信息化觀察網(wǎng)

引言

人類一直在不斷地努力推動歷史和科技的進步！

從18世紀60年代，以蒸汽機發(fā)明為標志的第一次科技革命開始，到上世紀的以IT技術和信息通訊技術開端的第五次大技術革命，整個人類社會已經(jīng)發(fā)生了鋪天蓋地的變化。特別是第五次科技革命，正在進入以萬物皆聯(lián)網(wǎng)為目標的數(shù)字化時代的蓬勃發(fā)展期。

復雜的網(wǎng)絡連接、海量的信息數(shù)據(jù)處理和交易，信息技術所依托的軟硬件和集成平臺正在以驚人的速度前行，信息介質(zhì)本身也從“有形”到“無形”，這使得信息安全不僅更加重要，安全保護維度也更趨于復雜而深廣。

當今社會的高度信息和數(shù)字化離不開集成電路的廣泛應用。在我國，隨著國家戰(zhàn)略的推動、政府的支持以及國際形勢的種種原因使得芯片行業(yè)在全國各地呈星星之火燎原之勢發(fā)展起來。芯片研發(fā)成本昂貴，知識產(chǎn)權和數(shù)據(jù)的泄露將會造成重大和不可挽回的經(jīng)濟損失，因此對其研發(fā)環(huán)境的安全體系打造成為各芯片設計公司關注的焦點。

我們一直非常重視和關注安全，深刻認識到無論是在傳統(tǒng)的研發(fā)數(shù)據(jù)中心，還是設計云平臺，安全一定是不可缺少的重要模塊。我們欣喜地看到芯片設計公司的安全意識也在不斷得提高，希望我們能提供完整的安全集成方案和服務。

我們僅以此文開篇，結合多年的行業(yè)經(jīng)驗和對業(yè)務安全的體會和理解，循序漸進地展開各類相關話題，和行內(nèi)人士和客戶共同探討和努力打造高度安全的芯片研發(fā)環(huán)境。

1.信息安全的發(fā)展歷程

關于信息安全的發(fā)展歷程已有諸多文獻論述，這里不多贅述。

信息安全發(fā)展歷程無論分三階段、還是四階段，分類標準總是和信息技術的創(chuàng)新、媒體傳輸介質(zhì)的改變、互聯(lián)網(wǎng)的飛速發(fā)展、數(shù)字化的轉型、法律法規(guī)的要求等分不開。筆者比較喜歡發(fā)布在51cto上的Jack zhai的分法[4]，從企業(yè)角度來說明安全保障理念的發(fā)展趨勢。

圖1.1安全保障理念隨安全發(fā)展歷程變化趨勢

我們結合芯片行業(yè)來擴展解釋一下：

芯片設計所處的行業(yè)是非常典型傳統(tǒng)型的，通常信息系統(tǒng)和研發(fā)環(huán)境都建立在企業(yè)自己的數(shù)據(jù)中心。

起初，研發(fā)環(huán)境主要是以物理防護和網(wǎng)絡層隔離的傳統(tǒng)保護方式，人員管理制度也是粗線條的行政性管理為主；后來隨著虛擬化、網(wǎng)絡技術的發(fā)展，研發(fā)環(huán)境的安全措施和安全運維開始從業(yè)務流程和整個企業(yè)IT環(huán)境考慮，在物理防護、網(wǎng)絡層隔離基礎上增加了防火墻、VDI隔離；數(shù)據(jù)的保護也從單一文件、目錄的權限管理發(fā)展為更廣泛的訪問控制；管理體系也從粗線條的行政管理到全面建立系統(tǒng)服務監(jiān)控和審計流程，定期培訓使用人員提高安全意識；同時從業(yè)務流程和數(shù)據(jù)流角度采取相應安全措施，防止數(shù)據(jù)泄露，安全防護體系開始立體化。

圖1.2立體化的安全區(qū)域隔離

隨著云計算技術的興起，芯片行業(yè)的計算環(huán)境也正在開啟上云之路。雖然國內(nèi)芯片行業(yè)還處在觀望和起步階段，但我們認為“芯片設計上云”是大勢所趨，其詳細闡述可以關注我們有關“芯片設計上云”的系列專題文章。（點擊可查看）

對未來的云計算平臺來說，芯片設計環(huán)境將會變成以服務為核心的集成平臺。安全保障不再是組件之間的“積木”式的集成，而是演變成為更加復雜的交叉綜合系統(tǒng)。

IT基礎設施和芯片設計直接聯(lián)系呈松耦合結構，按照“業(yè)務保障”模式的安全保護已不再合適，必須轉變?yōu)槊嫦?ldquo;服務”的安全保障。因此芯片設計環(huán)境的安全不僅要考慮邊際安全以及每個組件的安全，還必須有機的和IaaS、PasS云廠商的安全保障無縫結合，共同維護好芯片設計環(huán)境的安全。

2.安全事件引發(fā)的思考

信息安全從廣義角度來講指“網(wǎng)絡空間安全(Cyber Security)”，狹義角度來說則為“數(shù)據(jù)安全（Data Security）”，網(wǎng)絡空間安全和數(shù)據(jù)安全在各自領域的安全產(chǎn)品和服務日趨豐富和成熟。其中數(shù)據(jù)安全是芯片行業(yè)最為關注和重視的安全元素，企業(yè)的IT默認規(guī)劃模式都是建立或托管數(shù)據(jù)中心，通過防火墻等邊界隔離將研發(fā)環(huán)境鎖定在私有網(wǎng)絡中，而數(shù)據(jù)的流動會通過專業(yè)的傳輸工具進行審核和監(jiān)控。

我們通過這幾年的研究和實踐發(fā)現(xiàn)：雖然由于行業(yè)的業(yè)務特點各有側重，但是網(wǎng)絡空間安全和數(shù)據(jù)安全二者必需相輔相成、統(tǒng)籌兼顧。

讓我們先來看近年來兩個行業(yè)相關的安全事件。

2018年8月，著名的半導體芯片制造公司臺積電的三座十二吋晶圓廠生產(chǎn)線遭蠕蟲式勒索病毒W(wǎng)annaCry入侵，造成晶圓廠機臺設備關機。據(jù)稱，此次事故使臺積電損失高達11.5個億[1]。

這是一個因為網(wǎng)絡空間安全措施做未到位而導致的安全事件，之所以讓黑客得逞是windows 7的操作系統(tǒng)沒有及時進行系統(tǒng)的補丁管理而造成安全漏洞。

我們再來看一個2020年芯片行業(yè)界發(fā)生的影響較大的安全事件，那就是Intel的20G內(nèi)部數(shù)據(jù)泄露。據(jù)報道，這是Intel史上最嚴重的一次數(shù)據(jù)泄露，泄露的文件涉及代碼、開發(fā)調(diào)試工具、各種線路圖、文檔等和各種芯片組內(nèi)部設計有關的知識產(chǎn)權，包含有標記為“機密”和“受限機密”的文件，遠至2016年發(fā)布的CPU技術細節(jié)、產(chǎn)品手冊和指南等。有興趣的話，大家可以參看[2][3]。

相信大家很難想像臺積電、Intel這樣的高科技公司，也會發(fā)生這么嚴重的安全事件。畢竟這種國際半導體大公司在安全硬件和軟件方面的投入應該不會馬虎、投入成本也不會低。據(jù)媒體報道：英特爾認為此次事件是數(shù)據(jù)被有權限的人士下載后而遭泄露，并非是公司遭到黑客攻擊。所以這個是典型的“人為導致”的安全事件。所以即使在安全產(chǎn)品和方案上有再多的投資，如果忽略安全意識的提高，管理流程出現(xiàn)漏洞，也會因人為因素導致重大損失。因此人、技術和流程必須緊密結合、高密度管控。

3.安全架構體系的關鍵要素

Intel的安全事件表明，安全保障必須建立在人、技術（工具和產(chǎn)品）、流程相互結合的基礎上的。

圖3.1安全架構三要素-人、技術和流程

如下圖所示，一個全面細致的安全方案是從需求收集分析、技術框架設計、技術方案確定、規(guī)劃集成管理平臺到全面實施五個主要步驟組成。其戰(zhàn)略層的規(guī)劃必定是符合安全法規(guī)標準的，經(jīng)得起安全審計評估，而且可以無縫擴展、并適合不同業(yè)務規(guī)模和場景的需求。

那么在這幾個步驟中，什么是最重要、最需要考慮的因素呢？根據(jù)行業(yè)和項目經(jīng)驗，我們將主流建議的和最佳安全實踐推薦的關鍵點描述在下圖中，并對芯片行業(yè)感興趣的幾個要素著重展開闡述。

圖3.2安全方案實現(xiàn)路徑

3.1需求分析

管理層對風險控制的要求

圖3.3的經(jīng)典風險公式表明：風險是由威脅、脆弱性和資產(chǎn)組成的。安全措施的k顆粒度取決于企業(yè)對風險控制的要求，即：對威脅、系統(tǒng)的脆弱性和安全資產(chǎn)三個安全核心元素的控制顆粒度。

圖3.3經(jīng)典風險公式

像芯片行業(yè)這樣高度重視IP和數(shù)據(jù)安全的企業(yè)，擔心因數(shù)據(jù)泄露而造成企業(yè)聲譽、市場發(fā)展和企業(yè)營收受到極大影響，原則上應該采用更為細顆粒度的保護措施。

業(yè)務需求和特性

無疑，安全架構體系和企業(yè)的業(yè)務需求和特性是分不開的。比如，對于互聯(lián)網(wǎng)上的應用，相應的安全需求必須要考慮購買HTTPS證書、WAF、抗DDoS攻擊、防入侵檢測、開發(fā)語言框架安全和防止開發(fā)語言漏洞等；而芯片設計環(huán)境，雖然也需要防入侵攻擊等安全技術，但https證書，防止開發(fā)語言漏洞等則不需要過多涉及。芯片設計環(huán)境一般都構建在私有網(wǎng)絡（無論線下還是云上），工程師是通過VDI虛擬桌面進入更為安全的項目環(huán)境進行開發(fā)設計的，因此保護數(shù)據(jù)，防泄露、遺失、監(jiān)控數(shù)據(jù)流和做好日志、審計等就成為其著重考慮因素。

成本考量

投入和成本一般與安全程度是成正比的，企業(yè)安全評估的安全風險高，則采用的安全架構所需的投資要高一些，反之亦然；可是用錢堆積起來的架構就是高安全了嗎？答案顯然不是。

高投入的架構會造成實施復雜度、維護成本的提高，而且不可能100%保證零風險；反之，低投入成本的架構也不一定不安全，如果構架完善、流程細致周全、每個員工都具備高安全意識，也能構建一個高安全的環(huán)境。安全產(chǎn)品確實從技術和工具層面帶來了高安全度，但是也要靠企業(yè)自身意識的提高和不斷地進行體系優(yōu)化。

3.2技術框架的設計

技術框架的設計應該著重可信區(qū)域劃分、邊界控制以及分層保護不同安全級別的應用環(huán)境，從而保證數(shù)據(jù)的高可用、機密和完整性等出發(fā)，全面編織一張“疏而不漏”的安全鐵網(wǎng)。

可信區(qū)域、邊界控制和分層保護

技術框架的設計原則是參考標準規(guī)范的要求、安全審計內(nèi)容和安全行業(yè)最佳實踐推薦展開，無論企業(yè)IT環(huán)境是簡單的、還是復雜的，都需要進行數(shù)據(jù)分類并定義不同級別的可信安全區(qū)域；在每個可信區(qū)域邊界用策略、工具和技術實施和增強邊界控制；同時在IT環(huán)境內(nèi)，對每一個層級都要部署安全控制措施。IT環(huán)境越復雜、規(guī)模越大，顆粒度就越細；反之顆粒度則變粗，以減少不必要的投資和維護成本，簡化管理。當然安全技術框架也要隨著業(yè)務的擴展或變化進行周期性評估和更新。

技術框架中強調(diào)建立可信安全區(qū)域是必要的，因為這樣可以很容易鑒別用戶的訪問身份，拒絕未知用戶進入。

圖片

圖3.4 Trust level categories based on physical domains

(Copyright©2004 Deloitte Development LLC)

數(shù)據(jù)高可用、保密性和完整性保護

高可用（Availability）、保密性（Confidentiality）和完整性（Integrity）組成了信息安全領域的著名CIA三角形，CIA也是國家信息安全等級保護劃分信息系統(tǒng)安全等級的三大基本屬性[5]。

高可用性是指網(wǎng)絡、主機、應用程序和數(shù)據(jù)的高可用，通俗的說就是需要有冗余設計和災備管理，無論從系統(tǒng)還是安全架構都要考慮。

而保密性則是從保護數(shù)據(jù)角度出發(fā)，確保數(shù)據(jù)只有授權用戶可以訪問，不可泄露給未經(jīng)授權者。保密性必須結合訪問控制策略，對訪問文件、應用和數(shù)據(jù)庫等分別進行訪問權限設置。如果企業(yè)希望是高度防護，則需要進一步采用加密手段（軟件、硬件、邏輯加密等）對數(shù)據(jù)進行多重保護，嚴密防止丟失和泄露。

數(shù)據(jù)的完整性一般體現(xiàn)在校驗上，比如在傳輸過程中如何采取一定的技術手段防止數(shù)據(jù)被非法用戶添加、篡改或刪除。

數(shù)據(jù)安全分類

公司的數(shù)據(jù)資產(chǎn)是需要進行分類梳理的，比如分為公開、限內(nèi)部使用、私有、專有、機密、最高機密、敏感和受限制等類別；經(jīng)過科學分類標簽的數(shù)據(jù)可以根據(jù)信息的價值和成本效益掛鉤。比如，高度信任域的敏感數(shù)據(jù)需要存儲在加密網(wǎng)絡上，而非信任域不存放敏感數(shù)據(jù)因此不需要實施加密方案，這樣將投資集中用在最值得保護的資產(chǎn)上而不造成不必要的浪費。

數(shù)據(jù)分類的另外一個作用是更好的定義角色，根據(jù)不同的角色（比如：網(wǎng)絡管理員、安全管理員、系統(tǒng)管理員、項目開發(fā)工程師、項目Owner等）來對數(shù)據(jù)訪問進行安全控制，從而有效地授予和監(jiān)控用戶可讀、修改、刪除等權限。最佳安全實踐，比如：微軟云和亞馬遜云，采用的訪問權限基于“最低特權原則”，即新創(chuàng)建的用戶默認沒有任何權限。

3.3統(tǒng)一管理流程平臺集成

一個好的安全技術框架需要有完整的流程管理體系來支撐，這樣可以大大提高安全效率；正如人有好骨架才能“健步如飛”。完整的管理流程平臺和好的管理制度將安全理念根植在人員的安全意識和日常行為中，從而做到“事前防范、事中控制和事后監(jiān)督治理”的閉環(huán)安全管理。

安全管理平臺的設計包括：

系統(tǒng)管理

通過授權的系統(tǒng)管理對系統(tǒng)資源進行配置、控制和可信管理，包括用戶身份、可信基準庫、系統(tǒng)資源配置、系統(tǒng)加載啟動、故障處理、監(jiān)控報警、備份和恢復等。而設計智能的管理平臺能實現(xiàn)自動化部署和運維，避免人為操作的錯誤率，從而大大地提高管理效率。

安全管理

安全管理層面主要指根據(jù)CIA指導原則，對訪問者和被訪問的資源進行分類標記，對訪問者進行訪問控制和授權，配置可信安全策略，并確保相關的數(shù)據(jù)完整性。

審計管理

審計管理是在平臺上做好系統(tǒng)和訪問環(huán)境資源的錄入，對各種設備的安全監(jiān)控和報警、網(wǎng)絡安全日志進行集中管理。根據(jù)安全審計策略對各類安全信息進行分類管理和查詢，并生產(chǎn)統(tǒng)一的審計報告。一個好的管理平臺的審計功能可以做到各類安全報警和日志信息的關聯(lián)分析，從而主動發(fā)現(xiàn)重要的安全事件或挖掘隱藏的攻擊規(guī)律，對全局存在的類似安全風險進行預警。

4.芯片設計環(huán)境安全體系框架

在前一章我們闡述了安全架構體系的主要要素。那么我們怎樣裁剪成適合芯片行業(yè)的設計架構和方案呢。行業(yè)人一般都會圍繞如下幾點提出安全問題。

針對行業(yè)的“信息安全”具體是指什么？

如何能做到全面的安全保障？

如何控制安全風險，保證數(shù)據(jù)和IP不外泄露？

是否買全了市場上的安全產(chǎn)品和方案，企業(yè)的研發(fā)環(huán)境就高度安全了？

為此我們推出了如下的適合芯片設計環(huán)境的安全體系框架，這個框架結合了芯片行業(yè)特征、用戶最關心的安全問題并結合上一章介紹的安全框架的關鍵要素而設計，從保護芯片行業(yè)最為敏感的數(shù)據(jù)出發(fā)，圍繞“一個平臺、三層隔離、五層控制”原則，綜合考慮研發(fā)環(huán)境下的各層資源和數(shù)據(jù)保護并配置一個集成的安全管理平臺而構建。

該框架不僅靈活適應不同規(guī)模的芯片公司的研發(fā)環(huán)境，同時又遵照國家安全法規(guī)和適應國家等級保護要求，靈活擴展到公有云或混合云、起到對公司IP和數(shù)據(jù)的嚴密保護。

4.1一個平臺

一個平臺就是高度集成安全策略、流程、審計等的安全管理平臺，如3.3闡述，包括系統(tǒng)管理、安全（流程、策略）管理和審計管理。

適合研發(fā)環(huán)境的安全管理平臺全面集成芯片研發(fā)環(huán)境所有相關的系統(tǒng)資源，經(jīng)授權的管理員可以統(tǒng)一管理和配置系統(tǒng)資源，甚至可以實現(xiàn)自動化運維管理。

經(jīng)過安全分級分類的資產(chǎn)和數(shù)據(jù)，經(jīng)過平臺的管理確保芯片數(shù)據(jù)和IP的使用、存儲、處理等整個生命周期內(nèi)分級策略的一致性。而需要訪問和使用資源和IP的研發(fā)人員或機器必須經(jīng)過可信判斷，通過授權訪問、可信機制進行管控、監(jiān)督和審計；平臺同時實現(xiàn)實時監(jiān)控報警，通過儀表盤顯示高風險隱患；該平臺又是審計中心，對研發(fā)環(huán)境的系統(tǒng)、應用訪問日志等進行集中收集，分析并及時采取相應安全措施。

4.2三層隔離

我們在3.2節(jié)技術框架中介紹過，技術框架的關鍵因素之一是要按照可信級別建立不同的安全區(qū)域，我們對研發(fā)環(huán)境進行了三層架構的隔離，如下圖所示。

圖4.1三層架構

OA：辦公環(huán)境，低級別安全區(qū)；

VDI：虛擬桌面，中級別安全區(qū)；

HPC：研發(fā)設計環(huán)境，高級別安全區(qū)；

從事芯片設計工作的研究人員從低安全級別的OA辦公環(huán)境網(wǎng)絡，通過中等安全級別的虛擬桌面進入到高安全級別的研發(fā)環(huán)境，安全風險（入侵攻擊、病毒感染等）經(jīng)過這三級過濾大為降低。

OA、VDI、HPC這三個不同級別的安全邊界隔離在設計上充分考慮了邊界安全和網(wǎng)絡通訊安全，設計框架根據(jù)防護類別不同逐級增強安全保護，根據(jù)方便管理和控制原則對不同安全區(qū)域實施不同策略的安全控制。

區(qū)域邊界安全通過配置邊界防火墻啟用安全過濾策略，做好防入侵、惡意代碼防范、建立基于用戶身份認證和訪問控制策略、啟用安全審計策略，保證網(wǎng)路訪問和接口安全；

在網(wǎng)絡通訊安全方面則嚴密監(jiān)空數(shù)據(jù)流向，特別是數(shù)據(jù)的流出，通過嚴格審核和安全控制手段來保證敏感數(shù)據(jù)的保密性和完整性，防止遺失及泄露。

4.3五層控制

上一節(jié)4.2介紹的三層架構隔離主要是從橫向維度考慮設計的，在縱深方向我們將EDA環(huán)境的所有IT資源邏輯組合分為五層，分層控制。物理環(huán)境安全當然也很重要，因為其安全措施在各行業(yè)通用，故在此文中不作贅述。

這里的五層主要圍繞EDA設計環(huán)境相關的IT資產(chǎn)和數(shù)據(jù)角度分層設計的，如下圖所示，分為網(wǎng)絡層安全、終端節(jié)點安全、主機安全、應用層安全和數(shù)據(jù)安全。我們在下圖的各個安全控制層著重列舉了主要的安全措施，在后續(xù)專題文章中我們會做展開論述。

圖4.3研發(fā)環(huán)境五層資源安全控制

其中，在芯片設計環(huán)境安全架構中，將數(shù)據(jù)安全的保護列為最高優(yōu)先級。所有的研發(fā)數(shù)據(jù)、IT資產(chǎn)和服務資源可以視為安全對象，對安全對象要進行合理安全分類，對標記為高度機密、機密等敏感數(shù)據(jù)通過DLP方案加密保護。這樣，即使數(shù)據(jù)因為人為錯誤或故意行為流出公司，因為做了加密，很難再被破解，從而高效、高安全地保護了公司IP資產(chǎn)。

總結

無疑在芯片行業(yè)、特別是國內(nèi)芯片設計公司，最關注的安全訴求在于數(shù)據(jù)安全。當今信息系統(tǒng)的復雜度決定了僅僅保護數(shù)據(jù)層的安全是不夠的，這需要系統(tǒng)的、全面的集成系統(tǒng)方案和管理平臺來縱橫交叉立體管控和維護。

安全體系架構應該以風險控制為出發(fā)點，利用技術手段和工具，提高人員安全意識，采用全面而流暢的集成流程和管理平臺，實施最合適的安全措施來保護芯片研發(fā)數(shù)據(jù)和IP。對安全風控的決策絕不是靠投入大量的金錢，多買安全產(chǎn)品部署完畢就可以“高枕無憂”的;也不是將整個環(huán)境做成完全物理和邏輯隔離就可以得到全面保障的。

適合芯片行業(yè)的“一個平臺、三層隔離、五層控制”的安全體系框架能將芯片行業(yè)關注的安全風險控制在企業(yè)期望得到的效果內(nèi)，適合不同規(guī)模的芯片行業(yè)，并且能靈活擴展、變更和升級，從最大程度上保護芯片研發(fā)數(shù)據(jù)和IP。