針對計算機基本輸入/輸出系統(tǒng)(BIOS)固件的攻擊不斷增加，為了阻止該攻擊，美國國家標準與技術(shù)研究所(NIST)制定了新的安全指導方針來更新BIOS。并且在這個過程中，NIST還讓高科技制造業(yè)提高其安全要求。

NIST計算機安全部門數(shù)學研究員兼項目負責人Andrew Regenscheid表示：“去年九月，第一個基于BIOS的rootkit被發(fā)現(xiàn)，被稱為Mebromi。”雖然多年來攻擊者主要在圍繞Windows應(yīng)用程序和操作系統(tǒng)創(chuàng)建惡意軟件，但針對BIOS的攻擊也逐漸引起人們的關(guān)注。

新的安全指導方針將會影響聯(lián)邦政府在未來購買怎樣的電腦，NIST設(shè)定了標準要求對BIOS更新機制進行身份驗證。

本周NIST為其擬議的聯(lián)邦標準“針對服務(wù)器的BIOS保護準則”征求公眾意見，截止到九月中旬。這樣做的目的是阻止任何與“惡意軟件對BIOS固件進行未經(jīng)授權(quán)修改”相關(guān)的網(wǎng)絡(luò)攻擊

NIST的文件顯示，在未來政府對服務(wù)器的購買(無論是基本服務(wù)器、管理服務(wù)器還是刀片服務(wù)器)都會檢查其購買的設(shè)備是否能夠“身份驗證BIOS更新機制”、“安全本地更新機制”、以及是否存在“固件完整性保護”和“非繞過功能”。

Regenscheid表示，基于加密的數(shù)字簽名以及公共密鑰證書等技術(shù)被視為創(chuàng)建這些安全控制的方法，但NIST沒有指明具體流程。

他說，值得關(guān)注的是，在過去，制造商沒有對BIOS統(tǒng)一部署很強的安全控制。這可能是因為BIOS更新比其他類型的計算機軟件更新的頻率低很多，但隨著惡意軟件威脅的增加，是時候?qū)⒅攸c放在BIOS上了。

在2011年4月，NIST已經(jīng)針對臺式機和筆記本電腦發(fā)布了BIOS安全標準，并且美國國土安全局要求聯(lián)邦政府使用該安全標準作為購買筆記本和臺式機的基準，從今年十月份開始。美國國防部已經(jīng)發(fā)出類似的指令。制造商都清楚了NIST的這一指示，并正在作出響應(yīng)。他指出：“微軟Windows 8有針對桌面的BIOS保護。”