SEMI台灣力推晶圓廠資安標準 降低半導體產線的風險威脅

工研院資訊與通訊研究所副組長卓傳育表示，晶圓廠暨設備資安標準的制定，涵蓋OS安全、網路安全、端點防護、安全監控、應用程式安全、存取控制等六大方向。

關注半導體產業發展議題的人們，對「國際半導體產業設備與材料協會」(SEMI)應不陌生，其在半導體、太陽光電、平面顯示器、微電子(MEMS)、奈米科技等領域的國際標準制定與推動，可說頗負盛名；惟綜觀SEMI過往制定的產業技術標準，多與製程有關，如今SEMI台灣首度跨足資訊安全，積極催生晶圓廠暨設備的資安標準。

眾所皆知，去(2018)年8月間晶圓代工龍頭台積電的生產機台曾遭受勒索病毒WannaCry感染，成為近年最受矚目的事件，凸顯半導體產業邁向高度自動化、智慧化的同時，連帶面臨險峻的資安威脅。著眼於此，在台積電、日月光等多個SEMI會員努力推動下，於去年11月正式成立晶圓廠暨設備資安工作小組(Task Force)，意在建立相關標準、協助業者解決產線上資安問題，而工研院資訊與通訊研究所資料中心系統軟體組副組長卓傳育，是這個工作小組的Leader。

卓傳育指出，隨著晶圓廠機台中毒事件發生，各界備感詫異，為何兩年前的老病毒惹出這麼大的風波？難道不做掃毒？事實上，半導體廠房購置的特殊生產設備，不少都由單一供應商獨賣，為避免設備效能受到影響，供應商往往強勢要求買方不得安裝防毒軟體；基於此限制，加上這些設備的作業系統普遍老舊、久未更新，遂成為潛在的資安脆弱點。

透過標準制定，一體適用所有設備供應商

綜觀這些設備供應商，動輒成千上萬家，半導體業者很難一一說服他們開始正視資安議題、加入防護功能，即使像是台積電擁有較大影響力的買家，也同樣面臨這個困擾；既然如此，最快的改變方法就是制定標準規範，只要標準出爐，任何想要把設備賣到晶圓廠的業者，都必須遵守遊戲規則，例如內建應用程式白名單管控機制，或針對TCP 445等高風險的連接埠進行阻擋等等，唯有符合標準，才會成為合格供應商。

一開始有些思慮嚴謹的人，主張應於晶圓廠暨設備資安標準內加入若干嚴格規範，固然立意良善，但容易使標準淪於包山包海、反而形成推動阻力，於是在Task Force成員不斷溝通磨合下產生共識，將標準的適用範圍限縮，只有賣到晶圓廠的電腦設備，無論用於控制光罩機、蝕刻機、輸送帶...等等任何生產機台、且具備連網功能，才需要遵循規範；假使用於半導體公司OA辦公環境的電腦，便不在規範之列。

卓傳育說，時至今年3月，此案經由國際SEMI會員投票同意，取得「SNARF 6506」案號，可正式著手撰寫標準內容；至於分工方式，係由負責OS、端點防護、網管、監控等不同任務編組各自撰寫草稿，並透過每月召開的大會進行Review，撰稿人需就其中不合理之處再做修正。

依循六大方向，層層保障生產環境的安全

依Task Force對外的公開發佈內容，可知晶圓廠暨設備資安標準主要涵蓋四大方向，分別是：「作業系統安全」，舉凡Patch、EOS的處理都被涵蓋其中，結論是機台設備應採用具有Long Term Support的作業系統版本；「網路安全」，譬如針對用不到的網路服務、如網路芳鄰的445連接埠，應予關閉停用；「端點防護」，包含防毒、應用程式白名單等管控機制都在規範之列，旨在避免惡意程式感染生產設備；「安全監控」，規定設備廠應提供API，確使機台本身的安全狀態資訊可對外傳送。

卓傳育透露，其實現今標準的制定方向，並不僅止於上述四項，還有「應用程式安全」、「存取控制」(IAM)另外兩項，前者規定任何應用程式應先通過檢測，才能進入生產環境，避免程式淪為資安弱點來源；後者是為了為設備賦予基本權限管控能力，最起碼任何人要操作機台，必須通過帳密驗證程序。

若情況順利，第一版草稿最快在10月出爐；卓傳育不忘提醒，如同其他國際標準，這份晶圓廠暨設備資安標準只是「低標」，半導體廠欲強化資安防護，還有其他許多基本功課需要落實，比方說制定公司內部的配套管理措施，或採用微網段切割技術，透過預先設定的連線規範，主動禁止不合理的通訊行為。

未來製造，雲端、物聯、數據蒐集已成關鍵。但是，當生產資訊出得去、外部攻擊進得來……您知道您的工廠，安全嗎？8/8登場的資安論壇，活動主題訂為「保障IIoT安全，加速智慧製造」，邀請中油資訊部經理分享工控系統安全管理經驗、工研院資通所專家探討高科技製造業資安標準，還有重量級業者趨勢、研華、四零四、精品…提出最新市場觀察與解決方案，全程參與聽眾有機會抽中PS4一台！免費活動，歡迎各界報名參加。