历经三年制定，台积电透露半导体资安标准将在今年12月发布

自2018年8月台积电爆发机台中毒事件，不仅让产线机台以及IT与OT环境的资安议题成为焦点，为解决高科技产业资安防护难题，台湾半导体界在2019年也凭借自身影响力，推动晶圆设备资安标准（案号6506：Activity Start: 2019/01/01）制定，让半导体产业供应商能够遵循。

值得关注的是，这项晶圆设备资安标准从草案开始即备受关注，去年底一度传出可能有结果，终于，历经多次来回提交SEMI修改，在近日举办的SEMICON Taiwan线上资安趋势高峰论坛上，台积电企业资讯安全处长屠震公开透露，这项标准将在2021年底12月正式发布，同时SEMI台湾资安委员会在今年已经成立，他也是该委员会的首届主席，不仅将推动SEMI晶圆设备资安标准，他们已规划4大聚焦面向，目的是要提升供应商与产业供应链的整体安全。今后可预期的是，随着产业标准的公布，这意谓著，可以帮助供应商对于设备的资安防护设计，能有标准能依循，成为一个基本水准，而企业在采购合约上，也能以此标准作为资安要求。

屠震表示，在SEMI台湾资安委员会的4大聚焦面向中，首要就是资安标准的推动与导入，需要建立参考架构及开发解决方案，在此方面，他指出，委员会初期的任务，就是制定SEMI晶圆设备资安标准（Fab & Equipment Security Standards），而这项计划之前就已经在进行，并且会在今年12月举办标准发布会。

关于这项晶圆设备资安标准的内容，他也做出简单的说明，当中涵盖了6大面向，举例来说，包括在机台设备电脑操作系统方面，要能提供长期支援的版本；网络安全方面要有入侵侦测、安全闸道，并限制避免使用高风险的TCP/UDP连接埠；端点安全需要防毒或应用程序白名单；身份识别与存取管理需要账号与特权管理；应用程序安全需要软件弱点扫描；以及资安监控需要针对资安资讯与事件管理的API等。

屠震表示，今后有了这项产业上的资安标准，希望足以引导供应链在资安防护上带来长期可用性，包括更新修补、病毒防护与网络存取控制，并在早期设计阶段，就要建立起安全，例如设备设计时就限制高风险连接埠，且要针对主流硬件与操作系统的产品开发生命周期，进行评估或认证。

在2018年台积电机台中毒事件后，我们注意到台湾半导体产业对于资讯安全议题的重视，在2019年工研院资通所副组长卓传育就曾揭露这项标准的制定进度与目标。简单来说，此标准在2019年1月正式由SEMI台湾的技术委员会发起，成立晶圆厂及设备资讯安全任务小组（Fab & Equipment Information Security Task Force）。案号6506的SEMI晶圆设备资安标准，自2018年底开始筹画，2019年1月1日正式启动。

在2021年10月下旬举行的SEMICON Taiwan线上资安趋势高峰论坛上，台积电企业资讯安全处长屠震公开透露，这项标准将在2021年底12月正式发布，届时并将举办标准发布会。