|
合作方董事长进入厂区也要卸下所有随身资讯装备
台积电禁带照相手机、访客携入笔记本电脑需贴封条;联电等全面封锁工作用PC上的USB接口;茂德则严格搜查访客随身物。近两个月来,走进台积电位于晶圆12厂总部大厅的访客,总会看到一面告示,画着一台笔记本电脑,告示上载明若访客需携入笔记本电脑,除非经过申请许可,否则一律需在网络传输接口上贴起封条。访客离厂时若经检查发现封条破损
,公司警卫有权对访客电脑进行重组。
竞争对手常交流防“谍”心得
这并非单单一家台积电为防堵机密资讯外泄而设计的独家防堵招数,韩国三星及Hynix等电子集团,早在多年前就开始执行类似措施,不只要求访客笔记本电脑需将连接接口贴上封条,还要求访客身上所有USB界面的电子储存产品,都需在入厂前交给警卫保管,再通过如机场出关时的金属探测仪,确定访客身上所有电子产品都已掏出始予放行。全世界最大的NAND快闪记忆体生产厂,却对NAND快闪记忆体的最主要应用如此戒慎恐惧也算奇观。据台湾媒体报道,比起韩国电子大厂对保密防“谍”的用心良苦,台湾半导体大厂虽然还没到使用金属探测仪的地步,但设立专门部门或委员会制定奇招,已渐成趋势,其中尤以台积电保密防“谍”最为用心。台积电设有“企业保全处”,联电内也有各部门主管组成的“资讯安全委员会”,定期开会讨论防止公司机密资讯,因科技产品日新月异而外泄可能。这些平日在商场上争个你死我活的竞争同业,分享起保密防“谍”措施却毫不吝啬,常常听闻台积电甫实施几个月的保安新措施,附近几家同业随之照办。
企业纷纷仿效台积电
举例来说,台积电是第一家禁止员工携带照相手机进入办公区的竹科公司,不只员工不许带,前往洽谈生意的合作厂商及客户也不许带进厂。访客在一楼大厅就会接受警卫询问,是否携带照相手机,携带者需交服务台暂时保管。4月1日起,联电旗下各晶圆厂区也开始实施相同措施,几家龙头IC设计公司目前尚未实施如此严格的防备措施,但可以预见的是,防备措施未来只会日趋严格。禁带照相手机的规定实施目前在各半导体厂几乎群起仿效,公司接待大厅遂出现一幅奇特景象。每日频繁出入晶圆厂的支援厂商,在服务台开始换SIM卡。将照相手机的SIM卡取出,置入自备的阳春手机中,再将照相手机交由服务台保管。当然,这项规定也造就竹科四周手机零售业者的阳春机销售量始终不降,二手旧机买卖也颇畅旺。
使用USB需填申请表
照相手机管制只是半导体厂保密防“谍”的一小步,USB即插即存的界面,让新科科学园内各大科技公司无不绞尽脑汁思考如何防备机密外泄。目前所知,已封锁员工个人电脑上的USB接口的公司,包括台积电、联电、茂德、联发科、凌阳等,全都只能透过电子邮件系统发送,工作用PC上的USB接口全已封锁,若真有必要使用USB、数字相机等存取档案,则需填写申请表,公司MIS部门才会开放特定USB接口供使用。经常进出各晶圆厂的维修工程师认为,竹科“搜得最仔细”的厂商应是茂德,离开厂区时警卫都会仔细翻查访客随身物品。对此,茂德副总林育中表示,与国外厂商技术合作的公司,最严重的违约行为第一是不付技转金,第二就是未尽其保管技术机密,因此对于技术资讯保护相当仔细。例如出自技术文件中心的资料,皆以深绿纸张印刷,无法复印。联电尚未实施访客笔记本电脑贴封条的措施,管理部部长周卫敏表示,为访客电脑贴上封条现阶段不太合适,目前做法是要求接待访客的部门单位需具结保证访客使用电脑需遵守规定,但事实上员工“真要使坏、也没办法”,基本态度仍是要教导员工自律。平时同业间也会分享相关资讯,以收彼此学习的效果。
“魔鬼都在细节里”
新竹科学园区厂商,对于进出入人员的管制严格远近知名,这些管控政策不乏出自趋势科技、赛门铁克资讯安全业务的业者的建议。有趣的是,这些资讯安全厂商对于新竹科学园半导体厂商的控管严格,也非常心有戚戚焉。趋势科技台湾分公司董事长丘立全有次应邀到台积电演讲,题目正好是有关于资讯安全的议题。当他进入台积电时,身上所有资讯产品被要求全数缴出来,包括笔记本电脑及随身碟。他一直苦苦哀求给予通融,还不惜搬出“我是演讲来宾,所有演讲Powerpoint资料都在随身碟中”,但负责任的警卫先生始终择善固执地说“不行,就是不行”。最后丘立全只好急call主办人来“救”他,才顺利把随身碟的演讲资料,带进了演讲会场。丘立全说,其实,台积电正是趋势科技的客户,对进出人员随身高科技装置控管的建议,也是来自于趋势科技。而台积电之所以令人佩服的地方,是在于落实资讯安全管理“政策”的那一股“执行力”。他表示,这恰好是所有企业保护自家资讯安全,最高的指导原则,却是最容易被忽略的。
年内成立顾问服务部门
资讯安全业者表示,因为企业连网比例高,企业要做到资讯安全一百分,不在于产品的使用及功能。现在市面上许多软硬体都可以提供必要的保护,从企业内部的个人电脑、防火墙、入侵侦测、反间谍软体等等。资讯安全产品虽然可以为企业解决大部分的安全议题,但“魔鬼都在细节里”,只要有一个地方不注意,马上就成为资讯安全的漏洞,一旦漏洞被入侵,在企业连网比例这么高的情况下,企业很容易在短期内受到威胁而瘫痪了。举例来说,企业的MIS人员虽然时时刻刻都在下载最新病毒码,但如果有外来访客带来笔记型电脑,在公司连线,一旦这台电脑没有更新病毒码,就会成为漏洞。另有例子是,漏洞往往是发生在公司最高阶的主管,尤其是总座或是董字辈的人。业者表示,许多公司的高阶主管都不太擅于使用电脑,不知如何下载更新病毒码,所以高阶主管的个人电脑反而是公司内部网络最常发生漏洞的地方。因应市场的变化及需要,资讯安全业者今年将加码发展顾问服务事业。包括趋势科技、赛门铁克等业者都计划在今年内成立顾问服务的部门,要从更综观的角度及整体的策略,来为业者做安全规划。(侯颖/编制)(来源:金羊网)
| 
