AMD 与欧盟《网络韧性法案》(CRA)

携手 AMD，为应对欧盟《网络韧性法案》做好准备

欧盟《网络韧性法案》(EU CRA) 的出台，是为当今日益数字化世界中的产品设定网络安全要求所迈出的重要一步。作为高性能计算领域的领先企业，AMD 正积极参与标准化进程，推动制定既增强网络安全又促进创新的要求。 

AMD 全面致力于满足欧盟《网络韧性法案》(CRA) 的所有适用要求，并确保在欧盟运营的客户能够部署符合 CRA 标准的 AMD 技术。我们在安全产品设计、漏洞管理和合规流程方面的持续投入，使我们能够在 CRA 要求生效时满足其相关规定。

什么是欧盟《网络韧性法案》(CRA)？

CRA 旨在通过对采用数字元件的产品制造商和零售商提出强制性网络安全要求，以保障消费者和企业的安全。这种保护贯穿于整个产品生命周期，并适用于联网设备，但已被现有法规条例覆盖的某些产品除外。

CRA 直接适用于具有安全相关功能的微处理器和 FPGA，以及服务器、笔记本电脑、嵌入式设备和消费类设备等终端产品。

您的合规路径

对于任何在欧盟运营的企业而言，实现 CRA 合规性至关重要，因为这不仅保证了合法进入欧盟市场，还能通过展现贯穿产品生命周期的坚定网络安全承诺来建立客户信任。由于 CRA 是基于风险的法案，因此您需要首先完成产品的风险评估。风险评估将告知您产品可能面临的威胁，并由此推导出为实现合规性所必须满足的网络安全要求。 

您的合规路径取决于风险评估的结果。AMD 的产品安全流程、文档和披露实践旨在对您的 CRA 风险评估进行补充。

AMD 在 CRA 框架下推动创新的方法包含三大核心要素：

合规

AMD 产品在 CRA 框架下的合规性

根据 CRA 规定，产品依据其网络安全相关功能或用途，以及所带来的网络安全风险等级进行分类。该分类决定了制造商为实现合规性必须采取的步骤。根据当前的 CRA 框架，预计 AMD 产品将属于以下类别：

• 默认：大多数 AMD 标准开发工具
• 第 I 类（重要）： 
  • 具有安全功能的处理器和 FPGA
  • 特定嵌入式解决方案和安全关键型软件组件

CRA 框架内的部分垂直标准仍在由标准机构最终确定。AMD 正积极参与这些标准的制定，并将在最终标准发布后立即更新相关指南。AMD 将根据这些分类，遵循所有必要的 CRA 法规和规定，为您提供合规的产品，作为您构建自身解决方案的坚实基础。

功能

AMD 产品提供先进的安全功能

为更大限度地保护系统，必须在整个产品生命周期考虑安全性问题。举例而言，在一台无法安全启动的设备上开发容错的应用级安全解决方案，就如同在沙地上建造大厦。在设计保障安全的系统时，AMD 和我们的客户各自扮演着不同的角色。此外，还必须认识到，任何系统都无法完全抵御攻击；只要攻击者拥有足够的时间、精力、资源和资金，所有系统都可能被攻破。安全的核心在于风险管理，以及客户愿意投入多少资源来管控这些风险。

AMD 采用出色的最佳实践，确保其芯片、软件和开发工具的可信度。旨在帮助抵御多种攻击向量的对策已集成到芯片中。产品的安全启动（或称安全配置）采用硬件信任根，并提供内置的真实性、机密性和完整性保障。

展望未来，CRA 所确立的特定设计要求正被纳入 AMD 的设计方法中。有关特定 AMD 安全技术的更多信息，请联系您当地的 AMD 销售代表。

沟通

文档

为在整个产品生命周期中更大限度提升安全性，CRA 要求对几个关键方面进行记录，包括风险评估、欧盟符合性声明、软件物料清单 (SBOM)，并说明支持期限。支持期限规定了供应商计划维持 CRA 合规性的最短期限。AMD 目前正在审查我们现有的成熟流程，以确保符合 CRA 的文档要求。

漏洞报告

作为 CVE 编号机构 (CNA) 的成员，AMD 早已遵循协同漏洞披露实践，并力求对报告的问题做出快速且适当的响应。AMD 将运用这些经过验证的专业能力来满足 CRA 的特定漏洞管理要求。如需更多信息，请访问 AMD 产品安全页面。

AMD 的承诺

如果您以往在产品要求中未曾考虑过网络安全，这项新法规可能会带来一些陌生的挑战。凭借 50 多年来服务于关键应用领域的经验，AMD 具备相应专业能力，能够通过提供符合 CRA 要求的技术，帮助您从容应对这些变化。

资源