电子产品世界

　　了解系统的真正威胁、并且评估这些威胁的风险，评估哪些威胁是最危险的并最可能发生。将系统性防御这些威胁所需的安全策略进行描述并归档。这将是一系列的声明，例如：“只有可信任的代码才允许进入到受限制的内存”，或“密码密钥必须保密”。

　　设计并实施能加强系统安全策略的防范措施。理论上，这些防范措施是保护、检测和回应的混合机制。

　　防范措施

　　在系统确定了潜在的攻击，且已定义好安全目标后，就可以考虑实施防范技术来减轻风险。一套有效的安全防范措施包括3个不同的部分，并且它们依次发挥作用：保护、检测、回应。

　　为了解释保护、检测和回应之间的关系，我们来看一个经典的汽车盗窃案例。偷车贼如果想要偷窃您的新车，他必须首先破环车门锁。如果窃贼想要开走汽车而不仅是抢劫车内财物，他可能遇到许多安全措施，包括由于没有使用正确的钥匙而导致触发引擎关断开关，或者由于声音、冲击或篡改而激活警报声。甚至车主还会采纳其他额外的、意料之外的安全措施，如Lojack汽车恢复系统，尽管该系统还存在安全漏洞，但也可能把警察直接带到盗车贼身边。在安全设计术语中，门锁和引擎关断机制是保护对策，而警报是检测对策，警察和Lojack系统是回应对策。

　　这些对策必须基于系统已知威胁来合理地共同工作。如果保护机制被攻破，必须依靠检测和回应机制来抵御攻击。如果回应机制不存在或无效，那拥有检测机制也就没有意义。

关键词： 嵌入式系统 安全系统 风险评估 威胁建模 检测 200908