Introduction to SEMI E187-Specification for Cyber Security of Fab Equipment

Introduction to SEMI E187-Specification for Cyber Security of Fab Equipment
▍想分享這門課的原因?

近年資安威脅無所不在,常聽到很多半導體大廠遭到駭客攻擊,為更有效提升產業供應鏈安全,催生出台灣首個半導體晶圓設備資安標準 SEMI E187 - Specification for Cybersecurity of Fab Equipment(以下簡稱SEMI E187),同時也是少數由台灣主導制定的全球性產業標準之一。

這堂課程雖然很短,但就SEM E187的規範通盤的介紹與說明,也是讓第一次聽到的我可以更新自己的產業知識:

  1. 強化安全意識:學習SEM E187規範能夠提升人們對半導體設備網路安全的認識,進而提高安全意識,對於公司和個人的資料安全至關重要。
  2. 分享最新知識:這門課程介紹了SEM E187規範的框架、範圍和四大主要方面,使參與者能夠全面了解半導體設備網路安全標準。分享這門課程可以幫助他人了解最新的資訊和知識,並與同行進行交流,促進共同學習和進步。

course_009_01

▍從這門課中獲得的收穫
  1. 全面了解SEM E187規範:通過課程學習,參與者可以深入了解SEM E187規範的框架(Framework )、範圍(Scope )和應用(Four Aspects and Application ),掌握半導體設備網路安全的相關知識。

    course_009_02

  2. 實際應用能力提升:課程中介紹了SEM E187規範的實際應用,包括安全通訊流程、弱點掃描、Log儲存機制等,參與者可以學習到如何在實際工作中應用這些知識,提升自己的技能和能力。

  3. 如何執行SEMI E1871作業流程

    1. 廠商要提供OS超過12個月以上的安全更新,並且同步提供如何更新&驗證機制提供給半導體廠。
    2. 提供加密的通訊流程,設備廠商要提供安全的網路設定。
    3. 設備上線之前,就必須要同時進行弱點掃描動作,並且檢附弱點掃描與惡意程式掃描結果。並提供報告給客戶如何強化該設備的網路安全指引。
    4. 設備要能夠規劃Log儲存的機制,讓Log至少要能保存12個月以上的紀錄,並且具備Log匯出的功能,讓使用者可以匯出到外部平台分析與保存。
  4. 跟隨行業趨勢:SEM E187規範已經成為半導體行業的標準之一。如課程最後有提到台積電在去年就將SEMI E187訂為標準規範,要求設備商都必須要遵守,也做為業界得標竿。

    course_009_03

▍後記

總結一下,上完這堂課對SEM E187規範有最基礎的認知,對於設備開發商來說,至少聽到SEM E187要有一定得認知,才不會被客戶覺得不專業沒sense XD

回到自己的工作領域,SEM E187有提到在作業系統(OS)的維護週期與安全性更新有一定的要求,這也就反應在系統設計初期,除了要選用工業電腦(IPC)外,也要知道與供應商(ex. 研華)討論產品生命週期等相關議題。 而在Secure protocols 這部分,課堂中點到了一個很重要的觀點,多半設備商在開發初期都會以明碼(未加密)作為初期設計的架構。

套用到通訊資安協定上,使用未加密的通訊協定,容易讓駭客竊取資料,雖然說半導體廠多半是封閉的環境,但為避免有心人操作,設備商在開發階段就要將資安控管機制加入,尤其是一些高階製程的recipe,都極具機密性,這塊更不能掉以輕心。

comments powered by Disqus
>