台积电工业网络安全事件概述与解决方案
1、事件概述
8月3日晚间,全球晶圆代工龙头企业台积电位于台湾新竹科学园区的12寸晶圆厂和营运总部网络遭病毒攻击,导致生产线全数停摆。几小时后,台积电位于台中科学园区的Fab 15厂,以及台南科学园区的Fab 14厂也陆续遭到病毒攻击,使得台积电在台湾北、中、南三处重要生产基地的核心工厂全部沦陷,产线全部停摆。
每年第三季度是台积电的生产旺季,以苹果、高通、华为海思为代表的智能手机芯片及厂商在此时期都会进行产品迭代,发布新型手机或芯片,晶圆工厂也因此进入备货旺季。此时台积电产线出现网络安全问题,将对工厂以及下游手机厂商经济效益带来一定的冲击,据台积电自身推算,此次事件将冲击第三季度营收的3%,约87亿元新台币,折合人民币19亿元。另外,对于病毒发作之前生产的晶圆需要进行重新检查,以确定病毒在隐形发作中可能对晶圆质量产生的不良影响,目前报废晶圆数量已超过一万片。
2、事件起因
以半导体、智能制造为代表的高科技工业企业,经常成为不法分子关注的焦点,为了窃取关键技术和机密,仅一个大型半导体企业每天遭受的网络攻击就高达数千次。
对于此次事件,台积电官方称这次攻击的起源在于某个新上线的机器已经被感染,原本流程是机器必须经过安全检查才上线,但是这次未经网络隔离和防毒系统处理违反上线流程,在人为疏忽的情况下带毒机器被直接连接台积电内网,由于厂区内网存在互通,导致某台设备感染后迅速传播到整个内网的其他设备。
3、安全建议与防护措施
1) 安全分区
将不同厂区按照工艺流程以及地理位置进行大区划分,同时对生产网进行安全域划分,在区域间部署工业防火墙,防止由于单点网络攻击造成的全局网络问题。
2) 监测审计
在各安全大区、安全域部署工业业务审计和安全监测系统,对工业业务流程以及网络流量进行安全监测,及时发现不良设备接入、病毒入侵、扩散等行为,并将其控制在一定区域内。
3) 主机安全
在主机系统部署白名单软件,通过白名单机制防止病毒木马感染运行以及主机远程攻击的发生,消除恶意软件的传播载体。
主机设备以及存储介质采取异构查杀机制,在适当环境下设置独立杀毒主机,并在主机内部署安装两种或以上不同类型杀毒软件,对文件、软件进行上线或传输前的安全检查。同时,杀毒主机保持病毒库的及时更新。
4) 安全管理
通过安全管理平台实现对全局安全态势的动态实时感知,将工业防火墙、安全审计、安全监测、主机防护等安全措施进行安全功能集成,从而形成防护、检测、管理响应的动态安全闭环体系。
英赛克科技(北京)有限公司,是一家专业从事工业协议深度分析和工业互联网安全产品设计研发的创新性高科技企业。公司秉承自主设计、自主研发、安全可靠的技术理念,形成了以工业网络安全产品、工业网络安全服务、工业互联网技术研究等具有自身特点和优势的产品技术体系。自创立以来,英赛克始终履行“保障工业控制系统安全可靠运行”的公司使命,坚持技术创新,为电力、石化、交通、煤炭、冶金、烟草、智能制造及军工核电等行业用户,提供完全自主知识产权的工业互联网安全整体解决方案。