电子产品世界

实时安全许可在先进节点半导体制造中变得越来越普遍，因为数据共享既是必需品，也是潜在的安全威胁。

数据安全是半导体制造业中众所周知的问题，但其中很大一部分基于过时的方法。取而代之的是零信任架构[1]，成为新设备和数据分析平台安装的必备条件。客户要求零信任既保护敏感数据，又能选择性地与合作伙伴共享，几乎所有人都认为零信任对于实时调整流程以提高产出和可靠性至关重要。

零信任方法将IT安全措施从静态和基于网络的边界转移到动态的、按资产或按资源的边界。零信任原则被用于规划工业和企业基础设施及相关工作流程。未经授权的用户被阻止访问数据，而他人访问仅限于执行特定任务或分析所需的数据。

图1：基于边界的安全与基于资产的安全。来源：A. Meixner/半导体工程

零信任架构（ZTA）正迅速成为任何半导体数据自动化项目的基本需求，因为它允许多方合作伙伴协作，同时防止数据泄露或盗窃。合作伙伴可以完全独立其数据和算法，但仍共同解决良率优化、确定测试通过/失败条件，并通过预测性维护最大化工厂产能。

yieldWerx首席执行官Aftkar Aslam表示：“从我们的角度来看，主要驱动力是测试和制造数据现在既关键任务又高度共享。”“我们的平台通常位于晶圆厂、OSAT、测试站和终端客户之间，因此传统的周边安全已不再足够。我们需要假设每一个连接、用户和系统——无论是在工厂网络内部还是外部——都必须经过认证、授权并持续验证。”

与验证的连接性推动了采纳。Teradyne智能制造产品经理Eli Roth表示：“制造环境与各个设备之间的数据流正日益互联。”“我们在不同成熟度上看到它。但连接性带来了风险。半导体行业的环境极度规避风险。零信任架构通过隐含假设不存在信任，直接解决了风险。每一个设备、每个用户、每一条数据流都必须经过验证。”

随着合作者数量的增加，风险也随之上升。霍华德·里德表示：“安全行业非常担心第三方和第四方分包商带来的风险，副PDF Solutions的运营与信息安全总裁。“据业内消息[3,4]称，2025年第三方事件将占所有报告数据泄露事件的至少30%，而且这一比例每年都在上升。我们收到更多关于如何利用分包商提供专业工作和专业知识的问题，同时不仅保证安全编码，还在为制造中心产品构建编排等专业服务时保持安全。”

对平衡安全与协作的认识影响了新设备的供应。过去几年，Teradyne和Advantest宣布了实时分析解决方案，使客户能够保护测试数据和专有算法用于分析测试数据。历史上，制造设备的数据通常与OEM共享，用于升级和诊断目的。现在，所有先进的CMOS工艺（<10nm）都需要工艺工程师、材料供应商和设备供应商之间的协作以最大化良率。这推动了零信任云端分析解决方案的发展。

什么是零信任？
从根本上说，零信任代表了从“一次性”管理网络安全，转变为对每个资产的每一次访问都进行安全管理。零信任概念的阐述已经发展了五年多。在半导体工厂环境中，工程团队不断演进安全方法，始终以零信任为核心。

“现在对数据安全至关重要的认识确实更多了，”Advantest America云解决方案业务发展总监Jeffrey Alexander指出。“五年前，人们认识到远程访问证券化的重要性（例如身份与访问管理，IAM），更侧重于对工具和工程软件的身份感知访问。[5] 然而，随着 NIST SP 800-207 标准（零信任架构）的发布，越来越多的厂商开始关注测试期间的数据流水线安全。通过我们的云平台，我们已集成了认证API、基于认证的工具和数据收集者的身份，以及基于策略的数据路由到数据湖/AI平台。”

零信任听起来像是自相矛盾。毕竟，如果工厂里没有任何信任，怎么可能对数据或系统访问共享有信任呢？但定义明确了意图，正如NIST SP 800-207所定义的：

“零信任提供了一系列概念和理念，旨在最大限度地减少在信息系统和服务中执行准确、最低权限的每次请求访问决策时的不确定性，尤其是在网络被视为被攻破的情况下。零信任架构是企业的网络安全计划，利用零信任概念，涵盖组件关系、工作流程规划和访问策略。因此，零信任企业是作为零信任架构计划产品，为企业制定的网络基础设施（物理和虚拟）及运营政策。”

ZTA 的目标是防止对“资源”的未经授权访问，无论是数据、计算资源还是物联网执行器，同时执行足够细致的访问控制，使用户能够执行特定任务。访问决策发生在从不受信任区域进入受信任区域时，并由每个用户的策略管理。

图2：通过政策决策点和政策执行点实现零信任访问。资料来源：NIST。SP.800-207 [1，第14页]

访问权基于“谁”，每次互动都需要验证。命令和数据都是加密的。

如今，工厂中最可能的攻击来自内部，要么是恶意用户，要么是像计算机这样的设备被攻破。检查用户凭证显著降低风险，在明确情况下限制特定数据访问可以限制安全漏洞影响的区域，从而保护更大的连接系统。

Athinia首席执行官Adam Schafer表示：“多层次审批流程确保数据共享遵循公司的数据治理框架，并由可配置的治理模式支持，以满足独特的业务需求。”“通过确保只有授权人员能够访问敏感数据，组织可以降低数据泄露的风险。持续监控和动态访问控制使潜在威胁响应更快，提升整体运营效率。”

图3：定制访问权限以支持安全的数据共享系统。来源：雅典娜

转向ZTA
：在过去五年里，行业专家指出合作伙伴数量不断增加，设备和测试项目数据量激增，远程连接可跨越数千英里。但并非所有人都以同样的紧迫感面对ZTA。

yieldWerx的Aslam表示：“根据我们的经验，前端晶圆厂是最早、最成熟采纳零信任原则的企业。”“他们通常拥有非常有结构的IT/OT项目，强有力的知识产权治理，以及更多分段网络经验，强有力的身份认同，以及基于策略驱动的晶圆数据湖访问，这些湖泊内有数据分析系统。后者表现为即使是最强大的设备供应商，尤其是在沉积和蚀刻设备领域，通常也缺乏或几乎没有信息获取。”

剩余的制造工艺，迁移速度较慢。Aslam表示：“中端、先进封装和后端测试正在赶上，这得益于多芯片和异构集成的兴起，这迫使晶圆厂、OSAT、测试实验室和系统客户之间更多数据共享。”他补充说，汽车和高可靠性客户正在推动端到端的可追溯性和安全数据交换。

晶圆厂对远程接入的转变也是ZTA的另一个动力。保护晶圆厂数据、网络和设备的基于边界的安全方法已不再可行。需要访问设备和流程数据的工程师，可能并不与设备同住在同一校园内。

PDF的Read表示：“越来越多的晶圆厂正在采用远程、虚拟化或分布式园区结构，要求授权工具所有者或模块所有者远程且安全地连接，以便监控生产工具、修改配方或分析诊断数据。”“这些'晶圆用户'不再在同一栋楼网络，甚至不在同一个校园网络中。这些晶圆厂希望零信任架构只为其'自有'用户，以及像OEM（工具供应商）这样的外部'用户。”

此外，人们对实时可信测试数据的依赖日益增加。这需要ATE厂商和数据分析厂商的访问。

“作为客户最终产品生产测试数据分析提供商，及时访问ATE在测试现场生成的完整测试数据套件对于进行产品良率、质量或通量问题的根本原因分析至关重要，”Synopsys数字设计组产品市场经理Guy Cortez表示。“然而，零信任环境的本质需要额外的安全协议和流程。如果环境没有设计成能够快速认证数据及其接收者，这些可能导致提供时效性数据分析的延误加长。”

为了实现实时决策，ATE厂商正在ZTA内提供本地计算源。

“我们的分析平台使数据能够在测试仪内外同步传输，”Teradyne的Roth表示。“它还使测试器的外部用户能够实时下达指令并驱动作。如果你要在一次达阵内实时进行内联推断，你可以利用边缘计算有几个原因。第一，你需要足够的计算能力来运行机器学习模型，这需要大量内存和并行计算能力。或者你可能非常担心敏感的知识产权，比如你的机器学习模型。此外，流入和流出该模型的数据可能非常敏感。在我们的系统中，测试程序与该模型之间的数据传递是完全加密的。客户自行提供密钥对。没有其他人拥有访问这些数据的密钥对，例如Teradyne和OSATs。”

图4：ATE 零信任架构，支持边缘和云计算的数据流。来源：特拉丁

此类ATE和分析配置支持多种安全实现。

Advantest的Alexander指出：“我们看到客户在工厂以及生产其产品的OSAT和代工厂中实施零信任架构解决方案，有多种方式。”“我们有客户在测试者层面采用数据保护（硬件/事件日志、测试程序/极限变更日志、模式调试/故障日志、参数日志）。我们也有客户实施了带有强大密钥管理的加密技术。加密密钥的安全生成、存储、分发和定期轮换被用来维护其用于预测分析的AI/ML模型的整体安全性。”

建立安全的多方协作
在优化良率、预测设备维护和实现产品质量目标的推动下，口号依然是“跨生态系统协作”。潜在合作伙伴包括半导体设计公司、工厂、设备供应商和材料供应商。但每个合作伙伴都希望保护专有数据。ZTA 只允许必要的数据。

Athinia的Schafer说：“零信任原则解决了目前限制数据共享的信任和合规障碍。”“通过强制执行强身份、持续认证与授权、不可篡改的审计轨迹以及完整的保管链可视化，零信任支持监管要求和出口控制，同时为所有相关方提供可验证的保证，明确谁何时何地访问了什么。这种可验证的问责制使企业更愿意以标准化、可重复的方式共享最低限度必要的数据，取代了当今临时危机驱动的共享，开启了更主动、数据驱动的制造业。”

图5：多层多方SaaS环境中的零信任提供了强隔离。来源：雅典娜

这样的协作空间使跨业务工程团队能够高效协作。例如，考虑一个刻蚀工艺工程师与工具供应商和浆料化学品供应商紧密合作，以优化蚀刻配方。通过ZTA，他们可以轻松且安全地共享关于分裂条件、试验结构布局、化学批次性质以及工具状况和诊断的数据。

ZTA环境中的协作体现了明确的价值主张——无论是坡道相关问题还是远足事件，都能更快解决问题。然而，在实际出厂设置中实现ZTA并不简单。首先，工程团队需要应对安全文化的转变，从保护网络转向验证和授权每一个对单个资源的访问请求。接下来，迁移到ZTA通常意味着工厂自动化和数据系统及其与其他系统之间的通信重组。

yieldWerx的Aslam表示：“半导体制造中的零信任只有在团队运动时才有效。”“在我们的部署中，团队成员包括客户IT/信息安全、设备和ATE供应商、设备与信息管理（MES）、PLM、ERP和数据湖提供商、系统集成商以及咨询合作伙伴。我们见过最成功的零信任项目，是所有相关方就共同的参考架构和共享词汇——身份、策略、分段、日志——达成一致，使我们的平台能够在前端、中端和后端运营中干净利落地连接。然而，对于棕地实施来说，这是一项庞大的工程。它影响多层应用、数据、安全等——开发这些应用的人有时已经离开公司了。”

“即使是新开发的项目，大多数初创公司也希望对每个应用和数据集采取孤立的方法。Aslam说，要说服CIO和CTO从第一天起就必须考虑主数据管理，并配备适当的数据治理工具和数据管理者，需要很大的说服力。

由于遗留设备和庞大的数据自动化标准和系统，考虑在现有工厂实施ZTA时面临诸多挑战。

Advantest的Alexander表示：“半导体晶圆厂和测试现场环境异构，存在多代的ATE和晶圆制造工具。”“有不同的自动化标准（SEMI、SECS/GEM、EDA），以及多样化的MES、APC和分析系统。这需要设备厂商在零信任兼容接口等领域进行合作。建立支持互助传输层安全（TLS）[6]、证书轮换和最低权限数据暴露的通用接口，对于端到端数据流水线安全的框架至关重要，因为客户越来越多地在云端运行AI/ML进行产出和测试分析。”

ZTA的审计可能很繁琐。PDF的Read表示：“如今，零信任架构尚无'可审计'的国际标准。“最接近的是NIST SP 800-207和CISA的零信任成熟度模型2.0版[7]。因此，实施ZTA和/或验证供应商解决方案如何帮助实现ZTA，历来需要耐心、勤勉、丰富的安全知识，以及具备网络和治理知识，以验证特定供应商的解决方案是否符合晶圆厂或OSAT风险降低策略和ZTA方法。即使是非常复杂的信息和网络安全团队，放弃“边界安全”也充满压力。每个供应商都有自己的方法，且没有独立的第三方审计能保证所有ZTA原则的有效运作。”

阅读建议客户转向以下简化和改进，以有效应对工厂系统和数据自动化转型：

1. 依赖独立第三方认证机构及国际标准认证，如ISO 27001或AICPA SOC 2 Type 2控制评估。许多ISO 27001的控制措施与ZTA原则直接重叠。

2. 不要为每一条新的远程连接创建新的解决方案。

3. 支持符合数据访问和数据混淆精确要求的多方协作方法。

4. 从通用安全问卷改为基于应用的特定风险问题，正如SEMI标准化半导体网络评估问卷所提供的。[8]

5. 考虑通过API或MCP服务器的代理访问及其带来的影响。

模块层面也存在挑战，例如在工厂车间实施ZTA ATE解决方案以支持开发者。而ZTA构建的系统则无法在空气隔离系统上验证算法。

“到目前为止，零信任带来的最大挑战是部署，”Teradyne的Roth说。“我们已经做好了所有安全措施，这让开发和部署变得麻烦。我们不得不开发一些关闭信任的工具，让工程师能在自己的环境中开发模型。我们创建了一个虚拟版本的边缘计算，其中端口关闭了零信任安全。但没有零信任安全，物理硬件永远无法进入生产现场。”

结论
过去十年，半导体行业认识到合作伙伴间共享数据的紧迫需求，但不同参与者不确定如何在不冒知识产权风险的情况下实现。最初将所有数据迁移到集中云平台似乎解决了这一问题，但由于工厂现场需要实时决策，这种做法越来越不切实际。

数据只能在知情者基础上共享。Athinia的Schafer表示：“零信任架构的动机是保护极其宝贵的知识产权，同时仍能实现晶圆厂、无晶圆厂公司、OSAT、EDA供应商和设备供应商之间广泛的多方协作。”“由于数据跨越许多组织、站点和云，传统的边界安全（即防火墙内部是安全的）已不再有效。零信任支持“使用但看不到”的数据模型，对足够数据进行最低权限访问，以及租户、工具和合作伙伴之间的强隔离，从而减少任何节点或站点被攻破时的爆炸范围。这对于安全运行先进分析（如良率诊断、预测性维护和原位测试优化）在分布式且常常不受信赖的基础设施上至关重要。”

关键词：