工業技術研究院 資訊與通訊研究所 邱苑慈
前言
國際對於供應鏈資安議題愈加重視,許多國際大廠都有提出對於加強關鍵供應鏈的安全和韌性的想法或聲明,其中要符合國際標準是很常見的一種要求。因此,除了致力於符合大廠規範通過現有標準外,積極參與甚至主導標準制定也是接軌國際的另一個重要作為。由於台灣在半導體製造的優勢與關鍵地位,更有機會能主導制定相關國際標準。
精彩內容
1. 資安事件催生第一個半導體資安標準 2. 從SEMI E187實現OT零信任 3. 協助台灣半導體業者落實標準 |
資安事件催生第一個半導體資安標準
半導體龍頭廠在資安課題的慘痛教訓
2018年8月,台積電新機台安裝過程中由於人員疏失,導致產線遭遇電腦病毒感染、部分電腦與機台受影響導致產線停擺的事件,媒體預估營收損失高達52億元,創下台灣有史以來損失金額最高的資安事件,也讓高科技業機台資安議題浮上檯面,包含須30年攤提成本的昂貴半導體設備機台,但卻仍使用已終止支援的Windows XP作業系統,使得漏洞修補更加困難。
集結台灣產官學研能量共同制定第一個半導體資安標準
為了扭轉半導體機台資安問題,自2018年9月,由台積電力推,並透過SEMI國際半導體組織標準平台,籌畫成立資安工作小組,由台積電與資通所共同主持(TF),並匯集聯電、日月光、力積電、台灣應材、南亞科、台達電、MOXA、全景、神盾等34家產業代表及學界教授,共同制定半導體資安標準。基於台灣在半導體產業的關鍵地位,集結產官學研歷時三年的努力終於在2022年1月正式發布SEMI E187,成為少數由台灣主導制定的國際標準。
從SEMI E187實現OT零信任
SEMI E187涵蓋的四大面向包括「作業系統規範」、「網路安全」、「端點防護」、「資訊安全監控」等,聚焦於半導體設備的 OT(Operation Technology)治理思維。OT零信任即不管來自外界或內部的OT媒介,包含人員、網路和資產,在未事先識別情況下都應保持不信任。因此半導體設備可說是高科技製造領域中,資安防護的第一道門戶,若沒有設備供應商的支持,是無法落實OT零信任策略的。
為協助半導體設備業者加快落實標準的腳步,工研院持續投入人力參與SEMI資安委員會及任務小組的討論,並協助SEMI E187設備資安標準導入指南(Reference practice)的產出,該文件已於2022年10月在SEMI台灣官網上發布,期望透過指引內容協助產業更快掌握標準精神內涵,以及落實重點方向。
四大面向重點摘要
SEMI E187標準定義半導體設備總體和基本的網路安全要求,作為保護半導體工廠設備資安防護的基線,適用於安裝了 Microsoft Windows 或 Linux 操作系統的晶圓廠設備,不包含於 PLC 和 SCADA及通過傳感器網絡連接到PLC 和 SCADA的設備。底下將從實務操作指引(Reference practice)內容摘要SEMI E187四大面向內容重點:
- 作業系統規範
產品生命週期結束(End-of-life,EOL)指開發人員停止為軟體提供更新和修補漏洞,這是晶圓廠設備機台的操作系統通常面臨的挑戰,此會大幅增加作業環境的資安風險。因此標準在這個項目主要規範機台應避免採用EOL的作業系統,例如避免採用Windows XP、Windows Vista或Windows 7等。 另外,作業系統規範也提到設備商應提供作業系統修補更新機制流程等說明文件,內容應包含軟體兼容性評估、軟體包依存關係、效能影響以及修補或安全更新可能的副作用等;而對於現存無法更新作業系統的設備,則建議可透過加裝特定設備防火牆,以隔離營運網絡並降底風險。
- 網路安全
為了確保工廠網絡的安全,設備用戶需要利用網絡分段、防火牆和安全配置來抵禦通過網絡傳播的各種網絡威脅。建議設備供應商為其製造設備提供網絡安全策略管理文檔,以減少惡意軟件的攻擊媒介並確保安全配置的完整性。 在傳輸安全方面,若有使用 Web 服務應用程序、文件傳輸服務或終端服務(telnet),設備供應商應支持使用 HTTPS、SFTP 和 SSH 等安全協議以允許資產所有者傳輸文件並管理其網絡憑證。網絡配置管理方面,限制所有不必要的端口、協議和系統服務的使用以盡量減少攻擊者可用的入口點。若仍有部分作業必須在有風險的網絡端口執行,設備供應商需要在網絡層推薦補償性安全控制並提供有關管理設備網絡配置方法的說明文件。
- 端點防護
保護端點免受惡意軟件攻擊的方法包括評估漏洞、啟用反惡意軟件解決方案、實施存取控制、配置系統以避免常見陷阱以及關閉不必要的功能。其實務做法包含設備出貨前即進行弱點掃描、惡意程式掃描與漏洞修補,由於惡意軟件每天或有時每小時都會發生變化,因此相關掃描報告必須記錄執行的日期和詳細信息。另,也建議設備供應商提供設備能安裝、管理或更新之反惡意程式方案,並關閉或移除非必要之及未使用之介面,以利機台管理者後續安全維護。 除了設備本身防護機制,身分識別與存取控制也是該項目重點,帳號/密碼登錄驗證是最基本和常用的身份驗證機制,強烈建議使用多因素身份驗證(MFA),它提供了另一層保護,以防密碼洩露。除了身份認證,還應提供帳戶職責分權管理功能,以提供用戶最小權限原則,防止未經授權的訪問。
- 資訊安全監控
這部份強調設備應可產生及傳送資安日誌,以收集重要系統操作資訊和網絡活動,達到錯誤校正、持續監控與事故調查功能。日誌不僅要收集,還要保存,且建議遠程保存,防止被駭客篡改或刪除,操作系統也應保護日誌避免未授權訪問,並為授權使用者只能以讀取方式訪問日誌。而紀錄的事件應包含存取控制、系統組態變更、系統錯誤等。
協助台灣半導體業者落實標準
工研院身為數位發展部產業推動幕僚,在SEMI E187發布後結合院內技術能量與政府資源,致力協助台灣半導體產業把握制定標準的優勢,搶先導入及落實標準。推動作法除了協助產出實務操作指引(Reference practice)也鏈結公協會能量,辦理技術論壇及研討會推廣標準內涵。另外,以半導體製造業者多數企業規模來看,要將新的標準及規範納入作業程序是需要各部門對內容的理解與認同,因此也與半導體製造業者合作辦理工作坊,協助指標企業對內部跨部門溝通以及號召設備供應商參與了解。
工研院同時輔導半導體設備業者申請政府補助計畫,將標準合規作為納入產線資安強化規畫中,期望透過輔導案例,搭配大型展會活動及數位發展部在沙崙的展示空間推廣,透過實際執行經驗分享,協助更多台灣半導體設備業者著手準備標準合規。經過一系列SEMI E187推廣後,成功帶起半導體設備業者的重視,包含均豪精密、帆宣、漢民、東捷科技、泓陽科技、志聖工業、盟立、京鼎精密、凱諾科技等半導體設備業者,共同出席2022年SEMICON Taiwan半導體設備資安推動誓師大會,表達對SEMI E187標準規範的認同及支持。
結論
由於台灣的半導體產業在全球供應鏈中扮演著重要角色,面對國際大廠要求,供應商在資安方面應積極作為,加上供應鏈安全已是全球重要課題下,SEMI E187 資安標準的制定,為建構可信賴供應鏈生態體系邁出了成功的第一步,讓半導體產線設備的資安防護設計有標準可循,需求方在採購時也能訂出清楚明確的資安要求。未來工研院也會藉由半導體產業在資安推動上的經驗,帶動更多產業投入供應鏈資安強化議題,例如面板、印刷電路板產業、電子零組件等產業,同時推廣台灣國產資安解決方案,加深台灣成為全球可信賴的供應鏈夥伴形象。
參考文獻
[1] SEMI E187 Reference Practice Version 2.0 | October 2022