硬件安全迎來開源革命 - 網安 - 專業的網絡安全產業、社區、知識平臺

提到網絡安全或IT安全，大多數人會立即想到基于軟件的威脅和防護，例如勒索軟件、病毒或其他形式的惡意軟件，鮮有人會提及硬件安全的重要性。

雖然業界已經開發出一些硬件安全標準，例如安全啟動和受信任的平臺模塊（TPM）可保護計算機系統在啟動期間不會被篡改或受到損害；基于硬件的加密廣泛用于保護硬盤驅動器和網絡上的數據。但是，面對日益復雜的安全威脅，發展速度嚴重滯后的硬件安全領域亟待一場技術革命。

今天，越來越多的企業開始意識到網絡安全不僅僅是軟件問題，只有軟件安全和硬件安全的均衡發展和集成，才能達成最佳安全態勢。

而開源項目將在硬件安全“對齊”軟件安全的過程中發揮關鍵作用。

軟件安全的硬基礎：指令集架構

成熟和新興的指令集架構（ISA）提供了強大且前景廣闊的基于硬件的安全技術。某些ISA包含用于緩解漏洞和攻擊的內置安全功能，例如基于硬件的加密、內存保護和數據執行保護。

目前，一些流行的ISA已經被廣泛使用，例如x86 ISA。Arm也提供ISA級別的安全功能，使其成為移動設備的首選ISA。RISC-V是一種較新的ISA，作為完全免費和開源的選項脫穎而出，由于其作為研究平臺的靈活性和功能，正在全球快速流行。

選擇ISA的組織應考慮其與其他安全工具和軟件的兼容性，以確保安全態勢一致。

CHERI是劍橋大學和SRI國際聯合開發的一個令人興奮的硬件開源安全項目。CHERI涵蓋多個ISA，包括CHERI MIPS和CHERI Arm。

CHERI因其獨特的保護模型而受到關注，該模型引入了硬件強制的邊界和控制對內存區域的訪問的權限。CheriBSD是開放FreeBSD的一個功能擴展，實現了CHERI ISA的內存保護和軟件劃分特性。

CHERI目前仍處于研發階段，但涌現的一些原型已經讓人看到希望。Arm的Morello平臺是目前最先進的CHERI原型，將CheriBSD的最新版本與高性能內核相結合以創建強大的片上系統和開發板。該平臺為軟件開發提供了內存安全的桌面環境。

此外，開源RISC-V的FPGA已經實現，RISC-V的CHERI標準化工作也正在進行中。包括谷歌、微軟和許多其他公司一直在積極探索CHERI-RISC-V和Morello平臺。

CHERI和類似項目的出現正孕育著IT安全領域的一場革命。CHERI提供的內存保護和數據訪問控制可以使組織對攻擊和漏洞具有廣泛的免疫力。緩沖區溢出和釋放后使用攻擊等基于內存的攻擊是可以預防的。

CHERI類型的項目還提供高性能的分段功能，可滿足阻止攻擊者訪問敏感數據的關鍵需求。

開源項目固有的協作和知識共享機制加速了新的和現有的硬件安全技術的發展。源代碼和硬件設計開放給所有開發人員和安全專家審查、測試和報告漏洞，共同修補和改進，基于硬件的開源安全創新具有閉源開發無法比擬的創造性貢獻和測試水平。

例如CheriBSD（FreeBSD OS的改編版本）這樣的開源類Unix操作系統為硬件安全解決方案的開發提供了關鍵動力，有助于推動硬件安全的標準化和跨平臺、跨廠商協作，讓各方可以共同解決硬件安全問題，推動人才培訓和審查水平，提高整個行業的硬件安全技術和創新能力。

隨著安全威脅的復雜性及其危險性不斷增加，網絡攻擊向物理網絡空間的各個角落快速滲透，企業必須利用包括軟件、硬件、人員、技術、流程在內的一切可用的保護措施來應對這一日益嚴峻的挑戰。

新興的基于硬件的安全解決方案（如CHERI和其他新的開源ISA）為企業構建完整的基礎安全架構提供了更多更好的選擇。作為全面安全策略的一部分，這些工具代表了未來立體化企業安全態勢的強度和可能性的一次重大飛躍。