禁止应用程序破坏安全策略或与之相关的机制。再以前面提到的文件系统为例，某一文件的访问控制策略会编码进该文件的元数据中或由文件系统维护的特定策略文件中。如果可以直接访问底层的硬盘驱动，进程B就可能破坏

关键词： 防篡改 

应用程序通过操作系统访问资源或服务时，绝不能绕过系统的安全策略。试想，某一操作系统就进程A和进程B对文件X、Y和Z的访问制定了以下控制策略：进程A允许访问文件X、Y和Z，而进程B不允许访问文件X、Y和Z中任何一

关键词： 激活 

如果在组件A执行过程中，数据写入微处理器的寄存器中，该操作系统必须确保这些寄存器在上下文切换到组件B之前清除数据。如果没有周期性处理，组件A的机密信息会通过这些计算机资源泄露给组件B，使得机密信息遭到

关键词： 周期性 

如果一个被隔离的应用程序存在漏洞或因攻击而遭到破坏，那么这种破坏不应扩展到其他应用程序。

关键词： 2  2  3　损害控制 

一个被隔离应用程序中的数据不能被其他应用程序读取或修改。

关键词： 数据 

除非系统安全策略明确许可，否则相互隔离的应用程序之间不能有信息流动。

关键词： 信息流 

近来，有一小部分嵌入式操作系统技术引入一些新的方法，试图分解和克服操作系统安全问题。这些操作系统都采用多重独立安全等级（Multiple Independent Levels of Security，MILS）架构，规定一个分层的安全方

关键词： 等级 

因为操作系统控制着嵌入式系统的资源（例如内存、CPU），所以它能够阻止未授权使用这些资源。相应地，如果操作系统阻止或限制未授权访问时失败，将导致灾难性的后果。在操作系统的使用环境中，未授权操作者是指想

关键词： 角色 

尽管嵌入式系统发挥着越来越重要的作用，但其安全问题依旧比较严重，而且绝大多数的嵌入式系统专业人员只掌握了与嵌入式安全问题相关的基础知识。很多嵌入式系统专业人员曾经只接触过相对较小的代码库和简单的硬

关键词： 总结 

正如前面讨论的，安全策略的存在是为了应对安全威胁。关键点　系统设计师首先要确定哪些威胁是可实行的，然后再确定相比于某种特定威胁下资源泄露所付出的代价，采取什么样的安全策略更为经济。对于诺克斯堡（Fo

关键词： 安全  威胁 

几乎需要无限的策略才能保护特定应用程序相关的资源，以应对广泛的潜在威胁。系统设计师只有理解特定的嵌入式系统的实现、组件以及（或者）处理，才能制定应用程序的安全策略。基于角色的访问控制（RBAC）策略是

关键词： 应用软件  策略 

相比针对软件的数字攻击，一些嵌入式系统还必须防止物理攻击。例如，装在电线杆上的智能电网聚合器，保护附近大量的智能电表接入（以一种认证的、加密的网络连接方式）智能电网。攻击者能够使用物理攻击篡改设备

关键词： 物理  策略 

操作系统服务，如请求创建线程或操纵I O设备，是应用程序与操作系统内核之间严格控制信息流的例子。为了保证内核自身服务和高级别安全策略的完整性，内核必须根据系统信息流控制策略来配置应用程序以及验证服务调

关键词： 信息流 

嵌入式微处理器有保护内存的硬件（如内存管理单元），操作系统或者管理程序可以利用这些硬件设施和自身的软件技术，在软件组件之间实现一种隔离策略。关键点　组件隔离是嵌入式系统一项基本的安全策略，也是实现

关键词： 隔离 

大多数安全策略都可以映射到一个或多个保密性、完整性和实用性（CIA）的保障因素。保密性是指防止信息未经授权的泄露，完整性是指防止资源的修改或损毁，实用性是指防止因为攻击导致资源无法访问和使用。试想一种

关键词： 保密性  实用性  完整性 

读者可能已经听到过这样的话：世界上没有所谓的绝对安全。或者一种推论是，只有砖头才是绝对安全的。这种观点出自技术的使用者、开发者，甚至全球安全权威专家。但是，这种态度是有害的。如果一开始就有这种广泛

关键词： 绝对  安全 

到目前为止，我们已经讨论了一般意义上的安全，但还没有规范在嵌入式系统所要执行的具体的安全属性。一个安全强制性的组件或系统所包含的属性和要求，我们称之为该组件的安全策略。根据安全要求的详细程度，安全

关键词： 策略 

另一种影响安全的趋势是：嵌入式系统中处理器的整合。汽车又是一个很好的例子。随着汽车不可阻挡地持续转变为多个子系统构成的电子系统的趋势，汽车中的电子元器件数量以及相关的连线都在飞速地增加。对于汽车制

关键词： 处理器 

商业关键性基础设施的以及性命攸关的设备越来越依赖于嵌入式系统，使得这些系统越来越吸引资金充足、坚持不懈的攻击者。此外，用于管理核反应堆、炼油厂和其他关键性基础设施的嵌入式系统为大规模的破坏创造了机

关键词： 攻击者 

先前我们提到的智能电网，是一种重要的、新兴的嵌入式系统，有着很多安全要求。在这个案例中最主要的问题之一是计费：攻击者可以操控计量信息，破坏控制命令，将用户电费折扣转入一个虚假的账户中。智能电网意味

关键词： 关键性  嵌入式  架构