挑战

在AI加持、软件定义智慧物联网的时代，如何加强软件与硬件协同的闭环抗攻击能力、防止对IoT设备的网络攻击，如何在符合规范要求的前提下降低安全投入成本并加速产品上市，正成为物联网行业的重大挑战。

当物联网设备连接到互联网时，网络攻击的威胁范围急剧扩大。黑客可以利用安全漏洞访问敏感数据或控制内部系统。在物联网芯片及软件的开发过程早期，识别和解决信息安全的弱点，可有效保护这些设备免受攻击，消除关键缺陷和漏洞是保护客户和遵守法规要求的关键。

网络攻击和软件供应链漏洞的风险不断增加，这意味着需要尽快识别和修补问题，以保护您的系统和数据不被利用。物联网软硬件交付后，缺陷变得更加昂贵且难以修复。关键问题应在开发过程的早期、最容易解决的时候以及影响您的客户之前确定并解决。

物联网领域行业规范

• 《中华人民共和国网络安全法》，第二十一条规定了网络运营者的安全保护义务，包括制定内部安全管理制度、采取技术措施防范网络攻击等，这些义务同样适用于物联网的运营者。
• 《中华人民共和国国家安全法》第二十五条明确规定国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，这包括物联网的安全保障。
• 印度“可信来源”政策‌：印度政府正在制定新的监管框架，要求物联网模组的采购仅通过“可信来源”进行。这一政策特别针对来自中国的物联网配件在印度广泛采用的现状，旨在确保物联网设备的安全性‌。
• 2018年5月25日，欧洲联盟出台《通用数据保护条例》GDPR（General Data Protection Regulation），任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。
• 从2025年8月1日起，欧盟CE RED指令的网络安全要求将强制执行。这些要求包括：
  • 网络安全防护‌：设备需具备抗攻击能力，防止网络资源滥用或服务中断，如抵御DDoS攻击；采用符合SOG-IS标准的加密套件，密钥长度≥112位‌3。
  • ‌隐私数据保护‌：敏感数据需加密存储，防止泄露；实施多层级访问认证，限制未授权操作‌3。
  • ‌防欺诈与金融安全‌：支付安全机制需防范加密劫持、生物识别篡改等风险；固件需支持加密签名和防回滚设计，确保漏洞及时修复‌
• 欧盟《网络弹性法案》（CRA）已于2024年12月23日生效，
  • 要求制造商对产品全生命周期进行强制性网络安全风险评估，并确保所有第三方组件（包括开源软件）的安全性
  • 要求制造商对第三方组件的安全性承担最终责任。
  • 违反CRA可能导致最高1500万欧元或全球营业额5%的罚款；若涉及误导性信息，罚款可达500万欧元。

芯片安全方案

从芯片安全架构的源头制定“from Silicon to Software”的闭环安全与合规机制

我们经过硅验证的CryptHSM™提供包括RTL级的芯片底层硬件安全启动模块，符合国密芯片安全认证和国际CC等芯片安全的认证要求，帮助物联网芯片研发项目从芯片架构开始、一站式高效适配从芯片到应用软件的闭环安全生态，大幅度降低芯片研发在信息安全/功能安全生态的开发投入、并有效加速芯片上市时间（TTM-Time to Market)。

我们经过硅验证的CryptAcc™高速协议IP包提供符合以太网要求的MACsec（Media Access Control Security）安全子系统，包括芯片底层RTL级IP、固件和软件方案；MACsec定义了基于IEEE802局域网络的数据安全通信方法，包括用户数据加密（Confidentiality）、数据帧完整性检查（Data integrity）、数据真实性校验（Data origin authenticity）和重放保护（Replay protection）。通过MACsec加密技术可保障数据在中间传输设备上安全传输。

 

应用安全方案

检测并解决缺陷和漏洞，而不会减慢速度

Coverity Static Analysis^®提供快速准确的代码扫描，以帮助开发人员和安全团队识别软件问题并确定其优先级，并提供可行的建议以快速解决这些问题。

全面了解您的软件供应链

Black Duck^® SCA 可识别软件中的所有开源依赖项，并能够生成完整且准确的软件物料清单 （SBOM）。

发现潜在的零日漏洞

Defensics 模糊测试^®通过对服务和协议执行黑盒模糊技术，在漏洞被利用之前发现模糊的漏洞，从而帮助提高软件的稳健性。