推动网安标准 为工控领域灌输防御基本功

工业技术研究院信息与通讯研究所副组长卓传育。

尽管人们网安意识不断升高，但网安事件仍层出不穷，譬如不少知名企业或政府单位发生数据外泄事件、金融机构屡遭重大网络攻击，加上诸如Miori(Mirai进化版)、CPU漏洞攻击、WannaCry...等等影响全球的重大威胁不绝于耳；可以肯定，展望今后大家将继续与威胁共存。

工业技术研究院信息与通讯研究所副组长卓传育指出，进入物联网时代，安全威胁的攻击目标，从人扩散到机器，至于手段则从恶意程序渗透、诈骗，转变为弱点探索与攻击。但对于智能制造领域，其实最需要关注的，不是新威胁、而是旧威胁，以众所瞩目的晶圆厂产线中毒事件为例，祸首竟是两年前流行的WannaCry。

不禁令人纳闷，各界早已修补过一轮，为何晶圆厂防不了？症结在于工控是一个不喜欢Patching的世界，原因包括工厂以追求可用、稳定、生产力为重，网安不在优先顺位；有些老旧设备的操作系统早已EOS；工厂担心上Patch需停机而影响产能，索性不做修补、以实体隔离为主。但由于智能化，让实体隔离难以为继，导致产线沦陷。

美国国家网络安全和通讯整合中心(NCCIC)分析，谈及工控领域网安议题，38%可靠应用程序白名单解决，其次29%可因正确的设定、Patch管理而避免发生；显见「预防胜于治疗」，只要有标准规范可供依循，把基本功做到位，便可望杜绝许多威胁。

有监于此，国际半导体产业设备与材料协会(SEMI)台湾分会于去(2018)年11月成立「晶圆厂暨设备网安工作小组」(Task Force)，旨在催生相关标准，帮助晶圆厂解决产线网安问题，此案已获国际SEMI会员投票同意，正式授予「SNARF 6506」案号。

卓传育说，未来标准一旦出炉，对所有晶圆设备供应商将产生约束力，这些业者若想继续做晶圆厂的生意，即需遵守游戏规则、确保成为合格供应商，做到采用具有Long Term Support的OS版本、关闭诸如TCP 445等高风险连接埠、提供应用程序白名单管理机制，及提供API让机台安全状态信息得以对外传送等等。