引言
人類一直在不斷地努力推動歷史和科技的進步!
從18世紀60年代,以蒸汽機發明為標志的第一次科技革命開始,到上世紀的以IT技術和信息通訊技術開端的第五次大技術革命,整個人類社會已經發生了鋪天蓋地的變化。特別是第五次科技革命,正在進入以萬物皆聯網為目標的數字化時代的蓬勃發展期。
復雜的網絡連接、海量的信息數據處理和交易,信息技術所依托的軟硬件和集成平臺正在以驚人的速度前行,信息介質本身也從“有形”到 “無形”,這使得信息安全不僅更加重要,安全保護維度也更趨于復雜而深廣。
當今社會的高度信息和數字化離不開集成電路的廣泛應用。在我國,隨著國家戰略的推動、政府的支持以及國際形勢的種種原因使得芯片行業在全國各地呈星星之火燎原之勢發展起來。芯片研發成本昂貴,知識產權和數據的泄露將會造成重大和不可挽回的經濟損失,因此對其研發環境的安全體系打造成為各芯片設計公司關注的焦點。
我們一直非常重視和關注安全,深刻認識到無論是在傳統的研發數據中心,還是設計云平臺,安全一定是不可缺少的重要模塊。我們欣喜地看到芯片設計公司的安全意識也在不斷得提高,希望我們能提供完整的安全集成方案和服務。
我們僅以此文開篇,結合多年的行業經驗和對業務安全的體會和理解,循序漸進地展開各類相關話題,和行內人士和客戶共同探討和努力打造高度安全的芯片研發環境。
1. 信息安全的發展歷程
關于信息安全的發展歷程已有諸多文獻論述,這里不多贅述。
信息安全發展歷程無論分三階段、還是四階段,分類標準總是和信息技術的創新、媒體傳輸介質的改變、互聯網的飛速發展、數字化的轉型、法律法規的要求等分不開。筆者比較喜歡發布在51cto 上的Jack zhai的分法[4],從企業角度來說明安全保障理念的發展趨勢。
圖1.1 安全保障理念隨安全發展歷程變化趨勢
我們結合芯片行業來擴展解釋一下:
芯片設計所處的行業是非常典型傳統型的,通常信息系統和研發環境都建立在企業自己的數據中心。
起初,研發環境主要是以物理防護和網絡層隔離的傳統保護方式,人員管理制度也是粗線條的行政性管理為主;后來隨著虛擬化、網絡技術的發展,研發環境的安全措施和安全運維開始從業務流程和整個企業IT環境考慮,在物理防護、網絡層隔離基礎上增加了防火墻、VDI隔離;數據的保護也從單一文件、目錄的權限管理發展為更廣泛的訪問控制;管理體系也從粗線條的行政管理到全面建立系統服務監控和審計流程,定期培訓使用人員提高安全意識;同時從業務流程和數據流角度采取相應安全措施,防止數據泄露,安全防護體系開始立體化。
圖1. 2 立體化的安全區域隔離
隨著云計算技術的興起,芯片行業的計算環境也正在開啟上云之路。雖然國內芯片行業還處在觀望和起步階段,但我們認為“芯片設計上云”是大勢所趨,其詳細闡述可以關注我們有關“芯片設計上云”的系列專題文章。(點擊可查看)
對未來的云計算平臺來說,芯片設計環境將會變成以服務為核心的集成平臺。安全保障不再是組件之間的“積木”式的集成,而是演變成為更加復雜的交叉綜合系統。
IT基礎設施和芯片設計直接聯系呈松耦合結構,按照“業務保障”模式的安全保護已不再合適,必須轉變為面向“服務”的安全保障。因此芯片設計環境的安全不僅要考慮邊際安全以及每個組件的安全,還必須有機的和IaaS、PasS云廠商的安全保障無縫結合,共同維護好芯片設計環境的安全。
2. 安全事件引發的思考
信息安全從廣義角度來講指“網絡空間安全 (Cyber Security)”,狹義角度來說則為“數據安全(Data Security)”,網絡空間安全和數據安全在各自領域的安全產品和服務日趨豐富和成熟。其中數據安全是芯片行業最為關注和重視的安全元素,企業的IT默認規劃模式都是建立或托管數據中心,通過防火墻等邊界隔離將研發環境鎖定在私有網絡中,而數據的流動會通過專業的傳輸工具進行審核和監控。
我們通過這幾年的研究和實踐發現:雖然由于行業的業務特點各有側重,但是網絡空間安全和數據安全二者必需相輔相成、統籌兼顧。
讓我們先來看近年來兩個行業相關的安全事件。
2018年8月,著名的半導體芯片制造公司臺積電的三座十二吋晶圓廠生產線遭蠕蟲式勒索病毒WannaCry入侵,造成晶圓廠機臺設備關機。據稱,此次事故使臺積電損失高達11.5個億[1]。
這是一個因為網絡空間安全措施做未到位而導致的安全事件,之所以讓黑客得逞是windows 7 的操作系統沒有及時進行系統的補丁管理而造成安全漏洞。
我們再來看一個2020年芯片行業界發生的影響較大的安全事件,那就是Intel的20G內部數據泄露。據報道,這是Intel史上最嚴重的一次數據泄露,泄露的文件涉及代碼、開發調試工具、各種線路圖、文檔等和各種芯片組內部設計有關的知識產權,包含有標記為“機密”和“受限機密”的文件,遠至2016年發布的CPU技術細節、產品手冊和指南等。有興趣的話,大家可以參看[2][3]。
相信大家很難想像臺積電、Intel這樣的高科技公司,也會發生這么嚴重的安全事件。畢竟這種國際半導體大公司在安全硬件和軟件方面的投入應該不會馬虎、投入成本也不會低。據媒體報道:英特爾認為此次事件是數據被有權限的人士下載后而遭泄露,并非是公司遭到黑客攻擊。所以這個是典型的“人為導致”的安全事件。所以即使在安全產品和方案上有再多的投資,如果忽略安全意識的提高,管理流程出現漏洞,也會因人為因素導致重大損失。因此人、技術和流程必須緊密結合、高密度管控。
3. 安全架構體系的關鍵要素
Intel的安全事件表明,安全保障必須建立在人、技術(工具和產品)、流程相互結合的基礎上的。
圖3.1 安全架構三要素- 人、技術和流程
如下圖所示,一個全面細致的安全方案是從需求收集分析、技術框架設計、技術方案確定、規劃集成管理平臺到全面實施五個主要步驟組成。其戰略層的規劃必定是符合安全法規標準的,經得起安全審計評估,而且可以無縫擴展、并適合不同業務規模和場景的需求。
那么在這幾個步驟中,什么是最重要、最需要考慮的因素呢?根據行業和項目經驗,我們將主流建議的和最佳安全實踐推薦的關鍵點描述在下圖中,并對芯片行業感興趣的幾個要素著重展開闡述。
圖3.2 安全方案實現路徑
3.1 需求分析
管理層對風險控制的要求
圖3.3的經典風險公式表明:風險是由威脅、脆弱性和資產組成的。安全措施的k顆粒度取決于企業對風險控制的要求,即:對威脅、系統的脆弱性和安全資產三個安全核心元素的控制顆粒度。
圖3.3 經典風險公式
像芯片行業這樣高度重視IP和數據安全的企業,擔心因數據泄露而造成企業聲譽、市場發展和企業營收受到極大影響,原則上應該采用更為細顆粒度的保護措施。
業務需求和特性
無疑,安全架構體系和企業的業務需求和特性是分不開的。比如,對于互聯網上的應用,相應的安全需求必須要考慮購買HTTPS證書、WAF、抗DDoS攻擊、防入侵檢測、開發語言框架安全和防止開發語言漏洞等;而芯片設計環境,雖然也需要防入侵攻擊等安全技術,但https證書,防止開發語言漏洞等則不需要過多涉及。芯片設計環境一般都構建在私有網絡(無論線下還是云上),工程師是通過VDI虛擬桌面進入更為安全的項目環境進行開發設計的,因此保護數據,防泄露、遺失、監控數據流和做好日志、審計等就成為其著重考慮因素。
成本考量
投入和成本一般與安全程度是成正比的,企業安全評估的安全風險高,則采用的安全架構所需的投資要高一些,反之亦然;可是用錢堆積起來的架構就是高安全了嗎?答案顯然不是。
高投入的架構會造成實施復雜度、維護成本的提高,而且不可能100%保證零風險;反之,低投入成本的架構也不一定不安全,如果構架完善、流程細致周全、每個員工都具備高安全意識,也能構建一個高安全的環境。安全產品確實從技術和工具層面帶來了高安全度,但是也要靠企業自身意識的提高和不斷地進行體系優化。
3.2 技術框架的設計
技術框架的設計應該著重可信區域劃分、邊界控制以及分層保護不同安全級別的應用環境,從而保證數據的高可用、機密和完整性等出發,全面編織一張“疏而不漏”的安全鐵網。
可信區域、邊界控制和分層保護
技術框架的設計原則是參考標準規范的要求、安全審計內容和安全行業最佳實踐推薦展開,無論企業IT環境是簡單的、還是復雜的,都需要進行數據分類并定義不同級別的可信安全區域;在每個可信區域邊界用策略、工具和技術實施和增強邊界控制;同時在IT環境內,對每一個層級都要部署安全控制措施。IT環境越復雜、規模越大,顆粒度就越細;反之顆粒度則變粗,以減少不必要的投資和維護成本,簡化管理。當然安全技術框架也要隨著業務的擴展或變化進行周期性評估和更新。
技術框架中強調建立可信安全區域是必要的,因為這樣可以很容易鑒別用戶的訪問身份,拒絕未知用戶進入。
圖3.4 Trust level categories based on physical domains
(Copyright ? 2004 Deloitte Development LLC)
數據高可用、保密性和完整性保護
高可用(Availability)、保密性(Confidentiality)和完整性(Integrity)組成了信息安全領域的著名CIA三角形,CIA也是國家信息安全等級保護劃分信息系統安全等級的三大基本屬性[5]。
高可用性是指網絡、主機、應用程序和數據的高可用,通俗的說就是需要有冗余設計和災備管理,無論從系統還是安全架構都要考慮。
而保密性則是從保護數據角度出發,確保數據只有授權用戶可以訪問,不可泄露給未經授權者。保密性必須結合訪問控制策略,對訪問文件、應用和數據庫等分別進行訪問權限設置。如果企業希望是高度防護,則需要進一步采用加密手段(軟件、硬件、邏輯加密等)對數據進行多重保護,嚴密防止丟失和泄露。
數據的完整性一般體現在校驗上,比如在傳輸過程中如何采取一定的技術手段防止數據被非法用戶添加、篡改或刪除。
數據安全分類
公司的數據資產是需要進行分類梳理的,比如分為公開、限內部使用、私有、專有、機密、最高機密、敏感和受限制等類別;經過科學分類標簽的數據可以根據信息的價值和成本效益掛鉤。比如,高度信任域的敏感數據需要存儲在加密網絡上,而非信任域不存放敏感數據因此不需要實施加密方案,這樣將投資集中用在最值得保護的資產上而不造成不必要的浪費。
數據分類的另外一個作用是更好的定義角色,根據不同的角色(比如:網絡管理員、安全管理員、系統管理員、項目開發工程師、項目Owner等)來對數據訪問進行安全控制,從而有效地授予和監控用戶可讀、修改、刪除等權限。最佳安全實踐,比如:微軟云和亞馬遜云,采用的訪問權限基于“最低特權原則”,即新創建的用戶默認沒有任何權限。
3.3 統一管理流程平臺集成
一個好的安全技術框架需要有完整的流程管理體系來支撐,這樣可以大大提高安全效率;正如人有好骨架才能“健步如飛”。完整的管理流程平臺和好的管理制度將安全理念根植在人員的安全意識和日常行為中,從而做到“事前防范、事中控制和事后監督治理”的閉環安全管理。
安全管理平臺的設計包括:
系統管理
通過授權的系統管理對系統資源進行配置、控制和可信管理,包括用戶身份、可信基準庫、系統資源配置、系統加載啟動、故障處理、監控報警、備份和恢復等。而設計智能的管理平臺能實現自動化部署和運維,避免人為操作的錯誤率,從而大大地提高管理效率。
安全管理
安全管理層面主要指根據CIA指導原則,對訪問者和被訪問的資源進行分類標記,對訪問者進行訪問控制和授權,配置可信安全策略,并確保相關的數據完整性。
審計管理
審計管理是在平臺上做好系統和訪問環境資源的錄入,對各種設備的安全監控和報警、網絡安全日志進行集中管理。根據安全審計策略對各類安全信息進行分類管理和查詢,并生產統一的審計報告。一個好的管理平臺的審計功能可以做到各類安全報警和日志信息的關聯分析,從而主動發現重要的安全事件或挖掘隱藏的攻擊規律,對全局存在的類似安全風險進行預警。
4. 芯片設計環境安全體系框架
在前一章我們闡述了安全架構體系的主要要素。那么我們怎樣裁剪成適合芯片行業的設計架構和方案呢。行業人一般都會圍繞如下幾點提出安全問題。
針對行業的“信息安全”具體是指什么?
如何能做到全面的安全保障?
如何控制安全風險,保證數據和IP不外泄露?
是否買全了市場上的安全產品和方案,企業的研發環境就高度安全了?
為此我們推出了如下的適合芯片設計環境的安全體系框架,這個框架結合了芯片行業特征、用戶最關心的安全問題并結合上一章介紹的安全框架的關鍵要素而設計,從保護芯片行業最為敏感的數據出發,圍繞“一個平臺、三層隔離、五層控制”原則,綜合考慮研發環境下的各層資源和數據保護并配置一個集成的安全管理平臺而構建。
該框架不僅靈活適應不同規模的芯片公司的研發環境,同時又遵照國家安全法規和適應國家等級保護要求,靈活擴展到公有云或混合云、起到對公司IP和數據的嚴密保護。
4.1 一個平臺
一個平臺就是高度集成安全策略、流程、審計等的安全管理平臺,如3.3闡述,包括系統管理、安全(流程、策略)管理和審計管理。
適合研發環境的安全管理平臺全面集成芯片研發環境所有相關的系統資源,經授權的管理員可以統一管理和配置系統資源,甚至可以實現自動化運維管理。
經過安全分級分類的資產和數據,經過平臺的管理確保芯片數據和IP的使用、存儲、處理等整個生命周期內分級策略的一致性。而需要訪問和使用資源和IP的研發人員或機器必須經過可信判斷,通過授權訪問、可信機制進行管控、監督和審計;平臺同時實現實時監控報警,通過儀表盤顯示高風險隱患;該平臺又是審計中心,對研發環境的系統、應用訪問日志等進行集中收集,分析并及時采取相應安全措施。
4.2 三層隔離
我們在3.2節技術框架中介紹過,技術框架的關鍵因素之一是要按照可信級別建立不同的安全區域,我們對研發環境進行了三層架構的隔離,如下圖所示。
圖4.1 三層架構
OA:辦公環境,低級別安全區;
VDI:虛擬桌面,中級別安全區;
HPC:研發設計環境,高級別安全區;
從事芯片設計工作的研究人員從低安全級別的OA辦公環境網絡,通過中等安全級別的虛擬桌面進入到高安全級別的研發環境,安全風險(入侵攻擊、病毒感染等)經過這三級過濾大為降低。
OA、VDI、HPC這三個不同級別的安全邊界隔離在設計上充分考慮了邊界安全和網絡通訊安全,設計框架根據防護類別不同逐級增強安全保護,根據方便管理和控制原則對不同安全區域實施不同策略的安全控制。
區域邊界安全通過配置邊界防火墻啟用安全過濾策略,做好防入侵、惡意代碼防范、建立基于用戶身份認證和訪問控制策略、啟用安全審計策略,保證網路訪問和接口安全;
在網絡通訊安全方面則嚴密監空數據流向,特別是數據的流出,通過嚴格審核和安全控制手段來保證敏感數據的保密性和完整性,防止遺失及泄露。
4.3 五層控制
上一節4.2介紹的三層架構隔離主要是從橫向維度考慮設計的,在縱深方向我們將EDA環境的所有IT資源邏輯組合分為五層,分層控制。物理環境安全當然也很重要,因為其安全措施在各行業通用,故在此文中不作贅述。
這里的五層主要圍繞EDA設計環境相關的IT資產和數據角度分層設計的,如下圖所示,分為網絡層安全、終端節點安全、主機安全、應用層安全和數據安全。我們在下圖的各個安全控制層著重列舉了主要的安全措施,在后續專題文章中我們會做展開論述。
圖4.3 研發環境五層資源安全控制
其中,在芯片設計環境安全架構中,將數據安全的保護列為最高優先級。所有的研發數據、IT資產和服務資源可以視為安全對象,對安全對象要進行合理安全分類,對標記為高度機密、機密等敏感數據通過DLP方案加密保護。這樣,即使數據因為人為錯誤或故意行為流出公司,因為做了加密,很難再被破解,從而高效、高安全地保護了公司IP資產。
總結
無疑在芯片行業、特別是國內芯片設計公司,最關注的安全訴求在于數據安全。當今信息系統的復雜度決定了僅僅保護數據層的安全是不夠的,這需要系統的、全面的集成系統方案和管理平臺來縱橫交叉立體管控和維護。
安全體系架構應該以風險控制為出發點,利用技術手段和工具,提高人員安全意識,采用全面而流暢的集成流程和管理平臺,實施最合適的安全措施來保護芯片研發數據和IP。對安全風控的決策絕不是靠投入大量的金錢,多買安全產品部署完畢就可以“高枕無憂”的; 也不是將整個環境做成完全物理和邏輯隔離就可以得到全面保障的。
適合芯片行業的“一個平臺、三層隔離、五層控制”的安全體系框架能將芯片行業關注的安全風險控制在企業期望得到的效果內,適合不同規模的芯片行業,并且能靈活擴展、變更和升級,從最大程度上保護芯片研發數據和IP。
編輯:lyn
-
芯片設計
+關注
關注
15文章
1024瀏覽量
54942 -
信息安全
+關注
關注
5文章
657瀏覽量
38930 -
數據安全
+關注
關注
2文章
682瀏覽量
29965
發布評論請先 登錄
相關推薦
評論