵基礎設施/工業(yè)控制系統(tǒng)、互聯醫(yī)療設備、聯網車輛，甚至智能家居。

傳統(tǒng)上，嵌入式系統(tǒng)比主流計算機系統(tǒng)更容易受到網絡攻擊，部分原因是在這些系統(tǒng)上運行的RTOS和軟件的專有性質。此外，由于我們的許多嵌入式系統(tǒng)已連接到專有網絡而不是互聯網，因此較少受到網絡攻擊。然而，Stuxnet Worm - 2010年發(fā)現的計算機蠕蟲 - 是這些專有嵌入式系統(tǒng)如何仍然受到攻擊的一個很好的例子。在Stuxnet攻擊中，連接到伊朗一個鎖定設施中的專有網絡的微控制器系統(tǒng)被專門針對此應用程序的計算機病毒破壞和控制，使用傳統(tǒng)的惡意軟件技術（如網絡釣魚電子郵件和USB記憶棒）到達其預期目標。

如果伊朗一個封閉設施中的微控制器系統(tǒng)可以受到網絡攻擊，那么可以做些什么來阻止這種網絡恐怖主義被用來攻擊各種連接的嵌入式系統(tǒng)？

系統(tǒng)內置安全性

使用軍用級安全RTOS是一個很好的起點;這種類型的RTOS在最低級別將安全性構建到系統(tǒng)中，并有助于防止入口點的攻擊，無論是網絡還是其他物理設備。這種安全的RTOS引入了許多關鍵的安全概念，可幫助操作系統(tǒng)防止惡意攻擊，無論它們如何進入系統(tǒng)。具有這些內置安全功能的RTOS是嵌入式連接設備的最佳保護，因為它仍然提供實時特性，支持所需的網絡功能，并且通常比Linux等通用操作系統(tǒng)占用空間更小。具有內置安全性的 RTOS 還提供高級安全保護，包括對文件系統(tǒng)對象的任意訪問控制、使用角色和功能的細粒度用戶訪問控制、用戶的識別和身份驗證控制、設備和系統(tǒng)配額以幫助阻止分布式拒絕服務 （DDoS） 攻擊、用于保證通信鏈路的可信路徑機制，以及通過重用或查看已用內存來阻止攻擊的剩余信息保護。要了解系統(tǒng)如何充分防范惡意攻擊，最好更詳細地了解其中一些關鍵安全功能。

防范惡意攻擊

標識和身份驗證是指網絡上的設備識別有效用戶身份并可以驗證（驗證）用戶聲明身份的安全過程。如果未正確識別和驗證用戶，則嵌入式設備可能容易受到未經授權的用戶訪問。用戶身份驗證的行業(yè)標準稱為 OpenPAM（可插入身份驗證模塊），它提供了一個通用的應用程序編程接口 （API），以允許應用程序使用動態(tài)調用的各種身份驗證模塊。強大的識別和授權機制大大降低了未經授權的用戶訪問嵌入式設備的風險。

自由訪問控制 （DAC） 是一種根據對象（如文件、應用程序、目錄和設備）所屬的用戶或組的標識限制對對象（如文件、應用程序、目錄和設備）的訪問的方法。當使用 Posix.1e 標準定義的訪問控制列表 （ACL） 實現時，DAC 可以提供對誰可以訪問對象的非常細粒度的控制。DAC 使聯網設備能夠仔細控制誰可以訪問和執(zhí)行設備上的文件和數據。角色和功能規(guī)則為不同的用戶提供精細的權限級別。從歷史上看，在 UNIX 和類似系統(tǒng)中，執(zhí)行管理任務的權限是為 root 用戶保留的，root 用戶擁有查看或修改整個系統(tǒng)的完全自主權，無論手頭的原始任務是否需要這些權限。相反，普通用戶沒有任何管理權限。

通常，UNIX root 用戶包羅萬象的權限使其容易受到濫用，無論是無意的還是惡意的。借助 DAC，角色和功能從“全能根用戶”轉變?yōu)榭梢詣?chuàng)建多個管理“角色”的用戶，每個角色都具有特定于手頭任務的特權子集（稱為“功能”）。實現不同角色的嵌入式設備（每個角色的功能有限）將更安全地抵御針對和破壞系統(tǒng)上特定“用戶”帳戶的攻擊。

不要用完空間

配額是一種安全控制，用于防止設備耗盡磁盤、內存或 CPU。例如，如果對系統(tǒng)進行DDOS攻擊以過度使用CPU，則未受保護的設備基本上可能會凍結。通過能夠對任務能夠消耗的關鍵資源（如CPU）的數量設置限制，整個系統(tǒng)可以免受此類攻擊。同樣，如果進程嘗試分配內存或磁盤資源，并且用戶或組的使用量超過配額，則將返回錯誤，并且分配將失敗。

剩余信息保護是另一種安全功能，可確保無論何時分配或釋放資源，資源的內容都可用于其他進程。安全的RTOS使用戶內存和文件系統(tǒng)數據在釋放時對其他人不可用，從而使系統(tǒng)更安全。每當刪除文件系統(tǒng)對象時，分配給該文件系統(tǒng)對象的所有塊都將填充為零。

審計設施允許嵌入式設備捕獲重要的系統(tǒng)事件并對這些事件進行安全監(jiān)控。細粒度事件審核的示例包括登錄、注銷、對象訪問和管理任務等事件，所有這些事件都可以記錄到審核跟蹤中。審核跟蹤包含有價值的信息，可用于查看安全關鍵事件、發(fā)現繞過安全機制的嘗試以及執(zhí)行取證分析。因此，審計跟蹤可以阻止企圖的攻擊，因為審計日志記錄會捕獲任何入侵嘗試。可以提供安全任務來監(jiān)視實時審核事件的發(fā)生，并分析寫入審核跟蹤的審核記錄，從而幫助使連接的設備更加安全。

隨著越來越多的嵌入式設備連接到無處不在的互聯網，網絡威脅變得越復雜，對操作系統(tǒng)級別的內置安全性的需求就越大，因為許多網絡威脅通過操作系統(tǒng)漏洞進入我們的設備。Lynx Software Technologies的LynxOS 7.0 RTOS具有內置的安全功能。它可用于Curtiss-Wright Defense Solutions堅固型單板計算機：VPX6-187，它基于飛思卡爾的Power Architecture P4080處理器;以及基于英特爾酷睿 i7 第四代四核處理器的 VME-1908 和 VPX6-1958 SBC。

審核編輯：郭婷