SESIP的前生今世和未來(lái)

SESIP(Security Evaluation Standard for IoT Platforms)是針對(duì)物聯(lián)網(wǎng)(IoT)平臺(tái)的安全評(píng)估標(biāo)準(zhǔn)。它為物聯(lián)網(wǎng)設(shè)備和平臺(tái)提供了一個(gè)系統(tǒng)化的安全性評(píng)估框架，旨在幫助評(píng)估和提高物聯(lián)網(wǎng)設(shè)備及平臺(tái)的安全性，以應(yīng)對(duì)日益復(fù)雜的安全威脅。

SESIP的前生

[ 起源與發(fā)展背景 ]

物聯(lián)網(wǎng)(IoT)的快速發(fā)展帶來(lái)了許多新興的安全問題。例如，2017年爆發(fā)的Mirai僵尸網(wǎng)絡(luò)攻擊就讓全球意識(shí)到，物聯(lián)網(wǎng)設(shè)備的安全漏洞可能導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)安全問題。隨著設(shè)備連接的增多和物聯(lián)網(wǎng)應(yīng)用場(chǎng)景的擴(kuò)展，物聯(lián)網(wǎng)平臺(tái)和設(shè)備暴露于越來(lái)越多的網(wǎng)絡(luò)攻擊和安全漏洞之下。這些設(shè)備和平臺(tái)在實(shí)際應(yīng)用中通常處理敏感數(shù)據(jù)(如個(gè)人信息、企業(yè)數(shù)據(jù)等)并且具有較高的安全風(fēng)險(xiǎn)。因此，物聯(lián)網(wǎng)安全問題成為一個(gè)日益嚴(yán)峻的挑戰(zhàn)。

為了解決這些問題，國(guó)際上開始逐步提出相關(guān)的標(biāo)準(zhǔn)和評(píng)估框架，由GlobalPlatform于2020年宣布一項(xiàng)名為“物聯(lián)網(wǎng)平臺(tái)安全評(píng)估標(biāo)準(zhǔn)”(Security Evaluation Standard for IoT Platforms)的新認(rèn)證標(biāo)準(zhǔn)。SESIP 標(biāo)準(zhǔn)的目的是幫助評(píng)估和驗(yàn)證物聯(lián)網(wǎng)平臺(tái)的安全性，并為平臺(tái)設(shè)計(jì)者、開發(fā)者以及安全審計(jì)人員提供參考框架。

SESIP認(rèn)證分為五個(gè)安全級(jí)別，從1到5級(jí)，隨著級(jí)別的提高，測(cè)試的復(fù)雜性和難度也會(huì)增加。SESIP3是重要的安全級(jí)別，要求進(jìn)行全面的源代碼分析和漏洞分析，屬于白盒測(cè)試?。SESIP3相比SESIP2提供了更嚴(yán)格、更全面、更高級(jí)別的安全保證，適用于安全性要求更高的物聯(lián)網(wǎng)和嵌入式產(chǎn)品?。

SESIP 中的三個(gè)主要保證級(jí)別：

SESIP 認(rèn)證級(jí)別 1 (SESIP1) 是一個(gè)基于自我評(píng)估的級(jí)別，可提供基本級(jí)別的保證。

SESIP 認(rèn)證級(jí)別 2 (SESIP2) 是一種黑盒滲透測(cè)試級(jí)別，可提供中等程度的保證。

SESIP 認(rèn)證級(jí)別 3 (SESIP3) 是一種傳統(tǒng)的白盒漏洞分析，可提供可觀的保證級(jí)別。該評(píng)估圍繞有時(shí)間限制的源代碼分析以及有時(shí)間限制的滲透測(cè)試工作進(jìn)行。

SESIP的今世

[ 當(dāng)前的應(yīng)用和影響 ]

SESIP作為物聯(lián)網(wǎng)平臺(tái)安全評(píng)估標(biāo)準(zhǔn)，已經(jīng)在多個(gè)行業(yè)和領(lǐng)域得到了廣泛關(guān)注與應(yīng)用。其主要特點(diǎn)和發(fā)展包括：

安全評(píng)估框架

SESIP為物聯(lián)網(wǎng)平臺(tái)提供了一種全面的評(píng)估方法，涵蓋了設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等各個(gè)層面的安全性。

標(biāo)準(zhǔn)化的測(cè)試和認(rèn)證

SESIP為物聯(lián)網(wǎng)產(chǎn)品提供了一套標(biāo)準(zhǔn)化的測(cè)試與認(rèn)證流程，確保物聯(lián)網(wǎng)設(shè)備和平臺(tái)在全球范圍內(nèi)具有一致的安全性要求。

提升用戶信任

物聯(lián)網(wǎng)產(chǎn)品和平臺(tái)通過SESIP認(rèn)證后，可以增加用戶對(duì)其安全性的信任，尤其是在涉及敏感數(shù)據(jù)的行業(yè)，如金融、醫(yī)療等領(lǐng)域。

產(chǎn)業(yè)推動(dòng)

SESIP也推動(dòng)了物聯(lián)網(wǎng)產(chǎn)業(yè)在安全領(lǐng)域的合作，尤其是在設(shè)備制造商、平臺(tái)提供商、以及政府部門之間的協(xié)同工作。

一些物聯(lián)網(wǎng)平臺(tái)、設(shè)備和企業(yè)服務(wù)已經(jīng)開始通過SESIP認(rèn)證，特別是在那些對(duì)安全要求較高的行業(yè)，比如智能家居、自動(dòng)化、醫(yī)療和工業(yè)控制等領(lǐng)域。SESIP不僅僅局限于產(chǎn)品安全評(píng)估，還包括了物聯(lián)網(wǎng)平臺(tái)在開發(fā)、部署、維護(hù)等各個(gè)階段的安全保障。

SESIP的未來(lái)

未來(lái)，隨著物聯(lián)網(wǎng)設(shè)備和平臺(tái)數(shù)量的不斷增加，以及物聯(lián)網(wǎng)應(yīng)用場(chǎng)景的多樣化，SESIP的作用將愈發(fā)重要。預(yù)計(jì)SESIP在未來(lái)會(huì)朝著以下幾個(gè)方向發(fā)展：

適應(yīng)新興技術(shù)

隨著人工智能(AI)、5G、邊緣計(jì)算等新興技術(shù)的融入，物聯(lián)網(wǎng)的安全需求將變得更加復(fù)雜。SESIP可能會(huì)根據(jù)這些技術(shù)的特性進(jìn)行擴(kuò)展，覆蓋更多新的威脅模型和安全需求。

自動(dòng)化安全評(píng)估

隨著安全自動(dòng)化技術(shù)的發(fā)展，未來(lái)SESIP評(píng)估過程可能會(huì)更加自動(dòng)化，從而加速評(píng)估和認(rèn)證過程，提高評(píng)估的效率和準(zhǔn)確性。

更高的全球一致性

全球化的物聯(lián)網(wǎng)應(yīng)用促使SESIP等國(guó)際安全標(biāo)準(zhǔn)向全球一致性發(fā)展。更多國(guó)家和地區(qū)將采納SESIP標(biāo)準(zhǔn)，并將其納入政策和法規(guī)中。

與其他安全標(biāo)準(zhǔn)的整合

SESIP可能會(huì)與其他網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，如ISO/IEC 27001 (國(guó)際標(biāo)準(zhǔn)化組織信息安全管理系統(tǒng))、NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院)等進(jìn)行整合，形成一個(gè)更全面的安全框架，確保物聯(lián)網(wǎng)平臺(tái)在不同安全維度上的綜合防護(hù)。

用戶隱私保護(hù)

隨著數(shù)據(jù)隱私法規(guī)，如GDPR(General Data Protection Regulation)的日益嚴(yán)格，SESIP可能會(huì)進(jìn)一步加強(qiáng)對(duì)物聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)隱私保護(hù)的要求，確保物聯(lián)網(wǎng)設(shè)備在存儲(chǔ)和傳輸用戶數(shù)據(jù)時(shí)符合隱私保護(hù)規(guī)范。

總的來(lái)說，SESIP作為物聯(lián)網(wǎng)安全評(píng)估標(biāo)準(zhǔn)，在未來(lái)將繼續(xù)發(fā)揮重要作用，推動(dòng)物聯(lián)網(wǎng)行業(yè)向更加安全、可信的方向發(fā)展。

Keysight Riscure 作為 TrustCB 的 SESIP認(rèn)證實(shí)驗(yàn)室，擁有深厚的知識(shí)和專業(yè)技能，可幫助您達(dá)到所需的安全級(jí)別，從而有效解除安全威脅，并贏得市場(chǎng)認(rèn)可。

我們?cè)谇度胧胶?a href="http://www.wenjunhu.com/v/tag/137/" target="_blank">芯片組安全方面的豐富經(jīng)驗(yàn)和知識(shí)積累是您獲得 SESIP 安全認(rèn)證的最有效和最高效的合作伙伴。

我們提供預(yù)認(rèn)證和客戶支持，以確保您的SESIP 認(rèn)證成功。

除了評(píng)估之外，我們還提供完善和提升客戶解決方案的安全性的服務(wù)。

自2021年開始Keysight Riscure已經(jīng)為來(lái)自全球多家知名企業(yè)成功獲得了SESIP的證書，從2021年完成證書數(shù)量占比的14% 上升為2024年的50%， 并有進(jìn)一步增長(zhǎng)的趨勢(shì)。

2024年 TrustCB SESIP授權(quán)安全實(shí)驗(yàn)室獲得的證書數(shù)量

歷年Keysight RISCURE為客戶取得SESIP證書的數(shù)量

Keysight Riscure不僅提供SESIP認(rèn)證服務(wù)，同時(shí)也針對(duì)開發(fā)者，測(cè)評(píng)人員和項(xiàng)目管理人員提供相關(guān)的培訓(xùn)。

關(guān)于Riscure

自2001年成立以來(lái)，Riscure一直是全球硬件安全的先驅(qū)和技術(shù)領(lǐng)導(dǎo)者。我們擁有超過20年的行業(yè)經(jīng)驗(yàn)，客戶遍及科技企業(yè)、政府部門、科研院所、高校、汽車、航空航天等領(lǐng)域。Riscure為國(guó)內(nèi)外客戶提供專業(yè)的側(cè)信道、故障注入、硅前(RTL)安全仿真測(cè)試等工具、培訓(xùn)和安全認(rèn)證、測(cè)評(píng)及咨詢服務(wù)。 2024年3月， Keysight收購(gòu)Riscure。Keysight將和Riscure一起，基于豐富的安全產(chǎn)品和應(yīng)用，為業(yè)界提供更有效的測(cè)試解決方案。

關(guān)于是德科技

是德科技(NYSE：KEYS)啟迪并賦能創(chuàng)新者，助力他們將改變世界的技術(shù)帶入生活。作為一家標(biāo)準(zhǔn)普爾 500 指數(shù)公司，我們提供先進(jìn)的設(shè)計(jì)、仿真和測(cè)試解決方案，旨在幫助工程師在整個(gè)產(chǎn)品生命周期中更快地完成開發(fā)和部署，同時(shí)控制好風(fēng)險(xiǎn)。我們的客戶遍及全球通信、工業(yè)自動(dòng)化、航空航天與國(guó)防、汽車、半導(dǎo)體和通用電子等市場(chǎng)。我們與客戶攜手，加速創(chuàng)新，創(chuàng)造一個(gè)安全互聯(lián)的世界。