历经三年制定，台积电透露半导体资安标准将在今年12月发布

晶圆设备资安标准（Fab & Equipment Security Standards）从草案开始即备受关注，去年底就传出可能有结果，历经多次来回提交 SEMI修改，近日台积电企业资讯安全处长屠震公开透露，此标准将在2021年底发布。

自2018年8月台积电爆发机台中毒事件，不仅让产线机台以及 IT与OT环境的资安议题成为焦点，为解决高科技产业资安防护难题，台湾半导体界在2019 年也凭借自身影响力，推动晶圆设备资安标准（案号6506:Activity Start: 2019/01/01）制定，让半导体产业供应商能够遵循。

值得关注的是，这项晶圆设备资安标准从草案开始即备受关注，去年底一度传出可能有结果，终于，历经多次来回提交SEMI修改，在近日举办的SEMICON Taiwan 国际在线资安趋势高峰论坛上，台积电企业信息安全处长屠震公开透露，这项标准将在2021年底12月正式发布，同时 SEMI台湾资安委员会在今年已经成立，他也是该委员会的首届主席，不仅将推动SEMI晶圆设备资安标准，他们已规画4 大聚焦面向，目的是要提升供应商与产业供应链的整体安全。今后可预期的是，随着产业标准的公布，这意谓着，可以帮助供应商对于设备的资安防护设计，能有标准能依循，成为一个基本水准，而企业在采购合约上，也能以此标准作为资安要求。

屠震表示，在SEMI台湾资安委员会的4大聚焦面向中，首要就是资安标准的推动与导入，需要建立参考构架及开发解决方案，在此方面，他指出，委员会初期的任务，就是制定 SEMI晶圆设备资安标准（Fab & Equipment Security Standards），而这项计划之前就已经在进行，并且会在今年12 月举办标准发布会。

关于这项晶圆设备资安标准的内容，他也做出简单的说明，当中涵盖了6大面向，举例来说，包括在机台设备电脑操作系统方面，要能提供长期支持的版本；网络安全方面要有入侵侦测、安全网关，并限制避免使用高风险的 TCP/UDP连接埠；端点安全需要防毒或应用程序白名单；身份识别与存取管理需要帐号与特权管理；应用程序安全需要软件弱点扫描；以及资安监控需要针对资安信息与事件管理的API等。

屠震表示，今后有了这项产业上的资安标准，希望足以引导供应链在资安防护上带来长期可用性，包括更新修补、病毒防护与网络访问控制，并在早期设计阶段，就要建立起安全，例如设备设计时就限制高风险连接埠，且要针对主流硬件与操作系统的产品开发生命周期，进行评价或认证。

在2018年台积电机台中毒事件后，我们注意到台湾半导体产业对于信息安全议题的重视，在2019 年工研院资通所副组长卓传育就曾揭露这项标准的制定进度与目标。简单来说，此标准在2019年1月正式由 SEMI台湾的技术委员会发起，成立晶圆厂及设备信息安全任务小组（Fab & Equipment Information Security Task Force）。案号 6506的SEMI晶圆设备资安标准，自2018 年底开始筹画，2019年1月1 日正式启动。

在2021年10月下旬举行的 SEMICON Taiwan在线资安趋势高峰论坛上，台积电企业资讯安全处长屠震公开透露，这项标准将在2021年底12 月正式发布，届时并将举办标准发布会。