一、企業背景與產業環境

盛群半導體（Holtek Semiconductor）（上市半導體；股票代號：6202）為台灣微控制器（MCU）領域的重要廠商，產品廣泛應用於智慧家庭、健康量測、工業控制與感測模組等領域。其資訊系統涵蓋技術文件、客戶資料與開發平台，資安韌性直接關係到產品信任與市場穩定。

二、資訊韌性切入角度

(1) 盛群半導體於113/12/18以及113/12/27在公開資訊觀測站所發佈之重訊：

(2) 2025年股東會年報，如下圖：

三、韌性策略與實際狀況

根據114年盛群股東會年報及永續報告書揭露，該事件後公司迅速啟動資安制度升級，展現出高度的制度韌性與持續改善意識。

具體措施包括：

(1) 依循 OWASP Top 10 強化程式安全開發：針對常見漏洞（如 SQL 注入、跨站腳本、驗證失敗等）進行程式碼審查與開發規範制定。
(2) 導入 Web Application Firewall（WAF）：即時攔截異常請求與惡意行為，提升網站防禦能力。
(3) 定期進行外部威脅與風險評估：與第三方資安顧問合作，模擬攻擊情境並提出修正建議。
(4) 模擬釣魚攻擊演練：提升員工資安意識，強化社交工程防禦能力。

四、制度與文化支撐

我們從盛群半導體114年股東會年報，來看盛群的資通安全管理機制：

從盛群在年報當中揭露的資安管理的內容，盛群不僅在技術層面進行強化，也積極推動資安文化內化。透過定期教育訓練與演練，讓員工能夠識別並應對常見資安威脅，形成「人人有責」的資安文化。這種由事件驅動的文化轉型，是企業邁向韌性成熟的重要指標。

五、筆者看法及觀點

盛群半導體的資安事件雖源自一個活動網站，但其後續的制度強化與文化轉型，展現出企業對資安韌性的高度重視與行動力。

活動網站與現場系統常被視為「短期使用、低風險」而忽略資安防護，卻正好成為攻擊者的目標。通常有幾項事情應該要注意，首先，就是要事前防範，並且讓活動網站，不會成為資安的死角，如盛群半導體的事件發生後，他們在年報及永續報告書，也提了幾項防範的防護方式，請參考上面的三、韌性策略與實際狀況。

有關於這類短期活動，筆者也在整理了一下各點給大家參考：

一、事前防範：

1. 活動網站安全設計原則
   (1) 採用 OWASP Top 10 檢核清單：避免 SQL 注入、XSS、身份驗證弱點等常見漏洞，如盛群半導體在年報所公告之方式。

何謂OWASP TOP 10檢核清單？(在此引用國立中山大學資訊安全暨個人資料保護宣導平台：https://ipss.nsysu.edu.tw/p/406-1061-279004,r4902.php?Lang=zh-tw )

開放式 Web 應用程式安全計畫，簡稱OWASP （Open Web Application Security Project）是一個開放社群、非營利性組織，全球目前有82個分會，主要目標是研議協助解決網路軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善應用程式的安全性。美國聯邦貿易委員會（FTC）更強烈建議所有企業務必遵循OWASP所發佈的十大網路弱點防護守則，美國國防部亦將此守則列為最佳實務，就連國際信用卡資料安全技術PCI標準更將其列為必要元件。

OWASP Top10 主要目的，是將最常見的網路應用系統安全弱點，教育開發者（Developers）、設計者（Designers）、架構師（Architects）和組織（Organizations），提供基本的方法保護防止這些弱點，是軟體開發安全計劃最好的開始。

(2) 限制管理介面存取：僅允許特定 IP 或 VPN 登入後台，避免公開暴露。

2. 快速部署但不忽略安全
   (1)使用 WAF（Web Application Firewall）：即使是短期網站，也應部署雲端型 WAF 攔截異常請求。
   (2) 帳號密碼管理嚴格：禁止使用預設密碼，強制多重驗證（MFA），並定期更換。
   (3) 資料最小化原則：活動網站不應收集或儲存敏感個資，降低資料外洩風險。

3. 公告系統防範措施
   (1) 電子看板與公告系統需隔離設計：避免與主網站共用帳號或資料庫。
   (2) 內容更新需經簽章或驗證流程：防止未授權人員直接修改公告。
   (3) 設置即時監控與異常警示機制：若內容遭竄改，能即時通知管理人員。

二、現場應變：讓活動不中斷、信任不崩潰

1. 建立資安應變小組
   • 活動前指定資安聯絡人，負責監控系統、處理異常、與技術團隊聯繫。
   • 準備「資安事件應變手冊」，包含斷網流程、備援系統啟動方式、公告應對話術。

2. 備援機制與手動替代方案
   • 公告系統備援：準備離線版公告（如 USB、投影簡報），可在系統異常時立即切換。
   • 網路異常應變：現場設置獨立 Wi-Fi 或 4G 熱點，確保主控台可持續運作。
   • 人員訓練與演練：讓現場工作人員熟悉異常情境處理流程，避免臨場慌亂。

3. 溝通與信任維護
   • 若發生資安事件，應由指定人員統一對外說明，避免資訊混亂。
   • 強調「事件已掌握、活動持續進行」，維持參與者信心與秩序。

最後，建議大型活動主辦單位建立「活動資安標準作業程序（SOP）」，同時，若活動涉及個資收集（如報名、抽獎），也應依《個資法》進行風險評估與告知義務。

盛群這次事件，雖屬於短期的活動所引發的資安事件，我們也可以當作一個借鏡，雖然事情不影響公司營運狀況，但是一個很值得做為公司「短期任務」如何考慮到資安韌性的一個案例。

以上給大家做參考!