当前位置: 首页 > 信息系统安全基础 > 正文

软考信息安全工程师学习笔记二十四(4.6 嵌入式系统安全)

4.6 嵌入式系统安全

广义地讲,凡是不用于通用目的的可编程计算机设备,就可以算是嵌入式计算机系统。最典型的嵌入式系统如手机,可视电话等,如传真机,打印机等

狭义上讲:嵌入式系统是指以应用为核心,以计算机技术为基础,软硬件可裁剪,适用应用系统对功能,可靠性,成本,体积和功耗严格妖气的专用计算机系统。

嵌入式系统具有如下特点

(1)嵌入式系统具有应用针对性

(2)嵌入式系统硬件一般对扩展能力要求不高

(3)嵌入式系统一般采用专门针对嵌入式应用设计的中央处理器

(4)嵌入式系统中操作系统可能有也可能没有,且嵌入式操作系统与桌面计算机操作系统有较大差别

(5)嵌入式系统一般有实时性要求

(6)嵌入式系统一般有较高的成本控制要求

(7)嵌入式系统软件一般有固化的要求

(8)嵌入式系统一般采用交叉开发的模式

(9)嵌入式系统在体积,功耗,可靠性,环境适应性上一般有特殊要求。

(10)嵌入式系统技术标准化程度不高,也存在一定程度的标准化

常见的嵌入式系统设备,包括智能卡,USB-key和智能手机等

智能卡的用途可归为如下四点:1 身份识别,2 支付工具,3 加密解密,4 信息存储

从本质上说,片内操作系统(COS)是智能卡芯片内的一个监控软件,它在智能卡中的概念和地位类似与DOS在个人计算机PC中的概念和地位

与DOS不一样的地方在于:COS更加注意安全

COS一般由四部分组成:通讯管理模块和安全管理模块,应用管理模块和文件管理模块

针对智能卡,有以下几种常见的攻击手段

1 物理篡改

2 时钟抖动

3 超范围电压探测

USB Key是一种USB接口的硬件设备

USB Key身份认证的特点

1 双因子认证:每一个USB key都具有硬件PIN码保护,PIN码和硬件构成了用户使用USB Key的两个必要因数。即所谓“双因子认证”。用户只有同时取得了USB Key和用户PIN码,才可以登录系统。

2 带有安全存储空间

3 硬件实现加密算法

4 便于携带,安全可靠

5 身份认证模式

USB Key目前来说并不是绝对安全的,实际存在两大安全漏洞

1 交互操作存在漏洞,黑客可以远程控制

2 无法防止数据被篡改

解决这些漏洞的方法是通过在USB设备上增加新的硬件,革新认证策略。

由于USB Key具有安全可靠,便于携带,使用方便,成本低廉的优点,使用USB key存储数字证书的认证方式已经成为目前主要的认证模式。

智能手机的诞生,是PDA演变而来的。PDA,英文全称Personal Digital Assistant,即个人数码助理,一般是指掌上电脑

智能手机的操作系统有:Windows CE,Palm OS,Pocket PC,WindowsPhone和IOS,安卓等

Windows CE:微软开发的嵌入式操作系统

Palm OS:Palm公司开发的32位嵌入式操作系统

Pocket PC:在Windows CE的基础上改进的

WindowsPhone:简称WP

Android:是一种以Linux为基础的开放源代码操作系统。Android 分为4个层,从高层到低层分别是应用程序层,应用程序框架层,系统运行库层和Linux核心层。Android是以Linux为核心的手机操作平台

iOS:由苹果公司开发的移动操作系统,也是闭源的操作系统,所有的开发软件必须苹果的审核才能开放使用,并且只能在苹果的硬件设备上使用

智能手机安全隐患有如下的几个方面

1 目前我国软件应用平台以谷歌的安卓为主

2 黑客们就电商APP进行二次打包伪装知名应用混淆用户

3 手机病毒感染率非常严峻

4 短信信息常含有一些恶意软件,网站的链接,扫面二维码染毒的分先日益增多

可信智能手机应该具有无线保密通信,GPS等典型的功能应用,其具体方法如下

1 可信智能终端系统的体系结构

2 可信智能终端的操作系统安全增强

3 可信智能终端的信任链结构

4 可信只能终端的保密通信与可信网络连接

现代工业控制系统包括过程控制,数据采集系统(SCADA),分布式控制系统(DCS),程序逻辑控制(PLC)以及其他控制系统等

在中国,与传统的网络语信息系统安全相比,工业控制系统信息安全保护水平明显偏低,长期以来没有得到关注,大多数的工业控制系统在开发设计时,只考虑了效率和实时等特性,并未将信息安全纳入主要考虑的指标。

工业控制系统面临的威胁是多样化的,一方面敌对政府,恐怖组织,商业间谍,内部不法人员,外部非法入侵者等对系统虎视眈眈;另一方面,系统复杂性,认为事故,操作系统,设备故障和自然灾害等也会对工业控制系统造成破坏。

电力工控系统面临的主要威胁

1 内部人为风险

2 黑客攻击

3 病毒破坏

4 预置陷阱

5 电力工控系统采用对策

加强制度建设和人员管理

加强技术防范

加强整体防护

工控系统信息安全不是一个单纯的技术问题,而是涉及到技术,管理,流程,人员意识等各方面的系统工程,徐璈组件包括控制工程师,工控设备供应商,系统集成商,信息安全专家等成员的工控系统信息安全队伍。

在监控级和网络层面可采取现有等级保护的相关标准和规范开展等级测评

在控制级级:

在现场级

在管理上。

 

本文固定链接: https://www.moondream.cn/?p=582 | 月梦工作室

该日志由 moondream 于2018年05月18日发表在 信息系统安全基础 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 软考信息安全工程师学习笔记二十四(4.6 嵌入式系统安全) | 月梦工作室
关键字:

说点什么

avatar

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

  Subscribe  
提醒