半导体供应链中的网络安全问题正受到广泛关注，涉及从单个威胁到整个供应链网络韧性的多个层面。行业需要积极应对这些潜在风险。

去年，SEMI旗下的半导体制造网络安全联盟推出了标准化半导体网络安全评估，为供应商提供了一个简化的合规框架。供应商可以通过完成标准化问卷来满足要求，同时需要提供证据支持其安全控制措施的实施情况。这些证据对于建立对供应商风险管理能力的信任至关重要。

该评估是半导体行业的一项免费开放资源，旨在支持加强整个制造生态系统的网络安全。其问卷内容与美国国家标准与技术研究院网络安全框架2.0的六大功能相协调，包括治理、识别、保护、检测、响应和恢复等方面。

近期，由斯旺西大学系统安全组主导、与SEMI SMCC合作的项目正在为评估认证制定证据要求。该项目获得英国研究与创新署的种子基金支持，旨在促进英国、美国、德国在半导体安全领域的合作研究。资助方表示，此类合作有助于“在整个设计和制造过程中保持对安全性的信心”，特别是研究“哪些工具和技术有助于降低与第三方硬件设计和制造服务相关的风险”。

该项目确保全球生态系统参与其中，使制定的证据要求具有可接受性、成本效益，并符合最新标准。作为项目的一部分，将举办两场研讨会：3月10日在德国纽伦堡的巴伐利亚芯片联盟，以及3月12日在英国斯旺西大学。这些会议将介绍评估框架和证据要求，收集反馈并鼓励早期采用。参与者需要在会前下载评估框架。

会议将涵盖半导体制造网络安全联盟介绍、标准化半导体网络安全评估详解、供应链认证与证据映射、证据要求反馈讨论，以及与网络安全和合规专家的问答环节。适合参加的人员包括网络安全专业人员、半导体供应商、法律事务人员、无晶圆厂芯片设计公司、测试封装相关方、制造设备提供商及集成设备制造商等。

本文作者包括斯旺西大学系统安全教授Siraj Shaikh，其研究专注于网络安全与系统工程交叉领域，以及SEMI技术项目经理Mayura Padmanabhan，负责网络安全技术联盟管理工作。