到2025年底，全球將有超過559億臺設備實現(xiàn)聯(lián)網(wǎng)。設備連接的爆炸式增長使得關鍵系統(tǒng)與普通設備并存。一個著名的案例是賭場的數(shù)據(jù)庫被裝在大廳魚缸里的溫度計“竊取”而泄漏，這個事件警示我們，盡管設備單獨使用時看似安全可靠，但這種孤立狀態(tài)已不復存在。在一旦出現(xiàn)故障不僅會造成巨大損失，還可能帶來災難性后果的行業(yè)中，比如汽車、航空航天和醫(yī)療設備行業(yè)，確保系統(tǒng)的安全可靠不再是可有可無的選擇。理解這些差異對于設計能夠抵御意外故障和惡意攻擊的可靠系統(tǒng)至關重要，但如何在這兩個關鍵要素之間找到恰當?shù)钠胶猓勘静┛蛯⑻接?a target="_blank">嵌入式系統(tǒng)中網(wǎng)絡安全和功能安全的差異及整合。

嵌入式軟件中的網(wǎng)絡安全

嵌入式安全(security)通過諸如加密和安全啟動機制等手段來保護設備的內(nèi)部組件，包括硬件、操作系統(tǒng)、應用程序和數(shù)據(jù)。它涵蓋了設備整個生命周期的安全防護，從設計階段開始，并一直持續(xù)到其退役，保護設備免受潛在威脅的影響。

然而，網(wǎng)絡安全是信息安全的重要組成部分，重點保護設備免受網(wǎng)絡攻擊、防止被黑客入侵、避免數(shù)據(jù)泄露以及其他外部威脅。嵌入式信息安全和網(wǎng)絡安全對于保護嵌入式系統(tǒng)都至關重要。ISO 27032將網(wǎng)絡安全定義為“維護網(wǎng)絡空間中信息的保密性、完整性和可用性”，并將“網(wǎng)絡空間”定義為“通過連接到互聯(lián)網(wǎng)的技術設備和網(wǎng)絡，人、軟件和服務之間相互作用所產(chǎn)生的復雜環(huán)境，這種環(huán)境并不存在于任何物理形式中”。嵌入式安全和網(wǎng)絡安全對于保護嵌入式系統(tǒng)都至關重要。

符合ISO 21434標準的網(wǎng)絡安全

網(wǎng)絡安全在ISO 21434標準中起著關鍵作用，該標準專注于在整個生命周期內(nèi)管理道路車輛中的網(wǎng)絡安全風險。該標準將道路車輛網(wǎng)絡安全定義為“一種道路車輛的網(wǎng)絡安全狀態(tài)，在這種狀態(tài)下，針對道路車輛各項部件、其功能及電氣或電子組件的威脅場景，其資產(chǎn)均得到了充分的保護。”ISO 21434概述了識別、評估和緩解可能影響汽車系統(tǒng)的安全威脅所需的流程。它強調(diào)了將網(wǎng)絡安全納入車輛開發(fā)各個階段的重要性，從最初的設計到后期生產(chǎn)支持，以及針對每一個部件（從安全關鍵系統(tǒng)到諸如無線空調(diào)控制和信息娛樂等舒適功能）。通過確保實施適當?shù)木W(wǎng)絡安全措施，包括安全的軟件開發(fā)實踐、風險評估和持續(xù)監(jiān)控，ISO 21434幫助制造商防范不斷演變的威脅。該標準倡導一種全面的網(wǎng)絡安全方法，要求車輛的各個部件以及更廣泛的供應鏈共同協(xié)作，以確保實現(xiàn)強有力的防護。

脫離上下文的應用與TARA

（威脅分析與風險評估）

為道路車輛開發(fā)安全的嵌入式系統(tǒng)面臨的挑戰(zhàn)是進行全面的威脅分析與風險評估（TARA）。此過程涉及根據(jù)系統(tǒng)部署的場景，評估潛在的安全風險和威脅。

當一個系統(tǒng)處于脫離原有環(huán)境的狀況下時（即該系統(tǒng)是為通用用途而開發(fā)，而非為特定應用而設計），進行準確的安全評估可能會變得困難。在不了解系統(tǒng)將如何被使用的情況下，很難識別出與該設備最相關的威脅。

當部署環(huán)境未知時，無法對運行環(huán)境做出任何假設，因此所有的安全分析都必須基于最壞的情況進行，這可能包括考慮開放訪問，或者某些安全功能（如加密或安全啟動）可能缺失。如果預先已知嵌入式系統(tǒng)的運行環(huán)境，則可以可以對系統(tǒng)的安全需求和能力做出更準確的假設。了解網(wǎng)絡架構、數(shù)據(jù)流和外部交互等因素，可使開發(fā)人員更有針對性地設計嵌入式系統(tǒng)的安全特性。

圖1 TARA過程

網(wǎng)絡安全與功能安全的集成

功能安全是指即使在出現(xiàn)故障或錯誤的情況下，確保嵌入式系統(tǒng)能夠持續(xù)按照預期運行。其目標是通過確保安全關鍵系統(tǒng)能夠準確地檢測并響應故障，來最大程度地降低對人員、設備或環(huán)境造成傷害的風險。

雖然網(wǎng)絡安全和功能安全解決的是不同的挑戰(zhàn)，但在現(xiàn)代互聯(lián)嵌入式系統(tǒng)的背景下，它們正變得越來越相互依賴。兩者都旨在防止系統(tǒng)出現(xiàn)故障，信息安全側重于外部威脅，而功能安全則側重于內(nèi)部系統(tǒng)故障。

要將網(wǎng)絡安全與功能安全相結合，系統(tǒng)從最初設計時就必須同時考慮這兩方面因素。例如，對于汽車這樣的安全關鍵型應用，不僅要確保其在正常情況下的正確運行，還需要防范可能影響其操作的網(wǎng)絡攻擊。一旦遭到攻擊，可能導致剎車或安全氣囊等關鍵部件發(fā)生故障，從而引發(fā)危險情況。通過應用ISO 26262功能安全標準和ISO 21434網(wǎng)絡安全標準，開發(fā)人員可以確保在整個開發(fā)生命周期中充分解決這兩個方面的問題。

此外，網(wǎng)絡安全可以通過防止可能破壞設備安全運行的攻擊來增強功能安全性。例如，攻擊者如果控制了安全關鍵系統(tǒng)，可能會引發(fā)有害的故障。因此，保護系統(tǒng)免受網(wǎng)絡安全威脅直接支持了其整體的安全性和可靠性。

使用安全關鍵RTOS

在開發(fā)安全關鍵系統(tǒng)時，選擇一個同時支持功能安全和網(wǎng)絡安全的實時操作系統(tǒng)（RTOS）非常重要。安全關鍵型RTOS不僅滿足嚴格的可靠性和安全標準，還集成了安全功能以抵御網(wǎng)絡攻擊。例如，SAFERTOS已通過IEC 61508和ISO 26262認證，并按照ISO 21434標準進行開發(fā)。SAFERTOS提供諸如內(nèi)存保護、容錯機制和實時監(jiān)控等功能，確保系統(tǒng)能抵御故障和防范網(wǎng)絡攻擊。此外，它還包含一個增強型安全模塊（ESM），為系統(tǒng)提供額外的防護層，保障系統(tǒng)的完整性。通過選擇SAFERTOS，開發(fā)人員不僅可以增強系統(tǒng)的可靠性，還能簡化認證流程，從而降低成本并縮短產(chǎn)品上市時間。

圖2 SAFERTOS及ESM

總結

在嵌入式系統(tǒng)領域，功能安全與信息安全密不可分。功能安全可確保系統(tǒng)正確運行，避免對用戶或環(huán)境造成傷害，而信息安全則確保系統(tǒng)能夠抵御可能破壞其安全性的惡意攻擊。通過理解兩者之間的差異并有效整合兩者，開發(fā)人員可以構建更具彈性、安全性與可靠性的嵌入式系統(tǒng)。無論是為已知的應用進行設計，還是處理脫離上下文的組件，進行全面的TARA分析并對環(huán)境做出明智的假設對于保護系統(tǒng)免受威脅至關重要。隨著嵌入式系統(tǒng)變得更加互連，將網(wǎng)絡安全與功能安全相結合將對于確保其在日益復雜的世界中的安全和可靠運行至關重要。

麥克泰技術代理安全認證SAFERTOS產(chǎn)品，具有30年的RTOS應用與安全認證方面的知識和經(jīng)驗，更多SAFERTOS支持和授權信息，歡迎咨詢info@bmrtech.com。

麥克泰技術走過了30年發(fā)展歷程（1995-2025），秉承“讓嵌入式軟件開發(fā)更容易”的理念，致力于推廣嵌入式軟件開發(fā)工具、測試軟件和嵌入式操作系統(tǒng)。麥克泰技術通過舉辦嵌入式軟件和操作系統(tǒng)研討會、開設培訓課程、出版圖書，撰寫博客文章，倡導和宣傳開放和開源的嵌入式軟件、操作系統(tǒng)以及開發(fā)技術，包括VRTX（90年代）、μC/OS（2000年），Montavista Linux（2010年）和FreeRTOS（2010年）以及IAR/BDI/J-Link等知名的產(chǎn)品和技術。

麥克泰技術具有豐富嵌入式軟件項目開發(fā)、行業(yè)應用與服務經(jīng)驗。今天，我們依托歐美嵌入式軟件商業(yè)團隊支持，提供嵌入式軟件商業(yè)授權和服務。包括（不限于）SEGGER嵌入式軟件開發(fā)和編程工具（J-Link/Flasher），OS分析工具Tracealyzer，WITTENSTEIN公司的SafeRTOS（FreeRTOS）、Flexible Safety RTOS（μC/OS-II MPU）以及新一代PX5 RTOS。麥克泰技術專注預認證功能安全操作系統(tǒng)在汽車、軌交、醫(yī)療和工業(yè)領域的應用以及RISC-V處理器嵌入式開發(fā)生態(tài)建設。