歐盟加強(qiáng)數(shù)據(jù)安全門檻，半導(dǎo)體廠商如何應(yīng)對(duì)？

隨著信息化和智能化的持續(xù)推進(jìn)，我們的生活和工作愈發(fā)便捷、高效。當(dāng)人們?cè)谙硎苤鴷r(shí)代變化帶來的好處之時(shí)，也不得不與其中所裹挾的副作用——信息泄露相對(duì)抗。

例如，近期一場(chǎng)規(guī)模巨大的物聯(lián)網(wǎng)（IoT）安全漏洞事件曝光了27億條包含敏感用戶數(shù)據(jù)的信息，其中包括Wi-Fi網(wǎng)絡(luò)名稱、密碼、IP地址和設(shè)備標(biāo)識(shí)符，這存在非常大的數(shù)據(jù)風(fēng)險(xiǎn)，有可能被攻擊者利用。據(jù)Palo Alto Networks的威脅報(bào)告，之所以會(huì)發(fā)生這樣的事故，在于98%的物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)未加密，57%的設(shè)備高度脆弱。

類似上述的案例在近些年數(shù)不勝數(shù)，儼然成了信息時(shí)代和智能的常態(tài)。那么，如何才能更好地實(shí)現(xiàn)信息安全和個(gè)人隱私保護(hù)？

01、歐盟如何確保信息安全？

歐盟或許可以作為參考。

去年12月，歐盟網(wǎng)絡(luò)安全局（ENISA）發(fā)布《2024年聯(lián)盟網(wǎng)絡(luò)安全狀況報(bào)告》，報(bào)告針對(duì)2023年7月至2024年6月期間歐盟的網(wǎng)絡(luò)威脅進(jìn)行了評(píng)估，結(jié)果顯示，歐盟面臨嚴(yán)重的網(wǎng)絡(luò)威脅，遭受的網(wǎng)絡(luò)攻擊明顯升級(jí)，攻擊的種類、數(shù)量及后果均創(chuàng)新高。報(bào)告認(rèn)為，未來網(wǎng)絡(luò)攻擊可能對(duì)重要實(shí)體造成嚴(yán)重破壞，尤其是拒絕服務(wù)（DDoS）和勒索軟件攻擊，勒索軟件仍然是歐盟面臨的最主要的威脅形式。

面對(duì)這種情況，歐盟也有所準(zhǔn)備。2022 年以來歐盟委員會(huì)先后推出《網(wǎng)絡(luò)安全條例》草案、第二版《網(wǎng)絡(luò)與信息安全指令》、歐盟網(wǎng)絡(luò)彈性法案（CRA）、歐盟無線電設(shè)備指令（RED）授權(quán)法案等，旨在促進(jìn)成員國網(wǎng)絡(luò)安全機(jī)制間的互聯(lián)互通，支撐歐洲更多行業(yè)部門的基礎(chǔ)設(shè)施應(yīng)對(duì)快速變化和大規(guī)模的網(wǎng)絡(luò)攻擊安全威脅。

RED與CRA均具有強(qiáng)制性，任何在歐盟市場(chǎng)銷售的產(chǎn)品均需符合這兩項(xiàng)法規(guī)的要求，它們將直接關(guān)系到CE標(biāo)志的認(rèn)證。以RED為例，歐盟為其建立了配套標(biāo)準(zhǔn)EN 18031，為無線設(shè)備（涵蓋所有聯(lián)網(wǎng)的無線電設(shè)備，包括筆記本電腦、智能手機(jī)等）進(jìn)入歐洲市場(chǎng)設(shè)立了嚴(yán)格的安全門檻，強(qiáng)制執(zhí)行時(shí)間為2025年8月。而EN 18031的關(guān)鍵要求主要有三點(diǎn)，其一是提升網(wǎng)絡(luò)安全，這包括確保設(shè)備能夠抵御網(wǎng)絡(luò)攻擊并防止未經(jīng)授權(quán)的訪問請(qǐng)求；其二是增強(qiáng)隱私保護(hù)，在物聯(lián)網(wǎng)（IoT）設(shè)備使用日益增長(zhǎng)的背景下，對(duì)設(shè)備實(shí)施強(qiáng)制要求以保護(hù)用戶的個(gè)人數(shù)據(jù)；其三是安全軟件更新，制造商必須確保無線電設(shè)備能夠安全地接收和安裝軟件更新，這對(duì)于長(zhǎng)期維護(hù)設(shè)備安全至關(guān)重要。

值得一提的是，RED等相關(guān)法規(guī)的制定本意在于給普通消費(fèi)者提供更加安全的信息環(huán)境，免受不必要的網(wǎng)絡(luò)攻擊或隱私泄露。但這確實(shí)一定程度上給設(shè)備制造商出了難題，僅僅從經(jīng)濟(jì)成本上看，法規(guī)標(biāo)準(zhǔn)的更換會(huì)導(dǎo)致制造商的成本增加。這包括研發(fā)成本、測(cè)試成本、生產(chǎn)成本等。例如，RoHS指令的實(shí)施使電子制造企業(yè)的生產(chǎn)成本平均提高了10%。RED的原定強(qiáng)制執(zhí)行時(shí)間為2024年中期，后來定于2025年8月1日起實(shí)施，便是為了給設(shè)備制造商提供過渡期。

不過，挑戰(zhàn)和機(jī)遇總是相伴而生，標(biāo)準(zhǔn)的變更給廠商帶來壓力之時(shí)，也會(huì)在一定程度上打破原有的行業(yè)格局。華邦電子安全閃存產(chǎn)品經(jīng)理戴士雄表示，“RED 的強(qiáng)制執(zhí)行給供應(yīng)商帶來了成本和時(shí)間的壓力，特別是考慮到產(chǎn)品如果需要在8月上市，那么客戶想要獲得CE認(rèn)證就必須提供符合高安全標(biāo)準(zhǔn)的產(chǎn)品。”

02、企業(yè)如何應(yīng)對(duì)？

隨著信息時(shí)代的持續(xù)推進(jìn)，歐盟當(dāng)下嚴(yán)格的要求，或許會(huì)在不久的將來成為全球各地區(qū)在信息安全保護(hù)方面的重要參照。在此背景下，眼光長(zhǎng)遠(yuǎn)的廠商必然會(huì)抓緊時(shí)間適配當(dāng)?shù)氐姆ㄒ?guī)，進(jìn)取歐洲市場(chǎng)的同時(shí)，為將來做準(zhǔn)備。

如上文提到的，RED概念最早出現(xiàn)于2021年，而強(qiáng)制執(zhí)行時(shí)間是2025年8月，這中間有四年左右的時(shí)間給到廠商過渡。

在這方面，華邦電子是個(gè)不錯(cuò)的樣本。針對(duì)RED 18031的各項(xiàng)細(xì)分標(biāo)準(zhǔn)要求，華邦電子的安全閃存方案已經(jīng)部分或全部符合。這意味著，當(dāng)客戶選擇采用華邦電子的方案時(shí)，基本上RED規(guī)范的要求已經(jīng)得到了滿足。對(duì)于尚未完全符合的部分，華邦電子方面將由平臺(tái)方進(jìn)行必要的補(bǔ)強(qiáng)工作。

華邦電子推出的安全閃存產(chǎn)品W77Q，已針對(duì)RED 18031標(biāo)準(zhǔn)進(jìn)行了全面的適配工作。在產(chǎn)品容量方面，產(chǎn)品已廣泛覆蓋了市場(chǎng)上大部分NOR Flash 的容量，比如W77Q 安全閃存覆蓋 64Mb、128Mb、256Mb、512Mb、1Gb、 2Gb等容量，W77T 安全閃存覆蓋 64Mb、128Mb、256Mb、512Mb、1Gb等容量。針對(duì)車用客戶對(duì)高性能的要求，華邦電子進(jìn)一步提供了高性能的8線SPI接口，以及獨(dú)有的Flash ECC和 JEDEC SPI CRC功能，且向下兼容信任根、安全存儲(chǔ)，符合 NIST 800-193 指南的恢復(fù)力要求；符合 CNSA 2.0 標(biāo)準(zhǔn)的軟件更新 （2025 年起實(shí)施）；使用非對(duì)稱 PQC 簽名的安全 OTA (NIST 800-208) ；同時(shí)，其還提供繞過NIST 800-208進(jìn)行密鑰維護(hù)功能，這些領(lǐng)先的功能目前僅華邦電子一家可提供。

另外，華邦電子的安全閃存產(chǎn)品還符合美國的FIPS 140-3標(biāo)準(zhǔn)、CC L2、SESIP L2 在內(nèi)的認(rèn)證，以及車用領(lǐng)域的ISO 21434和ISO 26262車規(guī)級(jí)標(biāo)準(zhǔn)。

華邦電子之所以能夠在法規(guī)強(qiáng)制執(zhí)行之前拿出適配的新產(chǎn)品，戴士雄解釋道，“這是因?yàn)楣拘乱淮漠a(chǎn)品，包括目前現(xiàn)存在市場(chǎng)上的產(chǎn)品，其開發(fā)均基于2020年至2021年期間對(duì)這些規(guī)范的支持。包括我們?nèi)ツ炅慨a(chǎn)的產(chǎn)品，如支持PQC算法的安全閃存產(chǎn)品，也是早在兩年前就已著手開發(fā)?！?/p>

另據(jù)了解，為了確保自身開發(fā)的產(chǎn)品能夠靈活適配全球市場(chǎng)的法規(guī)要求，華邦電子打造了一支專業(yè)的安全團(tuán)隊(duì)，其與歐盟及全球多個(gè)全球化的國際組織合作，這些安全規(guī)范的制定機(jī)構(gòu)會(huì)探討新一代安全信息與安全技術(shù)的規(guī)范發(fā)展趨勢(shì)，而在這些組織中，華邦電子擁有一定的話語權(quán)和領(lǐng)導(dǎo)力。其次，區(qū)別于傳統(tǒng)的設(shè)計(jì)方案，華邦電子在設(shè)計(jì)之初就是為了滿足安全要求而存在?！霸谠O(shè)計(jì)初期，我們便和各國相關(guān)的法規(guī)組織進(jìn)行高度的溝通互動(dòng)、參與其中，確保華邦所開發(fā)的產(chǎn)品能夠符合全球性的法規(guī)要求?！贝魇啃劢榻B道。

03、市場(chǎng)將如何發(fā)展？

值得關(guān)注的是，近些年，高性能的設(shè)備一直是存儲(chǔ)市場(chǎng)的方向，但隨著信息安全重要性日益提升，確保設(shè)備本身存儲(chǔ)的高安全性也是重要的發(fā)展方向。

戴士雄認(rèn)為，未來所需的不再僅僅是高存儲(chǔ)容量的設(shè)備，而且還是可靠的存儲(chǔ)設(shè)備，這樣的設(shè)備能夠有效規(guī)避任何安全風(fēng)險(xiǎn)?！拔覀冋J(rèn)為未來的發(fā)展方向包括：一是追求高容量，二是確保高安全性。第三，還有一個(gè)不容忽視的要素，即高性能，因?yàn)檐囕v應(yīng)用中對(duì)反應(yīng)速度的要求相對(duì)較高，因此對(duì)性能有著明確的需求?！?/p>

具體到細(xì)分市場(chǎng)，除了消費(fèi)電子和新能源汽車等個(gè)人消費(fèi)者領(lǐng)域，企業(yè)方面對(duì)于數(shù)據(jù)安全也越來越重視。近些年來，信息系統(tǒng)公司、醫(yī)院、高校、軟件公司等都在不同程度出現(xiàn)信息泄露的事故，在企業(yè)資產(chǎn)本身出現(xiàn)損失的情況下，企業(yè)或單位形象也遭到質(zhì)疑，也正因此，數(shù)據(jù)安全成為當(dāng)前各行各業(yè)的重要議題，也同時(shí)支撐著這方面細(xì)分市場(chǎng)的擴(kuò)張。

對(duì)此，戴士雄舉了一個(gè)例子，華邦電子目前在信息安全領(lǐng)域取得了顯著的市場(chǎng)發(fā)展突破，具體來說，這是客戶的一款信息安全的產(chǎn)品設(shè)備，在B2B市場(chǎng)上取得了重要進(jìn)展，它們會(huì)批量采購并分發(fā)給員工使用。從訂單量或者說出貨量上看，“我們可以明顯感受到企業(yè)對(duì)信息安全的重視程度在不斷提升，這切實(shí)反映在了市場(chǎng)需求和采購行為上?！彼嵝训?，“安全供應(yīng)鏈的問題也日益受到主流廠商的重視，而非只是一個(gè)口號(hào)。這些主流廠商不僅關(guān)注到這個(gè)問題，還要求其終端客戶提出相關(guān)的安全方案。從商業(yè)角度來看，如果明年安全閃存市場(chǎng)能夠取得一些巨大突破，那么很可能會(huì)在信息安全產(chǎn)品設(shè)備和安全供應(yīng)鏈這兩個(gè)市場(chǎng)上可以看到一些不錯(cuò)的表現(xiàn)?！?/p>