在安全测试之前做好计划有助力于确保嵌入式系统的安全。

我应该使用什么样的策略确保嵌入式系统像传统应用软件那样安全？我是否应该做一些额外的安全测试，当运行嵌入式软件系统时？

当嵌入式系统受到攻击时，一定会有大量的东西丢失，但这却不能更改你开发软件的方法。忽略开发语言、系统或硬件平台时，应用安全所采用的策略是一样的，都开始于设计。威胁模型是关键。这意味着要看到整个系统，并且从攻击点到特定漏洞角度出发做决定，这可以从应用的对立面出发。

不要因担心嵌入式细节在偏离主题太远。最后，嵌入式系统漏洞与其它我们看到的传统的电脑系统的没什么区别，如：

• 不牢靠的沟通渠道（如，脆弱的SSL版本）
• 简单的密码和授权机制
• 脆弱的数据存储方法

你为你的嵌入式系统弹性提前计划的每一分钟，你将会看到5倍或10倍的回报。耐心点，把它做好。

当进行嵌入式系统安全缺陷测试时，一般的黑客方法仍然适用：

• 本地的
• 枚举的
• 识别漏洞
• 开发/演示

也就是说，找到和测试嵌入式系统缺陷的特殊方法，与传统应用安全测试方法是不同的。在嵌入式系统中，你可能仍然在使用传统网络和web漏洞扫描。然而，依照嵌入系统平台的不同，你可能需要更多的合适的工具，这包括如网络分析助手、蓝牙扫描和Wi-Fi分析工具。利用如Metasploit 这样的工具也会得到益处。熟悉操作系统命令提示符将有帮助。

最后，嵌入式系统对于安全测试和恶意攻击是公平的。尽你所能找到和修复缺陷，在有人打电话给你，或给他人造成问题之前 。