科技產業報訂閱
活動+
 

SEMI台灣力推晶圓廠資安標準 降低半導體產線的風險威脅

工研院資訊與通訊研究所副組長卓傳育表示,晶圓廠暨設備資安標準的制定,涵蓋OS安全、網路安全、端點防護、安全監控、應用程式安全、存取控制等六大方向。

關注半導體產業發展議題的人們,對「國際半導體產業設備與材料協會」(SEMI)應不陌生,其在半導體、太陽光電、平面顯示器、微電子(MEMS)、奈米科技等領域的國際標準制定與推動,可說頗負盛名;惟綜觀SEMI過往制定的產業技術標準,多與製程有關,如今SEMI台灣首度跨足資訊安全,積極催生晶圓廠暨設備的資安標準。

眾所皆知,去(2018)年8月間晶圓代工龍頭台積電的生產機台曾遭受勒索病毒WannaCry感染,成為近年最受矚目的事件,凸顯半導體產業邁向高度自動化、智慧化的同時,連帶面臨險峻的資安威脅。著眼於此,在台積電、日月光等多個SEMI會員努力推動下,於去年11月正式成立晶圓廠暨設備資安工作小組(Task Force),意在建立相關標準、協助業者解決產線上資安問題,而工研院資訊與通訊研究所資料中心系統軟體組副組長卓傳育,是這個工作小組的Leader。

卓傳育指出,隨著晶圓廠機台中毒事件發生,各界備感詫異,為何兩年前的老病毒惹出這麼大的風波?難道不做掃毒?事實上,半導體廠房購置的特殊生產設備,不少都由單一供應商獨賣,為避免設備效能受到影響,供應商往往強勢要求買方不得安裝防毒軟體;基於此限制,加上這些設備的作業系統普遍老舊、久未更新,遂成為潛在的資安脆弱點。

透過標準制定,一體適用所有設備供應商

綜觀這些設備供應商,動輒成千上萬家,半導體業者很難一一說服他們開始正視資安議題、加入防護功能,即使像是台積電擁有較大影響力的買家,也同樣面臨這個困擾;既然如此,最快的改變方法就是制定標準規範,只要標準出爐,任何想要把設備賣到晶圓廠的業者,都必須遵守遊戲規則,例如內建應用程式白名單管控機制,或針對TCP 445等高風險的連接埠進行阻擋等等,唯有符合標準,才會成為合格供應商。

一開始有些思慮嚴謹的人,主張應於晶圓廠暨設備資安標準內加入若干嚴格規範,固然立意良善,但容易使標準淪於包山包海、反而形成推動阻力,於是在Task Force成員不斷溝通磨合下產生共識,將標準的適用範圍限縮,只有賣到晶圓廠的電腦設備,無論用於控制光罩機、蝕刻機、輸送帶...等等任何生產機台、且具備連網功能,才需要遵循規範;假使用於半導體公司OA辦公環境的電腦,便不在規範之列。

卓傳育說,時至今年3月,此案經由國際SEMI會員投票同意,取得「SNARF 6506」案號,可正式著手撰寫標準內容;至於分工方式,係由負責OS、端點防護、網管、監控等不同任務編組各自撰寫草稿,並透過每月召開的大會進行Review,撰稿人需就其中不合理之處再做修正。

依循六大方向,層層保障生產環境的安全

依Task Force對外的公開發佈內容,可知晶圓廠暨設備資安標準主要涵蓋四大方向,分別是:「作業系統安全」,舉凡Patch、EOS的處理都被涵蓋其中,結論是機台設備應採用具有Long Term Support的作業系統版本;「網路安全」,譬如針對用不到的網路服務、如網路芳鄰的445連接埠,應予關閉停用;「端點防護」,包含防毒、應用程式白名單等管控機制都在規範之列,旨在避免惡意程式感染生產設備;「安全監控」,規定設備廠應提供API,確使機台本身的安全狀態資訊可對外傳送。

卓傳育透露,其實現今標準的制定方向,並不僅止於上述四項,還有「應用程式安全」、「存取控制」(IAM)另外兩項,前者規定任何應用程式應先通過檢測,才能進入生產環境,避免程式淪為資安弱點來源;後者是為了為設備賦予基本權限管控能力,最起碼任何人要操作機台,必須通過帳密驗證程序。

若情況順利,第一版草稿最快在10月出爐;卓傳育不忘提醒,如同其他國際標準,這份晶圓廠暨設備資安標準只是「低標」,半導體廠欲強化資安防護,還有其他許多基本功課需要落實,比方說制定公司內部的配套管理措施,或採用微網段切割技術,透過預先設定的連線規範,主動禁止不合理的通訊行為。

未來製造,雲端、物聯、數據蒐集已成關鍵。但是,當生產資訊出得去、外部攻擊進得來……您知道您的工廠,安全嗎?8/8登場的資安論壇,活動主題訂為「保障IIoT安全,加速智慧製造」,邀請中油資訊部經理分享工控系統安全管理經驗、工研院資通所專家探討高科技製造業資安標準,還有重量級業者趨勢、研華、四零四、精品…提出最新市場觀察與解決方案,全程參與聽眾有機會抽中PS4一台!免費活動,歡迎各界報名參加

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: SEMI 資安防護