蔡司显微镜事业部的网络安全

基本要求

网络安全、数据隐私、负责任的人工智能及开源软件（FOSS）合规性是蔡司显微镜事业部产品开发的核心基石。这些要求自产品开发流程初期即已确立，并贯穿整个产品生命周期。

除了满足国际标准和法律法规的要求外，蔡司还建立了统一的治理框架，确保整个产品组合具备出色的防护能力。该框架综合了行业最佳实践、威胁态势的动态演变、欧盟《人工智能法案》等监管发展要求，以及客户与产品的特定安全目标。

我们的治理计划确保：

• 网络安全与数据隐私设计：安全配置、访问控制、加密及持续威胁监测已融入研发部署流程
• 负责任的人工智能：通过集成的工作流评估人工智能系统的风险与合规性，确保其使用符合道德和法律要求，并与全球法规保持一致
• 开源软件合规性：对开源组件采用严格的许可证管理与安全控制机制，保障透明度、可追溯性及法律完整性  

这种整体性方案使蔡司显微镜事业部能够提供安全、合规且值得信赖的解决方案，为客户及合作伙伴在互联互通、数据驱动的世界中提供可靠支持。

威胁建模

作为产品设计和确定产品架构的重要环节，威胁建模在产品设计初期即用于识别安全威胁、风险及潜在漏洞。

在威胁建模过程中，我们系统地分析产品可能面临的威胁，并评估及评定其对产品影响的严重程度。基于这一严重程度评级，结合已知弱点与漏洞，产品设计和/或架构将进行相应调整，从而在威胁演变为风险之前实现有效防护。

此外，作为“安全设计”理念的重要组成部分，所有产品设计和架构均需经过专职安全专家的审查。

安全编码

我们在整个产品开发流程中实施安全编码审查，确保在产品生命周期内尽早识别关键安全缺陷或潜在漏洞。

此外，产品开发团队配备了经过专门培训的安全工程师，确保编码过程遵循最佳实践并应用先进的网络安全技术。由资深安全专家组成的专职团队可随时为各类安全问题提供咨询服务。

静态与动态应用安全测试（SAST/DAST）

在整个开发流程中，我们通过静态应用安全测试（白盒方法，侧重于源代码内容）和动态应用安全测试（黑盒方法，侧重于漏洞），识别可能影响软件质量的潜在漏洞与错误。
 

软件成分分析（SCA）

我们在整个产品生命周期中对第三方软件组件的已知漏洞进行监控，以降低开源软件带来的风险。
 

漏洞测试

在产品生命周期中持续扫描漏洞，主动识别可能构成风险的潜在漏洞。

渗透测试

产品由可信的第三方实体进行渗透测试，以识别潜在威胁或漏洞。

持续管理威胁与漏洞

我们对软件进行监控和评估，以检测、识别并优先处理市面上受支持产品所面临的威胁与风险。通过扫描威胁与漏洞，并基于扫描结果进行评估，及时识别新出现的威胁与风险。随后，我们会根据威胁的严重程度，制定相应措施以维持适当的网络安全水平。

安全补丁管理

安全补丁依据漏洞严重程度进行开发、测试与发布，以降低客户产品及其基础设施面临的风险。