芯片设计环境的安全体系概述
2021-03-04
来源:半导体行业观察
引言
人类一直在不断地努力推动历史和科技的进步!
从18世纪60年代,以蒸汽机发明为标志的第一次科技革命开始,到上世纪的以IT技术和信息通讯技术开端的第五次大技术革命,整个人类社会已经发生了铺天盖地的变化。特别是第五次科技革命,正在进入以万物皆联网为目标的数字化时代的蓬勃发展期。
复杂的网络连接、海量的信息数据处理和交易,信息技术所依托的软硬件和集成平台正在以惊人的速度前行,信息介质本身也从“有形”到 “无形”,这使得信息安全不仅更加重要,安全保护维度也更趋于复杂而深广。
当今社会的高度信息和数字化离不开集成电路的广泛应用。在我国,随着国家战略的推动、政府的支持以及国际形势的种种原因使得芯片行业在全国各地呈星星之火燎原之势发展起来。芯片研发成本昂贵,知识产权和数据的泄露将会造成重大和不可挽回的经济损失,因此对其研发环境的安全体系打造成为各芯片设计公司关注的焦点。
我们一直非常重视和关注安全,深刻认识到无论是在传统的研发数据中心,还是设计云平台,安全一定是不可缺少的重要模块。我们欣喜地看到芯片设计公司的安全意识也在不断得提高,希望我们能提供完整的安全集成方案和服务。
我们仅以此文开篇,结合多年的行业经验和对业务安全的体会和理解,循序渐进地展开各类相关话题,和行内人士和客户共同探讨和努力打造高度安全的芯片研发环境。
1. 信息安全的发展历程
关于信息安全的发展历程已有诸多文献论述,这里不多赘述。
信息安全发展历程无论分三阶段、还是四阶段,分类标准总是和信息技术的创新、媒体传输介质的改变、互联网的飞速发展、数字化的转型、法律法规的要求等分不开。笔者比较喜欢发布在51cto 上的Jack zhai的分法[4],从企业角度来说明安全保障理念的发展趋势。
图1.1 安全保障理念随安全发展历程变化趋势
我们结合芯片行业来扩展解释一下:
芯片设计所处的行业是非常典型传统型的,通常信息系统和研发环境都建立在企业自己的数据中心。
起初,研发环境主要是以物理防护和网络层隔离的传统保护方式,人员管理制度也是粗线条的行政性管理为主;后来随着虚拟化、网络技术的发展,研发环境的安全措施和安全运维开始从业务流程和整个企业IT环境考虑,在物理防护、网络层隔离基础上增加了防火墙、VDI隔离;数据的保护也从单一文件、目录的权限管理发展为更广泛的访问控制;管理体系也从粗线条的行政管理到全面建立系统服务监控和审计流程,定期培训使用人员提高安全意识;同时从业务流程和数据流角度采取相应安全措施,防止数据泄露,安全防护体系开始立体化。
图1. 2 立体化的安全区域隔离
随着云计算技术的兴起,芯片行业的计算环境也正在开启上云之路。虽然国内芯片行业还处在观望和起步阶段,但我们认为“芯片设计上云”是大势所趋,其详细阐述可以关注我们有关“芯片设计上云”的系列专题文章。(点击可查看)
对未来的云计算平台来说,芯片设计环境将会变成以服务为核心的集成平台。安全保障不再是组件之间的“积木”式的集成,而是演变成为更加复杂的交叉综合系统。
IT基础设施和芯片设计直接联系呈松耦合结构,按照“业务保障”模式的安全保护已不再合适,必须转变为面向“服务”的安全保障。因此芯片设计环境的安全不仅要考虑边际安全以及每个组件的安全,还必须有机的和IaaS、PasS云厂商的安全保障无缝结合,共同维护好芯片设计环境的安全。
2. 安全事件引发的思考
信息安全从广义角度来讲指“网络空间安全 (Cyber Security)”,狭义角度来说则为“数据安全(Data Security)”,网络空间安全和数据安全在各自领域的安全产品和服务日趋丰富和成熟。其中数据安全是芯片行业最为关注和重视的安全元素,企业的IT默认规划模式都是建立或托管数据中心,通过防火墙等边界隔离将研发环境锁定在私有网络中,而数据的流动会通过专业的传输工具进行审核和监控。
我们通过这几年的研究和实践发现:虽然由于行业的业务特点各有侧重,但是网络空间安全和数据安全二者必需相辅相成、统筹兼顾。
让我们先来看近年来两个行业相关的安全事件。
2018年8月,著名的半导体芯片制造公司台积电的三座十二吋晶圆厂生产线遭蠕虫式勒索病毒WannaCry入侵,造成晶圆厂机台设备关机。据称,此次事故使台积电损失高达11.5个亿[1]。
这是一个因为网络空间安全措施做未到位而导致的安全事件,之所以让黑客得逞是windows 7 的操作系统没有及时进行系统的补丁管理而造成安全漏洞。
我们再来看一个2020年芯片行业界发生的影响较大的安全事件,那就是Intel的20G内部数据泄露。据报道,这是Intel史上最严重的一次数据泄露,泄露的文件涉及代码、开发调试工具、各种线路图、文档等和各种芯片组内部设计有关的知识产权,包含有标记为“机密”和“受限机密”的文件,远至2016年发布的CPU技术细节、产品手册和指南等。有兴趣的话,大家可以参看[2][3]。
相信大家很难想像台积电、Intel这样的高科技公司,也会发生这么严重的安全事件。毕竟这种国际半导体大公司在安全硬件和软件方面的投入应该不会马虎、投入成本也不会低。据媒体报道:英特尔认为此次事件是数据被有权限的人士下载后而遭泄露,并非是公司遭到黑客攻击。所以这个是典型的“人为导致”的安全事件。所以即使在安全产品和方案上有再多的投资,如果忽略安全意识的提高,管理流程出现漏洞,也会因人为因素导致重大损失。因此人、技术和流程必须紧密结合、高密度管控。
3. 安全架构体系的关键要素
Intel的安全事件表明,安全保障必须建立在人、技术(工具和产品)、流程相互结合的基础上的。
图3.1 安全架构三要素- 人、技术和流程
如下图所示,一个全面细致的安全方案是从需求收集分析、技术框架设计、技术方案确定、规划集成管理平台到全面实施五个主要步骤组成。其战略层的规划必定是符合安全法规标准的,经得起安全审计评估,而且可以无缝扩展、并适合不同业务规模和场景的需求。
那么在这几个步骤中,什么是最重要、最需要考虑的因素呢?根据行业和项目经验,我们将主流建议的和最佳安全实践推荐的关键点描述在下图中,并对芯片行业感兴趣的几个要素着重展开阐述。
图3.2 安全方案实现路径
3.1 需求分析
管理层对风险控制的要求
图3.3的经典风险公式表明:风险是由威胁、脆弱性和资产组成的。安全措施的k颗粒度取决于企业对风险控制的要求,即:对威胁、系统的脆弱性和安全资产三个安全核心元素的控制颗粒度。
图3.3 经典风险公式
像芯片行业这样高度重视IP和数据安全的企业,担心因数据泄露而造成企业声誉、市场发展和企业营收受到极大影响,原则上应该采用更为细颗粒度的保护措施。
业务需求和特性
无疑,安全架构体系和企业的业务需求和特性是分不开的。比如,对于互联网上的应用,相应的安全需求必须要考虑购买HTTPS证书、WAF、抗DDoS攻击、防入侵检测、开发语言框架安全和防止开发语言漏洞等;而芯片设计环境,虽然也需要防入侵攻击等安全技术,但https证书,防止开发语言漏洞等则不需要过多涉及。芯片设计环境一般都构建在私有网络(无论线下还是云上),工程师是通过VDI虚拟桌面进入更为安全的项目环境进行开发设计的,因此保护数据,防泄露、遗失、监控数据流和做好日志、审计等就成为其着重考虑因素。
成本考量
投入和成本一般与安全程度是成正比的,企业安全评估的安全风险高,则采用的安全架构所需的投资要高一些,反之亦然;可是用钱堆积起来的架构就是高安全了吗?答案显然不是。
高投入的架构会造成实施复杂度、维护成本的提高,而且不可能100%保证零风险;反之,低投入成本的架构也不一定不安全,如果构架完善、流程细致周全、每个员工都具备高安全意识,也能构建一个高安全的环境。安全产品确实从技术和工具层面带来了高安全度,但是也要靠企业自身意识的提高和不断地进行体系优化。
3.2 技术框架的设计
技术框架的设计应该着重可信区域划分、边界控制以及分层保护不同安全级别的应用环境,从而保证数据的高可用、机密和完整性等出发,全面编织一张“疏而不漏”的安全铁网。
可信区域、边界控制和分层保护
技术框架的设计原则是参考标准规范的要求、安全审计内容和安全行业最佳实践推荐展开,无论企业IT环境是简单的、还是复杂的,都需要进行数据分类并定义不同级别的可信安全区域;在每个可信区域边界用策略、工具和技术实施和增强边界控制;同时在IT环境内,对每一个层级都要部署安全控制措施。IT环境越复杂、规模越大,颗粒度就越细;反之颗粒度则变粗,以减少不必要的投资和维护成本,简化管理。当然安全技术框架也要随着业务的扩展或变化进行周期性评估和更新。
技术框架中强调建立可信安全区域是必要的,因为这样可以很容易鉴别用户的访问身份,拒绝未知用户进入。
图3.4 Trust level categories based on physical domains
(Copyright ? 2004 Deloitte Development LLC)
数据高可用、保密性和完整性保护
高可用(Availability)、保密性(Confidentiality)和完整性(Integrity)组成了信息安全领域的著名CIA三角形,CIA也是国家信息安全等级保护划分信息系统安全等级的三大基本属性[5]。
高可用性是指网络、主机、应用程序和数据的高可用,通俗的说就是需要有冗余设计和灾备管理,无论从系统还是安全架构都要考虑。
而保密性则是从保护数据角度出发,确保数据只有授权用户可以访问,不可泄露给未经授权者。保密性必须结合访问控制策略,对访问文件、应用和数据库等分别进行访问权限设置。如果企业希望是高度防护,则需要进一步采用加密手段(软件、硬件、逻辑加密等)对数据进行多重保护,严密防止丢失和泄露。
数据的完整性一般体现在校验上,比如在传输过程中如何采取一定的技术手段防止数据被非法用户添加、篡改或删除。
数据安全分类
公司的数据资产是需要进行分类梳理的,比如分为公开、限内部使用、私有、专有、机密、最高机密、敏感和受限制等类别;经过科学分类标签的数据可以根据信息的价值和成本效益挂钩。比如,高度信任域的敏感数据需要存储在加密网络上,而非信任域不存放敏感数据因此不需要实施加密方案,这样将投资集中用在最值得保护的资产上而不造成不必要的浪费。
数据分类的另外一个作用是更好的定义角色,根据不同的角色(比如:网络管理员、安全管理员、系统管理员、项目开发工程师、项目Owner等)来对数据访问进行安全控制,从而有效地授予和监控用户可读、修改、删除等权限。最佳安全实践,比如:微软云和亚马逊云,采用的访问权限基于“最低特权原则”,即新创建的用户默认没有任何权限。
3.3 统一管理流程平台集成
一个好的安全技术框架需要有完整的流程管理体系来支撑,这样可以大大提高安全效率;正如人有好骨架才能“健步如飞”。完整的管理流程平台和好的管理制度将安全理念根植在人员的安全意识和日常行为中,从而做到“事前防范、事中控制和事后监督治理”的闭环安全管理。
安全管理平台的设计包括:
系统管理
通过授权的系统管理对系统资源进行配置、控制和可信管理,包括用户身份、可信基准库、系统资源配置、系统加载启动、故障处理、监控报警、备份和恢复等。而设计智能的管理平台能实现自动化部署和运维,避免人为操作的错误率,从而大大地提高管理效率。
安全管理
安全管理层面主要指根据CIA指导原则,对访问者和被访问的资源进行分类标记,对访问者进行访问控制和授权,配置可信安全策略,并确保相关的数据完整性。
审计管理
审计管理是在平台上做好系统和访问环境资源的录入,对各种设备的安全监控和报警、网络安全日志进行集中管理。根据安全审计策略对各类安全信息进行分类管理和查询,并生产统一的审计报告。一个好的管理平台的审计功能可以做到各类安全报警和日志信息的关联分析,从而主动发现重要的安全事件或挖掘隐藏的攻击规律,对全局存在的类似安全风险进行预警。
4. 芯片设计环境安全体系框架
在前一章我们阐述了安全架构体系的主要要素。那么我们怎样裁剪成适合芯片行业的设计架构和方案呢。行业人一般都会围绕如下几点提出安全问题。
针对行业的“信息安全”具体是指什么?
如何能做到全面的安全保障?
如何控制安全风险,保证数据和IP不外泄露?
是否买全了市场上的安全产品和方案,企业的研发环境就高度安全了?
为此我们推出了如下的适合芯片设计环境的安全体系框架,这个框架结合了芯片行业特征、用户最关心的安全问题并结合上一章介绍的安全框架的关键要素而设计,从保护芯片行业最为敏感的数据出发,围绕“一个平台、三层隔离、五层控制”原则,综合考虑研发环境下的各层资源和数据保护并配置一个集成的安全管理平台而构建。
该框架不仅灵活适应不同规模的芯片公司的研发环境,同时又遵照国家安全法规和适应国家等级保护要求,灵活扩展到公有云或混合云、起到对公司IP和数据的严密保护。
4.1 一个平台
一个平台就是高度集成安全策略、流程、审计等的安全管理平台,如3.3阐述,包括系统管理、安全(流程、策略)管理和审计管理。
适合研发环境的安全管理平台全面集成芯片研发环境所有相关的系统资源,经授权的管理员可以统一管理和配置系统资源,甚至可以实现自动化运维管理。
经过安全分级分类的资产和数据,经过平台的管理确保芯片数据和IP的使用、存储、处理等整个生命周期内分级策略的一致性。而需要访问和使用资源和IP的研发人员或机器必须经过可信判断,通过授权访问、可信机制进行管控、监督和审计;平台同时实现实时监控报警,通过仪表盘显示高风险隐患;该平台又是审计中心,对研发环境的系统、应用访问日志等进行集中收集,分析并及时采取相应安全措施。
4.2 三层隔离
我们在3.2节技术框架中介绍过,技术框架的关键因素之一是要按照可信级别建立不同的安全区域,我们对研发环境进行了三层架构的隔离,如下图所示。
图4.1 三层架构
OA:办公环境,低级别安全区;
VDI:虚拟桌面,中级别安全区;
HPC:研发设计环境,高级别安全区;
从事芯片设计工作的研究人员从低安全级别的OA办公环境网络,通过中等安全级别的虚拟桌面进入到高安全级别的研发环境,安全风险(入侵攻击、病毒感染等)经过这三级过滤大为降低。
OA、VDI、HPC这三个不同级别的安全边界隔离在设计上充分考虑了边界安全和网络通讯安全,设计框架根据防护类别不同逐级增强安全保护,根据方便管理和控制原则对不同安全区域实施不同策略的安全控制。
区域边界安全通过配置边界防火墙启用安全过滤策略,做好防入侵、恶意代码防范、建立基于用户身份认证和访问控制策略、启用安全审计策略,保证网路访问和接口安全;
在网络通讯安全方面则严密监空数据流向,特别是数据的流出,通过严格审核和安全控制手段来保证敏感数据的保密性和完整性,防止遗失及泄露。
4.3 五层控制
上一节4.2介绍的三层架构隔离主要是从横向维度考虑设计的,在纵深方向我们将EDA环境的所有IT资源逻辑组合分为五层,分层控制。物理环境安全当然也很重要,因为其安全措施在各行业通用,故在此文中不作赘述。
这里的五层主要围绕EDA设计环境相关的IT资产和数据角度分层设计的,如下图所示,分为网络层安全、终端节点安全、主机安全、应用层安全和数据安全。我们在下图的各个安全控制层着重列举了主要的安全措施,在后续专题文章中我们会做展开论述。
图4.3 研发环境五层资源安全控制
其中,在芯片设计环境安全架构中,将数据安全的保护列为最高优先级。所有的研发数据、IT资产和服务资源可以视为安全对象,对安全对象要进行合理安全分类,对标记为高度机密、机密等敏感数据通过DLP方案加密保护。这样,即使数据因为人为错误或故意行为流出公司,因为做了加密,很难再被破解,从而高效、高安全地保护了公司IP资产。
总结
无疑在芯片行业、特别是国内芯片设计公司,最关注的安全诉求在于数据安全。当今信息系统的复杂度决定了仅仅保护数据层的安全是不够的,这需要系统的、全面的集成系统方案和管理平台来纵横交叉立体管控和维护。
安全体系架构应该以风险控制为出发点,利用技术手段和工具,提高人员安全意识,采用全面而流畅的集成流程和管理平台,实施最合适的安全措施来保护芯片研发数据和IP。对安全风控的决策绝不是靠投入大量的金钱,多买安全产品部署完毕就可以“高枕无忧”的; 也不是将整个环境做成完全物理和逻辑隔离就可以得到全面保障的。
适合芯片行业的“一个平台、三层隔离、五层控制”的安全体系框架能将芯片行业关注的安全风险控制在企业期望得到的效果内,适合不同规模的芯片行业,并且能灵活扩展、变更和升级,从最大程度上保护芯片研发数据和IP。