美国NIST发布《网络安全框架2.0版半导体制造概要初步公开草案》

近年来，半导体行业频繁曝出安全漏洞。例如，英特尔2023年被发现多个CPU漏洞，如Downfall漏洞、Reptar漏洞等，2024年又陆续出现GhostRace和NativeBHI等漏洞。高通2024年也被曝其64款芯片组存在“零日漏洞”，AMD在2023年也有针对其Zen架构处理器的多项漏洞被发现。这些漏洞可能导致敏感数据泄露、系统崩溃等问题，凸显出半导体行业在网络安全方面的脆弱性。随着供应链安全问题的激化，原本隐藏在冰山之下的很多安全焦点也逐渐暴露在公众视野之下。半导体产业在数字化产业的紧逼下迅速扩张，市场需求急剧暴增，而不透明的产业链使得半导体安全阴影始终未能从行业视野中被驱散。随着地缘政治及国际形势的复杂化，半导体所关联的国家安全问题日趋严重，半导体安全将成为可信体系中重要的一环。

美国NIST本次发布全文136页的执行概要不代表开始，依据NIST标准的发布战略，相信很快会发布如何具体落实和实施本概要的具体手册、标准、白皮书等相关文档。

本标准在执行概要中描述了半导体社区的基本职能特征，包括：

•增强的网络安全态势：提供了一种结构化的方法来识别和解决领域，以改善半导体制造系统中的当前网络安全实践

•风险管理：促进对风险水平的评估，以确保控制环境在可接受的参数范围内运行，从而最大限度地减少网络安全威胁

•标准化方法：建立一致的方法，用于制定和维护稳健的网络安全计划，以确保半导体制造生命周期内的持续安全保证

对于标准，在执行概要中提出，该配置文件围绕网络安全框架2.0的六个主要功能构建：治理、识别、保护、检测、响应和恢复。这些功能区域是创建半导体制造特定配置文件的基础。核心功能领域的进一步扩展使框架在半导体生态系统的各个子域中具有灵活性和适应性，即制造、企业IT以及设备和工具。这一扩展提供了对这些领域之间职责分离的见解，也显示了将使整个半导体生态系统更加安全的协同作用。

半导体社区概况侧重于实现关键的网络安全成果，并为识别和优先考虑改进机会提供指导。它使安全活动与特定的业务和任务目标保持一致，以确保有效实施相关和可操作的安全实践。

本简介还提供了一种自愿的、基于风险的方法来管理网络安全活动，降低半导体行业的网络风险。它旨在补充而不是取代现有的网络安全标准和行业指南，从而加强行业内的整体安全框架。

通过采用CSF 2.0，半导体制造商可以提高其网络安全弹性，协助监管合规，并保护其关键资产免受不断变化的网络威胁。这一全面的框架支持该行业致力于维护强大的网络安全措施，并保护运营完整性和敏感数据。

标准的目的建议安全活动的优先顺序，以实现特定的业务和任务目标，并确定了可以实施的相关和可操作的安全实践，以支持这些目标。半导体制造业可以建立一个基线，该基线可以在其组成部分之间使用，作为构建特定组织档案的特定部门起点。

标准描述了半导体制造生态系统功能领域的半导体制造生态系统以及数据和材料流。生态系统由多个单元组成，这些单元可以在物理上分开，并用构建块表示。创建半导体设计所需的步骤在工厂区域进行，通常在称为晶片的高度纯化、无缺陷的晶体材料薄片上进行。最常用的材料是单晶硅。

半导体制造业的企业IT基础设施

1.制造执行系统（MES）：管理和监控生产流程，确保制造运营平稳运行

2.数据管理系统：收集和分析制造过程各个阶段的数据，以优化性能和产量

3.供应链管理：与供应商和物流协调，确保材料和组件的及时交付

4.企业资源规划（ERP）：将核心业务流程（如财务、人力资源和采购）与制造业务相结合

5.材料控制系统（MCS）和AMHS：通过管理AMHS硬件、与关键自动化系统接口、跟踪实时数据以及作为批次位置、物理移动和路线的记录计划来优化生产，以提高产量、效率和质量

半导体制造安全

Fab设施高度自动化，依赖于易受网络攻击的复杂数字系统。此类攻击可能会扰乱生产、改变制造工艺或窃取专有设计数据。保护这些设施有助于防止数据泄露、知识产权盗窃和破坏，确保制造的芯片安全可靠，不受篡改。

•半导体行业在研发方面投入了大量资金，从而产生了独特和专有的设计和工艺。制造厂的违规行为可能会导致这些宝贵的知识产权被盗或暴露，从而给竞争对手带来优势。确保晶圆厂的安全对于防止知识产权盗窃和保持芯片技术的领先地位至关重要。

•晶圆厂的制造过程很精细；即使是微小的中断或篡改也会导致产品缺陷和质量差。确保晶圆厂环境的安全性有助于保持平稳的生产，而不会中断可能影响产品性能的生产。这对于芯片质量和可靠性尤为重要的高性能和关键任务应用尤为重要。

•晶圆厂是为各种产品和行业生产先进芯片的全球供应链的关键部分。晶圆厂运营中的任何中断，无论是来自网络攻击、蓄意破坏还是自然灾害，都可能导致重大的供应链问题，从而导致不同行业的短缺和经济后果。安全的制造环境确保工厂不间断运行，支持可靠的芯片供应，满足监管和合规标准以及经济和收入目标。

与CSF核心和制造概况的关系

1.本文件编制的早期时间表恰逢NIST发布CSF 2.0[CSF_v2]。

2.当半导体制造社区概况被指定完成其初始版本[NCSIP]时，基于CSF 1.1编写的制造概况尚未过渡到CSF 2.0。

3.参与的半导体制造界认为《制造概况》中的指导具有广泛的适用性。然而，在CSF 2.0文件中，制造概况的指导被认为是重复使用的潜在挑战。大部分指导都是从制造概况中复制的，与CSF 1.1和2.0之间可用的一般子类别映射相比，制造概况通常更具体。我们仍鼓励读者查阅IR 81831r1，了解原始指导点的风险水平，这些风险水平在本文件中没有被选择进行细化或特别注明（见第5节）。与会者发现，最务实的做法是纳入《制造概况》的一些子类别指导，仔细跟踪参考来源，并用半导体制造特有的理由和考虑因素来加强指导。

标准总共分为5节，除第一节执行摘要外，其余章节描述如下内容

•第2节概述了半导体制造系统。

•第3节概述了CSF 2.0。

•第4节提供了将网络安全纳入半导体制造业务和任务目标的基本原理。

•第5节描述了CSF子类别的半导体制造实施。

•参考文献部分提供了本文档中使用的来源和引用列表。

•附录A列出了本文件编制过程中使用的其他资源。

•附录B提供了本文件中使用的首字母缩略词和缩写词列表。

•附录C提供了本文档中使用的术语表。

•附录D提供了本文件中图表的详细说明。

标准全文可在美国NIST官网下载。