数据安全！威努特半导体芯片行业实践分享

=====================================================================================================================================================================================

一、引言

据IDC统计，2024年全球数据量将达到159.2ZB，对算力的要求每年增加10倍**，****其中半导体芯片是现代算力的主要载体，‌对算力的提升和应用具有至关重要的作用。**另根据SIA官网数据可知，全球半导体芯片销售额2024年2月达到461.7亿美元，同比增长16.3%，其中中国区141.3亿美元，同比增长28.8%，增速在全球范围最为显著。我国高速发展半导体芯片行业的同时，半导体芯片设计、制造、测试等生产环节会伴随大量数据的产生。而半导体芯片企业发展的同时往往忽略了对数据的保护，因而核心数据泄密已成为众多企业面临的问题之一。企业需要采取相应措施保护核心数据和研发成果，确保半导体芯片生产和研发的安全性和保密性。

二、半导体芯片行业现状

1

行业监管合规要求

半导体芯片行业由于其基础性、战略性、先导性作用，已成为大国博弈的关键领域和重点发展对象。习总书记高度重视半导体芯片行业数据安全，要求相关企业严格遵守一系列法规和法律要求。

① 国****家法律法规监管要求：

图1：国家法律法规监管要求

② 中****国半导体行业协会要求：

当前我国半导体芯片产业正处于创新发展的关键时期，企业商业秘密一旦泄露或被滥用，对于企业经营发展将带来严重影响，甚至会给产业发展和国家安全带来重大损失。为此，中国半导体行业协会于2024年5月发布《尊重与保护商业秘密倡议书》，呼吁半导体芯片企业和从业人员高度重视技术秘密，建立健全完善的信息安全保护制度，从而推动我国半导体芯片产业发展，将技术创新发展和商业秘密保护落到实处。

2

近期热点-数据安全事件

2024年上半年，半导体芯片行业发生了数起严重威胁公众安全的重大数据泄露事件。频繁出现的网络攻击和数据泄露事件时刻提醒我们数据安全已成为一个不可忽视的问题。因此，如何确保半导体数据安全，成为了我们当前所面临的重要而紧迫的任务。

图2：数据安全泄露事件

3

半导体芯片企业数据安全痛点

半导体芯片产业链主要包括芯片设计、代工制造、封装测试三部分。其中半导体芯片设计包括工具软件、设计公司；半导体芯片制造包括制造厂、制造设备、材料与辅料；半导体芯片封测包括封测厂、封测设备、辅材。半导体芯片的加工工序多且技术密集，在芯片设计、制造、测试等环节会产生大量数据，往往涉及重要的研发创新和技术专利，因而存在大量数据安全风险。

图3：半导体芯片制造工艺流程

威努特凭借多年的半导体芯片企业服务经验，梳理了半导体芯片企业在数据安全方面的主要痛点：

1、半导体芯片设计阶段，研发的相关文档和图纸具有极大价值，企业内部终端种类多、接入环境不一、用户角色复杂等因素，数据在保存和流转的过程很难形成有效保护。核心资料泄密是芯片企业亟待解决的头等大事。

2、半导体芯片制造阶段，工厂业务系统众多，各系统相对独立，权限管理和身份认证分离，用户拥有大量账户密码。无法满足工业互联网时代对身份认证的高可靠性要求，存在系统入侵、数据泄密等风险。

3、半导体芯片行业初具规模的公司有多个分支用于研发和办公或对接市场需求，分支人员访问总部业务系统以及协同研发是芯片行业的常态，如何保证分支和总部信息数据安全传输是协作的关键障碍。

**三、数据安全视角下的应对举措
**

1

半导体芯片企业数据安全防护思路

针对上述核心问题，威努特基于数据安全领域的主流管控手段，从数据流转不同阶段，不同层面对半导体芯片数据流转全流程进行管控。以数据安全视角来看，其技术手段主要用于管控容易引起外部攻击和内部数据泄露的办公终端和数据传输网络，实现对半导体芯片企业进行数据安全加固。威努特基于多年数据安全研究，同时结合半导体芯片行业网络特性，提出了面向互联网和企业网络的数据安全防护一站式解决方案。下图为解决方案的基本原理示意图：

图4：数据安全一站式解决思路架构

① 互联网数据安全防护思路

设计思路：互联网侧数据安全防护旨在解决分子公司访问总部业务系统时潜在的数据泄露风险，对分子公司员工身份和权限进行管控。威努特零信任通过持续的身份验证、授权和访问控制，确保只有经过持续验证的外部用户才能访问企业资源。在建立会话连接的过程中，威努特零信任保障业务对外发布不暴露任何端口，杜绝外部攻击的可能性。

图5：互联网数据安全防护架构

② 企业内网数据安全防护思路

设计思路：企业内网数据安全防护旨在解决内部人员数据窃密泄密风险，进一步提升数据安全防护能力。可利用威努特终端数据防泄漏监控终端数据和操作行为，对数据流转追踪和保护，研发文档和图纸等重要数据进行加密和防护。同时利用威努特零信任进一步加强业务系统访问权限管控。通过数据访问权限控制、操作流传追踪和数据加密等操作，从内部根除数据泄露风险。

图6：企业内网数据安全防护架构

2

半导体芯片企业数据安全防护方案

以某半导体芯片企业为例，该半导体芯片企业的内部网络分为企业生产网和办公网。分子公司网通过专线或VPN与企业总部进行连接，业务人员远程办公和运维人员远程运维均通过VPN方式连接企业内部网络。企业总部办公网、生产网、互联网、分子公司网络区域边界均通过防火墙进行了隔离，以权限最小化原则开启了相关安全策略。

图7：某半导体芯片企业网络架构图

① 互联网数据管控详细设计

互联网办公人员主要包括移动办公人员、第三方运维人员、分子公司办公人员等。移动办公人员在外访问企业办公系统和业务系统时，首先通过零信任核验身份权限，并缩小网络连接暴露面；其次通过终端数据防泄漏防止其外发企业核心数据。第三方运维人员在给企业生产系统(离子注入机、ICP等离子体刻蚀系统、数据处理和分析系统等)运维和检修时，须严格核查其身份，利用数据防泄漏系统防止其外泄企业生产和运维数据。分子公司办公人员访问企业办公系统(如OA、财务系统)和业务系统(设计、封装、测试等系统)时，首先通过零信任核验身份权限，并缩小网络连接暴露面；其次通过终端数据防泄漏防止其外发企业核心数据。

威努特零信任安全访问控制系统，以客户端为边界，基于SPA单包认证的网络隐身技术，可为半导体芯片企业构建一张隐形的安全访问网络。实现互联网办公人员业务访问的高效和安全，保护业务数据。

威努特终端数据防泄漏系统，对互联网办公人员终端敏感数据(如设计图纸、员工信息、财务信息等)与业务服务器间的流转过程进行监控审计以及阻断防护，重要数据流转过程中可采取基于敏感内容感知的加密保护，保证数据流转使用过程中的安全。通过数据安全统一管理平台集中管控。

② 内网数据管控详细设计

内网办公人员主要包括办公网人员、生产网人员等，这类人员通常可直接访问芯片设计图纸、制造工艺信息、封装设备信息、芯片测试过程与结果等核心数据。应对内部办公人员进行系统访问权限分离，办公数据流转追踪，核心数据操作审核，数据外发限制等，以保障企业核心数据敏感信息不被非法获取或泄露。

**威努特零信任安全访问控制系统，**对内网办公人员业务系统(包括不限于分子束外延系统、ICP等离子体刻蚀系统等)访问操作权限分离和管控，保护业务数据的安全，结合终端数据防泄漏系统，完成企业内部数据的识别、智能控制和可视化呈现。

**威努特终端数据防泄漏系统，**通过此系统对办公人员从数据库和服务器集群上传下载设计图纸、查看制造工艺、芯片测试等数据进行流转监控，数据传输过程微加密，并利用数据安全沙箱控制能力，降低企业内部数据泄露风险。

**威努特数据安全统一管理平台，**部署在生产网安全管理中心，集中管理终端数据防泄漏系统，对终端数据防泄漏系统敏感数据风险事件日志进行审计，系统运行配置和运行数据备份。

③ 整体方案优势

▪️ 高安全性

威努特零信任产品融合了ZTG和全终端安全沙箱，通过独有的“一人一码”的SPA单包授权机制，实现半导体芯片企业外网访问“网络隐身”，隐藏企业核心业务，缩小暴露面，同时满足安全接入和终端数据安全。

▪️ AI****驱动敏感数据深度发现

终端数据防泄漏系统内置1000+敏感数据分类模型，从半导体芯片企业海量研发和生产数据中快速识别敏感数据。基于小数据机器学习技术，百份以下样本自动学习新的数据分类模型，全面覆盖企业特有及新增业务数据。

▪️ 敏感内容感知加密

终端数据防泄漏系统基于敏感数据知识图谱及内置100+数据安全风险分析模型，自动识别半导体芯片企业用户、业务系统、应用的数据安全风险，完整评估组织的数据安全风险态势。

四、最佳实践与客户价值

1 

最佳实践

某半导体芯片科技有限责任公司成立于2016年， 是一家专注于3D NAND闪存设计制造一体化的IDM集成电路企业，同时也提供完整的存储器解决方案。因其数据安全管控能力薄弱，导致核心数据多次泄露，给企业造成极大损失。故而客户急需完善数据安全体系，解决现有安全隐患。了解到客户需求后，威努特凭借专业的方案设计和丰富的半导体芯片企业服务经验，通过多轮技术交流和材料输出，最终获得客户认可，协助客户解决现有数据安全隐患。

图8：某半导体芯片企业建设方案

客户问题：

▪️ 敏感数据泄漏严重，缺乏对于数据共享、数据防泄密方面的防护；

▪️ 企业关键业务发布和维护，产生大量互联网暴露面；

▪️ 当前远程办公方式存在隐患，由于必须要对外映射端口，使得黑客能够轻易进行攻击，极易导致企业业务停摆。

威努特解决之道：

**▪️ 数据防泄漏：**建立核心业务数据动态隔离保护空间，实现数据可用不可拿。

**▪️ 互联网暴露面收敛：**通过零信任实现业务发布不暴露任何端口，提供高效安全办公。

**▪️ 业务系统零改造：**业务系统不需要任何改造，仅需一个零信任系统可管控多个业务系统，永久性解决敏感数据访问问题，极大地降低该企业成本。

2

客户价值

① 敏感数据防泄漏

帮助企业监控敏感数据内外部网络流转情况，告警和阻断未授权敏感数据网络传输行为，协助企业进行敏感数据防泄漏防护，100%加固企业数据操作办公终端。

② 极速体验和极致安全

威努特零信任安全访问控制系统在同等硬件配置下，并发性能相比传统VPN大幅度提升，客户端接入速度相比传统VPN快5倍以上，同时利用端口隐身，帮助用户轻松应对新IT架构下的新型安全问题。

③ 安全与业务兼顾的数据保护

威努特数据防护方案对数据开发利用效率不会产生影响，不会改变原始数据，优先保障业务运行同时兼顾数据安全保护。

**五、方案总结
**

北京威努特技术有限公司基于半导体芯片行业多年服务经验和技术积累，以零信任理念架构为基础，为半导体芯片企业构建统一安全访问的无边界数据安全保护体系。凭借这套业内领先的数据安全防护体系，半导体芯片企业能够切实保护自身的核心数据和商业机密，在激烈的市场竞争中保持优势，同时促进行业健康发展、维护国家信息安全。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121