在网络世界保护嵌入式系统: 不仅仅是加密

2015年7月01日

嵌入式系统通常是在生命和安全攸关产品的核心。因此,他们属于安全法规和标准的管理范围。制造商需分析各种潜在危险的来源,如组件不可靠性、用户操作失误、滥用和可能的设计错误。然而添加网络到这些设备,会给设备的安全性带来新的安全风险。

通过网络远程访问保护嵌入式系统对许多制造商而言是一个挑战。传统的嵌入式系统开发人员不熟悉安全技术或对潜在的黑客利用设备漏洞的风险评估。不幸的是,传统的信息技术 (IT) 世界没有太大的帮助,因为这一领域专家不熟悉嵌入式实时控制系统、安全风险管理或监管软件的开发。

方法

向嵌入式系统增加“网络”增加了这种系统与网络和可能与之连接的一切的接触范围。目前已经开发了多种方法,可有效和高效地分析这种系统并为解决安全威胁做出合理、明智的决策。美国国家标准与技术研究院 (NIST) 发布了两个相关标准:SP-800-30和SP-800-39。 

安全分析首先是通过列举整个系统范围的威胁、漏洞和资产创建威胁模型。然后正式的风险导向方法指导决策,包括哪里可能需要额外的安全控制,系统哪些部分包含最大的安全风险。安全风险是根据传统的 “CIA Triad”——保密性(确保只能以规定方式访问系统(包括数据))、完整性(确保只能以规定方式更改或操作系统)和可用性(确保在需要时可以访问和操作系统)。

实施安全开发生命周期以持续管理风险,这对开发安全的嵌入式系统而言也是非常关键的。NIST 的 SP 800-39 和其他标准强调了制定安全要求、以及在装置生命周期开始和过程中遵守安全要求的重要性。这可能需要利用包含一系列“滥用实例”的正常“用例”进行讨论,用例中记录的攻击者可能尝试的内容必须在设计中予以避免。

在整个生命周期都必须不断进行风险分析和决策。应针对薄弱环节分析硬件/软件架构,安全控制应落实到位,以减少潜在的漏洞。必须制定有关代码分析、安全测试的战略,例如模糊测试和渗透测试。

重要的是要记住,在解决安全风险时是无法证明设备是安全的。所有这一切都可能提高标准,从而增加相信简单的开发是无法取得成果。因此,有必要设计方法从现场设备收集信息来识别未被发现的漏洞,并建立一个机制,在新发现的问题越过风险阈值时能够安全地部署补丁程序,以便做出响应。 

示例: 医疗设备

上面所讨论的问题对于医疗设备而言是非常关键而且及时的。2009 年的医疗信息技术促进经济和临床健康 (HITECH) 法案鼓励使用集成电子健康记录系统,从而推动各种医疗设备集成这些医疗记录系统。

其伴随的有利因素是显而易见的——消除了纸张和抄写错误、减少临床工作量、以及持续的监测与报警,等等。但风险可能就不那么明显。嵌入式电子医疗设备或者收集用于诊断患者(例如床边监视器)的信息,或者可以直接向患者提供治疗(例如输注泵),因此电子医疗设备的不正确运作可对病人造成伤害。恶意(或不称职)的用户会影响病人的健康。

举一个具体的例子,如果是用于向患者体内提供定量药物的床边药物输注泵。过量或剂量不足可能有危险、甚至是致命的。事实上,在最近发布的报告 1 中,独立的研究小组 ECRI 将“输液泵用药错误”列为 2014 年第二大健康技术危害。作为一种独立装置,已添加了许多复杂的功能,如流量不足/流量过大/堵塞/需要补充等本地报警,以便减少诸多安全隐患。

为了补充本地报警,已添加了将警报传达到远程护理站的网络接口。为了最大限度减少获取正确药物/适当剂量/正确病人时发生的错误,已添加了药品字典、条形码扫描仪和对病人体重和处方状态远程访问。再重新考虑 CIA Triad,新的网络设备仍面临一些问题。

保密性

输液泵包含诸如患者姓名、患者标识(可能是医院记录 ID)信息以及有关输液药物和用量的信息。根据 HIPAA 隐私法,此类信息属于受保护的健康信息(PHI),并且必须保密。显然,当这些信息通过网络发送时,任何方向都必须适当加密。分析需要延伸到设备中保存的数据——尤其当输液泵从患者取出并送去贮存或给其他患者使用时。 

完整性

确保泵的完整性,包括控制对泵的网络访问的机制分析。显然,驱动药物输送的输液设置需要得到保护,只能通过授权的方式更改装置。药物字典和更新处理同样必须加以保护。访问患者体重和处方药等患者信息的协议,必须能够消除向泵提供虚假信息的风险。数据来源需要适当验证,因为错误的体重/错误的患者/错误的处方都可能导致对患者的伤害。

一个能确保这些内容的不太明显的资产是泵软件。如果攻击者可以修改或替换设备软件,那么正版软件自带的保护就毫无意义了。应采用保护修补程序/重编程功能权限的认证机制。可以添加低成本硬件选项,如受信任的平台模块 2 (TPM),它在启动过程中为软件完整性提供了高可信度确认。

可用性

可用性的考虑包括确保即使有恶意人员干扰网络连接时,泵仍可继续正常运行。虽然连接的拒绝服务攻击可能破坏对泵更改以不同的药物/不同的患者的能力,强大的设计应消除正常运行对网络的依赖。如果网络用于远程警报报告,当下游报警管理器不能保持安全连接时,设备会提供警告。

结论

本案例分析表明,一旦将嵌入式电子装置连接到网络,安全性就是设备安全需要考虑的一个重要因素。同时,系统的复杂性也明显增加。幸运的是,提供了规程和程序,比如上述 NIST 示例,它提供正规的方法以评估系统安全风险的和解决这些风险的优先次序。 

文章标签

最新消息

Wolfspeed SiC 助力实现太阳能基础设施转型

10 个月前

提升能源利用效率的住宅储能解决方案

电池储能(ESS)解决方案除了应用于工业、发电之外,在家庭住宅部分,也成为当前应用与市场发展的关键。住宅的ESS解决方案所需的功率较小,但对转换效率与安全性的要求,仍与工业应用相同。本文将为您介绍住宅ESS解决方案的市场趋势,以及艾睿电子与Rohm推出的SiC相关解决方案的功能特性。

去年

绿色工业解决方案带动能源应用市场增长

去年
Sorry, your filter selection returned no results.

与电子元件连接

Facebook LinkedIn Instagram YouTube
联系我们

联系与支持

项目和合作伙伴

产品类别

制造商

垂直领域与趋势

请仔细阅读我们近期更改的隐私政策。当按下确认键时,您已了解并同意艾睿电子的隐私政策和用户协议。

请参阅短策略

本网站需使用cookies以改善用户您的体验并进一步改进我们的网站。此处阅读了解关于网站cookies的使用以及如何禁用cookies。网页cookies和追踪功能或許用于市场分析。当您按下同意按钮,您已经了解并同意在您的设备上接受cookies,并给予网站追踪权限。更多关于如何取消网站cookies及追踪的信息,请点击下方“阅读更多”。尽管同意启用cookies追踪与否取决用户意愿,取消网页cookies及追踪可能导致网站运作或显示异常,亦或导致相关推荐广告减少。

我们尊重您的隐私。请在此阅读我们的隐私政策。