網藤科技工控安全中的惡意代碼防範說開去

【事件突發】

全球最大的半導體代工製造商台灣積體電路製造股份有限公司(TSMC，以下簡稱「台積電」)在8月3日傍晚遭遇電腦病毒感染，隨後擴散至新竹、台中和台南3個廠區，造成生產線停擺。

當晚台灣PTT論壇消息，據台積電工廠現場友人反饋，稱生產系統出現大「宕機」，連門禁系統都掛了。

【經濟損失】

台積電5日發布聲明稱，此次病毒感染事件將導致晶圓出貨延遲以及成本增加，對公司第三季的營收影響約為百分之三，毛利率的影響約為一個百分點。

據每日經濟新聞，6日早盤，台積電跳空低開245元新台幣。

受此拖累，台灣加權股指低開10997.26點，下跌15.17點。

台積電在紐交所發行的ADR，在上周五盤後交易中也下跌了0.17美元。

照中位值85億美元計算，本次網絡事件對台積電營收的影響約為2.55億美元，約合人民幣17.4億元。

【安全體系】

半導體大廠一直處於黑白網絡安全對抗前沿，為了竊取關鍵技術和機密，黑客有時一天能發動高達數千次的攻擊。

台積電資訊技術資深副總兼資訊長左大川曾表示，企業防黑客體系不僅僅考慮了黑客入侵公司之前的各項防範，而且需要考慮進入公司後的。

台積電的防黑客體系是採取多層防護(Defense in Depth)，除了透過各項軟體擋住惡意攻擊程式或釣魚信件外，萬一防護有漏洞，黑客進入公司內部，也會讓他們只能在某個區域，並且無法做任何動作，技術手段能保證只要這些黑客一有動作，就很快能被抓到，避免嚴重後果。

台積電財務長何麗梅表示，「台積電之前也曾遭到過病毒攻擊，但病毒攻擊影響生產線還是首次。

」台積電的辦公網絡和產線控制網絡是隔離的，而且產線控制網絡也不與網際網路直接連接的，是完全封閉式的。

台灣媒體也指出，此次台積電遭病毒攻擊實屬罕見，事實上，台積電高度重視信息安全和信息秘密保護，連上廁所都要刷識別卡，這次意外遭病毒攻擊，也讓外界相當意外。

【攻擊途徑】

台積電錶示，此次病毒感染的原因為新機台在「安裝軟體的過程中操作失誤」，因此病毒在新機台連接到公司內部電腦網路時發生病毒擴散的情況。

台積電總裁魏哲家表示，病毒為去年全球爆發的「WannaCry」的變種，在竹科廠房安裝新機台時帶入，進而蔓延至中科和南科廠房。

工作失誤在於先上線了機台，才進行掃毒程序，於是就發生了事故。

魏哲家一再強調這次是由於新機台上線前未進行隔離所致，由於台積電的所有機台都是連線的，只要一台感染，就會傳染至全部機台。

【定向攻擊】

台積電事件存在諸多巧合，有理由相信此次事件是有組織有目標的定向網絡攻擊。

從攻擊效果看，策劃者熟悉廠區生產系統，利用病毒蛙跳攻擊有效的突破了安全防禦體系。

目標選擇：台積電最重要的三大生產基地。

台積電的先進位程、大客戶的主要產品生產也都在這三大生產基地。

時間選擇：目前8月份是台積電先進的7nm製程開始放量的時刻。

台積電的產能損失情況下，持續時間嚴重話會導致蘋果和華為新一代旗艦產品拖遲發布。

且同一時間段台積電三大生產基地幾乎同時遭病毒感染，出現機台當機，非常的不正常。

專業選擇：據台灣工研院前主任杜紫宸質稱，半導體機台上所用的軟體，應是專屬作業系統，一般電腦系統上的病毒，應無法直接「感染」晶圓生產系統。

也就是說該病毒實際上是有針對性的。

【專家點評】

事件爆發在8月3日傍晚。

8月4日早間，台積電受影響工厂部分設備也已開始進行軟體重裝的動作，至台灣時間下午兩點為止，約80%的受影響的機台已經恢復正常，預計在一天內將全數恢復正常。

大面積的惡性停機事件能在一天內恢復，從中不難看出台積電在安全應急措施方面處置及時到位。

就此次台積電事件，記者遠程連線了北京網藤科技有限公司副總裁兼研發負責人李佐民先生。

李佐民認為，隨著工業網際網路進程的推進，病毒木馬、勒索軟體為代表的惡意軟體引發工業企業的網絡安全問題會逐步增多，台積電事件不是孤案，應該給予足夠的重視。

在企業運營過程中，生產連續性是第一要務，需要保證生產過程順利執行，這就給安全處置技術帶來了很大難度。

固定安裝、不易移動、長期部署的惡意代碼防禦手段不適用於建設期移動、忙亂的施工環境，需要一類便攜、方便接入使用的惡意代碼防禦技術。

李佐民表示，生產線上的主機，出於系統穩定性的要求，加之企業過於信賴「網絡隔離」的防護作用，一般不會在主機上加裝殺毒軟體，但出於安全的考慮，又非常有必要對新裝軟體或者移動存儲設備進行有效的管控以及病毒查殺。

【解決方案】

網藤科技發布的全行業獨創的USB安全隔離裝置產品，提供了一種新型的USB外設安全使用的方式，可避免移動存儲設備與計算機直接連接，通過對傳輸數據進行病毒查殺隔離，阻斷病毒通過移動存儲介質進行傳播感染的可能性，方便攜帶使用，身份認證、權限控制、單向傳輸等功能為計算機主機的數據防泄漏提供了有力保障。