嵌入式系统中网络安全和功能安全的差异及整合

到2025年底，全球将有超过559亿台设备实现联网。设备连接的爆炸式增长使得关键系统与普通设备并存。一个著名的案例是赌场的数据库被装在大厅鱼缸里的温度计“窃取”而泄漏，这个事件警示我们，尽管设备单独使用时看似安全可靠，但这种孤立状态已不复存在。在一旦出现故障不仅会造成巨大损失，还可能带来灾难性后果的行业中，比如汽车、航空航天和医疗设备行业，确保系统的安全可靠不再是可有可无的选择。理解这些差异对于设计能够抵御意外故障和恶意攻击的可靠系统至关重要，但如何在这两个关键要素之间找到恰当的平衡？本博客将探讨嵌入式系统中网络安全和功能安全的差异及整合。

嵌入式软件中的网络安全

嵌入式安全(security)通过诸如加密和安全启动机制等手段来保护设备的内部组件，包括硬件、操作系统、应用程序和数据。它涵盖了设备整个生命周期的安全防护，从设计阶段开始，并一直持续到其退役，保护设备免受潜在威胁的影响。

然而，网络安全是信息安全的重要组成部分，重点保护设备免受网络攻击、防止被黑客入侵、避免数据泄露以及其他外部威胁。嵌入式信息安全和网络安全对于保护嵌入式系统都至关重要。ISO 27032将网络安全定义为“维护网络空间中信息的保密性、完整性和可用性”，并将“网络空间”定义为“通过连接到互联网的技术设备和网络，人、软件和服务之间相互作用所产生的复杂环境，这种环境并不存在于任何物理形式中”。嵌入式安全和网络安全对于保护嵌入式系统都至关重要。

符合ISO 21434标准的网络安全

网络安全在ISO 21434标准中起着关键作用，该标准专注于在整个生命周期内管理道路车辆中的网络安全风险。该标准将道路车辆网络安全定义为“一种道路车辆的网络安全状态，在这种状态下，针对道路车辆各项部件、其功能及电气或电子组件的威胁场景，其资产均得到了充分的保护。”ISO 21434概述了识别、评估和缓解可能影响汽车系统的安全威胁所需的流程。它强调了将网络安全纳入车辆开发各个阶段的重要性，从最初的设计到后期生产支持，以及针对每一个部件（从安全关键系统到诸如无线空调控制和信息娱乐等舒适功能）。通过确保实施适当的网络安全措施，包括安全的软件开发实践、风险评估和持续监控，ISO 21434帮助制造商防范不断演变的威胁。该标准倡导一种全面的网络安全方法，要求车辆的各个部件以及更广泛的供应链共同协作，以确保实现强有力的防护。

脱离上下文的应用与TARA

（威胁分析与风险评估）

为道路车辆开发安全的嵌入式系统面临的挑战是进行全面的威胁分析与风险评估（TARA）。此过程涉及根据系统部署的场景，评估潜在的安全风险和威胁。

当一个系统处于脱离原有环境的状况下时（即该系统是为通用用途而开发，而非为特定应用而设计），进行准确的安全评估可能会变得困难。在不了解系统将如何被使用的情况下，很难识别出与该设备最相关的威胁。

当部署环境未知时，无法对运行环境做出任何假设，因此所有的安全分析都必须基于最坏的情况进行，这可能包括考虑开放访问，或者某些安全功能（如加密或安全启动）可能缺失。如果预先已知嵌入式系统的运行环境，则可以可以对系统的安全需求和能力做出更准确的假设。了解网络架构、数据流和外部交互等因素，可使开发人员更有针对性地设计嵌入式系统的安全特性。

图1 TARA过程

网络安全与功能安全的集成

功能安全是指即使在出现故障或错误的情况下，确保嵌入式系统能够持续按照预期运行。其目标是通过确保安全关键系统能够准确地检测并响应故障，来最大程度地降低对人员、设备或环境造成伤害的风险。

虽然网络安全和功能安全解决的是不同的挑战，但在现代互联嵌入式系统的背景下，它们正变得越来越相互依赖。两者都旨在防止系统出现故障，信息安全侧重于外部威胁，而功能安全则侧重于内部系统故障。

要将网络安全与功能安全相结合，系统从最初设计时就必须同时考虑这两方面因素。例如，对于汽车这样的安全关键型应用，不仅要确保其在正常情况下的正确运行，还需要防范可能影响其操作的网络攻击。一旦遭到攻击，可能导致刹车或安全气囊等关键部件发生故障，从而引发危险情况。通过应用ISO 26262功能安全标准和ISO 21434网络安全标准，开发人员可以确保在整个开发生命周期中充分解决这两个方面的问题。

此外，网络安全可以通过防止可能破坏设备安全运行的攻击来增强功能安全性。例如，攻击者如果控制了安全关键系统，可能会引发有害的故障。因此，保护系统免受网络安全威胁直接支持了其整体的安全性和可靠性。

使用安全关键RTOS

在开发安全关键系统时，选择一个同时支持功能安全和网络安全的实时操作系统（RTOS）非常重要。安全关键型RTOS不仅满足严格的可靠性和安全标准，还集成了安全功能以抵御网络攻击。例如，SAFERTOS已通过IEC 61508和ISO 26262认证，并按照ISO 21434标准进行开发。SAFERTOS提供诸如内存保护、容错机制和实时监控等功能，确保系统能抵御故障和防范网络攻击。此外，它还包含一个增强型安全模块（ESM），为系统提供额外的防护层，保障系统的完整性。通过选择SAFERTOS，开发人员不仅可以增强系统的可靠性，还能简化认证流程，从而降低成本并缩短产品上市时间。

图2 SAFERTOS及ESM

总结

在嵌入式系统领域，功能安全与信息安全密不可分。功能安全可确保系统正确运行，避免对用户或环境造成伤害，而信息安全则确保系统能够抵御可能破坏其安全性的恶意攻击。通过理解两者之间的差异并有效整合两者，开发人员可以构建更具弹性、安全性与可靠性的嵌入式系统。无论是为已知的应用进行设计，还是处理脱离上下文的组件，进行全面的TARA分析并对环境做出明智的假设对于保护系统免受威胁至关重要。随着嵌入式系统变得更加互连，将网络安全与功能安全相结合将对于确保其在日益复杂的世界中的安全和可靠运行至关重要。

麦克泰技术代理安全认证SAFERTOS产品，具有30年的RTOS应用与安全认证方面的知识和经验，更多SAFERTOS支持和授权信息，欢迎咨询info@bmrtech.com。

麦克泰技术走过了30年发展历程（1995-2025），秉承“让嵌入式软件开发更容易”的理念，致力于推广嵌入式软件开发工具、测试软件和嵌入式操作系统。麦克泰技术通过举办嵌入式软件和操作系统研讨会、开设培训课程、出版图书，撰写博客文章，倡导和宣传开放和开源的嵌入式软件、操作系统以及开发技术，包括VRTX（90年代）、?C/OS（2000年），Montavista Linux（2010年）和FreeRTOS（2010年）以及IAR/BDI/J-Link等知名的产品和技术。

麦克泰技术具有丰富嵌入式软件项目开发、行业应用与服务经验。今天，我们依托欧美嵌入式软件商业团队支持，提供嵌入式软件商业授权和服务。包括（不限于）SEGGER嵌入式软件开发和编程工具（J-Link/Flasher），OS分析工具Tracealyzer，WITTENSTEIN公司的SafeRTOS（FreeRTOS）、Flexible Safety RTOS（?C/OS-II MPU）以及新一代PX5 RTOS。麦克泰技术专注预认证功能安全操作系统在汽车、轨交、医疗和工业领域的应用以及RISC-V处理器嵌入式开发生态建设。