X-FORT為企業把關．以資安贏得商機，保護研發命脈！

 

以IC設計為命脈的晶豪科技是國內少數最早具備網路安全觀念的廠商，也是極早引進X-FORT資安軟體的先驅，自2004年導入X-FORT解決方案至今，成功防護及化解許多無謂的資安狀況，協助晶豪科技一路走來商譽越見卓著。

晶豪科技為一專業的IC設計公司，研發的產品以特定型DRAM及NOR Flash記憶體為主，可廣泛應用於PC週邊、資訊家電、光儲存設備及消費性、通訊等系統。自2005年開始展開多角化經營，在合併台南的集新科技後，再次將觸角延伸至類比及混合訊號的IC領域，產品包含音訊轉換器(ADC/DAC)及D類音頻放大器(Class DAmplifier)等。2007年年中又跨足手機記憶體(PSRAM)，展現十足的經營活力。

 

資安問題動搖國本，滴水不漏難度高

 

提到資安，牽涉之大足以動搖國本。曾經待過台積電，現為晶豪科技資訊技術服務部經理的陳如經，帶著心有戚戚焉的神情表示，「很多環節都會發生資安狀況，像是郵件未登錄、FTP控管疏鬆、網路未嚴加限制、文件沒有加密、員工缺乏資安觀念、私自灌入非法軟體，或是任意變動硬碟裝置等，再加上IT沒有預算，要做到滴水不漏，真的很困難。」多年來，陳如經在竹科經歷過無數大風大浪，對資安狀況有著深入洞察，這番話足以代表許多IT主管的心聲。

如同一般公司的做法，一開始晶豪科技在安全設備上的購置，是先從防火牆開始建置，防止非法入侵，但漸漸感到防火牆的不足，於是又建置了所謂的IPS系統，加強全面防護；同時採用防垃圾郵件軟體，除了防堵垃圾郵件外，還同步監控寄出郵件內容的安全性。

 

科技帶來的管理議題，USB和拇指碟是頭號公敵

 

其實，早在網路安全觀念尚未盛行前，晶豪科技的老闆已經洞燭先機，對IC設計的安全管制上實行得很徹底，如R&D部門完全禁止網路行為，包括上網及內部網路連線在內，建構一個完全封閉的作業環境，降低資料外洩的威脅性。

「當年老闆的想法是，再怎麼樣安全的資安設備和軟體，都比不上隔絕網路這招來得有效，」陳如經笑說，先隔絕外來的侵害，剩下的就是內部員工的問題，「那時很單純，只要控管好磁碟片就行了。」

然而，隨著拇指碟和USB這類產品的科技演進，資安問題如撒網般蔓延擴大。「為了防堵USB外接硬碟而封鎖USB連接埠，好像有點因咽廢食，因為有一陣子我們採購的電腦，鍵盤和滑鼠都是使用USB連接埠，一封鎖就全都不能用了。」陳如經提醒說。

「尤其，拇指碟使用之廣泛，真的很可怕，」陳如經解釋，「因為IC設計的資料檔案量並不大，只有幾百K大小，很輕易地幾秒鐘就可以copy下來，但那卻是我們研發很久很久的心血結晶耶，」他說，拇指碟的破壞威力之大，幾乎可以讓一家科技公司多年來的心血一下子灰飛湮滅，取得資料的競爭廠商立刻追趕上來。

「其實不只拇指碟，像手機、PDA、燒錄機、wireless無線設備、電子郵件等不勝枚舉，很容易就能夠把資料分享出去，」他說，「這些東西真的很難防範，迫使我們開始向外尋求解決管道。」

 

聯合友廠會診，X-FORT控管機制全方位

 

科技產業產值龐大、動輒得咎，最重視產品品質和廠商信譽，最好還有同業案例的reference site推薦，再保險不過。當時，陳如經經理便聯合幾家IC設計公司的IT主管一起會診，分別針對市面上的資安軟體進行測試。

「我記得當時是由聯發科和思源測試精品科技的X-FORT資安軟體，總共針對五大項目去做評比，包括破解的安全性、功能完整性、整合新軟體管控的方便性、攔阻的即時性、報表和查詢的可讀性等，」他說，「尤其X-FORT能夠做到更精密的管理細節，可以調整防範的方向性，可以讀、但不能寫，這點是其他廠商比較難達到的地方。」因此，透過專業會診和廠商評比後，最後晶豪科技決定率先在2004年6月導入X-FORT資安軟體。

導入X-FORT資安系統後，企業內部的資料監控變得無所遁形。「舉個例子，有了X-FORT後，每當有員工異動，該部門主管會通知我們，要求查看該員工近三個月來，在公司使用外接設備的情況，」晶豪的做法是採取階段性導入，首先從財務部和研發部門開始，再來是工程和生產部門，以及業務部門。「陸續導入有個好處，可以邊實施邊調整，達到最佳效益。」陳經理說。

 

智慧化解員工反彈，稻草人策略見效

 

導入這種監控性質的資安軟體，最好的做法就是讓員工感受不到它的存在。「我的目標是做到不擾民，在安裝的過程不受打擾，在同仁工作的時候避免出現一些干擾視窗，」陳如經回憶說，最初導入X-FORT時偶爾會跳出不必要的訊息視窗，後來經過調整後就沒有這些問題了。

有時候，導入IT技術，更像是經歷一場人的文化養成過程，如何扭轉內部文化，是資安成功的重要樞紐。

為了擺脫員工被監控的不舒服感覺，晶豪宣導所謂的「稻草人策略」。「剛開始，的確需要安撫同仁們的不安騷動，於是我們老闆跟大家形容，資安軟體就像稻草人，並不具攻擊性，只是擺在那裡，小鳥就不敢來了。」陳如經笑說，這就跟「錄影中，君子請自重」是同樣的道理，明著讓員工知道有這回事，彼此互相尊重，這應該是晶豪順利導入X-FORT的主要原因吧！

「不擾民才會減低員工的反彈，資安監控才能執行的更順暢，這是雙贏。」他補充。

 

X-FORT為行動商務把關，做好資安鞏固主力客戶

 

進入行動商務時代，公司內部滴水不漏，那麼在外的資安又該如何防護呢？「同樣地，我們也為公司的NB裝設X-FORT，再使用X-FORT專屬的X-Disk，檔案存到X-Disk裡會自動加密，萬一不幸NB掉了，至少這些資料是處於加密狀態。」陳如經強調。

做好資安，也是鞏固主力客戶的重要關鍵。「我們國外合作廠商非常看重資訊安全，會派人來台評估我們的資安能力，」他說，因為國外廠商也會擔心交付的機密文件會不會外流，所以做好資安，也是保護自己的商譽。

不過，在資安的實際執行面，陳如經建議最好由內稽內核來控管，才有憑有據。「以晶豪的導入經驗，由稽核單位來管理及界定資安內容，以IT部門作為技術支援單位，這樣可以避免球員兼裁判的問題。」尤其他認為，哪些是公司需要保護的資產，最好由各部門聯合定義。

在做資安防護的同時，還能進行版權控管，消弭公司內的非法軟體，管理硬體資產，最重要的，是讓企業的競爭力不外流，「絕不能讓公司辛苦研發出來的IC設計，讓人家三兩下就取走了！」陳如經再三提醒。X-FORT資安軟體讓企業不會贏了面子，卻輸了裡子！