希賽小編為考生整理了2022年信息安全工程師考試知識點（二十三）：嵌入式系統安全，希望對大家備考信息安全工程師考試會有幫助。

嵌入式系統安全

【考法分析】

本知識點主要是對嵌入式系統安全相關內容的考查。

【要點分析】

1．廣義地講，凡是不用于通用目的的可編程計算機設備，就可以算是嵌入式計算機系統。最典型的嵌入式系統如手機，可視電話等，如傳真機，打印機等；狹義上講：嵌入式系統是指以應用為核心，以計算機技術為基礎，軟硬件可裁剪，適用應用系統對功能，可靠性，成本，體積和功耗嚴格妖氣的專用計算機系統。

2．嵌入式系統具有如下特點：① 嵌入式系統具有應用針對性；② 嵌入式系統硬件一般對擴展能力要求不高；③ 嵌入式系統一般采用專門針對嵌入式應用設計的中央處理器；④ 嵌入式系統中操作系統可能有也可能沒有，且嵌入式操作系統與桌面計算機操作系統有較大差別；⑤ 嵌入式系統一般有實時性要求；⑥ 嵌入式系統一般有較高的成本控制要求；⑦ 嵌入式系統軟件一般有固化的要求；⑧ 嵌入式系統一般采用交叉開發的模式；⑨ 嵌入式系統在體積，功耗，可靠性，環境適應性上一般有特殊要求；⑩ 嵌入式系統技術標準化程度不高，也存在一定程度的標準化。

3．常見的嵌入式系統設備，包括智能卡，USB-key和智能手機等。

4．智能卡的用途可歸為如下四點：① 身份識別；② 支付工具；③ 加密解密；④ 信息存儲。

5．從本質上說，片內操作系統（COS）是智能卡芯片內的一個監控軟件，它在智能卡中的概念和地位類似與DOS在個人計算機PC中的概念和地位。與DOS不一樣的地方在于：COS更加注意安全；COS一般由四部分組成★：通訊管理模塊和安全管理模塊，應用管理模塊和文件管理模塊。

6．針對智能卡，有以下幾種常見的攻擊手段：① 物理篡改；② 時鐘抖動；③ 超范圍電壓探測。

7．USB Key是一種USB接口的硬件設備；USB Key身份認證的特點：

① 雙因子認證：每一個USB key都具有硬件PIN碼保護，PIN碼和硬件構成了用戶使用USB Key的兩個必要因數。即所謂“雙因子認證”。用戶只有同時取得了USB Key和用戶PIN碼，才可以登錄系統。

② 帶有安全存儲空間。

③ 硬件實現加密算法。

④ 便于攜帶，安全可靠

⑤ 身份認證模式

8．USB Key目前來說并不是絕對安全的，實際存在兩大安全漏洞：

① 交互操作存在漏洞，黑客可以遠程控制；

② 無法防止數據被篡改。

解決這些漏洞的方法是通過在USB設備上增加新的硬件，革新認證策略。

9．由于USB Key具有安全可靠，便于攜帶，使用方便，成本低廉的優點，使用USB key存儲數字證書的認證方式已經成為目前主要的認證模式。

10．智能手機的誕生，是PDA演變而來的。PDA，英文全稱Personal Digital Assistant，即個人數碼助理，一般是指掌上電腦。

11．智能手機的操作系統有：Windows CE，Palm OS，Pocket PC，WindowsPhone和IOS，安卓等。

Windows CE：微軟開發的嵌入式操作系統；

Palm OS：Palm公司開發的32位嵌入式操作系統；

Pocket PC：在Windows CE的基礎上改進的；

WindowsPhone：簡稱WP；

Android：是一種以Linux為基礎的開放源代碼操作系統。Android 分為4個層，從高層到低層分別是應用程序層，應用程序框架層，系統運行庫層和Linux核心層。Android是以Linux為核心的手機操作平臺；

iOS：由蘋果公司開發的移動操作系統，也是閉源的操作系統，所有的開發軟件必須蘋果的審核才能開放使用，并且只能在蘋果的硬件設備上使用。

12．智能手機安全隱患有如下的幾個方面：

① 目前我國軟件應用平臺以谷歌的安卓為主；

② 黑客們就電商APP進行二次打包偽裝知名應用混淆用戶；

③ 手機病毒感染率非常嚴峻；

④ 短信信息常含有一些惡意軟件，網站的鏈接，掃面二維碼染毒的分先日益增多。

13．可信智能手機應該具有無線保密通信，GPS等典型的功能應用，其具體方法如下：

① 可信智能終端系統的體系結構；

② 可信智能終端的操作系統安全增強；

③ 可信智能終端的信任鏈結構；

④ 可信只能終端的保密通信與可信網絡連接。

14．現代工業控制系統包括過程控制，數據采集系統（SCADA），分布式控制系統（DCS），程序邏輯控制（PLC）以及其他控制系統等。

15．在中國，與傳統的網絡語信息系統安全相比，工業控制系統信息安全保護水平明顯偏低，長期以來沒有得到關注，大多數的工業控制系統在開發設計時，只考慮了效率和實時等特性，并未將信息安全納入主要考慮的指標。

16．工業控制系統面臨的威脅是多樣化的，一方面敵對政府，恐怖組織，商業間諜，內部不法人員，外部非法入侵者等對系統虎視眈眈；另一方面，系統復雜性，認為事故，操作系統，設備故障和自然災害等也會對工業控制系統造成破壞。

17．電力工控系統面臨的主要威脅：① 內部人為風險；② 黑客攻擊；③ 病毒破壞；④ 預置陷阱；⑤ 電力工控系統采用對策：加強制度建設和人員管理；加強技術防范；加強整體防護。

18．工控系統信息安全不是一個單純的技術問題，而是涉及到技術，管理，流程，人員意識等各方面的系統工程，徐璈組件包括控制工程師，工控設備供應商，系統集成商，信息安全希賽網等成員的工控系統信息安全隊伍。

19．在監控級(如：工程師站、操作員站、歷史站等)和網絡層面可采取現有等級保護的相關標準和規范開展等級測評；在控制級，應加強對 Modbus、 OPC 等通信協議 的使用管理，對其用戶身份進行鑒別和認證；在現場級，應實現對設備、控制元件的準入檢測，加快建立工控設備的檢測標準和規范；在管理上，應建立完善的工控系統安全運維方案、策略和計劃，加強日常安全培訓，嚴控處理流程，防止內部攻擊，實現終端安全防護，操作使用安全，針對現階段難議解決的技術問題應通過管理手段進行彌補，切實提高工控系統的安全防護能力。

【備考點撥】

了解并理解相關知識點內容。