全球半导体供应链的复杂性与依赖度不断提升,其安全性日益受到关注。
美国国家标准与技术研究院(NIST)举办了一场名为“增强整个半导体供应链中设备和组件的安全性”的全天研讨会,旨在探讨半导体生命周期中的现有和新兴网络安全威胁以及如何通过技术手段缓解这些威胁。
半导体硬件是现代电子设备的基石,涵盖从智能手机、计算机到交通运输与关键基础设施等方方面面。随着全球化进程的推进,半导体供应链已演变为一个高度复杂且相互依存的网络,其安全性直接影响到敏感信息的保护、系统的完整性以及整体社会稳定。
研讨会设定了广泛的讨论议题,涵盖从硬件开发生命周期到标准化需求、计量学指标以及漏洞管理等方面,力求在多方合作中为半导体供应链的安全保障探索可行方案。
Part 1
● 硬件开发生命周期的挑战
硬件开发生命周期的安全性是此次研讨会的核心议题。
如何恢复关键商品生产至美国本土以及增强半导体/IC 供应链网络安全的重要性,通过 CISA 的“安全设计”倡议以及 NIST 的芯片研发计量计划,已在这一领域取得了显著进展。
然而,未来仍需进一步加强公私合作,并优化供应链信任与安全分析的计量标准。目前尚无统一的行业标准来描述 IC 供应链的各个阶段,但他们已开发出自己的七阶段模型,并结合透明供应链计划与 Project Amber,致力于构建威胁模型以应对供应链的复杂性。
● 计量学:安全指标与威胁模型的整合
计量学是提升硬件安全性的重要工具。与会专家一致认为,有效的安全指标需在明确的威胁模型框架下进行识别与实施。在明确识别资产、用例与威胁的基础上,构建初始安全基线的重要性。
此外,安全指标需具备持续更新与监控的能力,以应对硬件开发过程中的动态变化。不同层级的受众需要定制化的安全指标。例如,CWE 结构可以用于硬件安全领域,以定义具体安全要求并衡量相关指标的有效性。这种方法为设计决策与业务选择提供了有力依据。
● 硬件测试与验证:从设计到实现的全方位保障
确保片上系统(SoC)设计的安全性不仅依赖于工具支持,还涉及到从设计阶段到实施阶段的全面验证。当前 SoC 设计正逐步将安全要求融入各个方面,这一趋势促使工具供应商不断提升验证能力。
他预计,未来设计工具将通过结合 AI 和机器学习系统,以标准化方式传递设计安全信息,从而进一步完善验证平台。自动化侧信道测试的重要性,认为应根据不同安全级别制定明确的测试框架,以应对风险管理需求。
● 漏洞管理:从预防到应对的全生命周期管理
硬件漏洞的管理与补救在供应链安全中占据重要位置。如何在早期阶段检测并预防漏洞,以及如何在后期应对突发情况,是本次研讨会的重要议题之一。漏洞根因分析与威胁模型自动化生成的思路,建议企业应将更多资源投入到生命周期初期的漏洞检测与预防中。
硬件漏洞的披露与软件不同,需结合监管机构与制造商的合作进行更深入的探讨。硬件与软件漏洞管理的演变,认为虽然公共软件漏洞基础设施可在一定程度上适用于硬件漏洞管理,但硬件行业仍需改进漏洞管理实践,以满足供应链的特定需求。
● 标准化的需求:推动行业协作与规范统一
标准化在确保供应链安全中扮演着不可或缺的角色。随着全球供应链的复杂化,对统一标准的需求日益增长。已采取措施激励半导体制造业回流美国,但市场对长期有保证的供应链仍缺乏偏好。
这需要通过标准化实现供应链的可追溯性与来源的集成,从而满足关键供应链的保障需求。半导体制造网络安全联盟(SMCC)的工作,旨在通过与 NIST 合作,推动行业对 CSF 2.0 的采用与实施。
中型企业与国防承包商在安全领域的专业知识差距,可能通过安全自动化技术得以缩小,通过标准与法规强化供应链安全的建议,并强调了供应链可信生态系统联盟的重要性。
Part 2
此次研讨会明确了未来半导体供应链安全的几项关键工作方向:
● 半导体安全框架的构建:与行业组织合作,开发并推广 NIST CSF 2.0 的半导体制造社区概况,重点在于提高供应链的可追溯性与来源管理。
● 安全计量学的应用:制定半导体的实际网络安全测量与指标体系,以持续为开发生命周期中的各个阶段提供有效支持。
● 标准化与合作机制的推动:通过公共工作会议与联盟合作,推动行业与 SDO 之间的协同,以制定和推广符合实际需求的标准与指南。
NIST 研讨会为增强半导体供应链安全性提供了清晰的讨论方向。随着政府、学术界与行业的多方合作逐渐深入,半导体供应链的安全性将得到全面提升,为未来科技与社会的可持续发展奠定坚实基础。
