郑敏娟

（宁夏银光钢构件制造有限公司 宁夏 银川 750101）

0 引言

在分析设计损毁模块过程中，主要需针对损毁方式、时机、策略和多级自毁策略进行研究。所谓的自毁技术是保证系统数据信息安全的关键安全技术。能够自主保护系统内部重要数据、程序的安全性不受到威胁，采取对系统有选择性的进行损毁操作。系统损毁机制能够提供自毁技术支持，可以根据系统受到的安全性威胁的级别，自动触发，完成不同程度自毁。

1 损毁的时机

对于需要有系统销毁功能的高可信嵌入式控制系统，其内部需要损毁的部分数据、程序等资料是十分针对的，例如日志资料对于合法用户来说是缺失后不可再得的宝贵数据资源。所以系统一旦在不适当的情况下启动系统销毁时，对系统来说就不再是一种保护，恰恰相反是这种行为将会对系统造成了难以估量的损失。因此对于如何选择合理恰当的时机，如何判断销毁级别的研究是系统损毁机制功能模块策略设计的首要前提。

系统损毁机制需要保证系统启动的时机是在十分必要的情况下才触发的，不允许系统在不受任何威胁的情况下启动自毁功能，或者由于合法用户的误操作而触发系统损毁，造成系统不必要的损失。同时，需要考虑到系统是如何判定这些触发条件的真实性及必要性，以避免不必要的损毁造成的麻烦。系统损毁启动的条件包括系统落入非法用户或已被非法用户以某种方式控制，或者是系统的可靠性低于指定的门限值等。系统内存储的重要信息只要存在被非法用户窃取的威胁，就需要系统在无系统管理员管理的情况下主动获知系统当前的状况，在必要恰当的情况下启动系统损毁机制。

通过研究自毁机制，并结合系统设计考虑，系统损毁机制启动的时机至少需要包括如下几个方面:

1.1 在用户进行身份认证的基础上，例如口令输入等身份验证结果中加入看门狗，设定阈值，当连续出现密码输入错误并验证次数超过阈值时导致狗叫，并启动系统自毁装置。

1.2 当合法用户确认系统落入非法用户手中时，可由高可信嵌入式控制计算机系统的主机系统进行无线遥感启动系统自毁装置。

1.3 高可信嵌入式控制计算机系统的外箱体、内箱体、主要器件在自毁模块未停止工作的前提下被人为破坏、拆卸或自然损坏，系统启动自毁装置。

另外为了确保自毁系统能够成功进行，当提供自毁系统的电源电量低于一定的门限值时，在辅助液晶屏显示屏上提示充电或更换，并发出报警音。保证自毁模块顺畅运行。

2 损毁方式

2.1 损毁控制手段

2.1.1 系统自毁

系统需要能够自主控制损毁装置，在必要的情况下，对系统的关键数据、程序、部件进行损毁。在这里我们称之为自毁手段，系统根据当前系统状态，判断是否需要进行系统损毁，并且根据需要进行级别划定，采取不同的损毁方式。因为不同的系统损毁策略对系统所造成的损害是不同的，同时系统的修复能力也是不同，必须保证系统能够在不同情形下，根据系统受威胁程度采用不同的损毁能力。这样可以既保证系统关键信息的安全性，又提高系统的可维修能力。

对于这种方式，对威胁程度的划分需要进一步考虑，损毁级别定义可以根据系统所采用的身份认证技术及系统完整性保障技术作为衡量的基础上，采用分级自毁策略保证系统的安全性。通常情况下，嵌入式系统多采用多级认证机制来保证系统免受非法用户的入侵，那么可以根据用户进入系统的状态，来判断系统受到的安全性威胁的级别，自动触发，完成关键数据，关键程序，关键部件的不同程度的自毁功能。

2.1.2 无线控毁

系统管理者无法保证恶意用户是否在窃取系统后，不会设法通过其他方式来研究嵌入式控制系统，而避开了系统自毁机制的启动。因此，当管理者已经确定系统的丢失，必须要采取相应的对策，以预防上述事情的发生所造成的巨大损失。

因此系统在自毁子系统实现的基础上，添加了无线设备，设定相关的远程控制接口。嵌入式控制系统可以根据系统管理者的意愿采用远程方式来控制系统关键数据销毁装置的启动。

2.1.3 本地销毁

以上两种手段仍然不能顾及到所有可能性。系统还需要提供本地销毁的能力，根据系统当前合法使用者的实际需求，在使用过程中，随时对系统进行关键数据、程序、部件的销毁。

当前合法用户，通过系统前端相应模块在输入不同损毁方式对应的指令信息，经过解析，保证用户安全性后，直接调用指令对应的损毁策略，对系统关键信息的销毁。

2.2 损毁实现方式

2.2.1 软件销毁

顾名思义，是通过软件设计的方式对系统关键数据进行操作处理，达到不可再生的目的。系统可以采用对存储芯片关键区域擦除的方式，达到对系统的关键数据进行销毁的作用。由于一般嵌入式系统的存储芯片都是可读写的，系统可以通过编写相应存储芯片的驱动对其进行读写操作。在需要进行数据销毁的情况下，可过对存放数据、程序的关键区段进行写覆盖操作或者擦除操作，进而达到信息销毁的功能。

2.2.2 硬件销毁

该方式的实现是通过硬件电路，把系统进行报废，不可再生。相应的损毁器件内部存储的信息也得到不可恢复的损毁。

2.2.3 物理销毁

物理销毁是通过一些常识性物理、化学知识的运用对系统的存储设备进行不可再生的破坏，比方说使用消磁的方式，又比方说使用化学腐蚀的方式，又或者使用其他的物理破坏的方式对芯片、部件进行销毁。

3 损毁策略

3.1 数据损毁

数据损毁仅仅是在系统初步受到威胁的情况下，对系统存储芯片内的关键数据文件进行自毁。目前，嵌入式系统选用的存储芯片都具有擦除复写的功能。因此通过软件方式，可以单独对存储芯片进行数据段区域进行损毁，这种策略并没有破坏嵌入式计算机的存储操作系统的程序段，同时硬件设备也是完好的，系统仍然可以继续使用，只是非法用户已经再也无法再获取到系统原有关键计算数据及日志内容信息条目。

3.2 程序损毁

当嵌入式系统受到进一步威胁的情况下，系统已经到了警戒区，不能再继续允许系统的使用，但是同时又不可以对系统造成太大的损害，需要系统可以经过简单的修复继续使用。因此，系统在这个层次上，选择采用程序销毁的方式。

3.3 电气损毁

由于数据自毁与程序自毁的安全性仍然有一定的隐患，我们不能百分百地排除可能由于外界原因，造成芯片擦除不完全，或者非法用户采用未知的方式进行恢复，导致信息存在泄露的可能性。计算机的安全涉及到从计算机硬件底层一直到操作系统的各个环节，为了使信息安全得到保证，自毁技术从硬件到软件必须有一套完整的安全设计方案。

4 结束语

总之，作为一个需要与用户进行交互的设备，其交互设计必须是被用户认可接受的，满足用户的使用习惯及功能需求，方便用户的理解操作。另外，为了保证系统是高可信的，其设计前提是要保证系统存储的关键信息能够在可靠安全的情况下被合法用户使用操作；同时对于外来威胁，系统根据需要采取不同层级的防御措施，以保护系统关键信息的安全。

［1］马静，张波，辛波.马尔可夫链在冗余系统可靠度求解中的应用[J].中国惯性技术学报，2007，15（2）:248-251

［2］王丽华，徐志根，王长林.可维修三模冗余结构系统的可靠度与安全度分析[J].西南交通大学学报，2002，37（1）:103-107.