到2025年底，全球?qū)⒂谐^(guò)559億臺(tái)設(shè)備實(shí)現(xiàn)聯(lián)網(wǎng)。設(shè)備連接的爆炸式增長(zhǎng)使得關(guān)鍵系統(tǒng)與普通設(shè)備并存。一個(gè)著名的案例是賭場(chǎng)的數(shù)據(jù)庫(kù)被裝在大廳魚缸里的溫度計(jì)“竊取”而泄漏，這個(gè)事件警示我們，盡管設(shè)備單獨(dú)使用時(shí)看似安全可靠，但這種孤立狀態(tài)已不復(fù)存在。在一旦出現(xiàn)故障不僅會(huì)造成巨大損失，還可能帶來(lái)災(zāi)難性后果的行業(yè)中，比如汽車、航空航天和醫(yī)療設(shè)備行業(yè)，確保系統(tǒng)的安全可靠不再是可有可無(wú)的選擇。理解這些差異對(duì)于設(shè)計(jì)能夠抵御意外故障和惡意攻擊的可靠系統(tǒng)至關(guān)重要，但如何在這兩個(gè)關(guān)鍵要素之間找到恰當(dāng)?shù)钠胶?？本博客將探?a target="_blank">嵌入式系統(tǒng)中網(wǎng)絡(luò)安全和功能安全的差異及整合。

嵌入式軟件中的網(wǎng)絡(luò)安全

嵌入式安全(security)通過(guò)諸如加密和安全啟動(dòng)機(jī)制等手段來(lái)保護(hù)設(shè)備的內(nèi)部組件，包括硬件、操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)。它涵蓋了設(shè)備整個(gè)生命周期的安全防護(hù)，從設(shè)計(jì)階段開始，并一直持續(xù)到其退役，保護(hù)設(shè)備免受潛在威脅的影響。

然而，網(wǎng)絡(luò)安全是信息安全的重要組成部分，重點(diǎn)保護(hù)設(shè)備免受網(wǎng)絡(luò)攻擊、防止被黑客入侵、避免數(shù)據(jù)泄露以及其他外部威脅。嵌入式信息安全和網(wǎng)絡(luò)安全對(duì)于保護(hù)嵌入式系統(tǒng)都至關(guān)重要。ISO 27032將網(wǎng)絡(luò)安全定義為“維護(hù)網(wǎng)絡(luò)空間中信息的保密性、完整性和可用性”，并將“網(wǎng)絡(luò)空間”定義為“通過(guò)連接到互聯(lián)網(wǎng)的技術(shù)設(shè)備和網(wǎng)絡(luò)，人、軟件和服務(wù)之間相互作用所產(chǎn)生的復(fù)雜環(huán)境，這種環(huán)境并不存在于任何物理形式中”。嵌入式安全和網(wǎng)絡(luò)安全對(duì)于保護(hù)嵌入式系統(tǒng)都至關(guān)重要。

符合ISO 21434標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全在ISO 21434標(biāo)準(zhǔn)中起著關(guān)鍵作用，該標(biāo)準(zhǔn)專注于在整個(gè)生命周期內(nèi)管理道路車輛中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)將道路車輛網(wǎng)絡(luò)安全定義為“一種道路車輛的網(wǎng)絡(luò)安全狀態(tài)，在這種狀態(tài)下，針對(duì)道路車輛各項(xiàng)部件、其功能及電氣或電子組件的威脅場(chǎng)景，其資產(chǎn)均得到了充分的保護(hù)?！盜SO 21434概述了識(shí)別、評(píng)估和緩解可能影響汽車系統(tǒng)的安全威脅所需的流程。它強(qiáng)調(diào)了將網(wǎng)絡(luò)安全納入車輛開發(fā)各個(gè)階段的重要性，從最初的設(shè)計(jì)到后期生產(chǎn)支持，以及針對(duì)每一個(gè)部件（從安全關(guān)鍵系統(tǒng)到諸如無(wú)線空調(diào)控制和信息娛樂等舒適功能）。通過(guò)確保實(shí)施適當(dāng)?shù)木W(wǎng)絡(luò)安全措施，包括安全的軟件開發(fā)實(shí)踐、風(fēng)險(xiǎn)評(píng)估和持續(xù)監(jiān)控，ISO 21434幫助制造商防范不斷演變的威脅。該標(biāo)準(zhǔn)倡導(dǎo)一種全面的網(wǎng)絡(luò)安全方法，要求車輛的各個(gè)部件以及更廣泛的供應(yīng)鏈共同協(xié)作，以確保實(shí)現(xiàn)強(qiáng)有力的防護(hù)。

脫離上下文的應(yīng)用與TARA

（威脅分析與風(fēng)險(xiǎn)評(píng)估）

為道路車輛開發(fā)安全的嵌入式系統(tǒng)面臨的挑戰(zhàn)是進(jìn)行全面的威脅分析與風(fēng)險(xiǎn)評(píng)估（TARA）。此過(guò)程涉及根據(jù)系統(tǒng)部署的場(chǎng)景，評(píng)估潛在的安全風(fēng)險(xiǎn)和威脅。

當(dāng)一個(gè)系統(tǒng)處于脫離原有環(huán)境的狀況下時(shí)（即該系統(tǒng)是為通用用途而開發(fā)，而非為特定應(yīng)用而設(shè)計(jì)），進(jìn)行準(zhǔn)確的安全評(píng)估可能會(huì)變得困難。在不了解系統(tǒng)將如何被使用的情況下，很難識(shí)別出與該設(shè)備最相關(guān)的威脅。

當(dāng)部署環(huán)境未知時(shí)，無(wú)法對(duì)運(yùn)行環(huán)境做出任何假設(shè)，因此所有的安全分析都必須基于最壞的情況進(jìn)行，這可能包括考慮開放訪問(wèn)，或者某些安全功能（如加密或安全啟動(dòng)）可能缺失。如果預(yù)先已知嵌入式系統(tǒng)的運(yùn)行環(huán)境，則可以可以對(duì)系統(tǒng)的安全需求和能力做出更準(zhǔn)確的假設(shè)。了解網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)流和外部交互等因素，可使開發(fā)人員更有針對(duì)性地設(shè)計(jì)嵌入式系統(tǒng)的安全特性。

圖1 TARA過(guò)程

網(wǎng)絡(luò)安全與功能安全的集成

功能安全是指即使在出現(xiàn)故障或錯(cuò)誤的情況下，確保嵌入式系統(tǒng)能夠持續(xù)按照預(yù)期運(yùn)行。其目標(biāo)是通過(guò)確保安全關(guān)鍵系統(tǒng)能夠準(zhǔn)確地檢測(cè)并響應(yīng)故障，來(lái)最大程度地降低對(duì)人員、設(shè)備或環(huán)境造成傷害的風(fēng)險(xiǎn)。

雖然網(wǎng)絡(luò)安全和功能安全解決的是不同的挑戰(zhàn)，但在現(xiàn)代互聯(lián)嵌入式系統(tǒng)的背景下，它們正變得越來(lái)越相互依賴。兩者都旨在防止系統(tǒng)出現(xiàn)故障，信息安全側(cè)重于外部威脅，而功能安全則側(cè)重于內(nèi)部系統(tǒng)故障。

要將網(wǎng)絡(luò)安全與功能安全相結(jié)合，系統(tǒng)從最初設(shè)計(jì)時(shí)就必須同時(shí)考慮這兩方面因素。例如，對(duì)于汽車這樣的安全關(guān)鍵型應(yīng)用，不僅要確保其在正常情況下的正確運(yùn)行，還需要防范可能影響其操作的網(wǎng)絡(luò)攻擊。一旦遭到攻擊，可能導(dǎo)致剎車或安全氣囊等關(guān)鍵部件發(fā)生故障，從而引發(fā)危險(xiǎn)情況。通過(guò)應(yīng)用ISO 26262功能安全標(biāo)準(zhǔn)和ISO 21434網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，開發(fā)人員可以確保在整個(gè)開發(fā)生命周期中充分解決這兩個(gè)方面的問(wèn)題。

此外，網(wǎng)絡(luò)安全可以通過(guò)防止可能破壞設(shè)備安全運(yùn)行的攻擊來(lái)增強(qiáng)功能安全性。例如，攻擊者如果控制了安全關(guān)鍵系統(tǒng)，可能會(huì)引發(fā)有害的故障。因此，保護(hù)系統(tǒng)免受網(wǎng)絡(luò)安全威脅直接支持了其整體的安全性和可靠性。

使用安全關(guān)鍵RTOS

在開發(fā)安全關(guān)鍵系統(tǒng)時(shí)，選擇一個(gè)同時(shí)支持功能安全和網(wǎng)絡(luò)安全的實(shí)時(shí)操作系統(tǒng)（RTOS）非常重要。安全關(guān)鍵型RTOS不僅滿足嚴(yán)格的可靠性和安全標(biāo)準(zhǔn)，還集成了安全功能以抵御網(wǎng)絡(luò)攻擊。例如，SAFERTOS已通過(guò)IEC 61508和ISO 26262認(rèn)證，并按照ISO 21434標(biāo)準(zhǔn)進(jìn)行開發(fā)。SAFERTOS提供諸如內(nèi)存保護(hù)、容錯(cuò)機(jī)制和實(shí)時(shí)監(jiān)控等功能，確保系統(tǒng)能抵御故障和防范網(wǎng)絡(luò)攻擊。此外，它還包含一個(gè)增強(qiáng)型安全模塊（ESM），為系統(tǒng)提供額外的防護(hù)層，保障系統(tǒng)的完整性。通過(guò)選擇SAFERTOS，開發(fā)人員不僅可以增強(qiáng)系統(tǒng)的可靠性，還能簡(jiǎn)化認(rèn)證流程，從而降低成本并縮短產(chǎn)品上市時(shí)間。

圖2 SAFERTOS及ESM

總結(jié)

在嵌入式系統(tǒng)領(lǐng)域，功能安全與信息安全密不可分。功能安全可確保系統(tǒng)正確運(yùn)行，避免對(duì)用戶或環(huán)境造成傷害，而信息安全則確保系統(tǒng)能夠抵御可能破壞其安全性的惡意攻擊。通過(guò)理解兩者之間的差異并有效整合兩者，開發(fā)人員可以構(gòu)建更具彈性、安全性與可靠性的嵌入式系統(tǒng)。無(wú)論是為已知的應(yīng)用進(jìn)行設(shè)計(jì)，還是處理脫離上下文的組件，進(jìn)行全面的TARA分析并對(duì)環(huán)境做出明智的假設(shè)對(duì)于保護(hù)系統(tǒng)免受威脅至關(guān)重要。隨著嵌入式系統(tǒng)變得更加互連，將網(wǎng)絡(luò)安全與功能安全相結(jié)合將對(duì)于確保其在日益復(fù)雜的世界中的安全和可靠運(yùn)行至關(guān)重要。

麥克泰技術(shù)代理安全認(rèn)證SAFERTOS產(chǎn)品，具有30年的RTOS應(yīng)用與安全認(rèn)證方面的知識(shí)和經(jīng)驗(yàn)，更多SAFERTOS支持和授權(quán)信息，歡迎咨詢info@bmrtech.com。

麥克泰技術(shù)走過(guò)了30年發(fā)展歷程（1995-2025），秉承“讓嵌入式軟件開發(fā)更容易”的理念，致力于推廣嵌入式軟件開發(fā)工具、測(cè)試軟件和嵌入式操作系統(tǒng)。麥克泰技術(shù)通過(guò)舉辦嵌入式軟件和操作系統(tǒng)研討會(huì)、開設(shè)培訓(xùn)課程、出版圖書，撰寫博客文章，倡導(dǎo)和宣傳開放和開源的嵌入式軟件、操作系統(tǒng)以及開發(fā)技術(shù)，包括VRTX（90年代）、μC/OS（2000年），Montavista Linux（2010年）和FreeRTOS（2010年）以及IAR/BDI/J-Link等知名的產(chǎn)品和技術(shù)。

麥克泰技術(shù)具有豐富嵌入式軟件項(xiàng)目開發(fā)、行業(yè)應(yīng)用與服務(wù)經(jīng)驗(yàn)。今天，我們依托歐美嵌入式軟件商業(yè)團(tuán)隊(duì)支持，提供嵌入式軟件商業(yè)授權(quán)和服務(wù)。包括（不限于）SEGGER嵌入式軟件開發(fā)和編程工具（J-Link/Flasher），OS分析工具Tracealyzer，WITTENSTEIN公司的SafeRTOS（FreeRTOS）、Flexible Safety RTOS（μC/OS-II MPU）以及新一代PX5 RTOS。麥克泰技術(shù)專注預(yù)認(rèn)證功能安全操作系統(tǒng)在汽車、軌交、醫(yī)療和工業(yè)領(lǐng)域的應(yīng)用以及RISC-V處理器嵌入式開發(fā)生態(tài)建設(shè)。