米乐m6中国官方网站 开发了安全屏障装置，只需安装即可保护重要数据

独立行政机构产业技术综合研究所[会长：中钵良二]（以下简称“AIST”）安全系统研究部[研究部部长松井敏博]控制系统安全研究组[研究组组长古原和国]首席研究员户田贤治等人是技术研究会控制系统安全中心[新会长]精一]（以下简称“CSSC”）的成员，我们成功开发了一种安全屏障设备（SBD），可保护计算机、服务器和控制系统（以下简称为“系统”），只需附加它即可。 SBD 是系统I/O端口（IO口）之间和外围设备，它将发挥作用操作系统任何类型的8619_8631|和设备驱动程序等任何软件。

　SBD有多种类型专门开发的IO口FPGA板及其控制装置。这次，SATA 端口连接的存储设备（硬盘等）主板恶意软件攻击。特别是存储设备块单位的保护之外，我们还实现了逐个文件的读写保护，相比之前大大扩展了保护范围。

　SBD的特点是可以在不修改原始存储设备的情况下保护原始文件和数据块。除了防止机密信息泄露之外，引导区是啊系统文件可以受到保护，可以通过重新启动操作系统来清除内存中的恶意软件，并且可以从SBD日志中检查攻击状态并立即恢复操作、控制和监视。

9426_9481蓝色代码''即将公布。

开发安全屏障装置（左）和SBD FPGA板（右）

　现代操作系统和应用软件（App）中的漏洞很难完全阻止，这些漏洞最近变得越来越庞大，并且报告的漏洞数量逐年增加。漏洞被称为“零日”，在采取对策之前不会受到保护，它们是恶意软件攻击的主要目标。零日攻击）。特别是在控制系统中，由于硬件性能有限，可能很难安装安全软件。此外，操作验证和可用性在很多情况下，用户会因为问题而继续使用旧操作系统和应用，而不应用安全补丁。为了解决这些问题，AIST 和 CSSC 联合开发了一种 SBD，它可以轻松改装，无需安装软件，并且无论操作系统或应用程序如何，都可以保护重要数据。按照惯例，每个分区有保护方法和将文件移动到受保护区域的方法，但没有一种技术可以在不对系统存储设备进行任何更改的情况下自由指定和保护文件和数据块。

　SBD是一种通过将其安装为连接要保护的系统和外围设备的IO端口的中继来增强安全性的设备（图1、图2）。安装非常简单，只需装卸 IO 连接器即可。 SBD旨在通过各种端口继电器提供广泛的保护。这次，通过在连接到SATA端口的存储设备和主机之间插入SBD，我们成功地保护了磁盘块以及以文件为单位的读写。原有存储设备保持完整，无需安装任何设备驱动程序。

图1 SBD安装概念图

图2 SBD安装示意图

图3展示了SBD的存储设备保护功能的机制。存储系统数据的存储设备和主体通过SBD进行中继，但SBD具有与系统存储设备分离的、自身可读写的存储设备，并存储系统原有存储设备中的数据块是否可读写（访问）的信息。当系统向存储设备发出读取或写入数据的请求时，SBD引用该区域的访问权限信息。如果允许，则按原样进行读取或写入，但如果禁止读取，则返回0等虚拟数据，如果禁止写入，则不执行写入操作。虽然磁盘访问单元物理上是512字节的扇区单元，但SBD已将其扩展为字节单元。也就是说，FPGA板将读取的扇区内容与SBD写入的扇区内容以字节为单位进行比较，判断逐字节数据是否相同则不重写，不同则重写。所读取的数据除了要重写的部分之外都被使用，并且逐扇区地写入存储设备。这可以实现字节级数据保护。由于安全信息磁盘对系统来说是不可见的，因此恶意软件原则上无法更改此安全信息。

图3 SBD数据保护功能操作方法

　此次，我们进一步扩展了基于数据块的访问控制，实现了基于文件的访问控制。为了防止读取文件，请使用 SBD 将文件部分中的数据块指定为读保护并返回虚拟数据。有关文件写保护的信息，请参阅Windows中常用的文件系统），系统会通知用户已检测到文件的写保护违规，但允许写入该文件一次。然后，在重新启动时，SBD 将文件写回其原始内容。因此，如果您对系统文件进行写保护，这些文件将在操作系统启动之前恢复，让您可以安全地将系统恢复到原始状态。一旦您允许写入这样的写保护文件，Windows，文件系统缓存位于内存中以加快进程，并且首先对该缓存进行重写。因此，如果SBD禁止写入存储设备（磁盘），则重写后的缓存与磁盘之间就会出现差异。由于缓存会在短时间内反映到磁盘上，因此可以及早检测到写保护违规。此外，SBD还可以立即检测并阻止破坏文件以外区域（例如引导区域）或安装恶意软件的攻击。

　我们开发的技术允许我们自由地指定和保护文件和数据区域，而无需对原始磁盘进行任何更改，并且没有具有相同功能的产品，因此我们创建了这项新技术。

　SBD同时检测到访问违规以太网等外部方的通信，从而切断恶意软件的远程控制，防止进一步的入侵、感染他人和信息泄露。之后，可以在安全的环境中分析SBD日志和重写的文件，以进一步分析恶意软件。此外，由于 FPGA 板会检测访问违规，因此因安装而导致的存储访问速度下降很小。运动控制，以及需要宽通信带宽的数据服务器。

　这次，很多用户都在使用SBD的文件单元保护Windows通过系列操作系统中使用的 NTFS 实现。也适用于其他文件系统，Linux的 EXT 和 FAT 的小型存储的支持即将推出。根据需要也可以支持其他文件系统。我们还计划通过开发中继其他 IO 端口（例如以太网、USB 和 HDMI）的功能来进一步增强 SBD 的防御能力。

目前的SBD中，专门开发的FPGA板的尺寸为10厘米×23厘米，并且SBD控制装置使用商用计算机，以便可以内置FPGA板，因此整体原型机大约是台式电脑的大小。由于普通用户对小型化的需求，我们计划与存储设备制造商合作开发与现有存储设备尺寸相同的SBD存储。

◆I/O端口（IO口）

用于连接键盘、显示器、硬盘和以太网等外围设备的输入/输出端子。[返回来源]

◆操作系统

操作系统（操作系统/基础软件/系统软件）是通过提供应用程序常用的基本功能来管理整个计算机系统的软件，如键盘、显示器、存储设备等的输入/输出，文件、内存、处理器等的管理。Windows、Linux、Android、OS X 等[返回来源]

◆设备驱动程序

用于控制外围设备（输入/输出设备）的软件。根据设备的类型和功能，通常需要不同的东西。[返回来源]

◆FPGA板

现场可编程门阵列（逻辑可编程LSI芯片）。用户以后可以多次重写逻辑程序（电路）。[返回来源]

◆SATA端口

一种 IO 端口，用于将计算机连接到硬盘 (HDD) 等存储设备的标准串行高级技术附件的通信端口大多数现代计算机都使用这个标准。[返回来源]

◆主板

主电子电路板，包含处理器、内存、（在本例中尤其如此）IO 端口等。[返回来源]

◆恶意软件

“恶意” （恶意）和“软件” （软件），计算机病毒等恶意软件的总称。[返回来源]

◆块单位

许多存储设备（例如硬盘）被称为块设备，它们仅允许以固定单位（扇区，512 到 4096 字节）进行输入和输出。[返回来源]

◆引导区

存储区域，存储系统开机时首先执行的启动程序和信息。如果该区域被破坏，操作系统将无法启动。[返回来源]

◆系统文件

操作系统正常运行所需的一组文件。[返回来源]

◆零日攻击

在发现软件漏洞后、在准备对策程序之前对软件漏洞进行攻击。[返回来源]

◆可用性

能够继续使用系统而不会因故障而停止。[返回来源]

◆分区单元

硬盘的逻辑划分区域。每个分区对于操作系统来说都是一个独立的逻辑设备。[返回来源]

◆以太网

PC网络通信端口（LAN）标准。最流行的计算机网络通信标准。[返回来源]

◆运动控制

操作控制。工厂组装机等需要实时控制[返回来源]