《產業》SEMI公佈參考架構 助建半導體制造資安堡壘

工業4.0及數位科技興起，使資訊科技（IT）與營運科技（OT）走向互聯，越來越多的系統、資產、人員和機器相互連接，雖大幅增加生產力，卻也使網路攻擊風險指數級增加，一旦任何環節出現漏洞，很容易成爲惡意攻擊或勒索軟體鎖定目標。

據趨勢科技「預先防範風險：2023上半年資安總評」報告指出，臺灣今年上半年偵測到的惡意連結達4400萬筆，高居全球第三。Fortinet公佈的「2023上半年全球資安威脅報告」也顯示，臺灣上半年平均每秒就有近1.5萬次攻擊發生，高居亞太之冠、且年增逾8成。

同時，駭客手法正從隨機入侵轉變成針對性攻擊，以追求經濟利益極大化。除了勒索軟體組織不斷精進攻擊手法，生成式AI工具也大量運用於提高虛擬犯罪效率，同時利用常見的企業軟體漏洞，從資料加密轉向資料竊取。

有鑑於此，SEMI繼公佈SEMI E187標準基本實施檢核表及半導體資安風險評級服務後，再特別提出「半導體制造環境資訊網路安全參考架構」，針對半導體制造環境定義出一套通用且最低限度的安全要求，使企業資安管理者可據此妥善評估，並制定相關策略及補救措施。

「半導體制造環境資訊網路安全參考架構」包括電腦作業系統規範、網路安全、端點保護、資訊安全監控等四大層面，並採用業界熟悉的普渡模型（Purdue Model），涵蓋第0～5層的IT、OT與工控場域，逐一提出相關參考架構。

SEMI建議供應鏈應將SEMI E187列爲採購規格，並鼓勵更多半導體設備廠取得資安合格性證書，加速提升廠房整體資安防護水平。同時，也計劃在2024年將相關參考規範與認證機制，推向全世界的半導體上下游夥伴，以期共同打造堅韌的資安聯防堡壘。

SEMI全球行銷長暨臺灣區總裁曹世綸指出，半導體制造業紛紛加速數位轉型腳步，使IT、OT與雲端的數據整合日益重要，但資安防護的難度有增無減。SEMI臺灣半導體資安委員會持續推進SEMI?E187標準完備性，對於全球半導體供應鏈的資安防護帶來極大貢獻。

SEMI臺灣半導體資安委員會主席暨臺積電企業資安處長屠震表示，半導體業過去缺乏一致性資安標準、或因機臺老舊無法更新，使相關設備與節點暴露在高風險環境下，供應商、員工或承包商都可能成爲資安破口，動輒影響營運、造成財損或傷害品牌信譽與合作關係。

屠震指出，「半導體制造環境資訊網路安全參考架構」提出更具結構化的網路安全設計，不僅有助於瞭解工廠內所有網路資產狀況，也能洞察這些資產及在網路中的通訊狀況，可保護設備免受惡意軟體帶來的各種威脅。