SESIP(Security Evaluation Standard for IoT Platforms)是針對物聯網(IoT)平臺的安全評估標準。它為物聯網設備和平臺提供了一個系統化的安全性評估框架，旨在幫助評估和提高物聯網設備及平臺的安全性，以應對日益復雜的安全威脅。

SESIP的前生

[ 起源與發展背景 ]

物聯網(IoT)的快速發展帶來了許多新興的安全問題。例如，2017年爆發的Mirai僵尸網絡攻擊就讓全球意識到，物聯網設備的安全漏洞可能導致嚴重的網絡安全問題。隨著設備連接的增多和物聯網應用場景的擴展，物聯網平臺和設備暴露于越來越多的網絡攻擊和安全漏洞之下。這些設備和平臺在實際應用中通常處理敏感數據(如個人信息、企業數據等)并且具有較高的安全風險。因此，物聯網安全問題成為一個日益嚴峻的挑戰。

為了解決這些問題，國際上開始逐步提出相關的標準和評估框架，由GlobalPlatform于2020年宣布一項名為“物聯網平臺安全評估標準”(Security Evaluation Standard for IoT Platforms)的新認證標準。SESIP 標準的目的是幫助評估和驗證物聯網平臺的安全性，并為平臺設計者、開發者以及安全審計人員提供參考框架。

SESIP認證分為五個安全級別，從1到5級，隨著級別的提高，測試的復雜性和難度也會增加。SESIP3是重要的安全級別，要求進行全面的源代碼分析和漏洞分析，屬于白盒測試?。SESIP3相比SESIP2提供了更嚴格、更全面、更高級別的安全保證，適用于安全性要求更高的物聯網和嵌入式產品?。

SESIP 中的三個主要保證級別：

SESIP 認證級別 1 (SESIP1) 是一個基于自我評估的級別，可提供基本級別的保證。

SESIP 認證級別 2 (SESIP2) 是一種黑盒滲透測試級別，可提供中等程度的保證。

SESIP 認證級別 3 (SESIP3) 是一種傳統的白盒漏洞分析，可提供可觀的保證級別。該評估圍繞有時間限制的源代碼分析以及有時間限制的滲透測試工作進行。

SESIP的今世

[ 當前的應用和影響 ]

SESIP作為物聯網平臺安全評估標準，已經在多個行業和領域得到了廣泛關注與應用。其主要特點和發展包括：

安全評估框架

SESIP為物聯網平臺提供了一種全面的評估方法，涵蓋了設備、網絡、應用、數據等各個層面的安全性。

標準化的測試和認證

SESIP為物聯網產品提供了一套標準化的測試與認證流程，確保物聯網設備和平臺在全球范圍內具有一致的安全性要求。

提升用戶信任

物聯網產品和平臺通過SESIP認證后，可以增加用戶對其安全性的信任，尤其是在涉及敏感數據的行業，如金融、醫療等領域。

產業推動

SESIP也推動了物聯網產業在安全領域的合作，尤其是在設備制造商、平臺提供商、以及政府部門之間的協同工作。

一些物聯網平臺、設備和企業服務已經開始通過SESIP認證，特別是在那些對安全要求較高的行業，比如智能家居、自動化、醫療和工業控制等領域。SESIP不僅僅局限于產品安全評估，還包括了物聯網平臺在開發、部署、維護等各個階段的安全保障。

SESIP的未來

未來，隨著物聯網設備和平臺數量的不斷增加，以及物聯網應用場景的多樣化，SESIP的作用將愈發重要。預計SESIP在未來會朝著以下幾個方向發展：

適應新興技術

隨著人工智能(AI)、5G、邊緣計算等新興技術的融入，物聯網的安全需求將變得更加復雜。SESIP可能會根據這些技術的特性進行擴展，覆蓋更多新的威脅模型和安全需求。

自動化安全評估

隨著安全自動化技術的發展，未來SESIP評估過程可能會更加自動化，從而加速評估和認證過程，提高評估的效率和準確性。

更高的全球一致性

全球化的物聯網應用促使SESIP等國際安全標準向全球一致性發展。更多國家和地區將采納SESIP標準，并將其納入政策和法規中。

與其他安全標準的整合

SESIP可能會與其他網絡安全標準，如ISO/IEC 27001 (國際標準化組織信息安全管理系統)、NIST(美國國家標準與技術研究院)等進行整合，形成一個更全面的安全框架，確保物聯網平臺在不同安全維度上的綜合防護。

用戶隱私保護

隨著數據隱私法規，如GDPR(General Data Protection Regulation)的日益嚴格，SESIP可能會進一步加強對物聯網平臺數據隱私保護的要求，確保物聯網設備在存儲和傳輸用戶數據時符合隱私保護規范。

總的來說，SESIP作為物聯網安全評估標準，在未來將繼續發揮重要作用，推動物聯網行業向更加安全、可信的方向發展。

Keysight Riscure 作為 TrustCB 的 SESIP認證實驗室，擁有深厚的知識和專業技能，可幫助您達到所需的安全級別，從而有效解除安全威脅，并贏得市場認可。

我們在嵌入式和芯片組安全方面的豐富經驗和知識積累是您獲得 SESIP 安全認證的最有效和最高效的合作伙伴。

我們提供預認證和客戶支持，以確保您的SESIP 認證成功。

除了評估之外，我們還提供完善和提升客戶解決方案的安全性的服務。

自2021年開始Keysight Riscure已經為來自全球多家知名企業成功獲得了SESIP的證書，從2021年完成證書數量占比的14% 上升為2024年的50%， 并有進一步增長的趨勢。

2024年 TrustCB SESIP授權安全實驗室獲得的證書數量

歷年Keysight RISCURE為客戶取得SESIP證書的數量

Keysight Riscure不僅提供SESIP認證服務，同時也針對開發者，測評人員和項目管理人員提供相關的培訓。

關于Riscure

自2001年成立以來，Riscure一直是全球硬件安全的先驅和技術領導者。我們擁有超過20年的行業經驗，客戶遍及科技企業、政府部門、科研院所、高校、汽車、航空航天等領域。Riscure為國內外客戶提供專業的側信道、故障注入、硅前(RTL)安全仿真測試等工具、培訓和安全認證、測評及咨詢服務。 2024年3月， Keysight收購Riscure。Keysight將和Riscure一起，基于豐富的安全產品和應用，為業界提供更有效的測試解決方案。

關于是德科技

是德科技(NYSE：KEYS)啟迪并賦能創新者，助力他們將改變世界的技術帶入生活。作為一家標準普爾 500 指數公司，我們提供先進的設計、仿真和測試解決方案，旨在幫助工程師在整個產品生命周期中更快地完成開發和部署，同時控制好風險。我們的客戶遍及全球通信、工業自動化、航空航天與國防、汽車、半導體和通用電子等市場。我們與客戶攜手，加速創新，創造一個安全互聯的世界。