希賽小編為考生整理了2022年信息安全工程師考試知識(shí)點(diǎn)（二十三）：嵌入式系統(tǒng)安全，希望對(duì)大家備考信息安全工程師考試會(huì)有幫助。

嵌入式系統(tǒng)安全

【考法分析】

本知識(shí)點(diǎn)主要是對(duì)嵌入式系統(tǒng)安全相關(guān)內(nèi)容的考查。

【要點(diǎn)分析】

1．廣義地講，凡是不用于通用目的的可編程計(jì)算機(jī)設(shè)備，就可以算是嵌入式計(jì)算機(jī)系統(tǒng)。最典型的嵌入式系統(tǒng)如手機(jī)，可視電話等，如傳真機(jī)，打印機(jī)等；狹義上講：嵌入式系統(tǒng)是指以應(yīng)用為核心，以計(jì)算機(jī)技術(shù)為基礎(chǔ)，軟硬件可裁剪，適用應(yīng)用系統(tǒng)對(duì)功能，可靠性，成本，體積和功耗嚴(yán)格妖氣的專用計(jì)算機(jī)系統(tǒng)。

2．嵌入式系統(tǒng)具有如下特點(diǎn)：① 嵌入式系統(tǒng)具有應(yīng)用針對(duì)性；② 嵌入式系統(tǒng)硬件一般對(duì)擴(kuò)展能力要求不高；③ 嵌入式系統(tǒng)一般采用專門針對(duì)嵌入式應(yīng)用設(shè)計(jì)的中央處理器；④ 嵌入式系統(tǒng)中操作系統(tǒng)可能有也可能沒(méi)有，且嵌入式操作系統(tǒng)與桌面計(jì)算機(jī)操作系統(tǒng)有較大差別；⑤ 嵌入式系統(tǒng)一般有實(shí)時(shí)性要求；⑥ 嵌入式系統(tǒng)一般有較高的成本控制要求；⑦ 嵌入式系統(tǒng)軟件一般有固化的要求；⑧ 嵌入式系統(tǒng)一般采用交叉開(kāi)發(fā)的模式；⑨ 嵌入式系統(tǒng)在體積，功耗，可靠性，環(huán)境適應(yīng)性上一般有特殊要求；⑩ 嵌入式系統(tǒng)技術(shù)標(biāo)準(zhǔn)化程度不高，也存在一定程度的標(biāo)準(zhǔn)化。

3．常見(jiàn)的嵌入式系統(tǒng)設(shè)備，包括智能卡，USB-key和智能手機(jī)等。

4．智能卡的用途可歸為如下四點(diǎn)：① 身份識(shí)別；② 支付工具；③ 加密解密；④ 信息存儲(chǔ)。

5．從本質(zhì)上說(shuō)，片內(nèi)操作系統(tǒng)（COS）是智能卡芯片內(nèi)的一個(gè)監(jiān)控軟件，它在智能卡中的概念和地位類似與DOS在個(gè)人計(jì)算機(jī)PC中的概念和地位。與DOS不一樣的地方在于：COS更加注意安全；COS一般由四部分組成★：通訊管理模塊和安全管理模塊，應(yīng)用管理模塊和文件管理模塊。

6．針對(duì)智能卡，有以下幾種常見(jiàn)的攻擊手段：① 物理篡改；② 時(shí)鐘抖動(dòng)；③ 超范圍電壓探測(cè)。

7．USB Key是一種USB接口的硬件設(shè)備；USB Key身份認(rèn)證的特點(diǎn)：

① 雙因子認(rèn)證：每一個(gè)USB key都具有硬件PIN碼保護(hù)，PIN碼和硬件構(gòu)成了用戶使用USB Key的兩個(gè)必要因數(shù)。即所謂“雙因子認(rèn)證”。用戶只有同時(shí)取得了USB Key和用戶PIN碼，才可以登錄系統(tǒng)。

② 帶有安全存儲(chǔ)空間。

③ 硬件實(shí)現(xiàn)加密算法。

④ 便于攜帶，安全可靠

⑤ 身份認(rèn)證模式

8．USB Key目前來(lái)說(shuō)并不是絕對(duì)安全的，實(shí)際存在兩大安全漏洞：

① 交互操作存在漏洞，黑客可以遠(yuǎn)程控制；

② 無(wú)法防止數(shù)據(jù)被篡改。

解決這些漏洞的方法是通過(guò)在USB設(shè)備上增加新的硬件，革新認(rèn)證策略。

9．由于USB Key具有安全可靠，便于攜帶，使用方便，成本低廉的優(yōu)點(diǎn)，使用USB key存儲(chǔ)數(shù)字證書的認(rèn)證方式已經(jīng)成為目前主要的認(rèn)證模式。

10．智能手機(jī)的誕生，是PDA演變而來(lái)的。PDA，英文全稱Personal Digital Assistant，即個(gè)人數(shù)碼助理，一般是指掌上電腦。

11．智能手機(jī)的操作系統(tǒng)有：Windows CE，Palm OS，Pocket PC，WindowsPhone和IOS，安卓等。

Windows CE：微軟開(kāi)發(fā)的嵌入式操作系統(tǒng)；

Palm OS：Palm公司開(kāi)發(fā)的32位嵌入式操作系統(tǒng)；

Pocket PC：在Windows CE的基礎(chǔ)上改進(jìn)的；

WindowsPhone：簡(jiǎn)稱WP；

Android：是一種以Linux為基礎(chǔ)的開(kāi)放源代碼操作系統(tǒng)。Android 分為4個(gè)層，從高層到低層分別是應(yīng)用程序?qū)?，?yīng)用程序框架層，系統(tǒng)運(yùn)行庫(kù)層和Linux核心層。Android是以Linux為核心的手機(jī)操作平臺(tái)；

iOS：由蘋果公司開(kāi)發(fā)的移動(dòng)操作系統(tǒng)，也是閉源的操作系統(tǒng)，所有的開(kāi)發(fā)軟件必須蘋果的審核才能開(kāi)放使用，并且只能在蘋果的硬件設(shè)備上使用。

12．智能手機(jī)安全隱患有如下的幾個(gè)方面：

① 目前我國(guó)軟件應(yīng)用平臺(tái)以谷歌的安卓為主；

② 黑客們就電商APP進(jìn)行二次打包偽裝知名應(yīng)用混淆用戶；

③ 手機(jī)病毒感染率非常嚴(yán)峻；

④ 短信信息常含有一些惡意軟件，網(wǎng)站的鏈接，掃面二維碼染毒的分先日益增多。

13．可信智能手機(jī)應(yīng)該具有無(wú)線保密通信，GPS等典型的功能應(yīng)用，其具體方法如下：

① 可信智能終端系統(tǒng)的體系結(jié)構(gòu)；

② 可信智能終端的操作系統(tǒng)安全增強(qiáng)；

③ 可信智能終端的信任鏈結(jié)構(gòu)；

④ 可信只能終端的保密通信與可信網(wǎng)絡(luò)連接。

14．現(xiàn)代工業(yè)控制系統(tǒng)包括過(guò)程控制，數(shù)據(jù)采集系統(tǒng)（SCADA），分布式控制系統(tǒng)（DCS），程序邏輯控制（PLC）以及其他控制系統(tǒng)等。

15．在中國(guó)，與傳統(tǒng)的網(wǎng)絡(luò)語(yǔ)信息系統(tǒng)安全相比，工業(yè)控制系統(tǒng)信息安全保護(hù)水平明顯偏低，長(zhǎng)期以來(lái)沒(méi)有得到關(guān)注，大多數(shù)的工業(yè)控制系統(tǒng)在開(kāi)發(fā)設(shè)計(jì)時(shí)，只考慮了效率和實(shí)時(shí)等特性，并未將信息安全納入主要考慮的指標(biāo)。

16．工業(yè)控制系統(tǒng)面臨的威脅是多樣化的，一方面敵對(duì)政府，恐怖組織，商業(yè)間諜，內(nèi)部不法人員，外部非法入侵者等對(duì)系統(tǒng)虎視眈眈；另一方面，系統(tǒng)復(fù)雜性，認(rèn)為事故，操作系統(tǒng)，設(shè)備故障和自然災(zāi)害等也會(huì)對(duì)工業(yè)控制系統(tǒng)造成破壞。

17．電力工控系統(tǒng)面臨的主要威脅：① 內(nèi)部人為風(fēng)險(xiǎn)；② 黑客攻擊；③ 病毒破壞；④ 預(yù)置陷阱；⑤ 電力工控系統(tǒng)采用對(duì)策：加強(qiáng)制度建設(shè)和人員管理；加強(qiáng)技術(shù)防范；加強(qiáng)整體防護(hù)。

18．工控系統(tǒng)信息安全不是一個(gè)單純的技術(shù)問(wèn)題，而是涉及到技術(shù)，管理，流程，人員意識(shí)等各方面的系統(tǒng)工程，徐璈組件包括控制工程師，工控設(shè)備供應(yīng)商，系統(tǒng)集成商，信息安全希賽網(wǎng)等成員的工控系統(tǒng)信息安全隊(duì)伍。

19．在監(jiān)控級(jí)(如：工程師站、操作員站、歷史站等)和網(wǎng)絡(luò)層面可采取現(xiàn)有等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)和規(guī)范開(kāi)展等級(jí)測(cè)評(píng)；在控制級(jí)，應(yīng)加強(qiáng)對(duì) Modbus、 OPC 等通信協(xié)議 的使用管理，對(duì)其用戶身份進(jìn)行鑒別和認(rèn)證；在現(xiàn)場(chǎng)級(jí)，應(yīng)實(shí)現(xiàn)對(duì)設(shè)備、控制元件的準(zhǔn)入檢測(cè)，加快建立工控設(shè)備的檢測(cè)標(biāo)準(zhǔn)和規(guī)范；在管理上，應(yīng)建立完善的工控系統(tǒng)安全運(yùn)維方案、策略和計(jì)劃，加強(qiáng)日常安全培訓(xùn)，嚴(yán)控處理流程，防止內(nèi)部攻擊，實(shí)現(xiàn)終端安全防護(hù)，操作使用安全，針對(duì)現(xiàn)階段難議解決的技術(shù)問(wèn)題應(yīng)通過(guò)管理手段進(jìn)行彌補(bǔ)，切實(shí)提高工控系統(tǒng)的安全防護(hù)能力。

【備考點(diǎn)撥】

了解并理解相關(guān)知識(shí)點(diǎn)內(nèi)容。