Customer Like

Customer Satisfaction

Image is not available
Image is not available
Image is not available
Image is not available
Image is not available

偉詮電子

雙管齊下,以X-FORT與X-GATE共建資安防禦網

 

對IC設計公司而言,立基點就是研發部門辛苦設計出來的電路圖檔案,偉詮電子為此很早就在找尋一套可行的資安控管方案,在經過嚴格的評估與測試之後,於2007年決定導入精品科技的X-FORT與X-GATE兩套系統,共建資安防禦網。WelTrend

 


在偉詮有十幾年資歷的資訊部經理王騰毅,談吐間流露出工程師敦厚樸實的氣質。他簡單說明偉詮資訊部的架構主要分成三個部分,包括:系統開發、網管與資訊安全。資訊部門共有4位成員,必須負責全省各分公司的IT工作,負擔算是相當吃重。因此,為了管理效率,偉詮很早就以專線方式進行VPM(Visual Performance Manager)遠端控管,各分部以遠端處理的方式進行管理及溝通。

 

資安管理著重檔案控管與系統支援

 

對IC設計公司而言,立基點就是研發部門辛苦設計出來的電路圖檔案。王騰毅表示,為了不讓檔案輕易外流出去,偉詮很早就在找尋一套可行的資安控管方案。市面上相關的產品很多,經過嚴格的評估與測試後,於2007年決定導入精品科技的X-FORT電子資料監控系統與X-GATE企業網路監控系統。

王騰毅認為當初選擇X-FORT與X-GATE的主要關鍵,在於精品是台灣研發的廠商。「如果選擇國外廠商,出了問題要與原廠溝通,在時間上並不容易配合,且常要透過層層關卡。精品是國內廠商,在市場上的知名度也高,技術成熟度也符合我們的需求。」

在評估系統的過程, 偉詮最重視的是支援的檔案類型與安全防護的周嚴性。一般資安系統鎖定的檔案類型,幾乎都是檔案主流的格式,像是Office及Adobe應用軟體的檔案。但由於IC設計所使用的檔案類型很特殊,以業界專屬的CADENCE軟體為例,當時市面上根本找不到可以防堵的軟體,若是要對這些特殊檔案加解密,就必須以客製化的專案處理。王騰毅說:「對我們而言並不符合效益。假設又有其他特殊軟體檔案出現,那豈不是又要再客製化一次?因此我們決定採用X-FORT這種以周邊控管方式的資安系統,阻隔任何檔案可能流出的管道。」

此外,以管理的角度來看,若有人把硬碟帶出去,那內部控管文件的方式就顯得毫無意義。「導入X-FORT,除了可避免有心人士流出機密文件之外,X-FORT完整的硬碟防護功能,可防範將整顆硬碟帶走的情況。」

 

設備與檔案管制嚴謹,使用行為有跡可尋

 

偉詮早在X-FORT 1.0版本就已經在測試,但由於1.0版沒辦法應付拆走硬碟的問題,直到新版改善之後,才決定導入。王騰毅說:「老實說,資訊安全就是這樣。就算前端管制很多,但後面的把硬碟一拆,如果沒辦法管,也等於只做一半,甚至跟沒有一樣。」只要是有心人士,有一點點的空間就會想盡辦法突破防禦,所以資安工作雖然防不勝防,卻不得不做,這也是許多MIS主管頭痛的地方。

此外, 像U S B 設備的管制, 也是X-FORT防堵重點之一。王騰毅表示,早期偉詮並沒有封鎖USB,主要原因是找不到適合的方式。他說:「有人用三秒膠把連接埠封死,或是貼易碎貼紙等,其實都不切實際。」而且偉詮當時在開發USB相關產品,所以並沒有刻意防堵USB裝置。

但近年因為公司研發的產品愈來愈重要,高層主管要求資安管理必須採取更嚴謹的方式。而導入X-FORT很快地便達到公司管理上的要求,全部人員一視同仁,從上到下都接受管控,且USB病毒寫入管道也被防堵,資安確實比以前更為嚴謹許多。

至於即時通訊軟體方面,偉詮則是採取相當開放的制度,只是過去沒有記錄,導入X-GATE之後才開始進行傳訊的記錄。「未使用X-GATE之前,檔案是否有透過網路流出去我們無從瞭解,但導入了X-GATE後,至少有跡可尋,也可防患未然。然而公司內部使用即時通訊軟體的狀況,大部分都是業務交易,或是FAE與廠商之間的溝通,目前倒是未發生任何不法的事情。」

若以MIS的角度來看,導入X-FORT與X-GATE最明顯的效益就是資安管理更輕鬆。例如過去主管曾問某個檔案被誰拿去了,或是檔案不小心被刪除掉了,現在都有記錄可查。另外,在權限管制的設定上不再疲於奔命,王騰毅說:「以前MIS必須針對一些機敏檔案做權限控制,讓檔案只有特定人員可以用;但有時忽然有其他人需要使用,這種臨時的權限更動其實對MIS造成很大的困擾。」現在透過AD的方式由主管直接審核,責任相當明確。因為權限設定的事情,MIS本來就無法判斷,現在可以直接交由主管負責,MIS則能更專心在IT專業的領域,提升工作效率。此外,X-FORT提供方便的IT資產管理功能,若要查詢員工軟硬體資產的異動,從控制台上就可以一目瞭然。

 

資安保障公司權益,非關個人隱私

 

許多企業在導入資安系統時, 難免會遇到員工反彈的情況。王騰毅認為資安控管勢在必行,但公司明確的宣導也很重要。在導入X-FORT與X-GATE之前,偉詮的主管先達成共識,並對員工召開說明會,將公司政策清楚說明,員工若有任何問題都可以提問。召開說明會的用意是提醒員工導入資安系統的意義,是要保障公司共有財產,並非侵犯隱私,除非發生事情才會主動稽核,否則傳輸記錄只是備而不用。王騰毅說:「雖然X-GATE會記錄MSN對話,但主管們日理萬機,根本無暇查看大家平常到底在說些什麼,這也不是導入資安系統的目的。」他強調,重點是為了資訊安全,而不是為了控制員工。

由於全公司都受到控管,王騰毅舉了一個例子:總經理曾在公司的電腦存取一份私人文件,但回家之後發現竟然無法使用,因為檔案被X-FORT加密了。X-FORT嚴謹的控管程度,就連總經理都親身體驗到了。

 

科技公司永續發展的正確方向

 

王騰毅認為公司安裝資安系統會帶來額外的價值。他以證交所每年的稽核作說明,為了保障股東權益,證交所會計事務部在每年簽財務報表之前,會確認上市上櫃公司的營運作業是否符合規定標準,稽核過程長達四天之久。王騰毅說,這些稽核人員對資安方面的要求相當嚴謹,要求密碼一定要三個月改一次,甚至連機房中滅火器擺放的位置都有一套標準。他說:「如果公司沒有資安系統,在證交所稽核時,較難以提出確實的控管方式,而導入X-FORT與X-GATE後,他們在資安這一塊就會比較放心。」

一路走來, 王騰毅在竹科見過許多公司的潮起潮落,也深深體會公司在初期努力奮鬥的辛苦,好不容易到了中期階段,品牌與規模都發展到一定的程度,若沒有做好資安這一塊,辛苦經營的心血隨時可能毀於一旦。王騰毅說:「如果在資安上抱著省錢的心態,出了事就不是花錢可以解決的。偉詮電子當初決定導入X-FORT與X-GATE,是公司永續發展最正確的方向。」