• 晶片資安第一站

《晶片安全風險評估指引》十大風險評估步驟 掌握晶片安全

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫

晶片為現代的戰略物資,並在全球成為一項不可或缺的資源。同時,隨著科技進步,晶片受到濫用並產生威脅的風險也大幅增加。針對晶片可能會有許多不常見,但背後可產生相當程度之損失的攻擊。

透過此風險評估指引,可針對晶片進行風險分析,在風險評估過程中,藉由資產識別、運行環境理解可能的弱點、威脅及攻擊介面,並以本指引所提供的方法論,量化出風險等級,以確立可忍受之風險程度。

晶片安全風險評估介紹

諸如微型控制器、處理器及無線連接裝置等積體電路,容易在各種使用環境中受到威脅,當元件在不信任的環境狀態下運行,可能成為威脅代理人(threat agent)或其攻擊對象。一般而言,晶片安全所橫跨的範圍不僅涵蓋硬體,亦包含韌體與軟體。若欲執行風險評估,應包括以下步驟:

1. 識別標的晶片
識別標的晶片之功能、處理資料類型、使用情境等,評估及分析標的運行環境,並說明執行本風險分析的目標、意圖及範圍。

2. 識別標的晶片的安全目標
識別所欲達到的晶片安全目標及晶片安全相關議題的高階聲明目標。

3. 識別標的晶片的安全要求
根據標的晶片的安全目標,選擇與晶片安全目標對應的資安要求,此時可以從現行想通過的國際標準1 ,以選擇合適的安全要求。

4. 建立資產清冊
完成第 1 步驟的標的晶片識別並整理成資產清冊。

5. 識別標的晶片所面臨的風險
識別及分類漏洞、可能濫用漏洞的威脅、攻擊介面(例:UART、JTAG),以及可能導致的事故。

6. 量化風險等級
量化事故所發生的可能性(例:可能的/極可能)及威脅的影響。

7. 建立風險
建立可能發生的晶片安全風險。

8. 建立安全功能
選擇及部署對應的晶片安全功能。

9. 識別最佳的安全功能
透過成本效益分析,以識別在第 8 步驟所有可能的安全功能中,最具成本效益的其中之一。

10. 建立安全功能的技術規範
透過第9步驟中所識別的最佳安全功能,產生最佳安全功能的技術規範。

以下表格為風險評估之範例,涵蓋進行風險評估的要素,可透過此範例做為進行風險評估時的參考。

 

想了解更詳細的指引內容,請與我們聯絡索取

 

Share:
This site is registered on wpml.org as a development site.