问:在为军队设计电子产品时,安全部门的安全挑战是什么?
由Cary Eskow,Avnet Experpeed副总裁
几周前,美国政府问责办公室向参议院委员会委员会发布报告,“武器系统网络安全”。他们确定了在飞机,船舶和,也是安全通信系统上部署的广泛武器系统中的网络安全威胁。部分是作为国防部(国防部)和所有承包商,系统建筑师,工程师,工程师和供应链合作伙伴的“唤醒呼叫”作为“唤醒电话”。
过去,国防部专注于网络安全网络而不是武器系统本身的弱点。这是一个关键的区别,特别是当我们的更新和日益复杂的武器集成到巨大的C3系统中,潜在暴露的网络攻击表面远远超过受损武器本身。在这种情况下,单个“连接”武器的网络漏洞可以为国防部的任务规划、作战方向、战术系统、战略数据库、实时瞄准、预警系统和其他武器提供后门——可以想象,几乎是军火库中的所有武器。
如果这不够令人讨厌,请考虑另外两种因素。在过去,“空中覆盖”架构(不直接连接到因特网的系统或彼此)通过限制电/数据/通信访问的程度来减少漏洞。但是,由于这些系统在复杂性和固件中演变,因此它们通常具有车载诊断端口,USB端口,RF链路等。空气差距不够。第二个因素是供应链安全。很多年前,当我进入行业时,“假冒”IC通常是低质量的功能 - 等效设备,或者一个陈旧的和重新标记的设备。然而,今天,复杂和国家赞助的网络战斗人员可以生产在正常操作条件下在功能相当的微控制器的IC,但包括添加的封面电路,这使得远程访问和控制远程触发。一旦进入供应链,攻击就来自内部。因此,随着严格综合武器系统的战争益处,在内部,外部甚至在组件采购阶段来保护武器几乎是几乎指出的需求。
史蒂夫特拉维斯,技术和商业顾问,底盘计划
随着军事计算机和网络安全要求的提高,对满足FIPS 140-2认证要求的坚固计算机系统的需求也在增加。
美国国家标准与技术研究所(NIST)发布了FIPS 140系列及其四个安全级别,以标准化加密模块的要求。这些要求旨在保护安全系统中的加密模块,以维护系统数据的机密性和完整性。
下面是每个安全级别的基本概述:
- FIPS 140-2 1级:只需要验证软件。使用像Bitlocker这样的应用程序(在FIPS模式下操作的经过批准的Windows版本下)就足以获得认证。
- FIPS 140-2 2级:软件应用程序必须在符合通用标准的评估保证级别2 (EAL2)的操作系统上运行。使用vPro技术的Intel cpu、TPM (Trusted Platform Modules)、加密硬盘等系统组件被用于计算机的安全合规。系统插框本身必须是防篡改的,以防止未经授权的访问内部系统组件。
- FIPS 140-2 3级:需要在“关键安全参数”进入和退出模块的接口之间进行物理或逻辑划分。系统插框被进一步增强以防止任何篡改,并要求在发生篡改时将加密模块呈现为不可操作状态。
- FIPS 140-2 4级:由于需要高级加密级别以及其他环境考虑因素,因此需要独特的内部组件。该系统必须被设计成具有篡改活性,如果它检测到各种形式的环境攻击,例如高温和电压,可能被用来利用加密模块,就会删除设备的内容。
当然,在设计一个安全的系统时,最终认证过程的很大一部分都围绕着客户为其独立解决方案所需的额外硬件和/或软件。
作者:John Rodwig, ieee项目管理总监
几十年来,国防供应链变得更加全球化和复杂。这使托管链或设计来源更加难以确定,并增加了部署假冒或恶意组件的风险。安全性的设计必须与维护、电磁兼容性、制造等相同。工程师必须了解安全流程的关键需求,并参与在独立设计人员级别或更高级别执行的安全流程。
硬件工程师应该识别和跟踪每个逻辑轴承组件,并与采购部门合作,选择具有国防微电子活动(DMEA)可信铸造和可信供应商状态的组件。可能需要额外的测试点来促进第三方分析程序的连接,以进行独立的验证活动,例如跟踪来自逻辑承载组件的管理端口消息。在复杂的设备中,所有的配置数据和状态都必须考虑在内。
软件和固件工程师对开发工具的选择可能更少,并且必须在更严格的开发环境中工作,增加访问控制、封闭的网络、频繁的计算机扫描,以及增加对实用程序和测试代码的审查。必须保护软件和固件的交付方式不被拦截,并且需要付出比电子邮件或物理邮件更多的努力。工程师应该订阅、接收、审查漏洞警报并对其采取行动,并熟悉常见的漏洞和暴露流程。体系结构和同行评审将具有越来越多的安全组件,源代码将受到计算机对常见弱点的分析。应该考虑额外的软件和固件设计,以检测和隔离故障的影响,并为事后事件分析提供持久的日志数据。
经过吉姆·麦克尔罗伊,LDRA营销副总裁
在设计军用电子产品时,有许多安全挑战和考虑。从根本上说,现在的独立系统在很大程度上已经成为过去。因此,系统必须被设计成能够安全地与其他系统协作。这意味着在设计这样的系统时,软件和硬件工程师必须在设计时和运行时(包括所有的维护活动)防止坏的参与者、不可信的数据、伪造的和恶意的部件进入协作系统。
在事物的硬件方面,确保和验证供应链至关重要。这是一个主要的主题。从软件的角度来看,必须从头开始计划安全性。必须设计,分析和测试软件,以防止漏洞在任何开发阶段进入源代码。软件设计必须包括演员的操作身份验证和系统中的数据,以确保系统可以与可信参与者通信并使用受信任的数据进行操作。此外,作为额外保护,需要考虑软件运行的平台以供安全。处理器和操作系统必须能够支持安全和安全的功能,即使在攻击时也能够实现安全和安全的功能。这可能需要隔离任何操作元素,即可能已受到损害的软件,数据和设备。这些挑战只是工程师在将安全性设计成今天的军事系统时需要考虑的许多挑战。
由Scott Phillips,营销副总裁,Virtium固态存储和内存
有两种东西你不太可能看到:独角兽和在当地电子产品零售商购物的军用电子产品设计师。在安全方面,军事系统的标准要高得多;当涉及到保护关键的军事数据时,现成的硬件和基本的密码保护是不够的。
从数据身份验证的角度来看,设计人员有多种选择,从基于经过验证的ATA存储接口的相对简单的密码保护,到数据保护写保护方法,再到更复杂的预引导方案(如Trusted Computing Group标准所支持的方案)。
谈到数据安全性时,有许多加密方法,包括RSA,3DES和自加密驱动器,或SED,方法,与工业级固态驱动器一起流行,通常称为SSD。SED不需要基于软件或基于主机的密钥生成和交换,而是将SSD数据与复杂的加密密码一起加密。基于先进的加密标准,AES-256可以说是最强大的密码。其256位密钥大小提供了一个令人惊叹的1.1 x 1077可能的组合数量,渲染未经授权的数据访问几乎不可能。
从数据消除的角度来看,存在几种方法,从相当简单(但有时很耗时)的基于ata的安全删除机制到各种所谓清除的实现,如快速清除;清除级别1、2和3;和破坏性的清洗。一种相对较新的、也更彻底的使驱动器不可用的方法叫做加密擦除(crypto-erase),它实质上破坏驱动器的加密密钥,使其不可用。这个选项可以通过硬件或软件自动启动,这些硬件或软件会在几毫秒内破坏AES加密密钥。这种方法保护ssd的速度比标准的安全擦除方法快得多,功耗也低得多。为了进一步加强安全性,可以在crypto-erase命令之后加上一个不可中断的secure-erase命令。
了下:航空+国防,网络安全
