半導(dǎo)體晶圓廠的安全防護(hù)之道

（本文編譯自Electronic Design）

近幾年，針對(duì)大型晶圓廠的網(wǎng)絡(luò)攻擊時(shí)間層出不窮。

半導(dǎo)體晶圓廠又是全球科技供應(yīng)鏈的核心支柱，隨著這類設(shè)施被納入關(guān)鍵基礎(chǔ)設(shè)施范疇，其也成為網(wǎng)絡(luò)威脅的主要目標(biāo)。對(duì)于芯片制造商而言，保障生產(chǎn)持續(xù)運(yùn)行的重要性不言而喻。

大型晶圓廠的生產(chǎn)中斷每小時(shí)會(huì)造成數(shù)百萬美元損失，任何生產(chǎn)故障都可能引發(fā)全球性的連鎖反應(yīng)。如今，芯片及其制造晶圓廠又成為地緣政治競(jìng)爭(zhēng)的焦點(diǎn)，這讓局面變得愈發(fā)復(fù)雜。

為應(yīng)對(duì)此類風(fēng)險(xiǎn)，芯片行業(yè)正重新審視晶圓廠的安全防護(hù)策略。行業(yè)組織與各國(guó)政府正搭建相關(guān)框架，助力保障晶圓廠工業(yè)控制系統(tǒng)的安全。這類系統(tǒng)是監(jiān)測(cè)并管控芯片制造流程的核心設(shè)備。

2023年末，國(guó)際半導(dǎo)體產(chǎn)業(yè)協(xié)會(huì)（SEMI）發(fā)布了對(duì)應(yīng)的實(shí)施藍(lán)圖：《半導(dǎo)體制造環(huán)境網(wǎng)絡(luò)安全參考架構(gòu)（1.0版）》，明確了芯片企業(yè)如何將“零信任”和“縱深防御”原則直接應(yīng)用于生產(chǎn)運(yùn)營(yíng)。

在此基礎(chǔ)上，日本經(jīng)濟(jì)產(chǎn)業(yè)省于2025年10月發(fā)布了《半導(dǎo)體器件工廠工業(yè)控制系統(tǒng)安全指南（1.0版）》。該指南參考了SEMI的上述架構(gòu)，同時(shí)與國(guó)際半導(dǎo)體產(chǎn)業(yè)協(xié)會(huì)E187/E188標(biāo)準(zhǔn)、美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)絡(luò)安全框架2.0版保持一致。日本經(jīng)濟(jì)產(chǎn)業(yè)省表示，該安全指南未來或納入投資扶持政策的硬性要求，以此為晶圓廠落實(shí)合規(guī)要求提供財(cái)務(wù)層面的激勵(lì)。

企業(yè)當(dāng)前可在晶圓廠落地多項(xiàng)切實(shí)可行的解決方案——可將其稱為“安全支柱”，借此順應(yīng)這一全球安全防護(hù)趨勢(shì)，保障廠區(qū)生產(chǎn)安全。這些方案包括網(wǎng)絡(luò)微分段、老舊設(shè)備防護(hù)以及特權(quán)訪問管控等。

晶圓廠生產(chǎn)區(qū)為何需要專屬的安全防護(hù)方案

半導(dǎo)體晶圓廠的運(yùn)營(yíng)環(huán)境具有獨(dú)特性，對(duì)持續(xù)運(yùn)行和精密操作有著嚴(yán)苛要求。安全防護(hù)措施的設(shè)計(jì)必須兼顧核心資產(chǎn)保護(hù)與高產(chǎn)量敏感生產(chǎn)流程的無縫運(yùn)轉(zhuǎn)，不可造成任何干擾。

廠內(nèi)諸多設(shè)備常年不間斷全天候運(yùn)行，其搭載的操作系統(tǒng)往往早已不再獲得廠商的補(bǔ)丁更新。與此同時(shí)，工廠的自動(dòng)化生產(chǎn)體系要求數(shù)千個(gè)終端設(shè)備實(shí)現(xiàn)無縫互聯(lián)，這其中既包括光刻設(shè)備，也涵蓋物料搬運(yùn)系統(tǒng)。

這樣的運(yùn)營(yíng)環(huán)境形成了一個(gè)龐大的攻擊面，其特征為網(wǎng)絡(luò)架構(gòu)復(fù)雜、老舊資產(chǎn)缺乏防護(hù)、廠商賬戶處于無管控狀態(tài)。其他行業(yè)曾發(fā)生的安全事件（例如挪威水電集團(tuán)和JBS肉類加工企業(yè)遭遇的勒索軟件攻擊）足以說明，生產(chǎn)運(yùn)營(yíng)中斷會(huì)帶來難以挽回的經(jīng)濟(jì)損失和聲譽(yù)損害。而對(duì)于晶圓廠而言，每一批晶圓都承載著無可替代的知識(shí)產(chǎn)權(quán)，其所面臨的風(fēng)險(xiǎn)更是呈指數(shù)級(jí)攀升。

第一大安全支柱：網(wǎng)絡(luò)微分段，遏制黑客攻擊范圍

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)往往大范圍互聯(lián)互通，一旦單個(gè)資產(chǎn)遭入侵，攻擊者便能輕易在設(shè)備間橫向移動(dòng)。網(wǎng)絡(luò)微分段則是一種強(qiáng)效應(yīng)對(duì)手段，它將整體網(wǎng)絡(luò)劃分為多個(gè)小型獨(dú)立安全區(qū)域，并對(duì)區(qū)域間的通信實(shí)施嚴(yán)格管控。

晶圓廠要實(shí)現(xiàn)微分段的有效落地，首先需為光刻、刻蝕、量測(cè)、自動(dòng)化物料搬運(yùn)系統(tǒng)（AMHS）、廠區(qū)監(jiān)控與控制系統(tǒng)等各工藝環(huán)節(jié)劃定安全區(qū)域，同時(shí)記錄所有經(jīng)批準(zhǔn)的數(shù)據(jù)流。其次，在區(qū)域邊界執(zhí)行默認(rèn)拒絕策略，僅允許通過驗(yàn)證的協(xié)議與連接通行。在這些邊界部署虛擬補(bǔ)丁或入侵防御系統(tǒng)，還能攔截針對(duì)未打補(bǔ)丁設(shè)備的已知攻擊手段。

最后，借助硬件旁路與冗余連接構(gòu)建抗風(fēng)險(xiǎn)能力，可確保設(shè)備維護(hù)或故障期間生產(chǎn)持續(xù)平穩(wěn)運(yùn)行。實(shí)施這一系列措施后，不僅能提升生產(chǎn)穩(wěn)定性，還能大幅縮短安全事件的恢復(fù)時(shí)間。

第二大安全支柱：防護(hù)不可或缺的老舊設(shè)備

老舊系統(tǒng)往往是晶圓廠生產(chǎn)區(qū)中最敏感、最易受攻擊的資產(chǎn)。許多核心生產(chǎn)設(shè)備仍在運(yùn)行Windows XP、Windows 2000系統(tǒng)，或是早已停止更新的專用控制器，但它們依舊是生產(chǎn)環(huán)節(jié)中不可或缺的關(guān)鍵部分。

由于這類設(shè)備無法進(jìn)行補(bǔ)丁更新，防護(hù)工作必須聚焦于系統(tǒng)鎖定與訪問管控。晶圓廠可采用應(yīng)用程序白名單機(jī)制，確保僅有經(jīng)批準(zhǔn)的二進(jìn)制文件和進(jìn)程能夠運(yùn)行。同時(shí)還需搭配終端加固措施，例如開啟寫保護(hù)、限制U盤及其他可移動(dòng)存儲(chǔ)介質(zhì)的使用、阻止未授權(quán)的動(dòng)態(tài)鏈接庫(kù)注入行為。

對(duì)于離線運(yùn)行的設(shè)備，需通過受控的便攜式存儲(chǔ)介質(zhì)或本地控制臺(tái)進(jìn)行更新操作，擺脫對(duì)云連接的依賴。

通過上述措施，晶圓廠無需開展成本高昂且會(huì)中斷生產(chǎn)的設(shè)備替換項(xiàng)目，就能保障核心老舊資產(chǎn)的安全與正常運(yùn)行，同時(shí)大幅增加攻擊者將這類系統(tǒng)作為入侵入口的難度。

第三大安全支柱：嚴(yán)格管控晶圓廠的訪問權(quán)限

晶圓廠的核心設(shè)備維護(hù)工作依賴于遍布全球的設(shè)備供應(yīng)商與服務(wù)合作伙伴網(wǎng)絡(luò)。這類外部訪問雖屬必要，卻也帶來了安全風(fēng)險(xiǎn)。不過，通過合理的管控措施，既能保障供應(yīng)商訪問的效率，也能確保其安全性。

關(guān)鍵在于將零信任原則應(yīng)用于所有供應(yīng)商賬戶。訪問權(quán)限需通過安全網(wǎng)關(guān)或跳板機(jī)進(jìn)行管理，且僅授予限時(shí)、專用的訪問權(quán)限。

針對(duì)計(jì)劃性維護(hù)，晶圓廠可提供即時(shí)訪問權(quán)限，相關(guān)憑證會(huì)在維護(hù)窗口期結(jié)束后自動(dòng)失效。為確保可追責(zé)，供應(yīng)商的所有操作會(huì)話均需被監(jiān)控并記錄，對(duì)每一項(xiàng)操作行為形成清晰、可審計(jì)的日志。

通過落實(shí)上述管控措施，晶圓廠既能為供應(yīng)商提供其所需的訪問權(quán)限，又能保持全程可視，同時(shí)確保各類權(quán)限不會(huì)被濫用。

第四大安全支柱：降低人為失誤與內(nèi)部威脅風(fēng)險(xiǎn)

晶圓廠的日常運(yùn)營(yíng)操作，從通過U盤傳輸工藝配方到下載軟件更新，均為生產(chǎn)所需的關(guān)鍵環(huán)節(jié)。然而，這些常規(guī)的數(shù)據(jù)交換操作，即便由為達(dá)成生產(chǎn)目標(biāo)而盡心履職的員工執(zhí)行，也構(gòu)成了重大的威脅載體。每一次數(shù)據(jù)傳輸，都可能成為惡意軟件注入或高價(jià)值知識(shí)產(chǎn)權(quán)外泄的契機(jī)，讓無心之舉轉(zhuǎn)化為嚴(yán)重的安全風(fēng)險(xiǎn)。

解決這一問題的關(guān)鍵，是為所有數(shù)據(jù)流轉(zhuǎn)建立嚴(yán)格、安全的傳輸通道。首先要對(duì)對(duì)外數(shù)據(jù)傳輸采取默認(rèn)拒絕策略，僅允許通過受控的加密通道，傳輸經(jīng)明確批準(zhǔn)的導(dǎo)出數(shù)據(jù)。對(duì)于仍廣泛用于離線設(shè)備或老舊設(shè)備更新的物理存儲(chǔ)介質(zhì)，晶圓廠必須對(duì)所有設(shè)備的輸入輸出接口進(jìn)行加固，同時(shí)執(zhí)行嚴(yán)格的管控政策：所有可移動(dòng)存儲(chǔ)介質(zhì)必須在專用終端完成掃描后，方可接入生產(chǎn)網(wǎng)絡(luò)使用。

同理，所有軟件更新均需通過安全網(wǎng)關(guān)進(jìn)行管理，文件在進(jìn)入工業(yè)控制系統(tǒng)環(huán)境前，需經(jīng)網(wǎng)關(guān)驗(yàn)證其完整性。這些管控措施能夠有效保護(hù)知識(shí)產(chǎn)權(quán)，同時(shí)防止惡意軟件通過這類看似日常、常規(guī)的操作侵入晶圓廠。

為晶圓廠逐步構(gòu)建并持續(xù)完善安全防護(hù)體系

安全防護(hù)并非一次性投入，而是需要在晶圓廠的全生命周期中持續(xù)更新優(yōu)化。其中幾項(xiàng)核心實(shí)踐包括：

• 對(duì)所有新設(shè)備開展入駐前安全核查，包括惡意軟件掃描與補(bǔ)丁驗(yàn)證，并出具核查報(bào)告。

• 在設(shè)備防火墻及系統(tǒng)集成節(jié)點(diǎn)強(qiáng)制配置默認(rèn)拒絕策略。

• 每周開展漏洞評(píng)估，維護(hù)實(shí)時(shí)資產(chǎn)清單，持續(xù)掌握安全防護(hù)態(tài)勢(shì)。

• 將工業(yè)控制系統(tǒng)（OT）安全遙測(cè)數(shù)據(jù)整合至企業(yè)安全信息和事件管理（SIEM）及擴(kuò)展檢測(cè)與響應(yīng)（XDR）平臺(tái)，打造一體化的信息技術(shù)（IT）- 工業(yè)控制系統(tǒng)（OT）安全事件響應(yīng)能力。

歸根結(jié)底，晶圓廠的安全防護(hù)需要結(jié)合實(shí)際運(yùn)營(yíng)情況，制定適配工業(yè)控制系統(tǒng)的專屬策略。網(wǎng)絡(luò)微分段、老舊設(shè)備防護(hù)、供應(yīng)商訪問管控這幾大安全支柱，能夠構(gòu)建起具備抗風(fēng)險(xiǎn)能力的安全防御體系。

晶圓廠通過采用國(guó)際半導(dǎo)體產(chǎn)業(yè)協(xié)會(huì)的網(wǎng)絡(luò)安全參考架構(gòu)、對(duì)標(biāo)日本經(jīng)濟(jì)產(chǎn)業(yè)省的全新安全指南，能夠緊跟不斷提升的行業(yè)標(biāo)準(zhǔn)、客戶期望與政府監(jiān)管要求。更重要的是，這能保障產(chǎn)線的平穩(wěn)持續(xù)運(yùn)行。

在風(fēng)險(xiǎn)高企的芯片制造領(lǐng)域，安全防護(hù)不僅是一門技術(shù)學(xué)科，更是實(shí)現(xiàn)生產(chǎn)安全、穩(wěn)定、持續(xù)高效運(yùn)轉(zhuǎn)的基石。