SESIP的前生今世和未来

SESIP(Security Evaluation Standard for IoT Platforms)是针对物联网(IoT)平台的安全评估标准。它为物联网设备和平台提供了一个系统化的安全性评估框架，旨在帮助评估和提高物联网设备及平台的安全性，以应对日益复杂的安全威胁。

SESIP的前生

[ 起源与发展背景 ]

物联网(IoT)的快速发展带来了许多新兴的安全问题。例如，2017年爆发的Mirai僵尸网络攻击就让全球意识到，物联网设备的安全漏洞可能导致严重的网络安全问题。随着设备连接的增多和物联网应用场景的扩展，物联网平台和设备暴露于越来越多的网络攻击和安全漏洞之下。这些设备和平台在实际应用中通常处理敏感数据(如个人信息、企业数据等)并且具有较高的安全风险。因此，物联网安全问题成为一个日益严峻的挑战。

为了解决这些问题，国际上开始逐步提出相关的标准和评估框架，由GlobalPlatform于2020年宣布一项名为“物联网平台安全评估标准”(Security Evaluation Standard for IoT Platforms)的新认证标准。SESIP 标准的目的是帮助评估和验证物联网平台的安全性，并为平台设计者、开发者以及安全审计人员提供参考框架。

SESIP认证分为五个安全级别，从1到5级，随着级别的提高，测试的复杂性和难度也会增加。SESIP3是重要的安全级别，要求进行全面的源代码分析和漏洞分析，属于白盒测试‌。SESIP3相比SESIP2提供了更严格、更全面、更高级别的安全保证，适用于安全性要求更高的物联网和嵌入式产品‌。

SESIP 中的三个主要保证级别：

SESIP 认证级别 1 (SESIP1) 是一个基于自我评估的级别，可提供基本级别的保证。

SESIP 认证级别 2 (SESIP2) 是一种黑盒渗透测试级别，可提供中等程度的保证。

SESIP 认证级别 3 (SESIP3) 是一种传统的白盒漏洞分析，可提供可观的保证级别。该评估围绕有时间限制的源代码分析以及有时间限制的渗透测试工作进行。

SESIP的今世

[ 当前的应用和影响 ]

SESIP作为物联网平台安全评估标准，已经在多个行业和领域得到了广泛关注与应用。其主要特点和发展包括：

安全评估框架

SESIP为物联网平台提供了一种全面的评估方法，涵盖了设备、网络、应用、数据等各个层面的安全性。

标准化的测试和认证

SESIP为物联网产品提供了一套标准化的测试与认证流程，确保物联网设备和平台在全球范围内具有一致的安全性要求。

提升用户信任

物联网产品和平台通过SESIP认证后，可以增加用户对其安全性的信任，尤其是在涉及敏感数据的行业，如金融、医疗等领域。

产业推动

SESIP也推动了物联网产业在安全领域的合作，尤其是在设备制造商、平台提供商、以及政府部门之间的协同工作。

一些物联网平台、设备和企业服务已经开始通过SESIP认证，特别是在那些对安全要求较高的行业，比如智能家居、自动化、医疗和工业控制等领域。SESIP不仅仅局限于产品安全评估，还包括了物联网平台在开发、部署、维护等各个阶段的安全保障。

SESIP的未来

未来，随着物联网设备和平台数量的不断增加，以及物联网应用场景的多样化，SESIP的作用将愈发重要。预计SESIP在未来会朝着以下几个方向发展：

适应新兴技术

随着人工智能(AI)、5G、边缘计算等新兴技术的融入，物联网的安全需求将变得更加复杂。SESIP可能会根据这些技术的特性进行扩展，覆盖更多新的威胁模型和安全需求。

自动化安全评估

随着安全自动化技术的发展，未来SESIP评估过程可能会更加自动化，从而加速评估和认证过程，提高评估的效率和准确性。

更高的全球一致性

全球化的物联网应用促使SESIP等国际安全标准向全球一致性发展。更多国家和地区将采纳SESIP标准，并将其纳入政策和法规中。

与其他安全标准的整合

SESIP可能会与其他网络安全标准，如ISO/IEC 27001 (国际标准化组织信息安全管理系统)、NIST(美国国家标准与技术研究院)等进行整合，形成一个更全面的安全框架，确保物联网平台在不同安全维度上的综合防护。

用户隐私保护

随着数据隐私法规，如GDPR(General Data Protection Regulation)的日益严格，SESIP可能会进一步加强对物联网平台数据隐私保护的要求，确保物联网设备在存储和传输用户数据时符合隐私保护规范。

总的来说，SESIP作为物联网安全评估标准，在未来将继续发挥重要作用，推动物联网行业向更加安全、可信的方向发展。

Keysight Riscure 作为 TrustCB 的 SESIP认证实验室，拥有深厚的知识和专业技能，可帮助您达到所需的安全级别，从而有效解除安全威胁，并赢得市场认可。

我们在嵌入式和芯片组安全方面的丰富经验和知识积累是您获得 SESIP 安全认证的最有效和最高效的合作伙伴。

我们提供预认证和客户支持，以确保您的SESIP 认证成功。

除了评估之外，我们还提供完善和提升客户解决方案的安全性的服务。

自2021年开始Keysight Riscure已经为来自全球多家知名企业成功获得了SESIP的证书，从2021年完成证书数量占比的14% 上升为2024年的50%， 并有进一步增长的趋势。

2024年 TrustCB SESIP授权安全实验室获得的证书数量

历年Keysight RISCURE为客户取得SESIP证书的数量

Keysight Riscure不仅提供SESIP认证服务，同时也针对开发者，测评人员和项目管理人员提供相关的培训。

关于Riscure

自2001年成立以来，Riscure一直是全球硬件安全的先驱和技术领导者。我们拥有超过20年的行业经验，客户遍及科技企业、政府部门、科研院所、高校、汽车、航空航天等领域。Riscure为国内外客户提供专业的侧信道、故障注入、硅前(RTL)安全仿真测试等工具、培训和安全认证、测评及咨询服务。 2024年3月， Keysight收购Riscure。Keysight将和Riscure一起，基于丰富的安全产品和应用，为业界提供更有效的测试解决方案。

关于是德科技

是德科技(NYSE：KEYS)启迪并赋能创新者，助力他们将改变世界的技术带入生活。作为一家标准普尔 500 指数公司，我们提供先进的设计、仿真和测试解决方案，旨在帮助工程师在整个产品生命周期中更快地完成开发和部署，同时控制好风险。我们的客户遍及全球通信、工业自动化、航空航天与国防、汽车、半导体和通用电子等市场。我们与客户携手，加速创新，创造一个安全互联的世界。