《产业》SEMI公布参考架构 助建半导体制造资安堡垒

工业4.0及数位科技兴起，使资讯科技（IT）与营运科技（OT）走向互联，越来越多的系统、资产、人员和机器相互连接，虽大幅增加生产力，却也使网路攻击风险指数级增加，一旦任何环节出现漏洞，很容易成为恶意攻击或勒索软体锁定目标。

据趋势科技「预先防范风险：2023上半年资安总评」报告指出，台湾今年上半年侦测到的恶意连结达4400万笔，高居全球第三。Fortinet公布的「2023上半年全球资安威胁报告」也显示，台湾上半年平均每秒就有近1.5万次攻击发生，高居亚太之冠、且年增逾8成。

同时，骇客手法正从随机入侵转变成针对性攻击，以追求经济利益极大化。除了勒索软体组织不断精进攻击手法，生成式AI工具也大量运用于提高虚拟犯罪效率，同时利用常见的企业软体漏洞，从资料加密转向资料窃取。

有鉴于此，SEMI继公布SEMI E187标准基本实施检核表及半导体资安风险评级服务后，再特别提出「半导体制造环境资讯网路安全参考架构」，针对半导体制造环境定义出一套通用且最低限度的安全要求，使企业资安管理者可据此妥善评估，并制定相关策略及补救措施。

「半导体制造环境资讯网路安全参考架构」包括电脑作业系统规范、网路安全、端点保护、资讯安全监控等四大层面，并采用业界熟悉的普渡模型（Purdue Model），涵盖第0～5层的IT、OT与工控场域，逐一提出相关参考架构。

SEMI建议供应链应将SEMI E187列为采购规格，并鼓励更多半导体设备厂取得资安合格性证书，加速提升厂房整体资安防护水平。同时，也计划在2024年将相关参考规范与认证机制，推向全世界的半导体上下游伙伴，以期共同打造坚韧的资安联防堡垒。

SEMI全球行销长暨台湾区总裁曹世纶指出，半导体制造业纷纷加速数位转型脚步，使IT、OT与云端的数据整合日益重要，但资安防护的难度有增无减。SEMI台湾半导体资安委员会持续推进SEMI?E187标准完备性，对于全球半导体供应链的资安防护带来极大贡献。

SEMI台湾半导体资安委员会主席暨台积电企业资安处长屠震表示，半导体业过去缺乏一致性资安标准、或因机台老旧无法更新，使相关设备与节点暴露在高风险环境下，供应商、员工或承包商都可能成为资安破口，动辄影响营运、造成财损或伤害品牌信誉与合作关系。

屠震指出，「半导体制造环境资讯网路安全参考架构」提出更具结构化的网路安全设计，不仅有助于了解工厂内所有网路资产状况，也能洞察这些资产及在网路中的通讯状况，可保护设备免受恶意软体带来的各种威胁。