需要过二级等保的企业越来越多，但很多企业对于二级等保政策存在很多疑问，例如二级等保是什么意思？二级等保测评通过需要多少分？为什么要做等保二级？二级等保需要做日志审计吗等等。今天我们小编就给汇总了二级等保常见问题，帮助大家更多的了解二级等保政策。二级等保是什么意思？【回答】：二级等保是网络安全等级制度中五个级别的其中一个级别，相对于一级等保高一级，比其他级别低。二级等保，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。二级等保测评通过需要多少分？【回答】：一般高于70分，可以说是合格；低于70分的话就是属于差了。因此等保二级一般情况下，分数达到75分以上，应该是可以通过的。但是，由于不同行业，不同地区和不同测评机构对于《网络安全等级保护制度》和技术标准的理解有所差别，因此实际的测评结果要求还是需要根据实际开展等级保护测评机构来决定，是否满足要求还需要相关部门做检查。其实只要是认真开展网络安全等级保护建设工作的，不需要太纠结二级等级保护测评分数。认真落实整改工作，依据等级保护整改清单来修改，只要有相关技术人员配合，一般不会有太大的问题。为什么要做等保二级？过等保二级有什么好处？等保二级系统主要是一些数据量不大、涉及用户人数不多的系统。但就算这样也是要过等保二级的。过等保二级好处多多，具体如下：好处1、遵循国家法律法规要求，避免受到相应处罚；好处2、提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象；好处3、完成行业主管单位要求，确保公司业务有序进行；好处4、落实个人及单位的网络安全保护义务，合理规避风险。二级等保需要做日志审计吗？【回答】：答案是肯定需要的。因为对关键网络设备、关键主机设备、关键安全设备等未开启审计功能同时也没有使用堡垒机等技术手段的也是不符合要求的。简单来说就是以后只要做等保，日志审计将是一个标配，否则就是不符合。其对日志审计的要求如下：a、安全区域边界中对各类审计记录进行备份的要求；b、安全计算环境中对各类设备和系统审计记录进行备份的要求。过二级等保设备选哪家？【回答】：过二级等保就选行云管家！行云管家堡垒机是业界领先的、全面满足等保2.0要求的信息安全运维审计系统，经过严格测试，已经获得了计算机信息系统安全产品身份鉴别（网络）类销售许可证。其具备集中管控、多重防护等多种特性，支持多云、混合云IT架构，全方位保障了企业信息安全，是过等保之必备利器。不仅如此，性价比还超高，如需了解更多，请拨打4008825683！等保二级是否需要做密评？【回答】：不需要。根据规定，密评主要涉及到有以下网络和系统的单位：重要领域网络和信息系统包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

作者：SDNLAB君TSN网络即是time-sensitive network，中文通常称为时效性网络或者时间敏感网络，TSN 是二层技术。IEEE 802.1Q 标准在 OSI 第二层工作。TSN 是以太网标准，而不是IP协议标准。随着工业智能化的不断发展，工业互联网成为工业智能化发展的关键综合信息基础设施，基础网络作为工业互联网发展的基础设施，未来需要更为强大的互联互通、高质量传输和智能运维能力，在智能制造、工业互联网的IT与OT融合的大趋势下，需要统一的网络技术解决方案打通底层基础网络，TSN网络端到端极低时延和可靠的数据传输，成为了工业场景下基础网络的不二选择。TSN时间敏感网络TSN网络即是time-sensitive network，中文通常称为时效性网络或者时间敏感网络，TSN 是二层技术。IEEE 802.1Q 标准在 OSI 第二层工作。TSN 是以太网标准，而不是IP协议标准。TSN 网桥做出的转发决定基于以太网报头内容，而不是 IP 地址。以太网帧的有效载荷可以是任何内容，不限于IP协议。它实际上是基于IEEE 802.1的框架制定的一套满足特殊需求的“子标准”，与其说TSN是一项新技术，不如说它是对现有网络技术以太网的改进，TSN 在以太网的基础上加入时钟同步、流量调度和网络配置等关键技术，为时间敏感型数据提供低时延、低时延抖动和低丢包率特性的传输服务。TSN时间敏感网络关键特性时间同步TSN 的流量调度是基于时隙的，因此时钟同步是TSN 的基础。TSN 使用的是精确时间协议，是保证所有网络设备的时钟一致，而不需要与自然界的时钟保持同步。IEEE 802.1AS-2011 规定了 TSN 整个网络的时钟同步机制，提出了广义精确时间协议( general precision time protocol，gPTP) 。gPTP 是在 IEEE 1588-2008 的精确时间协议( precision time protocol，PTP) 的基础上进行扩展，两者工作模式相同。全局时间同步是大多数TSN 标准的基础，用于保证数据帧在各个设备中传输时隙的正确匹配，满足通信流的端到端确定性时延和无排队传输要求。TSN利用IEEE 802.1AS在各个时间感知系统之间传递同步消息，对以太网的同步协议更加完善，增加了分布式网络的同步，并且采用双向信息通道，提高了传输信号的精确度。流量控制TSN 流控过程主要包括流分类、流整形、流调度和流抢占。流分类主要功能是通过识别流的属性信息或统计信息，以确定它们对应的流量类型和优先级信息，能评价指标主要为分类准确度。流整形主要功能是限制收发流的最大速率并对超过该速率的流进行缓存，然后控制流以较均勾的速率发送，达到稳定传送突发流量的目的。流调度主要功能是通过一定规则(调度算法或机制)将排队和整形后的流调度至输出端口,以确定流在交换机内对应的转发顺序，从而保证各种流传送时的 QoS 需求并在一定程度上降低网络拥塞。流抢占改变了低优先级流的调度顺序，保证了高优先级流的及时转发，是流调度的一种特殊形式和TSN关键技术之一。流抢占主要功能是通过帧间切片打断低优先级帧传输的方式避免流优先级反转现象，以保证高优先级帧实时性或超低时延性能需求。网络配置面向时间敏感网络应用，TSN 需要对发送端、接收端和网络中的交换机进行配置，以便为时间敏感型数据提供预留带宽等服务。IEEE 802.1Qcc中定义的时间敏感网络的配置模型分为全集中式配置模型、混合式配置模型以及全分布式配置模型三种。全集中式用户配置 ( Centralized user configuration，CUC) ，负责发送端和接收端的配置; 集中式网络配置( Centralized network configuration，CNC) ，负责 TSN 交换机的配置，完全集中的模型支持集中用户配置(CUC)实体来发现终端和用户需求，并在终端中配置TSN特性。图1.完全集中式模型混合式配置模型使用集中式网络配置控制器(CNC ， Centralized Network Configuration controller)与分布式用户配置控制器 ( CUC ， Centralized User Configuration controller)。在集中式网络 / 分布式模型中，配置信息直接指向或来自集中式网络配置(CNC)实体。图2.混合式配置模型全分布式配置模型使用分布式网络配置控制器(CNC， Centralized Network Configuration controller)与分布式用户 配 置 控 制 器 ( CUC ， Centralized User Configuration controller)。该模式下，用户流的终端直接通过 TSN 用户 / 网络协议传达用户需求。网络以完全分布式的方式配置，没有集中的网络配置实体。图3.完全分布式模型TSN时间敏感网络应用场景示例工业互联网随着工业互联网的不断发展，不断推动工业应用面向数字化、网络化、智能化的快速升级，不仅要保证信息的互通，还要保证生产设备之间的数据安全，IT(information technology)、OT(operational technology)、CT(communication technology)三体融合，成为了工业互联网发展的大势所趋，最终实现工业互联，在这样的底层基础网络上，才能更好的支撑新一代的工厂级、车间级、现场级应用工业应用。TSN技术标准主要用于工业领域的相关协议包括 IEEE 802.1AS 时钟同步、IEEE 802.1Qbv 时间感知调度程序、IEEE 802.1Qcc 网络管理和配置、IEEE 802.1CB 高可靠、IEEE 802.1Qci 逐一串流过滤与管理等。自动驾驶随着自动驾驶和车联网的兴起，车载设备的大量数据交互、传统车载网络技术的多样复杂性及高成本等问题对车载网络的传输带宽、互操作性及成本提出严格要求。目前车载网络仍然多总线独立并存，以音视频等为代表的辅助媒体信号和控制信号仍然在不同的总线上分别传输，而不能在同一链路上进行统一传输。之所以如此，是因为这里存在一个最主要的技术难点，TSN 技术正是可以改善传统以太网尽力而为的转发特性，根据数据流的不同优先级，提供不同程度的端到端有界时延保障和更小抖动等，能够在二层网络提供高带宽、高可靠、低时延和时间同步的音/视频流服务，这些特征都能符合车载网络的发展需求，从而满足车载以太网的应用要求。责任编辑：未丽燕    来源： SDNLAB

最近看到很多企业朋友们再问，一级等保怎么做？要收费吗？一级等保要求是什么？麻烦知道的人回答一下？今天我们小编就来回答一下。一级等保怎么做？要收费吗？根据我国等保2.0政策规定，一级等保是等级保护中的最低级别，无需参与等级保护测评，提交相关申请资料，公安部门审核通过即可。一般来说这个过程公司自己申请就可以完成，不需要额外花费。但必须注意一点的是，不同地区提交点或者资料有所不同，具体按照地区政策执行。一级等保要求是什么？第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。第一级安全通用要求：在第一级安全通用要求中，从安全运维管理、安全建设管理、安全管理人员、安全管理机构、安全管理制度、安全计算环境到安全区域边界、安全通信网络和安全物理环境九个方面。什么是等保一级？等保一级是指信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。等保一级二级三级哪个要求更高？等保一级二级三级中，等保三级要求最高，二级其次，等保一级要求最低。等保二级为一般系统，监督管理级别为指导保护级；而等保三级为重要系统/关键词信息基础设施，属于监督保护级，应当每年至少进行一次等级测评；等保一级属于等级保护中的最低级别，无需参与等级保护测评，提交相关申请资料，公安部门审核通过即可。

- News -1.骗子从 Beanstalk DeFi 平台窃取了 1.82 亿美元https://securityaffairs.co/wordpress/130334/cyber-crime/beanstalk-defi-182m-losses.html2.专家发现工业间谍，一个新的被盗数据市场https://securityaffairs.co/wordpress/130323/cyber-crime/industrial-spy-marketplace.html3.欧盟协调漏洞披露政策的现状https://www.helpnetsecurity.com/2022/04/19/coordinated-vulnerability-disclosure-recommendations/?web_view=true4.81% 的代码库包含已知的开源漏洞https://www.helpnetsecurity.com/2022/04/19/open-source-usage-trends/5.新发现的零点击 iPhone 漏洞用于 NSO 间谍软件攻击https://www.bleepingcomputer.com/news/security/newly-found-zero-click-iphone-exploit-used-in-nso-spyware-attacks/6.Enemybot 和 Fodcha - 引领下一波僵尸网络攻击https://cyware.com/news/enemybot-and-fodcha-leading-the-next-waves-of-botnet-attacks-5a0f14dd7.Nozomi Networks Labs 发现新的 BotenaGo 变种https://securityboulevard.com/2022/04/new-botenago-variant-discovered-by-nozomi-networks-labs/?web_view=true8.Pegasus被发现用来感染加泰罗尼亚地区官员的iPhone手机https://www.cnbeta.com/articles/tech/1259837.htm9.65.5万美元不翼而飞 黑客从iCloud备份中获取MetaMask种子https://www.freebuf.com/news/329548.html10.新的 SolarMarker 变体升级了规避能力以避免被发现https://securityaffairs.co/wordpress/130347/malware/solarmarker-malware-upgrades-evasion-abilities.html

我国等保业务正在如火如荼的进行着，企业都在积极配合过等保。但对于等保政策，大家还是有些不明白。例如二级等保需要做日志审计吗？二级等保需要做日志审计吗？【回答】：答案是肯定需要的。因为对关键网络设备、关键主机设备、关键安全设备等未开启审计功能同时也没有使用堡垒机等技术手段的也是不符合要求的。简单来说就是以后只要做等保，日志审计将是一个标配，否则就是不符合。其对日志审计的要求如下：a、安全区域边界中对各类审计记录进行备份的要求；b、安全计算环境中对各类设备和系统审计记录进行备份的要求。知识拓展1：过二级等保需要哪些安全设备？1、下一代防火墙【NGFW】a、安全通信网络中通信传输加密的要求；b、安全区域边界中边界防护、访问控制、入侵防范、恶意代码防范的要求；c、安全区域边界中安全审计对安全事件审计的要求。2、堡垒机【OAS】a、安全区域边界中对重要用户安全审计的要求；a、安全计算环境中对服务器身份鉴别的要求；c、安全计算环境中对服务器管理员安全审计的要求；d、安全计算环境中对服务器管理过程数据完整性的要求。3、数据库审计【DBS】安全计算环境中对数据库安全审计的要求4、日志审计系统【LAS】a、安全区域边界中对各类审计记录进行备份的要求；b、安全计算环境中对各类设备和系统审计记录进行备份的要求。知识拓展2：日志审计是什么意思？运维日志审计是指对企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）进行审计。知识拓展3：日志审计用什么工具好？目前市面上运维日志审计工具比较多，各有千秋。这里我给大家推荐行云管家。行云管家堡垒机拥有运维审计的特性，能够将用户在行云管家中对主机的访问操作记录下来，并生成云端录像（事实上是指令集的再次播放），以此来达到安全、可控、合规的团队协作目的。 审计日志包含了主机访问会话的概况、操作的过程记录，以及在操作过程中产生的所有指令集等信息。免费试用：行云管家堡垒机-运维安全审计、自动化运维、等保必备 (cloudbility.com)

湘江鲲鹏-邝浩浩-第一课时作业

你抢到华为云独家潮玩了吗？就在最近，我们推出了基于NFT的数字云宝。通过华为云花瓣链与用户ID的结合，可为领取到的用户生成用户独有的数字云宝特别证书，并附有云宝序号、数据哈希值等独特性与唯一性的信息，形成用户可收藏的数字资产。 比如我们论坛用户领取的这个云宝，是独家珍藏款，全球限量2022份。目前数字云宝已经被抢空了，没抢到的小伙伴们也不用伤心，文末附有贴心提示哦。 再比如社区博主领取的，虽然是常规款，但编号为1，过于优秀了！ 据悉，这套NFT数字云宝，以华为云IP形象为基础，共发行4款，其中限定珍藏款NFT 2022份，常规款三套，各有5000份。 NFT：元宇宙的入场券先来看看一组新闻：一篇仅由五个单词组成的推文售价290万美元，一张彩虹猫的GIF图以近60万美元被拍下，一幅由5000张拼图构成的数字画作交易额6900万美元……以上这些突破传统思维的物价标准，都源自于NFT（非同质化代币）。 图片、视频、游戏、音频、游戏中的人物等，只要你能想到的东西，都能成为NFT。 NFT（Non-Fungible Token）作为基于区块链技术，所创作出的具有独立加密存储编码的数字艺术藏品，具有不可复制性、不可修改、永恒存在、独一无二等特性，它让原本只属于现实世界的「拥有」，在虚拟世界也成为了可能，故又被喻为是元宇宙的入场券，也是普通大众接触与体验元宇宙的一次机会。 NFT一方面标记了数字资产的所有权， 防止被滥用篡改，同时它还可以在去中心化的平台上进行交易，让你收藏的数字资产有更公开、透明且自由的交易环境。 现实生活中，NFT已经被使用触及我们的方方面面。 艺术品：艺术家用NFT代表其数字艺术品的所有权，降低版权交易复杂度，提升艺术品的变现能力。这样可以避免创作者支付高额费用，轻松出售数字艺术品，形成可持续经济模式。 游戏：游戏玩家可以完全掌控自己在游戏中购买的皮肤，再也不用担心哪天发行商跑路，氪的金烟消云散。游戏中的赚取资产，同时可以移植到游戏之外，实现游戏投入变现。 收藏：比如收藏家会收藏他们认为有价值的NFT，有别于实物，NFT无需运输时间，维护成本，只需几秒完成转移，且永远不会折旧。资产通证：除此之外，NFT可以代表房地产、政府文件、证书和学位等一系列链下资产，实现信息透明且在链上自动执行交易，提升现实世界资产转让效率及保障资产真实性。同理，一旦你拥有了数字云宝，也就有了华为云的区块链技术为你的数字资产保驾护航。►►►专属数字资产，区块链保障安全“数字云宝”通过华为云花瓣链与用户ID的结合，生成用户可收藏的专属数字资产。 作为华为云的区块链应用平台，花瓣链依托自研高性能、易用、安全的区块链技术、大数据、AI等能力，已经在数字版权、食品溯源、药品溯源、数字资产管理等多个领域的应用场景落地。 其中不得不提的是支撑花瓣链应用的技术——华为云数字资产链（DAC），它基于华为云区块链引擎，可实现数字资产的确权、可信保存、安全交易。 面向互联网、社交文娱、游戏等行业，DAC提供数字版权、数字内容创作、数字资产交易以及数字支付服务，可广泛应用于营销、版权保护、数字内容收藏场景。赋能数字营销，简化版权保护，构筑游戏经济，推广数字藏品。 同时，DAC支持高并发数字资产的创建、发行和流转，链上可支撑百亿级NFT创建和流转记录存储，并支持智能合约去中心化管理（DAO），便于构建公平公开的数字资产链生态，更加透明、中立。DAC的数字内容管理服务达到金融安全级别，保障内容流转的可靠安全性。安全容器保障区块链及合约服务稳定可靠运行。在DAC上，再也不用担心会像周杰伦那样，自己的NFT被人偷了。 而DAC之所以能做到如此高性能、可靠、安全，底层有华为云区块链（BCS）技术提供坚实基础。BCS即华为云区块链引擎，它是满足企业级和金融级的可信、协调要求的高性能、高安全的区块链技术服务平台，可以帮助企业和开发人员轻松搭建、管理区块链应应用，可满足在大规模节点环境下保持单链 10 万+TPS 的高性能处理能力。此前，央视频就使用华为云BCS数字内容服务，为用户送上独一无二的“数字雪花”，基于用户的ID，生成独有的数字雪花特别证书，并附有雪花ID序号、存证时间、授时凭证编号、数据哈希值等具有独特性与唯一性的信息。 正是有这些底层的区块链技术作为支撑，NFT数字藏品才能让我们真正的“拥有”独属于自己的数字资产。转自华为开发者社区公众号

参加华为云VSS移动应用安全服务体验——安卓应用和鸿蒙应用安全监测   简单易上手、检测分钟级、模拟真实场景测试！完成体验即可抽奖！ 什么是漏洞扫描服务 VSS？用户可通过移动应用安全服务体验安卓应用和鸿蒙应用的安全检测，识别安卓应用和鸿蒙应用是否存在安全问题，例如应用中存在权限、组件、网络、存储、加密算法等常见的安全漏洞，对检测的结果提供详细的漏洞信息及修复建议。开发者可体验移动应用安全服务，了解和掌握代码开发中常见的安全问题，以及在开发中如何规避。【邀请奖公布】请获奖用户联系小助手企业微信并发送华为云页面带有华为云账号截图，用于核验。兑奖时间：6月15-6月20日，过期未兑换奖品将视为主动放弃，不再补发。奖品将在14天内发出。如何参与活动进行产品体验——本帖回复体验完成截图——进行问卷抽奖>>点此处进行移动应用安全产品体验<<说明：1、只有完成产品体验并截图回帖后再进行问卷抽奖才算有效。否则并不具备获奖资格，将不会发放奖品2、用户回帖只会仅楼主可见，以防冒用截图3、截图要包含华为云账号+实验成功截图示例：活动时间 2022年4月18日10：00-2022年6月14日问卷抽奖链接：https://devcloud.huaweicloud.com/expertmobile/qtn?id=9bbb18d79f7d481cbca1890628f0561c&utm_source=kfz_tjjd奖项设置奖项获奖要求奖励数量体验奖回复体验完成截图至活动帖，即可参与抽奖荣耀FlyPods青春版 真无线耳机（铃兰白）1华为手环42华为蓝牙nova音箱550元京东卡20邀请奖邀请55人报名并完成实验且排名第1HUAWEI WATCH GT2（DAN-B19）1邀请45人报名并完成实验且排名第2、3HUAWEI FreeBuds Pro 无线耳机2邀请20人报名并完成实验且排名第4-9总额为300元的京东卡6邀请10人报名并完成体验且排名第10-19华为智能体脂秤 310注意事项：1、单个奖项内不重复得奖2、请务必使用个人账号参与活动（IAM、企业账号等账号参与无效）；3、参与邀请活动的用户，所邀请得好友需为未注册过华为云账号的新用户，并且完成整个体验。新用户定义：4月18日后注册华为云账号的用户4、邀请奖中参与用户完成体验后也需上传截图到本帖中。5、排行榜将不定时更新此帖中，评论区置顶，建议收藏；6、按邀请新用户人数进行排序发奖，邀请人数相同的，按完成时间先后，先完成先得。7、获奖名单将于活动结束后统一公布，届时将发布兑奖方式。京东卡只发放卡密。8、如因缺货等原因导致奖品缺失，将替换为等价值其他奖品（最终解释权归华为云所有）【活动交流】活动交流答疑请务必扫码加入企业微信群，群里会不定时公布活动重要信息、获奖名单、培训信息、有奖竞答提醒等内容。

- News -1.Parrot TDS被黑导致超过16500个网站遭入侵，攻击者通过Web重定向服务分发恶意软件https://thehackernews.com/2022/04/over-16500-sites-hacked-to-distribute.html2.英国警方: 2021年犯罪团伙通过诱导受害者下载远程管理工具窃取了近5800万英镑https://www.infosecurity-magazine.com/news/fraudster-steal-58m-2021-via/3.SuperCare数据泄露事件涉及30多万用户https://www.infosecurity-magazine.com/news/supercare-data-breach-300000/4.研究人员捕获安卓恶意软件Octo，具备远控功能https://heimdalsecurity.com/blog/octo-android-malware-can-take-over-your-device/5.CISA：5款D-Link淘汰型号存在安全风险 推荐用户尽快升级https://www.cnbeta.com/articles/tech/1257167.htm6.黑客组织 APT-C-23 针对以色列高级官员诱导其安装恶意软件进行攻击https://www.cnbeta.com/articles/tech/1257079.htm7.匿名黑客入侵俄罗斯文化部并泄露446GB数据https://www.freebuf.com/articles/328408.html8.美国VA增加超1亿的网络安全预算，着重落地零信任https://www.freebuf.com/news/328415.html9.由众议院和参议院组成的两党团体敦促美国能源部负责人就网络安全问题采取行动https://therecord.media/lawmakers-ask-energy-department-to-take-point-on-sector-digital-security/?web_view=true10.2022年攻击路径研究：94%的网络攻击仅需4步即可完成！https://mp.weixin.qq.com/s/srzLc8JwFxLAU0QJo4U_CQ

【CSDN 编者按】在嵌入式环境中，C、C++作为最常见的编程语言，早已被广泛应用在底层工具链、库中。不过，近日嵌入式工程师Omar Hiari提出一种完全不同的看法，他认为一开始就考虑安全问题的编程语言Rust才是嵌入式领域的未来。虽然要将嵌入式应用程序代码迁移到一种新的编程语言上非常麻烦，但他认为这是可行的，只是需要一些方法和实践。软件故障在嵌入式领域时常发生，随着物联网（IoT）和网络物理系统（CPS）等技术的普及，这些故障也没有得到应有的重视。当人们谈论自动驾驶汽车、机器人、无人机时，他们总认为这些出错的机率很小。但在了解一些历史上著名的软件事故、Bug案例研究后，你就不会这么想了。重现问题简直是一场噩梦首先，需要声明的是，我主要从事汽车嵌入式领域。此外，在职业生涯中，我还接触到了功能安全领域。功能安全，简单来说，是指一个系统或是设备整体安全的组成部分。其达成安全性的方式是靠系统或组成零件在接受输入讯号后，可以正常的动作，来减少导致人类受伤的事故风险。例如一个马达中加装温度感测器，若温度超过一定值，即停止马达运转，此机能就属于功能安全。在进入到汽车行业这些年，我担任过几个项目的技术负责人，其中部分职责会涉及到处理客户退货的问题。之所以这些汽车会被退回，大概率是由于电子单元或模块出现了问题，而我们团队需要确定导致该问题的根本原因。如果问题的根源确认是模块中出现了一个错误，我们会针对这个错误提出一个修复方案，并且将它整合到未来的更新中。有时我们会花费几天，甚至是几周来找出Bug的原因。我现在还记得我第一次处理这些问题的的经历，那时我还是一个做模块测试的实习生。我们发现，有几个被退回的模块，在现场测试时出现了不一样的结果。有些能够正常工作，有些不能。在和软件团队调试了很长时间后，我们终于找出了问题所在，原来是因为一个未初始化的变量！我惊讶于这样的错误竟然没有被检测出来。随着在这个行业不断地成长，我所遇到的问题越来越复杂。有时，我们会在成千上万的模块中找一个有问题的模块。通常情况下，第一步是尝试复现这种问题，以便用调试工具追踪问题的来源。这简直是一场噩梦！复现某些行为需要几天或者几周的时间，有时甚至需要更长的时间，因为要复现这个问题，需要非常具体的实现过程相组合。在大多数情况下，这些实现过程会存在一些未经测试的配置，最终导致触发Bug。正常导致汽车故障的大多数问题本质上出在软件上。有趣的是，即使是在一些质量至上，而且拥有大量经验丰富软件工程师的公司也会出现这种情况。基本上，这些遇到现场问题的模块，已经进行了彻底的测试、代码审查、代码标准的实施（例如MISRA-C）。一开始就考虑安全问题？后来，在从汽车嵌入式领域进入功能安全领域时，我发现我的经历更加有趣。在功能安全方面，像工业IEC-61508和汽车ISO-26262这样的标准在汽车行业开始流行起来。遵循这些标准的目的是为了减少产品故障的风险，风险的大小取决于产品的使用方式或者地点。通过在开发过程中加入更多的测试和检查，可以让产品达到一定的安全水平。以ISO-26262为例，该标准对软件和硬件中可能发生的故障类型进行了分类。硬件的故障被分为两种类型：随机硬件故障和系统故障。在软件方面，只有一种类型，即系统性故障。根据ISO-26262，随机硬件故障被定义为：在硬件元素的生命周期中，可能会发生不可预测的故障，并且遵循概率分布。该标准还补充说：随机硬件故障率可以以合理的精度进行预测。而系统性故障被定义为：故障以确定的方式与某种原因相关，只能通过改变设计或制造过程、操作程序、文件或其他相关因素来消除。这意味着，系统故障或多或少源于人为错误，并不是真正可以预测的。因此，如果我们考虑修复软件问题，就意味着需要更多额外的检查。当然，在应用程序中也可以添加一些方法让其自己检查（例如N-版本编程），尽管如果把这些方法添加到动态的应用软件代码中，消耗的内存空间会增多。鉴于我前面提到的，人们可能会认为这种变化是喜闻乐见的。但情况恰恰相反，大多数工程师都会反对整合功能安全流程。事实上，如何让工程师和团队接受这一点，让许多管理安全开发者感到很头疼。这种推动力通常来自于产业链的顶端，即建立一种 “安全文化”。我认为，部分原因是由于流程和额外的文件或者可交付成果方面的重大变化，而不一定是因为个人反对安全的想法本身。（如果有什么是是工程师不喜欢做的，我想写文件一定排在首位。）还有一点也让管理安全开发者感到头疼，即说服团队，让他们知道产品需要从一开始就以安全前提来设计。这意味着，工程师不应该只致力于让现有产品开始应用其功能来满足安全要求。换句话说，就是对现有产品进行修补以使其满足安全要求。这主要是针对硬件和应用软件来说。让我感到不解的是，为什么这一项不能应用在编译语言或者编译器上呢？与编译器一起使用的语言并没有从一开始就考虑到安全问题。相反，它们是根据功能安全应用中的标准准则进行修改的。比如创建语言的”子集“，删除其中被认为不安全的部分。这意味着排除了编程语言结构中存在的不安全因素。迫在眉睫的问题对于一些了解甚少的人来说，在汽车领域最普遍的编程语言是C。但从我的亲身经历来看，我认为C、C++并不是能够引领未来应用趋势的语言。事实上，从长远来看，坚持使用C、C++，不管有多少标准引入都令我感到担忧。毫无疑问，C、C++是强大的语言，但与即将到来的应用程序相比，目前的应用程序还是太简单了。此外，随着行业的发展，工程师的水平会参差不齐。所以无论流程多么严格，出现系统性错误的可能性都会越来越大。随着经验的不断积累，实践不断增加，以及在C、C++这样的语言中不断增加补丁，但是类似的问题仍然是由于系统性错误而产生，是不是至少应该考虑切换到另一种思路来设计语言，即一开始就把安全性作为前提来设计？又或者只是创造出一种更加现代的语言，正如系统性故障所定义的一样：只能通过改变设计来消除问题。一条可能的前进道路我在Rust中找到了一条可能通往嵌入式的道路，它似乎就是我在这个行业多年来所要找的。Rust的设计初衷是为了成为一种安全的语言。当然，要把嵌入式程序代码迁移到一种新的编程语言上是非常麻烦的。显然，阻碍因素之一是在汽车等嵌入式环境中，C、C++的工具链和库已经根深蒂固了，早已成为了生态系统中的一部分。然而，虽然代码迁移有困难，但也不是不可能，我们可以制定计划，循环渐进地进行切换。在非嵌入式环境中，Rust已经获得了相当大的知名度，并且得到了亚马逊、Discord、Dropbox、Facebook、谷歌和微软等公司的投资。事实上，微软和谷歌已经为Rust在某些领域能够消除70%的安全问题做了担保。到目前为止，关于嵌入式，某些团体已经有了一些有趣的动向。有一个Rust嵌入式工作组正在社区内工作，以弥合与Rust团队的差距，同时发展嵌入式生态系统。该小组在发展生态系统方面的速度令人印象深刻。（如果对这个工作小组的成就感兴趣可以访问这个网站：https://www.autosar.org/news-events/details/autosar-announces-new-working-group-for-programming-language-rust-in-automotive-software-context-202/）另一个是Ferrous Systems，它在支持Rust生态系统方面也做了大量工作。Ferrous在为Rust创建不同的工具和扩展方面做出了重大努力，并且正在ferrocene项目下为ISO26262认证Rust编译器工具链。有趣的是，在我写这篇文章的时候，AUTOSAR（AUTomotive Open System ARchitecture汽车开放系统架构）也宣布了一个在新的汽车背景下的Rust工作小组。（感兴趣可以访问这个链接:https://www.autosar.org/news-events/details/autosar-announces-new-working-group-for-programming-language-rust-in-automotive-software-context-202/）(补充：我不属于也没有参与过上述任何实体)Rust可能是嵌入式未来市场方向表明，我们开始从C、C++向更安全、更现代的编译型编程语言转变的时机到了。（并不是对于所有的应用，只是对于那些C或者C++可能出现问题的应用）Rust编程语言虽然相当年轻，但似乎是最适合这种情况的。对于公司和个人来说，使用Rust编程可能是一个很好的战略决定，能够在未来获得优势。对于个人来说，即使像Rust这样的语言永远不会被采用，但它至少会给个人一个全新的视角，让他知道如何成为一个更好的C/C++开发者。原文链接：https://apollolabsblog.hashnode.dev/why-you-should-be-worried-about-the-future-of-cc-in-embedded-a-case-for-rust

研究表明，2017年物联网设备的数量超过了全球人口数量，并开始得以广泛普及。但是，其中许多物联网设备都没有考虑到安全性。网络攻击者很快就利用了物联网设备的漏洞。在2016年的一个案例中，网络威胁攻击者中断了Dyn公司的服务，Dyn公司是一家为Twitter、Spotify、Netflix、Reddit、Etsy、Github和其他主要品牌管理网络流量的公司。网络威胁参与者植入Mirai恶意软件，以征用10多万台设备(网络摄像头、DVR等)作为僵尸设备，对Dyn公司的服务器发起大规模攻击。如今，有多少物联网设备可能面临网络攻击?全球约有123亿台设备连接到互联网。那么可能会人们忘记的物联网设备呢?它们还在连接到企业的网络吗?有什么风险?更重要的是，企业能做些什么呢?以下来了解一下。物联网面临的威胁物联网设备存在于企业、家庭、医院、政府机构、车队以及基本上任何连接存在的地方。2020年，美国家庭平均使用10台物联网设备。那么一家拥有1000名员工的公司连接了多少台物联网设备?快速的生产时间和短暂的生命周期使物联网爆炸式增长成为安全团队的担忧。仍在使用的原有设备可能不再接收安全的软件更新。新设备仍然是零日攻击和其他威胁形式的主要风险。最近，研究人员在用于边缘计算的消息引擎和多协议消息总线NanoMQ中发现了一个漏洞。NanoMQ在智能手表、汽车、火灾探测器、患者监测和安全系统的传感器中捕获实时数据。这一大规模漏洞导致超过1亿台设备存在漏洞。许多公司担心由于远程工作和混合工作结构而增加的网络风险。然而，巨大的物联网攻击面也应该在关注列表中排名靠前。物联网安全威胁影响2021年上半年，智能设备遭受了15亿次网络攻击，网络攻击者希望窃取敏感数据、加密劫持设备或构建僵尸网络。他们甚至可以从连接到发生远程工作的家庭网络的设备访问企业资产。考虑CVE-2021-28372这一漏洞使威胁参与者能够远程破坏受害者的物联网设备。从那里，网络攻击者可以窃听实时音频、观看实时视频并窃取设备凭据以进行更深入的网络渗透。对企业最好的勒索软件保护不仅仅是阻止网络钓鱼攻击。安全领导者还应该考虑他们的物联网生态系统。一些人认为可以通过重启设备来阻止劫持或锁定设备的恶意软件。但如果重新打开一个物联网灯泡，最终可能会数据泄露。监管会解决吗?由于安全和隐私问题都受到威胁，物联网监管引起了监管机构的强烈兴趣。一项重大的国际努力正在努力建立物联网安全标准。截至目前，在美国这方面的主要指导来自NIST，加州也有自己的监管法律。2020年物联网网络安全改进法案规范了政府对此类设备的采购。由于许多设备或设备部件来自海外，监管变得更加复杂。而仅靠监管并不能保护数字资产。智能灯泡的安全问题即使是智能灯泡也可能是网络漏洞端点。这怎么可能发生?以下是它的工作原理：(1)网络攻击者远距离接管智能灯泡功能。然后，他们可以更改灯泡亮度或使其打开和关闭。这使认为灯泡不工作。在控制应用程序上，灯泡显示为无法访问。(2)如果所有者重新打开灯泡并且应用程序重新发现它，则攻击者可以将受感染的灯泡添加到网络中。(3)受感染的灯泡随后可以安装恶意软件，以实现IP网络渗透和恶意软件传播。关于保护物联网的智慧是否有效?通常建议保护物联网设备的传统方法包括：尽快安装固件更新。更新中的补丁有助于防止零日攻击。始终更改预装密码。使用包含大写和小写字母、数字和符号的复杂密码。一旦认为设备运行异常，需要立即重新启动。它可能有助于摆脱现有的恶意软件。使对物联网设备的访问受到本地虚拟专用网络的限制。这可以防止公共互联网暴露。使用威胁数据源来阻止??来自恶意网络地址的网络连接。将未打补丁的设备保存在未经授权的用户无法访问的单独网络中。在理想情况下，应该停用、销毁或回收无法修补的设备。虽然其中一些技巧可能有用，但也有一些可能弊大于利，而设备重启甚至可以启用恶意软件感染。物联网安全的零信任最佳实践物联网安全挑战是一个更大问题的一部分。简而言之，几乎不存在组织边界。部署了如此多的物联网设备并有大量的员工开展远程工作，因此需要一个新的愿景。例如，零信任架构将边界带到最远的一端，无论是用户、设备、应用程序还是试图获得网络访问权限的API。在可以验证身份和真实性之前，应该能够拒绝访问作为默认位置。对于采用零信任方法的企业，需要考虑采用安全访问服务边缘(SASE)服务。SASE在边缘建立云计算交付的安全性，更靠近访问企业资源的用户和设备。这将软件定义的网络和网络安全整合到一个单一的、基于云的服务中。SASE具有集成的边缘计算安全性，是一种零信任模型，旨在满足混合工作的劳动力和各种物联网环境的需求。鉴于当今快速的设备扩展和流动的组织边界，企业将寻求安全解决方案(例如零信任)以保证安全。

汽车工业是世界上最大的制造业之一。据估计，当今世界上有超过 10 亿辆机动车在街道和道路上行驶。为了提高竞争力，许多制造商转向物联网，更具体地说，他们转向了车联网。车联网是指使用传感器、软件和其他技术，来促进汽车、卡车、摩托车和其他车辆之间通过互联网交换数据。它有望彻底改变汽车行业，提供更好的驾驶体验、安全性、油耗和客户终生价值。因此，考虑到这一点，让我们来看看2021年及以后最引人注目的联网汽车、车联网和远程信息处理统计数据。联网汽车市场统计1、据估计，全世界有超过 10 亿辆机动车辆在使用。(Statista)2、2020年，全球联网汽车市场创造了约540亿美元的收入。(Statista)3、到2025年，这一数字预计将增长到1660亿美元。(Statista)4、截至2018年，道路上有1.19亿辆联网汽车。(Statista)5、不过，到2023年，这一数字预计将增加近三倍，达到3.53亿辆。(Statista)6、2019 年，带有嵌入式远程信息处理功能的联网汽车的全球销量达到约 2850 万辆。 (Statista)7、事实上，联网汽车在新车销售中的份额将从 2015 年的 35% 上升到 2025 年的 100%。 (Mordor Intelligence)8、从 2021 年到 2026 年，远程信息处理市场预计将实现 20.7% 的复合年增长率。(Mordor Intelligencee)9、截至 2018 年，美国拥有全球 32.7% 的联网汽车。(Statista)10、不过，预计到 2023 年欧洲将在联网汽车拥有量方面超过美国，届时他们将拥有全球 31% 的联网汽车。(Statista)11、然而，中国是联网汽车增长最快的市场。(Statista)联网汽车远程信息处理统计1、得益于智能远程信息技术，年轻驾驶员的高风险行为可以减少 30% 以上。(Mordor Intelligence)2、更重要的是，这种风险行为的减少可以将这个年龄段的索赔成本降低至少 30%。(Mordor Intelligence)3、高级驾驶辅助系统 (ADAS) 和其他解决方案的销量有所增加，从 2014 年的 4500 万套增加到 2018 年的 5400 万套。(Mordor Intelligence)4、基于使用的保险 (UBI) 和保险远程信息处理正在改变保险业的预期。到 2023 年，全球用户对UBI的需求预计将增长1.4亿以上。(Mordor Intelligence)5、此外，到 2030 年，UBI 和保险远程信息处理预计将通过汽车数据获利，收入将超过 7000 亿美元。（Mordor Intelligence）车队管理远程信息处理根据 Teletrac Navman 的第三次年度远程信息处理基准报告……1、2019年，86%的车队使用远程通信，相比之下，2017年为48%，2018年为82%。（Teletrac Navman）2、74%的车队使用远程信息技术来监控车辆的位置。（Teletrac Navman）3、66% 的车队使用远程信息处理来跟踪服务时间。（Teletrac Navman）4、61% 的车队使用远程信息处理来控制和优化车辆速度。（Teletrac Navman）用于车队安全的远程通信1、智能远程信息处理是提高车队安全的一个很好方法，超过四分之一的货运公司将驾驶员监测(32%)、速度预防(26%)和防止驾驶员疲劳(30%)列为与远程信息处理相关的最大安全优势。（Teletrac Navman）2、得益于监控驾驶员行为的软件，使用智能远程信息处理的车队已将“安全事故”减少了 42%。（Teletrac Navman）3、物联网、数据分析和云也可以将事故和伤害降低25%。这将使车辆效率提高15%。(Mordor Intelligence)此外，使用智能远程信息处理来保障车队安全已被发现…1、将事故减少 45%。(Driver’s Alert)2、将超速事件减少多达 75%。(Driver’s Alert)3、将安全带使用率提高 90%。(Driver’s Alert)4、将激进驾驶减少80%。(Driver’s Alert)用于运营的远程信息处理1、虽然燃油被认为是32%车队的最大支出，但由于远程信息处理软件，燃料成本降低了 55%。(Teletrac Navman)2、远程信息处理将车辆到目的地的行程时间减少了 68%。这可以将二氧化碳排放量减少 75%，即每年约 3600 万吨。(Mordor Intelligence)已发现使用智能远程信息处理进行车队管理可以……1、油耗降低25%。 (Driver’s Alert)2、将维护成本降低 14%。 (Driver’s Alert)3、将空闲时间减少 30%。 (Driver’s Alert)4、将生产效率提高 15%。 (Driver’s Alert)5、总里程减少 10%。 (Driver’s Alert)6、将车辆利用率提高 20%。 (Driver’s Alert)（作者：pareteum；编译：iothome）

近日， 安全牛发布了《中国网络安全行业全景图（第九版）》，对我国网络安全产业整体发展情况和细分领域代表厂商进行了展现。《中国网络安全行业全景图（第九版）》（以下简称“全景图”）已于2022 年 3 月 31 日发布，是国内影响力最大的网络安全专业媒体和旗舰智库安全牛团队，基于对我国安全行业的调研和积累，并结合网络安全厂商产品信息而推出的行业图谱，自2016年9月首次推出以来，备受行业关注。作为业界知名的多云管理平台，行云管家此次入围了2大安全分类、2项安全领域：身份和访问安全、云计算安全。此次（第九版）全景图包含14项一级安全分类，94项二级安全分类，共收录433家国产网络安全企业和相关行业机构，二级细分领域共收录2609项。行云管家是国内唯一一家以SaaS形态提供的多云管理平台，目前已成功服务十万家企业级用户，实现了对多家云厂商多种云计算资源的集中管理，从成本、自动化运维、监控、合规审计、多云纳管、云资源全生命周期等多个维度提供统一运维管控，对企业而言，只需一个控制台，即可整合操作多个公有云、多个私有云 、混合云以及各种异构资源，从而进行灵活的资源管理与运维。行云管家在多云管理领域助力云计算产业发展，秉承科技引领创新、技术驱动未来的使命，通过市场验证，再次入选全景图以下分类：身份与访问安全、云计算安全。作为云计算领域的重要技术分支，云管平台（Cloud Management Platform，简称CMP）的出现是为了帮助众多企业充分利用云计算最大效能的保证，而作为业界领先的多云管理平台和技术独立的第三方云管平台，行云管家为企业用户提供了针对多家云厂商、多种云资源的一站式管理解决方案，帮助我们的客户易上云、用好云、管好云。行云管家作为国内技术领先的云堡垒机安全产品和多云管理服务提供商，多年来一直在云管领域专注多云异构环境下的运维管理难题，凭借其优异的产品能力和服务质量多次上榜《中国网络安全行业全景图》，获得资本、市场和用户的广泛认可。今后，行云管家将持续提升产品研发能力，进一步深耕和打磨产品使用体验，并联合众多渠道与伙伴，共同打造企业云服务良好的生态环境，助力企业数字化、智能化转型升级。

边缘计算可能不像云计算那样广为人知，但很快就会被大众热捧。该市场的收入预计将从2019年的28亿美元跃升至2024年的90亿美元。其中一个重要原因是边缘计算推动了物联网 (IoT)，预计物联网在未来几年也将大幅增长。但是，边缘计算究竟是什么，它如何支持物联网，以及所有这些对消费者和企业意味着什么？ 在这里，我们将探讨这些问题。什么是边缘计算？虽然云存储和计算(如在线备份服务)发生在远离最终用户及其设备的地方，但边缘计算使处理更接近于最终用户及其设备。例如，一家小型企业可能安装了安全摄像头，在过去，这些摄像头会将数据发送到云端进行分析和存储。现在，边缘计算允许数据处理在内部系统上进行，该系统可以更快地分析数据并及时发出警报。根据 Network World 的说法，其他可能利用边缘计算的设备“可以包括许多不同的东西，比如……员工的笔记本电脑、他们最新的智能手机……甚至办公室里的连网微波炉。”边缘计算可以与云计算结合使用，因为数据在边缘立即处理，然后部分或全部传输到云中的存储位置。边缘计算解决了云计算所带来的速度慢和成本高之类问题。边缘计算的优缺点与任何其他技术一样，边缘计算也有其优点和缺点。优点之一是节约成本，当公司可以限制在基于云的位置处理的数据量时，他们就可以在云服务上节省资金。另一个优点是低延迟，它能够以最小的延迟时间收集、发送、分析和检索数据。另一个是连接可靠性，随着边缘计算在任务关键型基础设施中变得越来越普遍，这种可靠性越来越重要。缺点包括当越来越多的设备使用边缘计算系统时导致的问题。在这种情况下，传输可能会遇到延迟，带宽成本可能会增加，其他潜在的缺点是物理和虚拟安全挑战，以及过于复杂和难以管理的系统设置。物联网在边缘物联网不得不依赖云计算进行数据处理，然而这一过程花费的时间可能超过了许多应用容忍的时间。例如，根据 IoT For All 的说法，“在工厂中，如果传感器显示机器读数过热，则可能需要立即关闭机器。通过不将数据发送到中央云服务器中进行处理，可以更快地采取行动。”这种处理速度带来的好处包括降低维修或维护成本、保护工人安全，以及避免因部分生产线不得不关闭而损失的时间。边缘技术不仅适用于网络边缘，而且也适用于物理边缘，即远离中央计算位置的地方。这些地方可能包括零售或金融企业的分支办公室，它们需要快速的关键业务处理，尤其是在偏远位置，甚至是研究站点，例如地表以下或丛林。物联网和边缘应用物联网和边缘计算为许多应用提供了基础，其中一些应用已在上文中提及。其他用例如下。农场。物联网设备可用于检测作物生长和土壤条件，边缘计算可用于分析适当的水份和营养。自动驾驶汽车。自动驾驶汽车和卡车使用传感器发送有关交通状况的信息，并接收反馈以做出决策，包括可能挽救生命的决策，例如在有行人的人行横道上。家庭。越来越多的智能家居设备，结合快速处理，可以监测和发送有关家庭系统的入侵或问题的警报。医疗保健。移动应用和可穿戴设备可用于记录患者数据，并快速发送给医疗保健专业人员。电力。电力公司在设备上使用传感器来监测健康和老化，使他们能够在需要更昂贵的干预之前解决小问题或更换零件。以上所有这些都可以从边缘计算中受益，要么提高速度，要么减少发送到云的数据量(从而最大限度地降低成本)。边缘安全与所有数字信息一样，安全性必须是首要考虑因素。在边缘计算环境中，设备数量增加了发生干扰的可能性。物联网设备因其众所周知的松懈安全特性而成为黑客的诱人目标。此外，物理环境可能不像基于云的托管服务那样受到严密保护，后者通常有多层安全措施。德勤指出，“保持所有边缘资产的物理和网络安全地位是一项复杂而关键的挑战。”然而，这些问题可以通过为边缘安全系统制定严格的安全标准、使用数据加密和部署强大的访问控制方法来解决。此外，人工智能 (AI) 程序可以监控边缘系统，以检测和响应安全威胁。下一步是什么边缘计算—物联网是一种强大的技术组合，旨在推动各行各业的便利性、效率和安全性，以及带来更多更好的自主机器，包括车辆和无人机，以及更高级别的AI和机器学习应用。另一个可能的结果包括更安全的电力和电信网络，它们将通过快速传输故障和干扰信息的能力而得到越来越多的保护。我们还可能会看到便利功能的增加，例如机场登机口的面部识别。毫无疑问，随着技术的成熟，当前的问题将得到解决，用户将开发出更多新颖的用途。（作者：MICHAEL KUCINSKY ；编译：iothome）

基本上，每个带有硬件随机数生成器 (RNG) 的物联网设备都存在一个严重的漏洞，该漏洞无法使设备正确生成随机数，这会破坏任何上游使用者的安全性。为了进行安全操作，计算机需要通过 RNG 生成机密信息。然后，这些秘密构成了密码学、访问控制、身份验证等的基础。生成这些秘密的确切方式和原因的详细信息因每次使用而异，但规范示例是生成加密密钥：Alice 和 Bob 尝试使用 RNG 进行私人对话为了让Alice和Bob秘密通信，他们需要使用 RNG 生成共享秘密。Eve 起初并不知道这个号码是阻止她泄露通讯机密的唯一原因。所以，无论是用于身份验证的 SSH 密钥还是用于授权的会话令牌，随机数都是计算机安全的基石之一。但在物联网设备中，这些“随机”选择的数字并不总是像你希望的那样随机。事实上，在许多情况下，设备选择的加密密钥为0或更糟。截至2021年，大多数新的物联网系统(soc)都有专门的硬件RNG外设，旨在解决这个问题。但不幸的是，事情并没有那么简单。所以，如何使用外围设备就显得至关重要。调用硬件 RNG时产生的漏洞当开发人员未能检查错误代码响应时，会发生一个更明显的漏洞，这通常会导致与安全相关的使用所需要的数字不是那么随机。当物联网设备需要随机数时，它会通过设备的 SDK 或越来越多地通过物联网操作系统调用专用硬件 RNG。当然，函数调用的名称各不相同，但它发生在硬件抽象层 (HAL) 中。这是由设备制造商创建的 API，旨在让你可以更轻松地通过 C 代码与硬件交互，而无需设置和检查设备独有的特定寄存器。HAL函数看起来像这样：我们关心的有两个部分：一个名为 out_number 的输出参数，这是函数放置随机数的地方；它是一个指向无符号 32 位整数的指针。指定任何漏洞情况的返回值，根据设备的不同，它可以是布尔值或任意数量的枚举漏洞条件。所以，你可能会问的第一个问题是，“有多少人在野外实际检查这个漏洞代码?”不幸的是，答案是几乎没有人。例如，只需查看使用 MediaTek 7697 SoC HAL 功能的 GitHub结果：甚至是 FreeRTOS（一种流行的物联网操作系统）的抽象层（参见此处的 GitHub）：请注意，返回代码普遍没有被检查。尽管这不是这两个示例所独有的。这正是物联网行业的做法，你会在每个SDK和物联网操作系统中发现这种行为。发生最糟糕的情况所以设备不会检查 RNG HAL函数的漏洞代码。但它到底有多糟糕呢？这取决于特定的设备。RNG 外设的 HAL 功能可能会由于多种原因而失败，但迄今为止最常见和可利用的是设备的熵已用完。硬件 RNG 外围设备通过各种方式，例如模拟传感器或 EMF 读数，将熵从设备中提取出来，但不能无限供应。它们每秒只能产生这么多的随机位。如果你在 RNG HAL函数没有提供任何随机数时尝试调用它，它将失败并返回漏洞代码。因此，如果设备试图过快地获取过多的随机数，则调用将开始失败。但这就是随机数的问题，只有一个是不够的。当设备需要生成新的 2048 位私钥时，作为一个保守的例子，它会循环调用RNG HAL函数。这开始严重影响硬件的计算能力，而在实践中，他们往往做不到。最初的几个调用可能成功，但它们通常很快就会开始导致漏洞。那么，当HAL函数失效时，它会给你一个随机数字带来什么呢?根据硬件的不同，有以下几种：部分熵数字 0未初始化的内存那不应该存在这些都不是很好，但未初始化的内存?这是怎么发生的?记住随机数是一个输出指针。然后考虑下面的伪代码：random_number 变量被声明并存在于堆栈中，但从未被初始化。如果 HAL函数的行为使得它在发生漏洞时从不覆盖输出变量（这是常见行为），则变量中的值将包含未初始化的 RAM，然后通过网络将其发送给其他人。不要以为这些都是理论上的分析，现在市面上的设备都在使用0或更糟的加密密钥。Keyfactor在2019年对公开可用的RSA证书进行的一项分析发现，所有172个证书中有1个容易受到已知攻击。研究人员发现，物联网设备中的随机数生成是罪魁祸首之一，但这也只是猜测。如果你是正在为安全通信生成加密密钥的网络堆栈，你应该如何“处理”漏洞？实际上只有两种选择：中止，杀死整个进程；在 HAL函数上旋转循环无限长的时间，直到调用完成，阻止所有其他进程并在进程中使用 100% 的 CPU。这两种解决方案都是不可接受的。这就是开发人员忽略漏洞条件的原因，替代方案很糟糕，围绕 RNG 硬件的生态系统对他们没有好处。即使开发人员有充足的时间，情况也没有好到哪里去。有些设备，如STM32，有大量的文档，甚至供应商提供的随机性证明白皮书，但这些都是例外。很少有设备甚至对硬件 RNG 应该如何工作有基本的描述，也很少有设备拥有关于预期操作速度、安全的操作温度范围，和随机的统计证据等基本内容的任何类型的文档。有趣的是，试图仔细按照 STM32 文档的操作说明，仍然设法创建漏洞处理漏洞响应的代码。当出现漏洞响应时，需要多次尝试和大量代码才能正确阻止对 RNG 和自旋循环的额外调用。即使这样，我们也观察到有问题的结果，这让我们怀疑我们的代码。难怪开发人员在做物联网 RNG。CSPRNG子系统伪随机数产生器（Cryptographically Secure Pseudo-Random Number Generator，简称CSPRNG）是一个工具，常用的算法有 MD5 或者 SHA1 等标准，它们可以将不定长的信息变成定长的 128 二进位或者 160 二进位随机数。CSPRNG 子系统组件当应用程序在 Linux 服务器上需要加密安全的随机数时，它不会直接从硬件 RNG 读取或调用某些 HAL函数并阻止漏洞代码。它只是通过 /dev/urandom 读取。这是一个加密安全的伪随机数生成器 (CSPRNG) 子系统，可作为 API 提供给应用程序。每个主要操作系统上也有类似的子系统：Windows、iOS、MacOS、Android、BSD，等等。重要的是，对 /dev/urandom 的调用永远不会失败并且永远不会阻止程序执行。CSPRNG 子系统可以立即产生无穷无尽的强随机数序列。这直接解决了HAL函数要么阻止程序执行要么失败的问题。CSPRNG 子系统的另一个关键设计特征是熵池。这是为了从各种来源获取熵，包括硬件 RNG (HWRNG)。由于异或运算的魔力，所有这些单独的弱熵源都可以组合成一个强熵源。这是生成加密安全随机数的正确方法，并且已经成为所有地方的行业标准，除了物联网。为什么你真的需要一个 CSPRNG 子系统设计一个完整的 CSPRNG 子系统听起来真的很难，尤其是当你的小工具没有使用这些新的物联网操作系统之时。也许只需要咬紧牙关，在RNG HAL功能上进行循环就足够了。这样就能得到很好的随机数，对吧？本节将否定你认为硬件 RNG 完全安全的想法。易受攻击的参考代码没有人会完全从零开始编写源代码，尤其是在物联网设备领域。总有一些参考代码或示例文档可供开发人员参考。与硬件的接口对于任何设备来说都是棘手的，更不用说像硬件RNG外围设备这样挑剔的设备了。当设备的参考代码包含漏洞时，它会向下传播到使用它的每个设备。毕竟，开发人员应该如何知道易受攻击的参考实现和古怪的参考实现之间的区别？下面是一些例子：使用 HWRNG 传播不安全的 PRNG像libc rand()这样的prng是非常不安全的，因为它们产生的数字揭示了RNG的内部状态信息。它们适用于与安全性无关的上下文，因为它们快速且易于实现。但使用它们来加密密钥等内容会导致设备安全性的灾难性崩溃，因为所有的数字都是可预测的。不幸的是，许多支持硬件 RNG 的 SDK 和操作系统在幕后使用不安全的 PRNG。Nordic Semiconductor 的 nrf52840 SoC 的 Contiki-ng 物联网操作系统通过使用硬件 RNG 传播不安全的 libc rand() 函数来实现这一点：https://contiki-ng.readthedocs.io/en/release-v4.6/_api/arch_2cpu_2nrf52840_2dev_2random_8c_source.html使用硬件 RNG 熵播种 libc rand()将来调用random_rand()调用不安全的libc rand()需要明确的是，没有一种安全的方法可以使用libc rand()生成安全的值。使用硬件创建种子的事实是无关紧要的，因为攻击者可以使用untwister派生或枚举它。重要的是，当用户调用random_rand()时，输出将来自不安全的libc rand()调用。你还可以在 MediaTek Arduino 代码中看到相同的易受攻击行为（在此处的 GitHub上）：MediaTek SDK 中不安全的 libc rand() 使用所以，即使你的设备有一个硬件RNG外设，即使你认为你在使用它，也可能不安全。使用怪癖有时，设备的工作方式非常古怪，如果不能正确地解释这些怪癖，可能会导致设备安全性的灾难性崩溃，下面就以LPC 54628为例进行说明。在测试 LPC 54628 时，我们注意到我们从硬件 RNG 中获得了质量极差的随机数，结果如此糟糕以至于我们怀疑我们的工具可能有问题。事实证明我们是对的。如果你仔细阅读用户手册，你会注意到以下说明：“随机数生成器产生的随机数的质量(熵)依赖于内部逻辑的初始状态。如果需要使用128位或256位的随机数，建议不要将几个32位的字串接成一个随机数。例如，如果两个128位的字串接在一起，硬件RNG将不会提供2倍128位的熵。”为了构成一个128位的数，先读取一个32位的随机数，然后读取接下来的32个数，但不使用。读取和使用下一个 32 位数字，依此类推。因此，32位的随机数会在使用的两个32位数字之间跳过。为了正确使用RNG外设，你应该得到一个随机数，然后抛出后面的32。然后继续循环！在我们的测试代码中，我们只是调用 RNG HAL函数并使用结果，这是一种相当合理的编写代码的方式。有多少人仔细去阅读那个用户手册？显然，安全依赖于这种行为是不可接受的。统计分析事实证明，物联网硬件 RNG 外围设备的原始熵质量差异很大。大多数设备未能通过统计分析测试，这些结果通常取决于单个设备本身，因为产品质量，即使是相同品牌和型号的设备也会产生不同的结果。MediaTek 7697在分析熵时，我们测试的内容之一是RNG产生的字节的相对分布。在理想情况下，我们应该期望每个字节的可能性相等，因此字节的分布应该是一条平坦的线。但我们看到的MT7697并非如此：MediaTek 7697 SoC上从0到255的每个字节频率的直方图上图是一个直方图，显示了从 MediaTek 7697 SoC 的硬件 RNG 凭经验测量的每个可能字节 (0 -> 255) 的相对频率。请注意锯齿图案：这绝对不是随机的。不应该有任何类型的模式。直接使用它作为你的加密密钥，你感觉安全吗？Nordic Semiconductor nrf52840Nordic Semiconductor nrf52840 SoC 的硬件 RNG 表现出 0x000 的重复 12 位模式，每 0x50 个字节出现一次：在 nrf52840 SoC 中重复 0x000事实上，这是12个字节，而不是8或16个字节，这很奇怪。对此我们没有一个很好的解释，但这可能取决于黑盒RNG硬件的内部工作方式。STM32-L432KC不幸的是，我们没有一个很好的图表来展示这一点，但以下是来自 Dieharder测试套件的结果：STM32-L432KC SoC 的统计分析结果示例如你所见，这未能通过顽固的“RGB 最小距离”测试。该测试的作用是使用 RNG 在大网格中随机绘制数字，然后计算任意两点之间的最小距离。这个测试特别擅长识别数字之间的细微关联，比如重复。如果测试失败，可能表明RNG产生的数字不是相互独立的，或者它们以某种方式重复。虽然我们测试的许多硬件 RNG 看起来都不错，例如 LPC54628和 ESP32，但在这里得出的唯一合理结论是，不应孤立地信任从硬件 RNG 中获取的原始熵。CSPRNG 子系统提供的密钥拉伸和熵池从根本上是避免执行 IoT RNG 所必需的。总结物联网需要一个 CSPRNG 子系统，这个问题不能仅仅通过修改文档和责备用户来解决。如果你要从头开始设计新设备，我们建议你在操作系统中实现 CSPRNG。RNG代码应该被认为是危险的，就像加密代码一样。不管你有多聪明，永远不要自己编写与RNG硬件接口的代码。你几乎肯定会出错。不要直接从RNG硬件中使用熵。总的来说，硬件 RNG 不适合加密使用。设备所有者留意更新并确保在可用时应用它们。这是一个可以通过软件解决的问题，但可能需要一些时间。与此同时，请注意不要过度信任你的 IoT 小工具。对于需要互联网连接的家庭设备，请将它们放置在只能从外部访问的专用网段中，这将有助于遏制传播到网络其他部分的任何违规行为。物联网设备开发商如果可能，请选择包含从包括硬件 RNG 在内的各种熵源中传播的 CSPRNG API 的物联网设备。如果没有可用的 CSPRNG 并且你别无选择，请仔细检查你所依赖的库以及你自己的代码，以确保你没有使用从未初始化的内存读取、忽略硬件 RNG 外设寄存器或漏洞的代码条件，或者在没有更多可用熵时无法阻止。设备制造商/物联网操作系统在你的 SDK 中弃用和或禁用 RNG HAL函数的任何直接使用。相反，应该包含一个 CSPRNG API，该 API 使用具有适当硬件 RNG 处理的稳健且多样化的熵源进行传播。Linux内核对dev/urandom的实现可以作为一个很好的参考。