自2018年8月台积电爆发机台中毒事件,不仅让产线机台以及IT与OT环境的安全议题成为焦点,为解决高科技产业安全防护难题,台湾半导体界在2019年也凭借自身影响力,推动芯片设备安全标准(案号6506:Activity Start: 2019/01/01)制定,让半导体产业供应商能够遵循。
值得关注的是,这项芯片设备安全标准从草案开始即备受关注,去年底一度传出可能有结果,终于,历经多次来回提交SEMI修改,在近日举办的SEMICON Taiwan线上安全趋势高峰论坛上,台积电企业信息安全处长屠震公开透露,这项标准将在2021年底12月正式发布,同时SEMI台湾安全委员会在今年已经成立,他也是该委员会的首届主席,不仅将推动SEMI芯片设备安全标准,他们已规划4大聚焦面向,目的是要提升供应商与产业供应链的整体安全。今后可预期的是,随着产业标准的公布,这意味着,可以帮助供应商对于设备的安全防护设计,能有标准能依循,成为一个基本水准,而企业在采购合约上,也能以此标准作为安全要求。
屠震表示,在SEMI台湾安全委员会的4大聚焦面向中,首要就是安全标准的推动与导入,需要创建参考架构及开发解决方案,在此方面,他指出,委员会初期的任务,就是制定SEMI芯片设备安全标准(Fab & Equipment Security Standards),而这项计划之前就已经在进行,并且会在今年12月举办标准发布会。
关于这项芯片设备安全标准的内容,他也做出简单的说明,其中涵盖了6大面向,举例来说,包括在机台设备计算机操作系统方面,要能提供长期支持的版本;网络安全方面要有入侵侦测、安全网关,并限制避免使用高风险的TCP/UDP连接端口;端点安全需要杀毒或应用程序白名单;身份识别与访问管理需要账号与特权管理;应用程序安全需要软件弱点扫描;以及安全监控需要针对安全信息与事件管理的API等。
屠震表示,今后有了这项产业上的安全标准,希望足以引导供应链在安全防护上带来长期可用性,包括更新修补、病毒防护与网络访问控制,并在早期设计阶段,就要创建起安全,例如设备设计时就限制高风险连接端口,且要针对主流硬件与操作系统的产品开发生命周期,进行评估或认证。
在2018年台积电机台中毒事件后,我们注意到台湾半导体产业对于信息安全议题的重视,在2019年工研院资通所副组长卓传育就曾披露这项标准的制定进度与目标。简单来说,此标准在2019年1月正式由SEMI台湾的技术委员会发起,成立芯片厂及设备信息安全任务小组(Fab & Equipment Information Security Task Force)。案号6506的SEMI芯片设备安全标准,自2018年底开始筹划,2019年1月1日正式启动。
在2021年10月下旬举行的SEMICON Taiwan线上安全趋势高峰论坛上,台积电企业信息安全处长屠震公开透露,这项标准将在2021年底12月正式发布,届时并将举办标准发布会。