SEMI台湾力推晶圆厂网安标准 降低半导体产线的风险威胁
关注半导体产业发展议题的人们,对「国际半导体产业设备与材料协会」(SEMI)应不陌生,其在半导体、太阳光电、平面显示器、微电子(MEMS)、纳米科技等领域的国际标准制定与推动,可说颇负盛名;惟综观SEMI过往制定的产业技术标准,多与制程有关,如今SEMI台湾首度跨足信息安全,积极催生晶圆厂暨设备的网安标准。
众所皆知,去(2018)年8月间晶圆代工龙头台积电的生产机台曾遭受勒索病毒WannaCry感染,成为近年最受瞩目的事件,凸显半导体产业迈向高度自动化、智能化的同时,连带面临险峻的网安威胁。着眼于此,在台积电、日月光等多个SEMI会员努力推动下,于去年11月正式成立晶圆厂暨设备网安工作小组(Task Force),意在建立相关标准、协助业者解决产在线网安问题,而工研院信息与通讯研究所数据中心系统软件组副组长卓传育,是这个工作小组的Leader。
卓传育指出,随着晶圆厂机台中毒事件发生,各界备感诧异,为何两年前的老病毒惹出这麽大的风波?难道不做扫毒?事实上,半导体厂房购置的特殊生产设备,不少都由单一供应商独卖,为避免设备效能受到影响,供应商往往强势要求买方不得安装防毒软件;基于此限制,加上这些设备的操作系统普遍老旧、久未更新,遂成为潜在的网安脆弱点。
透过标准制定,一体适用所有设备供应商
综观这些设备供应商,动辄成千上万家,半导体业者很难一一说服他们开始正视网安议题、加入防护功能,即使像是台积电拥有较大影响力的买家,也同样面临这个困扰;既然如此,最快的改变方法就是制定标准规范,只要标准出炉,任何想要把设备卖到晶圆厂的业者,都必须遵守游戏规则,例如内建应用程序白名单管控机制,或针对TCP 445等高风险的连接埠进行阻挡等等,唯有符合标准,才会成为合格供应商。
一开始有些思虑严谨的人,主张应于晶圆厂暨设备网安标准内加入若干严格规范,固然立意良善,但容易使标准沦于包山包海、反而形成推动阻力,于是在Task Force成员不断沟通磨合下产生共识,将标准的适用范围限缩,只有卖到晶圆厂的电脑设备,无论用于控制光罩机、蚀刻机、输送带...等等任何生产机台、且具备联网功能,才需要遵循规范;假使用于半导体公司OA办公环境的电脑,便不在规范之列。
卓传育说,时至今年3月,此案经由国际SEMI会员投票同意,取得「SNARF 6506」案号,可正式着手撰写标准内容;至于分工方式,系由负责OS、端点防护、网管、监控等不同任务编组各自撰写草稿,并透过每月召开的大会进行Review,撰稿人需就其中不合理之处再做修正。
依循六大方向,层层保障生产环境的安全
依Task Force对外的公开发布内容,可知晶圆厂暨设备网安标准主要涵盖四大方向,分别是:「操作系统安全」,举凡Patch、EOS的处理都被涵盖其中,结论是机台设备应采用具有Long Term Support的操作系统版本;「网络安全」,譬如针对用不到的网络服务、如网络芳邻的445连接埠,应予关闭停用;「端点防护」,包含防毒、应用程序白名单等管控机制都在规范之列,旨在避免恶意程序感染生产设备;「安全监控」,规定设备厂应提供API,确使机台本身的安全状态信息可对外传送。
卓传育透露,其实现今标准的制定方向,并不仅止于上述四项,还有「应用程序安全」、「存取控制」(IAM)另外两项,前者规定任何应用程序应先通过检测,才能进入生产环境,避免程序沦为网安弱点来源;后者是为了为设备赋予基本权限管控能力,最起码任何人要操作机台,必须通过帐密验证程序。
若情况顺利,第一版草稿最快在10月出炉;卓传育不忘提醒,如同其他国际标准,这份晶圆厂暨设备网安标准只是「低标」,半导体厂欲强化网安防护,还有其他许多基本功课需要落实,比方说制定公司内部的配套管理措施,或采用微网段切割技术,透过预先设定的连线规范,主动禁止不合理的通讯行为。
未来制造,云端、物联、数据蒐集已成关键。但是,当生产信息出得去、外部攻击进得来……您知道您的工厂,安全吗?8/8登场的网安论坛,活动主题订为「保障IIoT安全,加速智能制造」,邀请中油信息部经理分享工控系统安全管理经验、工研院资通所专家探讨高科技制造业网安标准,还有重量级业者趋势、研华、四零四、精品…提出最新市场观察与解决方案,全程参与听众有机会抽中PS4一台!免费活动,欢迎各界报名参加。