• 晶片資安第一站

IC 產業必知》 3 大資安認驗證標準與 1 個安全成熟度模型

隨著物聯網普及,資安攻防的焦點開始從軟體轉移到韌體,乃至於晶片本身;再加上中美貿易戰打得火熱,使得晶片資安的重要性從個人、企業的高度拉升到國家安全的層級。於是,各家大廠與關鍵基礎設施紛紛要求自家供應鏈 /  商,提出產品 / 元件的資安防護證明,否則不予採購。

當資安品質扎扎實實影響到訂單,如何取得通行國際的資安認證就成為廠商不得不思考的問題。相對的,一旦取得認證,不僅不會被採購拒於門外,就連讓產品報價多個零也不是不可能!

用資安讓矽島繼續發光》

為了讓這座矽島繼續發光發熱,政府近年也開始重視 IC 資安議題,希望能夠繼續維持台灣在半導體領域的優勢。因此,經濟部技術處邀集了相關業者,並由資安所執行、電電公會及 Digitimes 協辦,在北中南各地舉行《提升IC產業軟體開發資安》研討會;希望藉此機會為 IC 相關業者簡單介紹數個主流的國際資安認驗證標準,還有安全成熟度評價模型。

一、共同準則(Common Criteria,ISO/IEC 15408)

共同準則為世界多國進行資通安全產品評估及驗證時所遵循之共同標準。共同準則目前涵蓋了 15 大類的產品驗證分類,其下各有 1-7 級評估保證等級(Evaluation Assurance Level,EAL)以判定產品之安全等級。

根據安華聯網分析,整個產品驗證的過程,涵蓋了安全需求、設計發展、測試、生產行銷與操作使用等範圍,以確保產品在其生命週期都安全無虞。值得一提的是,若產品是交由他廠代工,則另需要進行作業現場稽核(On-site Audit)才能完成驗證流程。

一旦獲得實驗室認證,共同準則相互承認協議(CCRA)旗下 31 個會員國皆會承認該證書之效力;安華聯網指出,產品的認證效力為 5 年,作業現場的認證效力為 2 年。進一步來說,CCRA 會員國將彼此承認通過 CC EAL 1-4+ 的證書效力(註 1);至於 EAL 5-7 的認證規範則因為各會員國可自行制定標準,無法相互承認(註 2)。

然而,獲得 EAL 3 或以上的 CC 證書的產品若不符合協作保護剖繪(Collaborative Protection Profile)規範,則 CCRA 至多認可其保護等級等同於 EAL 2。也因此,實務上各家產品透過 CCRA 取得的安全等級通常只有到 EAL 2。

安華聯網進一步表示,依照申請的 EAL 等級,將會有 4 到 24 個月不等的驗證時程,如下表所示。然而,這是在廠商能夠交付具有一致性的文件的情況下,所估算出來的時程;一旦廠商因為各種因素而無法維持文件一致性,就可能需要額外的時間。(表1)

表1:共同準則驗證時程

安全等級 預計時程
EAL 1 4-6 個月
EAL 2

6-8 個月

EAL3-4 8-15 個月
EAL5+ 15-24 個月

 

註 1:申請認證的廠商若在 EAL 4 的規範之外,額外符合 EAL 5-7 的部份規範,則稱之為 EAL4+

註 2:歐盟旗下 17 國家另有組織「歐洲相互承認協議(SOG-IS)」,可以相互承認協議國之下共同準則認證 EAL 1-7 的效力。

 

二、聯邦資料處理標準(FIPS 140-3,ISO / IEC 19790)

FIPS 是美國政府制定給除了軍事單位之外的所有政府機構,以及政府承包商的公開標準,用以保護敏感資料免於非經授權的揭露、使用或竄改。安華聯網表示,許多 FIPS 標準都是由 ANSI、IEEE 或 ISO 這類已經被廣泛應用的標準修改而來的;其中 FIPS 140-3 為 2020 年針對密碼模組安全需求所推出的第 3 版處理標準(註 3)。

安華聯網進一步分析,不分軟體、硬體或韌體,只要具備了密碼運算的模組或是資通訊設備的核心,都可以是 FIPS 140-3 規範的標的。其中,FIPS 140-3 規範 11 個安全領域,並各有 4 個安全等級;密碼模組的安全等級,則以其所有安全領域之中等級最低者,視為整體評等。根據申請的安全等級與經驗,整體驗證時程大約需要 6-8 個月。

安華聯網補充,針對演算法的部份需要一提的是,並不是所有加密演算法都可以申請驗證;所有要通過 FIPS 驗證的加密演算法,首先都要符合 NIST 所採用之

AES 或 3DES 等規格,才能申請驗證。根據申請的安全等級與經驗,整體驗證時程大約需要 5 個禮拜。

註 3:在 2021 年 9 月之前,廠商仍可以申請舊版的 FIPS 140-2 之驗證,效力為期 5 年。

三、IEC 62443

傳統工廠營運會從天災、人禍與意外的角度,去評估廠房的風險與安全性。不過,當我們進入了工業 4.0 的時代,讓產線連上了網路,以前的標準就不夠用了。這時候我們就需要一套從 IT 的觀點來檢視 OT 營運的安全標準,那就是 IEC 62443。相較於一般的 IT 資安,OT 資安首要考量的是整體廠房的安全性與可用性;一旦發生資安事件,系統需要足夠的韌性以確保生命財產之安全,以及產線營運的穩定性。

目前聯合國已經通過網絡安全共同監管框架,只要是施用在安全性領域的產品 ─ 諸如關鍵基礎設施 ─ 都需要通過 IEC 62443 的驗證;換言之,世界各國可以以產品不符  IEC 62443 規範為由拒絕進口,而且不視為貿易障礙。即便沒有取得 IEC 62443 的認驗證,廠商也可以按照其指導方針要求系統整合商、元件供應商,就可以防堵多數的工廠資安事件。

IEC 62443 將 OT 場域分為三個角色:資產擁有者、系統整合商與元件供應商,並分別對其課以防護管理要求。若廠商要取得 IEC 62443 證書,首先得針對研發管理能力成熟度的評鑑成績,再透過實際開發產品(前者的應用)取得產品安全等級。綜合研發管理成熟度與產品安全等級的分數之後, 即可取得安全計畫評等分數(表2)。

表2:安全計畫評等示意圖

 

四、建構軟體安全成熟度模型(The Building Security in Maturity Model,BSIMM)

BSIMM 是一套涵蓋了 4 大領域、12 面向與超過 200 項指標的軟體安全成熟度評估模型。它是由新思科技(Synopsys)每年訪談百餘間大企業之後,所編彙而成的統計數據。相較於「通過 / 不通過」的評判,BSIMM 提供的是讓企業可以對比自身與業界防護措施成熟度的比較基準

所謂的「成熟度」,指的是企業能否做到其他企業比較少去做的防護活動 / 措施。換言之,若企業僅能做到多數企業所採取的防護措施,則只能獲得「第 1 級」的評價;若企業能夠做到只有少數企業會做的 ─ 比如說所費不貲或是最新技術 ─ 防護措施,則能獲得「第 3 級」的評價。

因此,在完成評估之後,企業可以將自己各個面向的安全成熟度與業界平均做比較,藉以評估當前的資安實作方案該如何調整。值得一提的是,成熟度較高不必然代表防護能力比較優良,而僅是該企業採取了比較少觀察到的行動。

從十餘年的訪談累積下來,新思科技從 BSIMM 觀察到資安實作已經不只從下游的部署轉移到上游的建置,更是轉移到整個生產循環的每個環節。另一方面,當前的 BSIMM 反映出一種工程師導向的安全文化與軟體定義的治理模式:由經驗豐富的工程師主導設計安全而流暢的開發流程,並且將治理、測試行為給程式化、自動化。

Share:
This site is registered on wpml.org as a development site.