SEMI E187 是半導體產業設備資安的重要標準,正式名稱為「Specification for Cybersecurity of Fab Equipment」。隨著台積電、三星等晶圓代工廠將 SEMI E187 合規列為供應商資格要求,台灣的半導體設備商與材料廠商面臨空前的合規壓力。本文提供從評估到導入的系統性指南,協助廠商有效規劃合規路線圖。
什麼是 SEMI E187?
SEMI E187 由國際半導體產業協會(SEMI)制定,於 2022 年正式發布,專門針對半導體製造設備的資安要求。與一般 IT 安全標準不同,SEMI E187 充分考量了 OT 環境的特殊性:設備必須 24/7 運作、不能輕易停機、韌體更新有嚴格限制等。
SEMI E187 涵蓋四大核心面向,每個面向都有具體的技術要求,缺一不可:
- 面向一:作業系統安全(OS Security)——設備軟體強化與漏洞管理
- 面向二:網路安全(Network Security)——設備通訊加密與網路隔離
- 面向三:端點保護(Endpoint Protection)——惡意程式防護與應用程式控制
- 面向四:安全監控(Security Monitoring)——日誌管理與異常事件告警
面向一:作業系統安全
這是 SEMI E187 中最基礎也最難實施的面向,因為許多半導體設備使用 Windows 7 甚至更老的作業系統,廠商已停止安全更新。具體要求包括:
- 停用不必要的 OS 功能和服務(如 Telnet、FTP、SMBv1)
- 強制執行強密碼政策(最低 12 位元,定期更換)
- 實施最小權限原則(每個帳號僅擁有執行其功能所需的最低權限)
- 建立帳號稽核機制,記錄所有登入活動
- 定期進行漏洞評估,對高危漏洞訂定修補時程
針對無法升級 OS 的設備,可採用應用程式白名單(等應用程式白名單工具)作為補償控制措施,阻止任何未經授權的程式執行,實現「虛擬修補」的效果。
面向二:網路安全
SEMI E187 要求設備必須能夠在獨立的網路區段中運作,並對外部通訊進行嚴格控制:
- 設備必須支援網路分段部署(不得與企業 IT 網路直接互通)
- 遠端維護連線必須使用加密協議(禁止 Telnet,要求 SSH 或 HTTPS)
- 設備應配置本地防火牆,限制不必要的網路連線
- 對所有遠端存取實施多因子驗證或強認證機制
- 定期稽核所有具備遠端存取權限的帳號
面向三:端點保護
在無法安裝傳統防毒軟體的設備上,SEMI E187 接受以下替代方案:應用程式白名單機制(阻止未授權程式執行)、USB 儲存媒體的嚴格存取控制(限制或全面禁用)、惡意程式掃描在離線模式執行(不影響生產)。
建議廠商在導入 E187 之前,先針對所有設備進行一次全面的惡意程式掃描,確保在建立白名單之前環境是乾淨的。
面向四:安全監控
所有設備必須能夠產生安全日誌,並支援日誌集中收集與分析:
- 系統登入/登出紀錄(含失敗嘗試)
- 重要配置變更紀錄
- 安全事件告警(異常登入、服務中斷等)
- 遠端存取紀錄(含存取者身份與時間戳記)
日誌保存期限最少 90 天,高風險事件紀錄建議保存 1 年。日誌必須能夠匯出至集中式 SIEM 或 Syslog 伺服器,以便稽核時提供完整的可追溯性。
台灣廠商常見的合規缺口
根據 Hexion Networks 對台灣半導體設備廠商進行的合規評估,以下是最常見的缺口項目:
| 合規面向 | 常見缺口 | 嚴重度 |
|---|---|---|
| 作業系統安全 | 使用停止支援的 Windows 7/XP 且無補償控制措施 | 高 |
| 作業系統安全 | 預設帳號未停用,密碼為廠商出廠預設值 | 高 |
| 網路安全 | 設備直接連接 IT 網路,無有效的網路分段措施 | 高 |
| 網路安全 | 遠端維護使用明文協議(Telnet、FTP) | 高 |
| 端點保護 | 設備 USB 埠未管控,可任意接入未經授權的儲存裝置 | 中 |
| 安全監控 | 未設定日誌集中收集,本機日誌空間不足導致紀錄遺失 | 中 |
| 安全監控 | 無即時告警機制,資安事件發現嚴重延遲 | 低 |
系統性導入路線圖(12 個月)
第一階段(第 1-2 個月):評估與盤點
- 進行完整的 OT 資產盤點,建立所有設備清單(含 OS 版本、韌體版本、網路連線方式)
- 對照 SEMI E187 四大面向進行詳細缺口分析,評分每個要求項目的現況
- 依據缺口嚴重度與修補難度排定優先順序
- 評估預算需求並取得管理層支持,制定專案時程
第二階段(第 3-6 個月):高風險缺口修補
- 部署工業防火牆(如工業級 NGFW),實施 IT/OT 網路分段
- 停用所有設備的 Telnet/FTP 服務,強制使用 SSH 進行遠端維護
- 更改所有預設密碼,建立密碼複雜度政策
- 對無法升級 OS 的設備部署應用程式白名單(等應用程式白名單工具)
- 實施 USB 存取控制或停用未使用的 USB 埠
第三階段(第 7-9 個月):監控體系建立
- 部署日誌集中管理系統(Syslog Server 或輕量級 SIEM)
- 設定關鍵安全事件的即時告警(登入失敗、配置變更、服務中斷)
- 建立設備安全狀態儀表板,提供單一視窗檢視
- 進行第一次內部合規稽核,驗證改善成效
第四階段(第 10-12 個月):稽核準備與交付
- 整理完整的合規文件包(政策文件、程序文件、稽核記錄、矯正預防報告)
- 進行預稽核演練,識別殘餘缺口並進行補強
- 準備供客戶稽核的展示環境與技術文件
- 訓練相關人員回應稽核問題
「SEMI E187 合規不是一次性的認證,而是持續的安全管理過程。通過稽核只是起點,之後需要持續維護合規狀態並應對新的威脅與標準更新。E187 v2 已在規劃中,合規要求只會更嚴格。」
Hexion Networks 提供完整的 SEMI E187 合規評估與導入服務,包括現場評估、缺口分析報告、技術解決方案建議,以及稽核準備全程支援。歡迎聯繫我們的 OT 資安顧問,了解針對貴公司設備環境的客製化合規方案。