轉：台積電一堂數億元的資安課（蘇俊吉）

台積電一堂數億元的資安課（蘇俊吉）

出版時間：2018/08/07

台積電所採取的資安管理策略是實體防護，每個進入的員工或協力廠商都知道，禁止攜帶電腦、智慧手機、USB隨身碟等設備，管制的嚴謹程度可比國軍、中科院、國安局等，這道理並非攜帶電腦設備就一定會影響台積電的安全，而是呼應「破窗效應」，指說一個房子如果窗戶破了，沒有人去修補，隔不久，其他的窗戶也會莫名其妙的被人打破。引申說一個小缺口沒有及時修補，將可能造成千百萬倍的損失。所以不要有任何的漏洞的零容忍，就可以做到絕對安全。

缺乏存取授權機制

儘管台積電的內網與網際網路是隔離的，然而「資安注定沒有絕對的安全」這回事，當內部資安弱點缺口出現時，就會認為實體隔離是安全的前提下，所以對其他的電腦設備採取信任，以致於僅僅只是一個小病毒，卻完全沒有防範措施。存取政策是廣泛安全政策中的一部分，對於資產的存取應基於僅知原則，在資安的管理上，多會要求「最小授權原則」，即工作上的業務範圍應該僅需要取得最小的授權，但此次病毒的傳播，透過無須開啟的通訊埠，散播的途徑與感染的範圍顯示缺乏存取的授權機制。
在台積電發生資安事件的當下，應立即進行的是「資安鑑識」，掌握資安事件的發生軌跡資料，數位鑑識揪出發生的源頭，但此次台積電內部人員第一時間考慮的卻是恢復產能，可以理解耽誤的時間就是金錢，但這回慶幸的是病毒的破壞力與軌跡不難被追蹤，否則後果將不堪設想。若是專業的駭客所進行的內部攻擊，恐怕要想正常恢復產能，將可能非數天的時間可以解決。 

資安設計仍然落後

資安工作要倚靠的是「管理」與「設計」，台積電的管理及內部控管，已經是國內廠商赫赫有名，然而「資安設計」卻仍然相當落後，例如：台積電各生產設備來自多個設備供應商，其作業系統包含Win XP、Win2000、Win7等，對於其設備的資安防護設計卻完全沒有要求，國際上對於產品採取資訊技術安全評估共同準則（Common Criteria 或CC）已有標準及方法，即便設備無通過國際認證，也應採取方法進行對設備的資安評估，此次資安事件僅是台積電注定要繳的學費爾爾。 

工程師 

本篇原址

https://tw.news.appledaily.com/headline/daily/20180807/38091046/