SEMI E187 是由國際半導體產業協會(SEMI)制定的半導體設備資安標準,正式名稱為「Specification for Cybersecurity of Fab Equipment」。隨著台灣主要半導體廠商相繼要求設備供應商通過此標準認證,SEMI E187 已成為台灣半導體供應鏈的重要資安門檻。
SEMI E187 的背景與重要性
半導體製造設備直接控制晶圓廠的核心生產流程,一旦遭受網路攻擊,輕則造成生產中斷,重則導致昂貴設備損毀或機密製程技術外洩。2018 年台灣某頂尖晶圓廠遭受 WannaCry 變種攻擊,造成逾 60 億台幣損失,成為推動 SEMI E187 制定的重要催化劑。
市場趨勢:台灣主要晶圓廠已將 SEMI E187 合規納入設備採購規範,預估 2026 年底前,80% 以上的新進廠設備將需通過此認證。
SEMI E187 的四大核心要求
- 作業系統強化(OS Hardening):關閉不必要的服務與連接埠、啟用自動安全更新、部署端點保護軟體
- 網路安全配置:設備必須支援網路存取控制,能與工廠防火牆整合,限制未授權的網路連線
- 軟體清單管理(SBOM):設備製造商必須提供完整的軟體元件清單,便於廠商追蹤已知漏洞
- 資安事件回應:設備必須支援日誌記錄與稽核功能,便於事件調查與合規驗證
合規挑戰:老舊設備的困境
大量現役半導體設備運行著 Windows XP、Windows 7 等已停止支援的作業系統,這些系統無法直接滿足 SEMI E187 的作業系統強化要求。針對此類設備,常見的合規策略是在設備外側部署網路型資安設備(如具備 Hardware Bypass 的 NGFW),形成「補丁式」防護,以非侵入方式滿足合規要求而不影響設備本身的穩定運作。
NGFW 在 SEMI E187 合規中的角色
針對 OT 環境設計的 NGFW 設備,能夠在以下幾個維度協助半導體廠達成 SEMI E187 合規:網路邊界防護(防止未授權存取)、工業協議監控(識別異常 Modbus/EtherNet/IP 指令)、日誌記錄與稽核報告,以及 Hardware Bypass 確保設備故障時不影響產線。