关于加强整个供应链中设备和组件安全性的研讨会报告

NIST内部报告                            NIST IR 8532

关于加强整个供应链中设备和组件安全性的研讨会

桑杰（周）Rekhi                           尼尔森·黑斯廷斯

D.理查德·库恩                            迈克尔·绪方

金·谢弗*                                 应用网络安全部信息技术实验室

穆鲁贾·索帕亚                            威廉C.巴克

A.J.斯坦因*                               达科他咨询公司

诺亚·沃勒

计算机安全处信息技术实验室

*前NIST员工；本出版物的所有工作都是在NIST完成的。

本出版物可从以下网站免费获取：https://doi.org/10.6028/NIST.IR.8532 

2025年2月

编译 老烦的草根安全观

2025年2月

1.导言

基于半导体的硬件是现代电子产品的基础，从智能手机、计算机和电信到交通和关键基础设施。半导体硬件供应链是一个由公司组成的复杂网络，这些公司共同提供知识产权、设计和原材料，并制造、测试、包装和分销产品。供应链各组成部分之间需要在不同阶段进行协调，包括启动、部署到最终用户、使用过程中的维护以及处置或寿命结束。保护基于半导体的硬件及其供应链有助于保护敏感信息，维护系统的完整性，并确保整个基础设施和互联世界的整体稳定性。

保护半导体涉及正在构建的组件以及设计、开发、制造和分销环境的安全。图1说明了实现稳健半导体安全的组成部分。

图1.微电子安全元件

这些活动包括物理保护机制（如防篡改包装）和保护数据的强加密协议。安全引导过程确保只有经过验证的固件才能运行，并通过验证和审计保持供应链的完整性，防止假冒组件。生命周期管理包括安全配置、更新和生命周期终止流程，并辅以严格的安全测试和遵守监管标准。对用户进行安全实践教育并不断改进安全措施，可以进一步加强对不断变化的威胁的防御，并确保半导体器件在整个生命周期内安全运行。

《国家微电子研究战略》强调了硬件完整性和安全性的优先地位。作为回应，NIST于2024年2月27日在国家网络安全卓越中心（NCCoE）召开了首届研讨会，题为“加强整个供应链中设备和组件的安全性” 。在本次研讨会上，政府、学术界和行业专家齐聚一堂，在快速发展的环境中合作开展研究工作，推动创新，建立标准、指导和实际实施。研讨会主要是面对面活动，有一些远程演讲者和参与者。总共有98名参与者，其中79名参与者几乎平均来自政府和行业。其余19名与会者来自学术界和标准制定组织（SDO）。图2显示了参与者的分布。

图2.研讨会参与者分布

2. 研讨会

2.1. 硬件开发生命周期

半导体和集成电路（IC）的开发是复杂的、非线性的，并且因制造商而异。硬件的开发是复杂的，有许多业务驱动因素，依赖于全球供应链中以最佳成本提供的专业知识。本次小组讨论主要关注硬件开发生命周期中的开放式安全问题。

2.1.1. 演讲者观点

该小组由国家网络总监办公室（ONCD）负责技术安全的副助理国家网络总监Jonathan Ring主持。Jonathan反映，ONCD的《国家网络安全战略》认识到改善国家关键基础设施网络安全的重要性，其中包括恢复对美国的关键商品生产，以及改善半导体/IC供应链的网络安全。

乔纳森强调了拜登-哈里斯政府在硬件开发生命周期中与网络安全重叠的过去成就，包括：

将安全平衡转移到最适合承担安全的人身上，如网络安全和基础设施安全局（CISA）的“设计安全”倡议所示

NIST CHIPS（为生产半导体创造有益的激励措施）研发计量计划，该计划概述了半导体生态系统中的差距

微电子领导小组委员会正在进行的工作

消除《回到构建块：通往安全和可衡量软件的道路》中的各类软件漏洞

此外，乔纳森强调了建立公私伙伴关系的重要性和持续必要性，如半导体研究公司和半导体行业协会。他还强调，需要继续就供应链信任和保证的先进计量、安全分析和自动化的指导方针、所有产品生命周期的漏洞管理以及在芯片设计和制造中使用机器学习进行对话。

小组的第二位发言人是半导体行业协会的顾问Adam Golodner。Adam谈到了利用和调整NIST资源的重要性，如网络安全框架（CSF）。Adam强调了为什么类似的硬件安全和供应链框架对半导体行业有用的四个关键原因：

1.CSF等框架支持周到、灵活和可配置的安全方法，并允许企业采用最能为其推进安全的流程和成熟度级别。

2.硬件安全和供应链框架可以从CSF已经获得的认可和采用中受益。

3.CSF和NIST具有全球影响力和接受度。同样，建立一套国际公认的最佳实践将加强全球硬件和供应链环境中的安全和创新。

4.NIST有“正确”安全的传统

此外，Adam认为，虽然安全是许多公司品牌的核心，但量化其投资回报率是高管和董事会的问题。

最后一位小组成员是英特尔公司的高级首席工程师Matthew Areno。Matthew承认，没有行业标准来描述IC供应链的各个阶段。然而，他在该行业的专业知识和历史使他能够开发自己的概念模型，该模型分为七个阶段：概念、开发、集成、制造、测试、配置和部署。在英特尔工作期间，Matthew一直致力于英特尔的供应链开发威胁模型。英特尔发现，他们的每个团队都以不同的方式进行威胁建模，这使得他们交换信息既困难又耗时。因此，英特尔一直在开发和部署一个统一的威胁建模工具，该工具利用MITRE Common Weakness Enumeration（CWE）等漏洞资源，自动对潜在漏洞和缓解措施提出基于设计的建议。该工具还形成了一个闭环，其中包含了从英特尔自己的设计过程中学到的知识。

Matthew还介绍了英特尔的透明供应链计划，其目标是在供应链过程中为客户提供各种组件的来源和完整性数据。他强调了Amber项目——英特尔用于验证执行环境的信任机构。

2.1.2. 主要亮点

在演讲者的演讲和问答环节中，确定了以下关键点：

确实需要继续建立公私伙伴关系。

需要更多的标准来指导供应链流程的结构。

需要更标准化的威胁建模方法。

量化供应链安全投资回报仍然很困难，这使得那些发现不足之处的人很难向更高级别的管理层证明解决这些问题的合理性。可能的发展途径包括：

制定更标准化的安全指标

继续利用和开发CSF式资源，以更好地沟通风险

将安全构建为可作为收入来源的服务

由于在硬件层面修复漏洞的成本差异很大，硬件安全和软件安全之间存在紧张关系。

2.2. 计量

该小组重点讨论了整个硬件开发生命周期中半导体和集成电路的安全计量和指标（例如，用于信任技术设计的指标、用于在整个开发生命周期内全面评估电源侧信道泄漏的计量、模拟信号安全的计量）的未决问题和关切。

2.2.1. 演讲者观点

本次会议从DARPA微系统技术办公室（MTO）的Lok Yan开始，该办公室的投资组合包括安全硅（AISS）项目的自动实施。Lok概述了半导体界为什么需要认可安全指标。有意义的指标要求在威胁模型的背景下明确识别资产、用例和威胁。资产的价值、相关的潜在威胁以及资产妥协的后果必须是可量化的，以支持设计决策过程。

在特定用例的上下文中理解和确定可接受的最低安全基线将有助于将各种安全指标结合在一起。由于威胁空间不断发展，洛克强调，建立一套初始指标和相关的最低安全基线不是一次性过程。相反，随着资产、威胁、漏洞和用例的不断发展，必须对其进行持续的测量、监控和更新。最后，安全指标可以支持与威胁和漏洞空间以及测试或实施对策的时间相关的决策。必须分配更多的时间来实施和测试应对特定用例中最重要的威胁和漏洞的对策。

Cycuity首席技术官兼联合创始人Jason Oberg描述了如何根据其组织的经验在硬件安全领域使用指标。由于不同的指标与组织内的不同人员相关（例如，适用于设计师或测试人员的指标可能无法转化为高管），因此需要根据受众或用户设置不同层次的指标。例如，CWE结构可用于定义导致相关安全指标的安全要求。Jason指出，从2020年左右开始，硬件的CWE相对较新，而CWE在软件方面的长期记录始于2006年左右。由于CWE指出了导致漏洞的共同根本原因弱点，它们通过允许在硬件开发生命周期的早期发现和缓解安全问题，从而降低了财务影响，从而培养了一种更积极的方法。拥有可用于指导设计和业务决策的良好指标将对半导体社区有所帮助。

最后，佛罗里达大学的Mark Tehranipoor强调了在硬件开发生命周期的早期阶段考虑安全性和相关指标的重要性。具体而言，这涉及在规范和规划阶段进行安全和风险评估，并开发安全架构。IC开发过程的动态特性可能会影响需要开发的指标，适用于寄存器传输级（RTL）的安全指标可能不适合栅极或物理级。他指出，上市时间限制仍然以大约六到九个月的周期运行，但复杂性已经增加，导致在安全性、可靠性和测试方面需要自动化。这种复杂性的增加也增加了需要保护的资产数量和需要缓解的潜在漏洞数量。无论在开发生命周期的早期（即硅前）使用什么安全技术和相关安全指标，在物理布局和硅后阶段仍然需要验证。最后，他确定了在半导体的材料、物理和设备层面继续开发安全解决方案的必要性。

2.2.2. 主要亮点

在演讲者的演讲和问答环节中，确定了以下关键点：

为了使安全指标有意义，需要在威胁模型、用例和易受攻击资产的背景下提供这些指标。

安全指标需要根据其在开发生命周期中的位置（例如，功能与物理设计阶段）以及与谁沟通（例如，设计工程师与执行人员）进行定制。

安全性必须与其他设计约束（如面积、功率、性能和可靠性）相当，因此，让社区商定最低安全基线可能是一个很好的第一步。

通过自动化增强设计工具以支持安全技术和实践是有益的。

有机会调查基于软件的安全技术和实践在硬件领域的潜在应用。

2.3. 硬件/硅测试

来自Synopsys、PQShield和马里兰大学的演讲者分享了他们对行业和技术发展方向的专业知识和愿景。

2.3.1. 演讲者观点

Synopsys的Mike Borza介绍了“SoC硬件的安全验证”，概述了确保片上系统（system-on-chip，SoC）设计安全的现状、新发展以及未来可能的进展。安全性已经开始推动SoC的设计要求，这导致工具供应商增加了用于强验证的功能。互操作性需求也推动了标准的制定，如IEEE（电气和电子工程师协会）P3164，电子设计交换的安全注释。此外，安全要求现在融入了新芯片架构规范的各个方面，以及随后的RTL设计和分析。设计必须包括安全引导、安全内存和接口以及硬件对策等功能，以实现避免漏洞的目标。静态和动态验证方法涉及在设计过程的早期集中精力使用形式化方法，然后进行符合严格覆盖标准的模拟和测试。Mike还描述了以安全为重点的验证平台的各个方面的工具支持，包括定期验证安全功能，检查片上数据传播以保护静止或运动中的数据，以及调查可能的篡改或入侵。

预计工具支持将得到改善，以确保高水平的覆盖，并提高对设计物理实现的推理能力，而不仅仅是抽象描述。通过制定描述和传达设计安全信息的标准，这些改进将得到加强，并可能最终受益于结合威胁和潜在弱点知识的人工智能/机器学习系统。

PQShield的Niels Samwel介绍了他的公司在“硬件知识产权（IP）的侧信道和安全测试自动化”方面的工作。PQShield提供的网络安全测试服务包括侧信道测试和硬件设计的质量保证。包括通用标准侧信道测试功能，以估计密钥恢复所需的跟踪数量。这些测试方法还可以针对特定的漏洞和攻击类型，包括模板攻击、密钥恢复攻击、相关性功率分析和差分功率分析。

为硬件和软件产品开发的多个阶段提供产品质量测试服务。对于数字电路设计，linting和自动现场可编程门阵列（FPGA）功能测试和设计实施评估具有验证阶段功能，包括约束随机验证、覆盖测量和有界模型检查。软件保证能力包括静态分析和实现的自动化测试。验证阶段过程包括单元、集成和系统级测试，这些测试也测量测试覆盖率。

PQShield整合了这些测试服务，开发了一个与FIPS 140-3和通用标准中定义的级别相关的三级安全等级：

PQShield规模的云级别针对模糊和远程攻击的安全性，对应于FIPS 140-3 1级或CC EAL1和AVA_VAN.1。

PQShield的边缘级别评估了针对“按钮”物理攻击的安全性，对应于FIPS 140-3软件级别2和硬件级别3或CC EAL2至3和AVA_VAN.2。

政府级别是针对专家实验室的PQShield安全等级的最高级别，对应于FIPS 140-3软件级别2和硬件级别4或CC EAL4+至7和AVA_VAN.5。

安全级别规模和相关测试旨在允许组织根据其风险管理需求选择网络安全评估。

马里兰大学帕克分校的Ankur Srivastava介绍了关于“硬件安全构造的验证和确认”的研究，该研究侧重于设计混淆、木马检测和缓解措施。对设计混淆的需求源于当前的做法，即无晶圆厂IC设计师将芯片的生产外包给离岸代工厂。外包知识产权盗版或假冒的潜在风险会影响国防和工业客户，以及设计公司。已经开发了逻辑锁定混淆技术来减轻这些风险，但还需要健全的抗攻击措施。评估抗混淆性的最受研究的场景是，攻击者有一个工作芯片，使他们能够从输入-输出对或复杂的成像中推断出设计。对于攻击者没有设计信息或只有类似设计库的情况，研究较少。研究人员已经开发了一套广泛的技术来识别设计零知识或部分先验知识中的潜在弱点。

硬件木马是硬件安全中另一个令人担忧的问题。恶意功能可能包含在芯片中，稍后由知道输入中可能包含的密钥的攻击者触发。UMD研究人员正在研究木马缓解方案的漏洞和可检测性分析。这项工作包括统计分析以确定木马触发器，以及一项大型研究，该研究使用触发器长度或必须遍历的有限状态机空间大小等指标来评估检测可能性和木马触发器的稀有性/复杂性之间的权衡。这是通过对为评估目的而实施的一系列木马类型进行压力测试来实现的。由于测试检测木马的限制，必须评估木马的面积、功耗和性能开销。Ankur强调了战略性分层漏洞分析方法的价值，以及建立健全的数学模型（例如，将木马与漏洞分开的模型）以考虑攻击者不同级别的访问、知识和控制的必要性。UMD还在为硬件安全结构和异构集成的安全策略开发完善的指标。

2.3.2. 主要亮点

会议发言者确定了几个需求和近期期望。一个共同的主题是，需要一种综合的硬件安全方法，包括解决问题各个方面的先进能力。该行业应特别关注：

更好的工具支持，以确保更完整的设计覆盖。工具的进步还应包括对设计的物理实现进行推理的正式方法，而不是目前专注于抽象表示和硬件描述语言（HDL）的方法。

工具和输入/输出的互操作性更加标准化。目前，半导体公司往往拥有自己的专业工具集合，这使得很难与业内其他公司共享信息。

改进数据收集和对漏洞的理解。这将有助于更好的风险管理，使组织的风险承受能力与适当的分析和测试水平相一致。FIPS 140-3和通用标准可用于分析测试以及用于阻止特定攻击类别和漏洞的保证方法。

更好的设计混淆技术，以及对伪造设计中恶意插入的漏洞和可检测性分析。在当今的离岸环境中，最重大的风险之一是知识产权的损失，以及对手用硬件木马攻击芯片的可能性。鉴于仅通过测试检测此类漏洞的局限性，包括电源和性能开销在内的硬件分析对于识别木马和其他芯片恶意软件至关重要。

2.4. 漏洞管理

硬件漏洞管理与成熟的软件漏洞管理实践有着相似的挑战，也面临着自己独特的挑战。小组讨论围绕这一主题提出了三个观点：高通公司目前大规模执行漏洞管理的经验，巴特尔研究人员对用生成人工智能技术防御和攻击硬件的未来主义观点，以及NIST对应用于硬件的错误分类的过去和现在的看法。

2.4.1. 演讲者观点

Dan O'Loughlin描述了高通SoC产品组合的架构、工程和评估团队的安全工作如何推动其漏洞管理计划。正如他所指出的，高通公司建议大规模地这样做，全面考虑安全和漏洞管理。漏洞管理是高通公司整体安全保证流程中不可或缺的一部分，他们建议将计划投资的最佳结果最大化。Dan建议对整个生命周期中漏洞的根本原因进行分类（例如，硅之前和之后），以及如何反馈到正在进行的投资和运营中。最常见的原因是流程合规性失败，其次是规范可追溯性差距。因此，他们的自动化专注于解决这些原因。

高通公司建议重点关注威胁评估缺失的对策，这是一个重要的根本原因。Dan的团队在机器可读数据格式（如SysML）的帮助下，在生成和维护自动化威胁模型方面做出了额外的努力。这种对威胁模型、测试计划和支持自动化的关注使他们能够在整个生命周期内与可用人员一起扩展安全检查。在生命周期的早期，将威胁评估和自动化测试与漏洞检测和分析相匹配非常重要。高通公司建议通过故障注入、侧通道和其他硅前测试技术大力投资于这种检测。正如Dan所解释的那样，这种左移战略对于他们的产品在最终认证和上市之前尽早检测和预防漏洞尤为重要。

通过所有这些内部安全评估和验证，Dan和他的团队测量了多代SoC的漏洞和对策，以确认发现的严重性随着时间的推移呈下降趋势。然而，公开披露更详细的数据则是另一回事。Dan一直密切关注软件行业负责任披露的监管变化，但硬件漏洞披露有着根本的不同。在他看来，监管机构和制造商的激励措施非常不同，因此需要合作和进一步讨论。

接下来，Jeremy Bellay谈到了Battelle关于环境对适当漏洞管理影响的研究。漏洞分类（如CWE）提供了有价值的基础背景。然而，更高级别、人性化的上下文仍然需要大量资源才能生成，并且容易出错。一个这样的例子是可达性分析——具有给定漏洞的目标系统对攻击者的可访问性。另一个例子是攻击链设计，每次漏洞披露都为攻击者提供了更多机会，使他们能够组合多个漏洞来充分利用系统。

过去，很难使用NIST、MITRE和其他机构的数据集和标准来组织数据以获得更高层次的上下文信息。然而，Jeremy的团队最近利用生成式人工智能工具来获得这种更高层次的上下文，而不需要传统方法所需的额外资源。对他来说，人工智能工具的出现使该行业从“上下文时代”转变为他所说的“界面时代”。有了这个视角和工具，Jeremy展示了他在先进的生成式人工智能方面的成功，以利用漏洞信息来增强攻击链的开发。这种方法显示出希望，但并非没有风险。Jeremy展示了使用生成式人工智能系统的例子，这些系统带有提示，定义了工具违反的严格政策，尽管给出了所需的上下文。尽管如此，他相信它们将在这个界面时代得到改进，并为攻击者和防御者提供新的功能。

最后，Peter Mell介绍了他对过去、现在和未来漏洞管理的软件、硬件和趋势的研究。从历史上看，关于牢不可破的安全软件的说法遭到了怀疑，而硬件被认为是不可改变的信任根源。尽管硬件是用软件设计和编程的，但这种看法仍然存在。正如Peter所说，从某种意义上说，“硬件就是软件。”

为了有效地比较和对比硬件和软件，需要更多的数据来研究硬件漏洞。Peter将软件的公共基础设施与当前的硬件漏洞情况进行了比较。对于漏洞类型的分类，只有不到一半的漏洞被确认为硬件漏洞，硬件和软件漏洞之间的类别几乎没有重叠。此外，Peter指出，他几乎没有发现硬件漏洞的公开证据，而软件每年有数千个漏洞。他承认，硬件、软件及其漏洞之间仍存在一些差异。尽管如此，数据的缺乏表明了改进的空间，也给硬件行业带来了挑战，因为它正在成熟漏洞管理实践。这项研究没有发现利用公共软件漏洞基础设施进行硬件漏洞管理的任何障碍，他欢迎在这一领域的工作。

在小组讨论结束时，与会者就有助于可追溯性和安全性的工具和流程提出了问题。Dan介绍了现有绿地项目中用于安全和可追溯性管理的各种工具。他再次赞扬了基于模型的系统工程和工具。Jeremy也认为这些工具很有用。与会者还对主讲人的观点、专家资源配置技术以及注重成果的脆弱性管理所需的资金提出了质疑。Dan解释说，高通更喜欢精算方法。Peter和Jeremy强调了方法在更高层次背景下的重要性，以及如何鼓励在该领域进行更多研究，以支持以结果为导向的脆弱性管理。

2.4.2. 主要亮点

根据演示文稿、反馈和观众的问题，以下是未来工作的一些关键要点：

硬件漏洞管理可以利用公共软件漏洞基础设施，但需要更多的对话来了解如何使用它来满足硬件供应商的需求。

自动化友好的可追溯性技术对于扩大漏洞的预防和检测是必要的。

基于模型的系统工程工具、技术和标准正在使用中，但仍需要确定如何可衡量地扩大其使用并激励行业。

需要更全面的漏洞数据来改进可理解的硬件漏洞的分类，并预测不可理解的漏洞。

2.5. 标准

本次会议探讨了与半导体制造相关的硬件安全标准的各个方面。

2.5.1. 演讲者观点

Jeremy Muldavin代表SAE（汽车工程师协会）G-32委员会，他首先指出，虽然有激励芯片制造商在美国生产的措施，但目前市场对有保证的供应几乎没有偏好。如果不加以纠正，市场将重新聚焦于低价购买，这将导致投资损失。通过制定标准，将可追溯性和来源的保证整合到系统工程中，市场可以理解、衡量和适应长期有保证供应的需求。Jeremy表示，当美国推广“买美国货，建美国货”时，欧洲客户对美国供应链感兴趣，但当其背后没有实质性的威慑力时，兴趣就消失了。

随着对国家半导体技术中心（NSTC）的研发投入和类似努力的增加，必须通过保证来增加价值，否则更便宜的产品将再次占领市场。如果不知道如何构建与半导体制造直接相关的项目并显示出可衡量的保证，研究投资就会被浪费。商定的可衡量保证需要可信的标准来阐明供应链，识别市场风险，为供应和安全货币化奠定基础，并衡量有保证供应的影响。他们还需要确定不可变物理可追溯性的方法，验证信任的根源，并确定开发消费者级可追溯性工具的方法。在芯片价格低廉的情况下，这种保证是早期需要的。回报在产品和服务端，应用程序的收入流要大得多。

半导体制造业收集了大量数据。Jeremy表示，Global Foundries每天积累约12TB的数据。必须有一个分析环境，通过“观察、定位、决定和行动”（OODA）循环来利用这些数据，以开发保证和意识能力（例如供应链和数字孪生能力），并支持对制造业供应中断的压力测试（例如2008年金融危机银行压力测试）。这将使人们能够从观察人们进行评估的信任框架过渡到使用数字孪生来模拟传感器和数据，以通过建立来源和可追溯性来创造价值的方式监控供应链。

Andrew Seward介绍了半导体设备与材料国际（SEMI）正在实施的半导体制造网络安全联盟（SMCC）的工作。SEMI是一个国际组织，自1970年以来一直专注于半导体行业，并提供全球倡导和技术领导。它目前满足了从材料和设备供应商到最终用户的行业网络安全需求。2023年11月，SMCC和NIST举行会议，确定关键领域，并为内部领导和行动寻找志愿者。与会者代表了所有半导体相关行业。自2024年1月以来，该团体的志愿者人数已从约40人增加到约50多人，并得到了来自主要组织的几个民间社会组织的支持。

Jennifer Lynn继续了SEMI的演讲，并表示SMCC正在获得动力。2023年11月会议上为期两天的白板会议设立了七个工作组：1）工厂网络安全实施，2）合规准备，3）供应链网络安全，4）监管和其他规范，5）威胁共享，6）网络安全预标准工程，7）外联。Jennifer是第4工作组的负责人，该工作组将共同撰写行业概况，将SEMI要求映射到CSF 2.0。鼓励任何希望帮助这些工作的人发送电子邮件[email protected]与工作组负责人交谈，讨论如何提供帮助。这项工作将确定前进的要求，以及如何在现有结构的剩余寿命内对其进行保护。

SAE G-32正在努力将网络安全保证整合到CPS系统工程和以产品为中心的过程中。SEMI SMCC将把设计和制造车间过渡到一个包含可审计网络安全的车间。

观众的评论表明，SEMI关于晶圆级可追溯性的标准和IPC（电气和封装研究所）关于制造可追溯性标准是SEMI、IPC和SAE之间形成联络活动的良好基础。NIST和其他SDO（如IEEE）和实体（如IT-ISAC）可以从协调和参与此类工作中受益。

另一条评论询问，NIST是否会考虑通过使用图形分析和其他人工智能搜索、学习和解析工具，牵头评估已经存在的大约300个相关标准。与会者一致认为，对网络安全标准的统一看法将有助于许多实体更好地了解可用的内容和需要的内容，特别是在与CHIPS计划合作的半导体相关公司的参与下。

这开启了关于网络安全标准使用的相关讨论，例如如何根据产品或组织决定应用哪些标准。还有人评论说，半导体企业的最高管理层似乎对以半导体为重点的网络安全标准比对通用网络安全标准更感兴趣。另一条评论指出，创建新的网络安全标准应利用其他领域（如汽车或医疗保健）所做的工作，并确认适用性，而不是“重新发明轮子”。此外，标准中的要求需要可衡量。这可能很困难，因为需求通常是与合规性方面分开创建的，找到正确的平衡可能很有挑战性。

相关评论侧重于将标准中的度量统一为一组共同或相关的度量。将来，人们希望通过参考标准的适用部分来定制要求。客户需要评估他们的需求和可用供应，以验证产品和服务满足其需求所需的保证水平。

2.5.2. 主要亮点

虽然IT标准不断成熟，但人们对硬件标准的需求以及供应链保证、制造政策和弹性的重要性的认识才刚刚开始增长。成本不能是半导体制造的唯一考虑因素；还必须考虑安全和保证价值主张以及最终用户需求。

在当前国际供应链的更广泛范围内，安全和保证措施的整合主要由大型制造商负责。从精密设备到原材料，半导体制造商及其供应商都需要统一整合其他措施。SEMI International已开始努力召集制造商和安全与保证专家，制定一套可以整合到整个供应链所有业务中的标准，其中验证是一个主要组成部分。这项工作将参考现有的IT和其他非半导体行业标准，并在不存在此类标准时与其他SDO合作。

2.6. 闭幕词

微软Azure安全微电子设计、实施和制造支持主管Serge Leef发表了闭幕词。在“安全研究商业化的挑战和机遇”中，他谈到了硬件安全产品的市场障碍，并概述了细分市场：

1.硬件安全是关键需求的大型组织，拥有庞大的专家团队，他们开发适当的解决方案，以满足他们对多种高价值、大规模产品的需求

2.中型半导体和系统公司了解需求，但缺乏专业知识，看不到以不同方式做事的经济价值

3.国防承包商拥有一定的专业知识，能够制定适当的解决方案，以满足其合同义务的要求

4.系统集成商急于将产品推向市场，缺乏构建安全性的专业知识，并在部署后通过补丁和其他方式解决安全问题

Serge进一步表示，安全自动化将有助于1）解决中型和国防承包商的专业知识差距，2）降低所有部门的总体成本和工作量。

随后，Serge为SoC/专用集成电路（ASIC）提供了一个攻击面参考模型，该模型检查了软件、硬件和软硬件接口的整体威胁空间。他指出，由于缺乏适当的标准和互联的生态系统，安全是困难的，这导致缺乏紧迫性和必要性。他将这个商业问题与销售药品进行了对比：“安全就像销售维生素一样，比销售心脏病药物要困难得多。它在很大程度上取决于恐惧（责任）和贪婪（面积、速度、力量）。这不是一个好的空间。”他提供了一个技术上可实施的解决方案，以注入适当的标准和法规，并通过将数字广播市场生态系统和半导体市场空间进行比较来阐述。Serge总结道：“供应链信任的生态系统联盟对安全至关重要。”

3.总结和前进道路

关于加强整个供应链中设备和组件安全的研讨会该研讨会召集了该领域各种各样的知识渊博的个人，他们每个人都带来了独特的专业知识和见解。通过合作讨论和演讲，这些专家就这一主题提供了宝贵的观点、深入的分析和丰富的对话。

1.半导体公司的代表讨论了为加强安全和在行业内灌输信任而采取的积极措施。讨论集中在当前的见解、现有的挑战和利益相关者寻求的进步上。

2.学术学者讨论了新出现的威胁及其在学术机构内正在进行的研究工作。他们的发言阐明了潜在脆弱性的演变情况以及解决这些脆弱性的努力。

3.SDO描述了他们为制定强有力的标准所做的努力，这些标准提高了各个部门的安全性、可追溯性和可靠性。

4.政府强调致力于营造一个有效减轻风险的环境，并制定重新调整风险均衡的政策。

经与相关专家和中小企业协商，NIST确定了以下后续步骤：

半导体安全保障——通过开发和采用NIST CSF 2.0半导体制造社区简介来加强半导体制造。

半导体（自身）安全——调查并利用现有标准和最佳实践，在整个供应链中制定安全的半导体生命周期框架，包括战略、路线图、侧重于半导体供应链可追溯性和来源的适当建议，以及适应当前的软件漏洞和半导体补丁管理实践。

计量——开展研究，创建适用于半导体的实用和稳健的网络安全测量和指标，并推动整个生命周期的改进。

NIST还在研究利用现有的NIST和行业标准、指南、资源和专业知识来培养对半导体的信任的参与机制，例如公共工作会议和与行业和SDO合作推进这些举措的联盟。

原文始发于微信公众号（老烦的草根安全观）：关于加强整个供应链中设备和组件安全性的研讨会报告