SEMI建構半導體製造資安堡壘 發佈網路資安參考架構
自由時報 2023/11/15 國際半導體產業協會(SEMI)為助力產業提升資安防禦力,持續推進SEMI E187半導體設備資安國際標準普及化,繼發佈SEMI E187 checklist(SEMI E187標準基本實施檢核表)及半導體資安風險評級服務後,再推出「半導體製造環境資訊網路安全參考架構」,提供半導體供應鏈對製造環境更明確的資安架構參考規範。0 ] c1 a% c: }3 r, ~4 V% b# X8 Y
5 ?$ K" J" |2 x) F7 \! F K
SEMI全球行銷長暨台灣區總裁曹世綸指出,隨著資訊科技的進步,半導體製造業紛紛加速數位轉型的腳步,導入自動化科技、大數據分析、人工智慧、物聯網等智慧解決方案,取代傳統的基礎設施與類比控制系統,資訊科技(IT)、營運科技(OT)與雲端的數據整合日益重要,資安防護的難度有增無減。
+ B ^+ I/ M+ i# w! ~3 R4 A& h$ c. H
; [0 h; W5 c# \( l- ?$ DSEMI台灣半導體資安委員會主席暨台積電企業資訊安全處長屠震表示,半導體產業過去缺乏一致性的資安標準,或因機台老舊而無法更新,使得相關設備與節點暴露在高風險環境之下,無論是供應商、員工或承包商都可能成為資安破口,動輒影響營運、造成財務損失或傷害品牌信譽與合作關係。
% u/ D! X8 E `* u+ X: l
6 A; e) |1 M1 D% D# [9 I/ n1 \他表示,「半導體製造環境資訊網路安全參考架構」提出更具結構化的網路安全設計,不僅有助於瞭解工廠內所有網路資產的狀況,也能洞察這些資產及其在網路中的通訊狀況,可保護設備免受惡意軟體帶來的各種威脅。
/ w* M0 X$ h3 r* ]
6 E5 d$ P4 e* iSEMI提出「半導體製造環境資訊網路安全參考架構」,針對半導體製造環境定義出一套通用且最低限度的安全要求,包括電腦作業系統規範、網路安全、端點保護、資訊安全監控等四大層面,並採用業界熟悉的普渡模型(Purdue Model),涵蓋第零層到第五層的IT、OT與工控場域,逐一提出工具設計與組態、資產庫存管控、網路與應用整合工具、漏洞管理與修補管理、近端與遠端接取、安全資料交換、防禦偵測與回應等參考架構,企業資安管理者可藉此妥善評估基礎資產應用、相關風險以及如何針對這些問題制訂網路存取策略或補救措施。0 B# v2 R! @. I. Z9 m& v5 x
& s9 r' Z' N/ U1 a
SEMI表示,台灣業界制訂的第一個半導體資安國際標準SEMI E187,已有均豪精密、東捷科技獲得首批SEMI E187半導體設備資安合格性證書(VoC)。隨著台灣半導體業界對資安意識的逐步提升及落地實踐,SEMI建議供應鏈應將SEMI E187列為採購規格,並鼓勵更多半導體設備廠取得資安合格性證書,加速提升廠房整體資安防護水平,同時也計劃在2024年將相關參考規範與認證機制,推向全世界的半導體上下游夥伴,以期共同打造堅韌的資安聯防堡壘。
