硬件安全迎来开源革命

提到网络安全或IT安全，大多数人会立即想到基于软件的威胁和防护，例如勒索软件、病毒或其他形式的恶意软件，鲜有人会提及硬件安全的重要性。

虽然业界已经开发出一些硬件安全标准，例如安全启动和受信任的平台模块（TPM）可保护计算机系统在启动期间不会被篡改或受到损害；基于硬件的加密广泛用于保护硬盘驱动器和网络上的数据。但是，面对日益复杂的安全威胁，发展速度严重滞后的硬件安全领域亟待一场技术革命。

今天，越来越多的企业开始意识到网络安全不仅仅是软件问题，只有软件安全和硬件安全的均衡发展和集成，才能达成最佳安全态势。

而开源项目将在硬件安全“对齐”软件安全的过程中发挥关键作用。

软件安全的硬基础：指令集架构

成熟和新兴的指令集架构（ISA）提供了强大且前景广阔的基于硬件的安全技术。某些ISA包含用于缓解漏洞和攻击的内置安全功能，例如基于硬件的加密、内存保护和数据执行保护。

目前，一些流行的ISA已经被广泛使用，例如x86 ISA。Arm也提供ISA级别的安全功能，使其成为移动设备的首选ISA。RISC-V是一种较新的ISA，作为完全免费和开源的选项脱颖而出，由于其作为研究平台的灵活性和功能，正在全球快速流行。

选择ISA的组织应考虑其与其他安全工具和软件的兼容性，以确保安全态势一致。

CHERI正推动一场网络安全革命

CHERI是剑桥大学和SRI国际联合开发的一个令人兴奋的硬件开源安全项目。CHERI涵盖多个ISA，包括CHERI MIPS和CHERI Arm。

CHERI因其独特的保护模型而受到关注，该模型引入了硬件强制的边界和控制对内存区域的访问的权限。CheriBSD是开放FreeBSD的一个功能扩展，实现了CHERI ISA的内存保护和软件划分特性。

CHERI目前仍处于研发阶段，但涌现的一些原型已经让人看到希望。Arm的Morello平台是目前最先进的CHERI原型，将CheriBSD的最新版本与高性能内核相结合以创建强大的片上系统和开发板。该平台为软件开发提供了内存安全的桌面环境。

此外，开源RISC-V的FPGA已经实现，RISC-V的CHERI标准化工作也正在进行中。包括谷歌、微软和许多其他公司一直在积极探索CHERI-RISC-V和Morello平台。

CHERI和类似项目的出现正孕育着IT安全领域的一场革命。CHERI提供的内存保护和数据访问控制可以使组织对攻击和漏洞具有广泛的免疫力。缓冲区溢出和释放后使用攻击等基于内存的攻击是可以预防的。

CHERI类型的项目还提供高性能的分段功能，可满足阻止攻击者访问敏感数据的关键需求。

开源加速硬件安全发展

开源项目固有的协作和知识共享机制加速了新的和现有的硬件安全技术的发展。源代码和硬件设计开放给所有开发人员和安全专家审查、测试和报告漏洞，共同修补和改进，基于硬件的开源安全创新具有闭源开发无法比拟的创造性贡献和测试水平。

例如CheriBSD（FreeBSD OS的改编版本）这样的开源类Unix操作系统为硬件安全解决方案的开发提供了关键动力，有助于推动硬件安全的标准化和跨平台、跨厂商协作，让各方可以共同解决硬件安全问题，推动人才培训和审查水平，提高整个行业的硬件安全技术和创新能力。

硬件安全的作用日益增强

随着安全威胁的复杂性及其危险性不断增加，网络攻击向物理网络空间的各个角落快速渗透，企业必须利用包括软件、硬件、人员、技术、流程在内的一切可用的保护措施来应对这一日益严峻的挑战。

新兴的基于硬件的安全解决方案（如CHERI和其他新的开源ISA）为企业构建完整的基础安全架构提供了更多更好的选择。作为全面安全策略的一部分，这些工具代表了未来立体化企业安全态势的强度和可能性的一次重大飞跃。