自2018年8月台積電爆發機臺中毒事件,不僅讓產線機臺以及IT與OT環境的資安議題成為焦點,為解決高科技產業資安防護難題,臺灣半導體界在2019年也憑藉自身影響力,推動晶圓設備資安標準(案號6506:Activity Start: 2019/01/01)制定,讓半導體產業供應商能夠遵循。

值得關注的是,這項晶圓設備資安標準從草案開始即備受關注,去年底一度傳出可能有結果,終於,歷經多次來回提交SEMI修改,在近日舉辦的SEMICON Taiwan國際線上資安趨勢高峰論壇上,台積電企業資訊安全處長屠震公開透露,這項標準將在2021年底12月正式發布,同時SEMI臺灣資安委員會在今年已經成立,他也是該委員會的首屆主席,不僅將推動SEMI晶圓設備資安標準,他們已規畫4大聚焦面向,目的是要提升供應商與產業供應鏈的整體安全。今後可預期的是,隨著產業標準的公布,這意謂著,可以幫助供應商對於設備的資安防護設計,能有標準能依循,成為一個基本水準,而企業在採購合約上,也能以此標準作為資安要求。

屠震表示,在SEMI臺灣資安委員會的4大聚焦面向中,首要就是資安標準的推動與導入,需要建立參考架構及開發解決方案,在此方面,他指出,委員會初期的任務,就是制定SEMI晶圓設備資安標準(Fab & Equipment Security Standards),而這項計畫之前就已經在進行,並且會在今年12月舉辦標準發布會。

關於這項晶圓設備資安標準的內容,他也做出簡單的說明,當中涵蓋了6大面向,舉例來說,包括在機臺設備電腦作業系統方面,要能提供長期支援的版本;網路安全方面要有入侵偵測、安全閘道,並限制避免使用高風險的TCP/UDP連接埠;端點安全需要防毒或應用程式白名單;身分識別與存取管理需要帳號與特權管理;應用程式安全需要軟體弱點掃描;以及資安監控需要針對資安資訊與事件管理的API等。

屠震表示,今後有了這項產業上的資安標準,希望足以引導供應鏈在資安防護上帶來長期可用性,包括更新修補、病毒防護與網路存取控制,並在早期設計階段,就要建立起安全,例如設備設計時就限制高風險連接埠,且要針對主流硬體與作業系統的產品開發生命週期,進行評估或認證。

 

在2018年台積電機臺中毒事件後,我們注意到臺灣半導體產業對於資訊安全議題的重視,在2019年工研院資通所副組長卓傳育就曾揭露這項標準的制定進度與目標。簡單來說,此標準在2019年1月正式由SEMI臺灣的技術委員會發起,成立晶圓廠及設備資訊安全任務小組(Fab & Equipment Information Security Task Force)。案號6506SEMI晶圓設備資安標準,自2018年底開始籌畫,2019年1月1日正式啟動。

在2021年10月下旬舉行的SEMICON Taiwan線上資安趨勢高峰論壇上,台積電企業資訊安全處長屠震公開透露,這項標準將在2021年底12月正式發布,屆時並將舉辦標準發布會。

 上一篇:臺灣成半導體產業資安主要推手,SEMI臺灣資安委員會今年成立
 下一篇:推動半導體供應鏈網路安全意識,11月起SEMI資安電子報每月發布

熱門新聞


Advertisement