苏州众里数码半导体行业信息安全专家

服务热线:18625216903
众里成立8大社群,1000+CIO人才构建行业生态链

【干货】独家解读-首个国际半导体设备安全标准: Semi-E187

2022-04-20

历经三年制定,国际半导体产业协会(SEMI)于2022年1月发布首个半导体晶圆设备资安标准。

这一标准的发布,对于半导体行业来说,是一件非常值得关注的事。针对这一标准的具体内容,苏州众里作为业内专注半导体企业信息安全解决方案供应商,第一时间联系到Semi协会,并付费获取了标准的全部内容,在内部进行过细致的学习和分析后。确定通过线上会议的方式,在3月17日与业内同仁分享。

1

在3月17日的这场苏州众里主办的线上安全讲坛中,就Semi-E187 机台国际安全标准,苏州众里技术总监蔡体智蔡总就这一标准做了详细的解读。

会议的进程从两大部分正式开始,即Semi-E187机台安全标准解读和当下机台安全问题应对,这两点相信都是大家非常关注和想要了解的内容。

Semi-E187 机台安全标准解读

会议中讲师蔡总由浅入深地从Semi-E187的由来、适用范围,到操作系统(OS)支持、网络安全、端点保护、安全监控这几个方面,全方位地对这个机台标准做了深度的解读。以下就该标准的内容做一个简单的说明。

Semi-E187的由来

Semi-E187的由来是因为在18年8月,台积电遭遇的电脑病毒感染事件,导致部分电脑与机台受到严重影响,使得高科技业机台资安问题浮上台面。到了18年9月,由台积电的大力推动,在SEMI国际半导体组织标准平台下,筹划了资安工作小组。

2

这个小组的参与成员有:台积电、联电、日月光、力积电、南亚科、应用材料、台达电等等,早期的时候还有Intel、华邦电、趋势科技等等。

在2021年6月的时候,SEMI资安委员会正式成立,主要负责推动全面落实资安与供应链的安全,而本次会议为大家解读的标准也于2022年1月正式上架。

Semi-E187适用范围

对于该标准总共阐述的12个重点,苏州众里已经为大家展示在课件里,适用对象是半导体设备厂或供应商。本次线上会议来参会的大多都是Fab厂的,而这个标准恰恰是提供了一个最为基础的要求,相比参照之下,现有的企业机台安全防护整体水平是落后的,甚至远低于这个标准提出的要求。

3

会议进行的过程中,可能有的参会同仁觉得这个标准的应用难以落实,其实不然。比如对于采购人员来说,产线再需要采购机台的话,这个Semi-E187的标准要求就可以加入到采购要求里。

Semi-E187:操作系统(OS)支持要求

Fab设备的计算机操作系统通常面临着从寿命结束或没有更新补丁来修复漏洞的挑战。同时恶意软件可能会利用漏洞攻击设备,导致系统崩溃和操作中断。在这种情况下,如果安全更新和补丁管理依然没有做好的话,一旦出事,后果就会非常严重。这个不是危言耸听,也不是没有前车之鉴,比如之前永恒之蓝的漏洞,勒索病毒进来后一马平川,导致了相当严重的后果。

4

Semi-E187标准要求设备供应商不得交付操作系统供应商不支持的操作系统设备(例如:已结束支持) 。设备供应商应提供应用补丁或安全更新的程序,包括评估软件兼容性、软件包依赖性、性能影响以及应用补丁或安全更新的副作用的信息。

对于一些操作系统停更的机台,蔡总提出了他的建议,可以用两种手段来弥补、预防被攻击,即应用程序白名单和机台IPS。白名单通常可以支持比较老旧的操作系统,对机台工作负荷也影响很小。对于不能装软件的机台,可以加装IPS,阻断机台的被攻击行为。

Semi-E187:网络安全要求

Semi-E187标准要求提供web服务、文件传输和终端服务(telnet)应用的设备应支持安全传输协议,如超文本传输协议HTTPS、安全文件传输协议SFTP和安全外壳协议SSH。

而设备供应商应提供网络配置文件,包括网络协议/端口使用情况,并提供受支持时更改网络配置的维护说明。(如更改网络端口分配)

Semi-E187:端点保护要求

其实机台就是一个端点,Semi-E187标准比较关注漏洞和恶意软件。Semi-E187标准要求设备供应商应在设备装运前进行漏洞扫描,并提交扫描报告,包括扫描工具的名称和版本、扫描覆盖范围和扫描日期。根据通用工业漏洞评分标准,不得出现较严重漏洞。

设备供应商应在设备装运前进行恶意软件扫描,并提交扫描报告,包括扫描工具的名称和版本、扫描覆盖范围和扫描日期。

5

Semi-E187标准要求设备供应商应提供文件,说明工厂设备的兼容反恶意软件解决方案。对于装防毒软件和白名单之间的选择,相比而言白名单对机台的影响更小,兼容性更好,也不会出现误杀,但要注意白名单部署之前需要进行杀毒软件的扫描,确认无风险后再进行部署。

认证机制应用于操作系统和设备访问控制。认证如果太单一,还是比较危险的,关键的操作安全性会很低。

Semi-E187标准要求设备供应商支持特权帐号跟一般操作帐号权限分开,以支持职责隔离和最小特权政策。

Semi-E187:安全监控要求

Semi-E187标准要求Fab设备应能够记录和导出系统的和应用安全事件日志,事件日志的类型应包括访问控制、配置变更和系统错误,事件日志应包括事件类型、事件描述、用户账户和时间戳。

6

Semi-E187总结

Semi-E187主要还是从OS支持、网络安全、端点保护、安全监控这四个方面提出的12点规范要求,针对这些规范要求,蔡总也根据自己的理解整理了下面的表格,既能帮助大家理解,也抓住了重点内容,让大家一目了然。

7

当下机台安全问题的应对

会议中有CIO提问,当下机台安全很多现状的问题该怎么处理?针对这部分,苏州众里以多年半导体信息安全的经验,给大家关心的四点机台安全相关问题提出了建议:

8

1、机台入厂安全流程怎么做?

蔡总建议,整个机台入厂过程建议由3人协作完成,分别负责设备扫毒、拍照记录、监督,这样确保执行能到位。机台先离线操作、再独立网操作、最后到生产网操作。

2、FAB机台怎么保护?

在机台保护的问题上,蔡总提出了众里Fab机台保护四段论:

9

3、怎么防止机台屏幕画面被偷窥?

业界有两种主要的做法:通过对不同权限RFID感应对应屏幕的开关是一种方式。另众里自有方案是:雾化玻璃,权限对的人,玻璃导电则可以看屏幕;权限不对的人,玻璃不导电则只看到雾化玻璃。相对前者众里雾化玻璃的方案则无需改造机台,独立运行,可直接挂上一片玻璃即可。

10

4、疫情当下,如何确保远程调试机台的安全?

疫情的影响可以说是涉及到了方方面面,在调试机台的场景下,没有疫情的时候,外部厂商通常是带着设备来调试。疫情期间,蔡总提出苏州众里的方案是通过专用隔离网络中的电讯号的物理隔离,以此可以确保外部厂商的潜在泄密威胁,从而实现远程调试机台的需求和安全性的保障。

11

由于篇幅有限,本文也只是对会议内容做了一个简要的阐述,想了解会议详情可与苏州众里客服联系,获取会议的资料及视频链接获取详情内容,有任何需求也可与其官方人员联系。

结论

本次苏州众里安全论坛会议在讲师、学员们意犹未尽的讨论声中,拉上了帷幕,本次会议有近百位半导体行业的大企业的It负责人、CEO参与。

众里在这里将Semi-E187 半导体机台安全这一重磅国际标准给大家详细解读,可以更好地帮助企业信息安全负责人去反思自身企业机台的安全问题,并及时地发现和处理。

专注于半导体行业信息安全的苏州众里愿意充当帮手的来更多的协助。最新行业信息及资料随时会公告在”众里数码”公众号中,二维码如下,欢迎大家关注。

12

下次我们线上会议将邀请到行业资深CIO给大家分享<>,名额有限,机会难得,希望大家关注公众号报名信息或联系众里客服18625216903(同微信)。

相关推荐
  • 2014.01.05

咨询热线

18625216903