鄭敏娟

（寧夏銀光鋼構(gòu)件制造有限公司 寧夏 銀川 750101）

0 引言

在分析設(shè)計(jì)損毀模塊過(guò)程中，主要需針對(duì)損毀方式、時(shí)機(jī)、策略和多級(jí)自毀策略進(jìn)行研究。所謂的自毀技術(shù)是保證系統(tǒng)數(shù)據(jù)信息安全的關(guān)鍵安全技術(shù)。能夠自主保護(hù)系統(tǒng)內(nèi)部重要數(shù)據(jù)、程序的安全性不受到威脅，采取對(duì)系統(tǒng)有選擇性的進(jìn)行損毀操作。系統(tǒng)損毀機(jī)制能夠提供自毀技術(shù)支持，可以根據(jù)系統(tǒng)受到的安全性威脅的級(jí)別，自動(dòng)觸發(fā)，完成不同程度自毀。

1 損毀的時(shí)機(jī)

對(duì)于需要有系統(tǒng)銷(xiāo)毀功能的高可信嵌入式控制系統(tǒng)，其內(nèi)部需要損毀的部分?jǐn)?shù)據(jù)、程序等資料是十分針對(duì)的，例如日志資料對(duì)于合法用戶來(lái)說(shuō)是缺失后不可再得的寶貴數(shù)據(jù)資源。所以系統(tǒng)一旦在不適當(dāng)?shù)那闆r下啟動(dòng)系統(tǒng)銷(xiāo)毀時(shí)，對(duì)系統(tǒng)來(lái)說(shuō)就不再是一種保護(hù)，恰恰相反是這種行為將會(huì)對(duì)系統(tǒng)造成了難以估量的損失。因此對(duì)于如何選擇合理恰當(dāng)?shù)臅r(shí)機(jī)，如何判斷銷(xiāo)毀級(jí)別的研究是系統(tǒng)損毀機(jī)制功能模塊策略設(shè)計(jì)的首要前提。

系統(tǒng)損毀機(jī)制需要保證系統(tǒng)啟動(dòng)的時(shí)機(jī)是在十分必要的情況下才觸發(fā)的，不允許系統(tǒng)在不受任何威脅的情況下啟動(dòng)自毀功能，或者由于合法用戶的誤操作而觸發(fā)系統(tǒng)損毀，造成系統(tǒng)不必要的損失。同時(shí)，需要考慮到系統(tǒng)是如何判定這些觸發(fā)條件的真實(shí)性及必要性，以避免不必要的損毀造成的麻煩。系統(tǒng)損毀啟動(dòng)的條件包括系統(tǒng)落入非法用戶或已被非法用戶以某種方式控制，或者是系統(tǒng)的可靠性低于指定的門(mén)限值等。系統(tǒng)內(nèi)存儲(chǔ)的重要信息只要存在被非法用戶竊取的威脅，就需要系統(tǒng)在無(wú)系統(tǒng)管理員管理的情況下主動(dòng)獲知系統(tǒng)當(dāng)前的狀況，在必要恰當(dāng)?shù)那闆r下啟動(dòng)系統(tǒng)損毀機(jī)制。

通過(guò)研究自毀機(jī)制，并結(jié)合系統(tǒng)設(shè)計(jì)考慮，系統(tǒng)損毀機(jī)制啟動(dòng)的時(shí)機(jī)至少需要包括如下幾個(gè)方面:

1.1 在用戶進(jìn)行身份認(rèn)證的基礎(chǔ)上，例如口令輸入等身份驗(yàn)證結(jié)果中加入看門(mén)狗，設(shè)定閾值，當(dāng)連續(xù)出現(xiàn)密碼輸入錯(cuò)誤并驗(yàn)證次數(shù)超過(guò)閾值時(shí)導(dǎo)致狗叫，并啟動(dòng)系統(tǒng)自毀裝置。

1.2 當(dāng)合法用戶確認(rèn)系統(tǒng)落入非法用戶手中時(shí)，可由高可信嵌入式控制計(jì)算機(jī)系統(tǒng)的主機(jī)系統(tǒng)進(jìn)行無(wú)線遙感啟動(dòng)系統(tǒng)自毀裝置。

1.3 高可信嵌入式控制計(jì)算機(jī)系統(tǒng)的外箱體、內(nèi)箱體、主要器件在自毀模塊未停止工作的前提下被人為破壞、拆卸或自然損壞，系統(tǒng)啟動(dòng)自毀裝置。

另外為了確保自毀系統(tǒng)能夠成功進(jìn)行，當(dāng)提供自毀系統(tǒng)的電源電量低于一定的門(mén)限值時(shí)，在輔助液晶屏顯示屏上提示充電或更換，并發(fā)出報(bào)警音。保證自毀模塊順暢運(yùn)行。

2 損毀方式

2.1 損毀控制手段

2.1.1 系統(tǒng)自毀

系統(tǒng)需要能夠自主控制損毀裝置，在必要的情況下，對(duì)系統(tǒng)的關(guān)鍵數(shù)據(jù)、程序、部件進(jìn)行損毀。在這里我們稱(chēng)之為自毀手段，系統(tǒng)根據(jù)當(dāng)前系統(tǒng)狀態(tài)，判斷是否需要進(jìn)行系統(tǒng)損毀，并且根據(jù)需要進(jìn)行級(jí)別劃定，采取不同的損毀方式。因?yàn)椴煌南到y(tǒng)損毀策略對(duì)系統(tǒng)所造成的損害是不同的，同時(shí)系統(tǒng)的修復(fù)能力也是不同，必須保證系統(tǒng)能夠在不同情形下，根據(jù)系統(tǒng)受威脅程度采用不同的損毀能力。這樣可以既保證系統(tǒng)關(guān)鍵信息的安全性，又提高系統(tǒng)的可維修能力。

對(duì)于這種方式，對(duì)威脅程度的劃分需要進(jìn)一步考慮，損毀級(jí)別定義可以根據(jù)系統(tǒng)所采用的身份認(rèn)證技術(shù)及系統(tǒng)完整性保障技術(shù)作為衡量的基礎(chǔ)上，采用分級(jí)自毀策略保證系統(tǒng)的安全性。通常情況下，嵌入式系統(tǒng)多采用多級(jí)認(rèn)證機(jī)制來(lái)保證系統(tǒng)免受非法用戶的入侵，那么可以根據(jù)用戶進(jìn)入系統(tǒng)的狀態(tài)，來(lái)判斷系統(tǒng)受到的安全性威脅的級(jí)別，自動(dòng)觸發(fā)，完成關(guān)鍵數(shù)據(jù)，關(guān)鍵程序，關(guān)鍵部件的不同程度的自毀功能。

2.1.2 無(wú)線控毀

系統(tǒng)管理者無(wú)法保證惡意用戶是否在竊取系統(tǒng)后，不會(huì)設(shè)法通過(guò)其他方式來(lái)研究嵌入式控制系統(tǒng)，而避開(kāi)了系統(tǒng)自毀機(jī)制的啟動(dòng)。因此，當(dāng)管理者已經(jīng)確定系統(tǒng)的丟失，必須要采取相應(yīng)的對(duì)策，以預(yù)防上述事情的發(fā)生所造成的巨大損失。

因此系統(tǒng)在自毀子系統(tǒng)實(shí)現(xiàn)的基礎(chǔ)上，添加了無(wú)線設(shè)備，設(shè)定相關(guān)的遠(yuǎn)程控制接口。嵌入式控制系統(tǒng)可以根據(jù)系統(tǒng)管理者的意愿采用遠(yuǎn)程方式來(lái)控制系統(tǒng)關(guān)鍵數(shù)據(jù)銷(xiāo)毀裝置的啟動(dòng)。

2.1.3 本地銷(xiāo)毀

以上兩種手段仍然不能顧及到所有可能性。系統(tǒng)還需要提供本地銷(xiāo)毀的能力，根據(jù)系統(tǒng)當(dāng)前合法使用者的實(shí)際需求，在使用過(guò)程中，隨時(shí)對(duì)系統(tǒng)進(jìn)行關(guān)鍵數(shù)據(jù)、程序、部件的銷(xiāo)毀。

當(dāng)前合法用戶，通過(guò)系統(tǒng)前端相應(yīng)模塊在輸入不同損毀方式對(duì)應(yīng)的指令信息，經(jīng)過(guò)解析，保證用戶安全性后，直接調(diào)用指令對(duì)應(yīng)的損毀策略，對(duì)系統(tǒng)關(guān)鍵信息的銷(xiāo)毀。

2.2 損毀實(shí)現(xiàn)方式

2.2.1 軟件銷(xiāo)毀

顧名思義，是通過(guò)軟件設(shè)計(jì)的方式對(duì)系統(tǒng)關(guān)鍵數(shù)據(jù)進(jìn)行操作處理，達(dá)到不可再生的目的。系統(tǒng)可以采用對(duì)存儲(chǔ)芯片關(guān)鍵區(qū)域擦除的方式，達(dá)到對(duì)系統(tǒng)的關(guān)鍵數(shù)據(jù)進(jìn)行銷(xiāo)毀的作用。由于一般嵌入式系統(tǒng)的存儲(chǔ)芯片都是可讀寫(xiě)的，系統(tǒng)可以通過(guò)編寫(xiě)相應(yīng)存儲(chǔ)芯片的驅(qū)動(dòng)對(duì)其進(jìn)行讀寫(xiě)操作。在需要進(jìn)行數(shù)據(jù)銷(xiāo)毀的情況下，可過(guò)對(duì)存放數(shù)據(jù)、程序的關(guān)鍵區(qū)段進(jìn)行寫(xiě)覆蓋操作或者擦除操作，進(jìn)而達(dá)到信息銷(xiāo)毀的功能。

2.2.2 硬件銷(xiāo)毀

該方式的實(shí)現(xiàn)是通過(guò)硬件電路，把系統(tǒng)進(jìn)行報(bào)廢，不可再生。相應(yīng)的損毀器件內(nèi)部存儲(chǔ)的信息也得到不可恢復(fù)的損毀。

2.2.3 物理銷(xiāo)毀

物理銷(xiāo)毀是通過(guò)一些常識(shí)性物理、化學(xué)知識(shí)的運(yùn)用對(duì)系統(tǒng)的存儲(chǔ)設(shè)備進(jìn)行不可再生的破壞，比方說(shuō)使用消磁的方式，又比方說(shuō)使用化學(xué)腐蝕的方式，又或者使用其他的物理破壞的方式對(duì)芯片、部件進(jìn)行銷(xiāo)毀。

3 損毀策略

3.1 數(shù)據(jù)損毀

數(shù)據(jù)損毀僅僅是在系統(tǒng)初步受到威脅的情況下，對(duì)系統(tǒng)存儲(chǔ)芯片內(nèi)的關(guān)鍵數(shù)據(jù)文件進(jìn)行自毀。目前，嵌入式系統(tǒng)選用的存儲(chǔ)芯片都具有擦除復(fù)寫(xiě)的功能。因此通過(guò)軟件方式，可以單獨(dú)對(duì)存儲(chǔ)芯片進(jìn)行數(shù)據(jù)段區(qū)域進(jìn)行損毀，這種策略并沒(méi)有破壞嵌入式計(jì)算機(jī)的存儲(chǔ)操作系統(tǒng)的程序段，同時(shí)硬件設(shè)備也是完好的，系統(tǒng)仍然可以繼續(xù)使用，只是非法用戶已經(jīng)再也無(wú)法再獲取到系統(tǒng)原有關(guān)鍵計(jì)算數(shù)據(jù)及日志內(nèi)容信息條目。

3.2 程序損毀

當(dāng)嵌入式系統(tǒng)受到進(jìn)一步威脅的情況下，系統(tǒng)已經(jīng)到了警戒區(qū)，不能再繼續(xù)允許系統(tǒng)的使用，但是同時(shí)又不可以對(duì)系統(tǒng)造成太大的損害，需要系統(tǒng)可以經(jīng)過(guò)簡(jiǎn)單的修復(fù)繼續(xù)使用。因此，系統(tǒng)在這個(gè)層次上，選擇采用程序銷(xiāo)毀的方式。

3.3 電氣損毀

由于數(shù)據(jù)自毀與程序自毀的安全性仍然有一定的隱患，我們不能百分百地排除可能由于外界原因，造成芯片擦除不完全，或者非法用戶采用未知的方式進(jìn)行恢復(fù)，導(dǎo)致信息存在泄露的可能性。計(jì)算機(jī)的安全涉及到從計(jì)算機(jī)硬件底層一直到操作系統(tǒng)的各個(gè)環(huán)節(jié)，為了使信息安全得到保證，自毀技術(shù)從硬件到軟件必須有一套完整的安全設(shè)計(jì)方案。

4 結(jié)束語(yǔ)

總之，作為一個(gè)需要與用戶進(jìn)行交互的設(shè)備，其交互設(shè)計(jì)必須是被用戶認(rèn)可接受的，滿足用戶的使用習(xí)慣及功能需求，方便用戶的理解操作。另外，為了保證系統(tǒng)是高可信的，其設(shè)計(jì)前提是要保證系統(tǒng)存儲(chǔ)的關(guān)鍵信息能夠在可靠安全的情況下被合法用戶使用操作；同時(shí)對(duì)于外來(lái)威脅，系統(tǒng)根據(jù)需要采取不同層級(jí)的防御措施，以保護(hù)系統(tǒng)關(guān)鍵信息的安全。

［1］馬靜，張波，辛波.馬爾可夫鏈在冗余系統(tǒng)可靠度求解中的應(yīng)用[J].中國(guó)慣性技術(shù)學(xué)報(bào)，2007，15（2）:248-251

［2］王麗華，徐志根，王長(zhǎng)林.可維修三模冗余結(jié)構(gòu)系統(tǒng)的可靠度與安全度分析[J].西南交通大學(xué)學(xué)報(bào)，2002，37（1）:103-107.