X-FORT為企業把關.以資安贏得商機,保護研發命脈!
以IC設計為命脈的晶豪科技是國內少數最早具備網路安全觀念的廠商,也是極早引進X-FORT資安軟體的先驅,自2004年導入X-FORT解決方案至今,成功防護及化解許多無謂的資安狀況,協助晶豪科技一路走來商譽越見卓著。
晶豪科技為一專業的IC設計公司,研發的產品以特定型DRAM及NOR Flash記憶體為主,可廣泛應用於PC週邊、資訊家電、光儲存設備及消費性、通訊等系統。自2005年開始展開多角化經營,在合併台南的集新科技後,再次將觸角延伸至類比及混合訊號的IC領域,產品包含音訊轉換器(ADC/DAC)及D類音頻放大器(Class DAmplifier)等。2007年年中又跨足手機記憶體(PSRAM),展現十足的經營活力。
資安問題動搖國本,滴水不漏難度高
提到資安,牽涉之大足以動搖國本。曾經待過台積電,現為晶豪科技資訊技術服務部經理的陳如經,帶著心有戚戚焉的神情表示,「很多環節都會發生資安狀況,像是郵件未登錄、FTP控管疏鬆、網路未嚴加限制、文件沒有加密、員工缺乏資安觀念、私自灌入非法軟體,或是任意變動硬碟裝置等,再加上IT沒有預算,要做到滴水不漏,真的很困難。」多年來,陳如經在竹科經歷過無數大風大浪,對資安狀況有著深入洞察,這番話足以代表許多IT主管的心聲。
如同一般公司的做法,一開始晶豪科技在安全設備上的購置,是先從防火牆開始建置,防止非法入侵,但漸漸感到防火牆的不足,於是又建置了所謂的IPS系統,加強全面防護;同時採用防垃圾郵件軟體,除了防堵垃圾郵件外,還同步監控寄出郵件內容的安全性。
科技帶來的管理議題,USB和拇指碟是頭號公敵
其實,早在網路安全觀念尚未盛行前,晶豪科技的老闆已經洞燭先機,對IC設計的安全管制上實行得很徹底,如R&D部門完全禁止網路行為,包括上網及內部網路連線在內,建構一個完全封閉的作業環境,降低資料外洩的威脅性。
「當年老闆的想法是,再怎麼樣安全的資安設備和軟體,都比不上隔絕網路這招來得有效,」陳如經笑說,先隔絕外來的侵害,剩下的就是內部員工的問題,「那時很單純,只要控管好磁碟片就行了。」
然而,隨著拇指碟和USB這類產品的科技演進,資安問題如撒網般蔓延擴大。「為了防堵USB外接硬碟而封鎖USB連接埠,好像有點因咽廢食,因為有一陣子我們採購的電腦,鍵盤和滑鼠都是使用USB連接埠,一封鎖就全都不能用了。」陳如經提醒說。
「尤其,拇指碟使用之廣泛,真的很可怕,」陳如經解釋,「因為IC設計的資料檔案量並不大,只有幾百K大小,很輕易地幾秒鐘就可以copy下來,但那卻是我們研發很久很久的心血結晶耶,」他說,拇指碟的破壞威力之大,幾乎可以讓一家科技公司多年來的心血一下子灰飛湮滅,取得資料的競爭廠商立刻追趕上來。
「其實不只拇指碟,像手機、PDA、燒錄機、wireless無線設備、電子郵件等不勝枚舉,很容易就能夠把資料分享出去,」他說,「這些東西真的很難防範,迫使我們開始向外尋求解決管道。」
聯合友廠會診,X-FORT控管機制全方位
科技產業產值龐大、動輒得咎,最重視產品品質和廠商信譽,最好還有同業案例的reference site推薦,再保險不過。當時,陳如經經理便聯合幾家IC設計公司的IT主管一起會診,分別針對市面上的資安軟體進行測試。
「我記得當時是由聯發科和思源測試精品科技的X-FORT資安軟體,總共針對五大項目去做評比,包括破解的安全性、功能完整性、整合新軟體管控的方便性、攔阻的即時性、報表和查詢的可讀性等,」他說,「尤其X-FORT能夠做到更精密的管理細節,可以調整防範的方向性,可以讀、但不能寫,這點是其他廠商比較難達到的地方。」因此,透過專業會診和廠商評比後,最後晶豪科技決定率先在2004年6月導入X-FORT資安軟體。
導入X-FORT資安系統後,企業內部的資料監控變得無所遁形。「舉個例子,有了X-FORT後,每當有員工異動,該部門主管會通知我們,要求查看該員工近三個月來,在公司使用外接設備的情況,」晶豪的做法是採取階段性導入,首先從財務部和研發部門開始,再來是工程和生產部門,以及業務部門。「陸續導入有個好處,可以邊實施邊調整,達到最佳效益。」陳經理說。
智慧化解員工反彈,稻草人策略見效
導入這種監控性質的資安軟體,最好的做法就是讓員工感受不到它的存在。「我的目標是做到不擾民,在安裝的過程不受打擾,在同仁工作的時候避免出現一些干擾視窗,」陳如經回憶說,最初導入X-FORT時偶爾會跳出不必要的訊息視窗,後來經過調整後就沒有這些問題了。
有時候,導入IT技術,更像是經歷一場人的文化養成過程,如何扭轉內部文化,是資安成功的重要樞紐。
為了擺脫員工被監控的不舒服感覺,晶豪宣導所謂的「稻草人策略」。「剛開始,的確需要安撫同仁們的不安騷動,於是我們老闆跟大家形容,資安軟體就像稻草人,並不具攻擊性,只是擺在那裡,小鳥就不敢來了。」陳如經笑說,這就跟「錄影中,君子請自重」是同樣的道理,明著讓員工知道有這回事,彼此互相尊重,這應該是晶豪順利導入X-FORT的主要原因吧!
「不擾民才會減低員工的反彈,資安監控才能執行的更順暢,這是雙贏。」他補充。
X-FORT為行動商務把關,做好資安鞏固主力客戶
進入行動商務時代,公司內部滴水不漏,那麼在外的資安又該如何防護呢?「同樣地,我們也為公司的NB裝設X-FORT,再使用X-FORT專屬的X-Disk,檔案存到X-Disk裡會自動加密,萬一不幸NB掉了,至少這些資料是處於加密狀態。」陳如經強調。
做好資安,也是鞏固主力客戶的重要關鍵。「我們國外合作廠商非常看重資訊安全,會派人來台評估我們的資安能力,」他說,因為國外廠商也會擔心交付的機密文件會不會外流,所以做好資安,也是保護自己的商譽。
不過,在資安的實際執行面,陳如經建議最好由內稽內核來控管,才有憑有據。「以晶豪的導入經驗,由稽核單位來管理及界定資安內容,以IT部門作為技術支援單位,這樣可以避免球員兼裁判的問題。」尤其他認為,哪些是公司需要保護的資產,最好由各部門聯合定義。
在做資安防護的同時,還能進行版權控管,消弭公司內的非法軟體,管理硬體資產,最重要的,是讓企業的競爭力不外流,「絕不能讓公司辛苦研發出來的IC設計,讓人家三兩下就取走了!」陳如經再三提醒。X-FORT資安軟體讓企業不會贏了面子,卻輸了裡子!