商機湧現 隱憂隨形－市場競爭激烈觀念推陳出新

◎文／謝誼萱、梁玉容、邱詩琁◎採訪／謝誼萱整理撰稿


政府機關這位“超級大戶” 經資安廠商長久布局用心經營，早已成為兵家必爭之地，但是僧多粥少，大部分標案只有一個得標廠商，廠商在面臨政府預算不足、無法建置完整防禦系統、或資訊人員缺乏對資安觀念的知識、甚或連IT專責人員闕如的情況。他們對政府從事資安建設的艱辛與難題感同身受，也最能以專家角度提供解決方案給政府使用單位作參考，以下便是我們彙整部分資安廠商的綜合意見。
標案競爭　幾家歡樂幾家愁
政府機關投開標業務近來已朝公開健康方向修正，評選標已漸取代價格標，所謂評選標，即由發包單位召集評選委員進行廠商評選作業，評選標有很多種形式，有以分數高低決勝負，也有以排名定高下。不論採用何種形式，廠商們難免會有公平性上疑慮，「只要是由人決定就無法做到絕對公正與公平，但必須在客觀條件上取得平衡的評選標準。」是諸多廠商對標案共同的看法，但如何在主觀的評選上，增加客觀的衡量標準，讓輸的人心服口服，才是未來標案評審亟待改進之處。精業副總經理廖啟川認為，經濟部等幾個單位作法可供參考，依排名給分數(例如第一名給一分、第二名給二分以此類推)加總分後最低分者得標，若同分則以各項評分比輸贏。


落選廠商提供計畫建議書是否應給費用問題，據悉新加坡就有這樣設計，鼓勵廠商提供建議書競標，即使落選也能將計畫內容轉給得標廠商參考，政府也同時付給顧問費。評選委員是另一個讓廠商議論的話題，部份評選委員的專業性、代表性備受質疑，「應該大量增加各專業領域評選委員，並排除與利益團體有掛勾的評選委員。」這段話說出廠商盼拉大評審委員範圍的心聲。


工研院與資策會角色上爭議由來已久，它們以財團法人之名承包政府單位許多大型標案，與廠商形成競爭局面，對兩單位夾公家資源，壟斷市場與人才，搶食民間商機，廠商早有怨言；如今兩單位不僅日益成長，與民爭利態勢更變本加厲，對長期受壓制的產業界而言，如何讓這兩個單位精簡人事，回歸研發顧問功能，才能一解業界心頭之痛。

預算多寡　服務品質風向球
預算多寡是影響服務品質的重要因素，敦陽科技營運長特別助理李怡慶舉承包政府電子公文交換為例，近五千個政府機關用戶透過他們提供的系統做公文交換，除系統本身建置外，服務後勤支援體系與後續教育訓練才是成本考量的重點。成本與服務品質間多少存在著關聯性，如今碰上政府預算緊縮，有些單位只買產品，產品安裝後未做測試，成效當然不好；近來，廠商將產品與服務綁在一起賣，加值性服務、整合性解決方案應運而生，但這其中多少是真正物超所值的服務，恐怕不是內行人也難以評斷。


資安賣的是服務，用證照來評估廠商實力，未必客觀，畢竟經驗無法量化；但在沒有合格廠商評選機制的市場中，如何找到夠格的廠商，不僅是政府用戶關心的話題，更是優質廠商亟思釐清的部份。部份通過BS7799的業者就倡言，「想進入資安市場，廠商服務部門至少要通過BS7799驗證。」


IBM資訊服務部協理陳長榮舉公司的「課程滿意度調表」、「使用滿意度調表」等為例，由公司委託中立調查單位回到客戶處調查，包括已結案的案子，以用戶滿意度做為案子最後驗收成績，只要客戶有不滿意或疑慮的地方，一定全力改善到滿意為止。


以上例子都足以說明資安市場客戶導向行銷趨勢，但使用單位在引進資安建置前若缺乏整體性思考，隨著得標廠商經常更換衍生諸多困擾，例如產品如何有效整合管理、產品相融性問題、政策延續問題都將一一浮現。


機密等級 內部先做好控管
誰來判定那些資料屬於機密？政府單位應先建立及頒布資訊分級綱領，再規範資訊分級保護標準，例如極機密資料不可連上區域網路及公眾網路，次一級資料需配備防火牆保護，再次一級需有防毒，有了內部控管措施，廠商也較有遵循方向。


控管機制可能必需採跨部門形式做集中管理，因為機密資料的判定不是單一部門的事，更非資訊部門的事，應是機關針對業務需求所做的判斷，所以有必要先訂出檢視資料等級之辦法。IBM資訊服務部協理陳長榮就認為，「政府同一法條規範不同事實，並未考慮現實狀況，保密條款太籠統，容易引發爭議。」

市場趨勢　技術服務各一半
今年資安市場明星產品，廠商預測應在防火牆、入侵偵測、弱點評估、ISMS顧問服務、SOC委外服務、資產鑑價服務等，前三項屬技術導向產品，後三項則屬於服務導向產品；相較起以往技術導向產品一枝獨秀的景況，可看出政府部門已漸調整觀念，從買服務出發的角度思考，不再完全以採購技術產品為主。


從政府此次釋出的商機分析，最大利基市場可能會有ISMS所帶動的顧問服務、更新或增購新技術產品、SOC委外服務及持續維運計畫，預估至少有二十餘億的商機。有業者預言，資安市場經政府帶動後，會有很多民間企業接棒投資，後市可期。


資安保險觀念在國外正風行，國內卻還沒有投保與承保機制與法規，淩群電腦電子商務暨資訊安全事業部協理蔡運生提供經驗談，「國內企業尚未接受資安保險觀念，未來可以考慮在購買產品時，將保險內含在經費中，讓用戶不需要再花錢去買保險。」


技術轉型　系統整合佔優勢
根據ARC的調查統計顯示，系統整合（SI）的商機越來越明顯，每年將以20％的速度成長。預計到2006年時，全球系統整合市場將高達110億美元；屆時將有更多的大型用戶需要系統整合商的技術，同時會有更多的產品、方法陸續被開發。系統整合商進入資安領域佔優勢之處在於，有厚實的技術能力做支柱，對整合技術服務比其它供應商更有實務經驗與人力資源。以下是我們走訪目前國內有幾家知名政府資安系統整合商，針對他們所提供服務特點，概略介紹如下:


敦陽李怡慶強調，十餘年實務經驗，採直銷式行銷通路，規畫安裝自己做，累積很大能量，七大事業群分別提供不同對象相關解決方案，在業界建立很好口碑；凌群電腦蔡運生表示，為了因應資訊安全在系統整合業務的龐大需求，設立『資訊安全事業部』以專精於資訊安全領域的技術服務諮詢團隊，提供客戶從顧問諮詢、技術建置到業務銷售，全方位的資訊安全技術與服務支援。廖啟川談到精業在軟體、硬體、網路、通訊，及金融、銀行、流通等行業別都累積豐富經驗與專業能力，積極引進世界知名公司的資訊產品與服務。每年投入研究發展金額逾二億元以上，持續維持企業創新的成長優勢。因此檢視歷年來營運成果，精業將種種精彩的應用科技帶入中央政府、縣市機構、學校及兩岸三地的中大型企業。綜觀，系統整合是高度的知識產業，人才是核心，服務與口碑是客戶檢視的標準。寬華網路協理周頌鈞強調，我們是首家提供資安系統整合服務的公司，推出七大產品線分別是實體安全、網路安全、內容安全、應用程式安全、可用性及負載平衡、風險管理、目錄服務等，將旗下所有資訊安全技術原廠的產品分成七條產品線，每條產品線都是資訊安全的構面，每一構面有相對應的解決方案，因應客戶需求提供系統整合、顧問諮詢服務。


帶頭效應　政府應做好榜樣
「政府重視資安會帶動民間企業，已發揮火車頭效應，但資源應集中，輕重緩急策略要訂清楚。」騰蒙科技總經理徐睿鈞對政府重視資安建設叫好，但同時也提醒主導政策者整體考量策略的重要性，全面考慮資安政策，才不致於演變到頭痛醫頭、腳痛醫腳的結局。徐睿鈞同時認為，政府忌諱和廠商的互動過於頻繁，會有圖利某些廠商之嫌，但產業向來走在前頭，政府除了讓財團法人單位如工研院、資策會等協助擔任顧問的角色，產業先進也應納入其智囊團中，才能擬定更符合民間所需的政策。


而一個專屬、常設的專責資安單位，並廣納有經驗的學界、業界專才，能避免重蹈以往的疏失，讓同樣需要永續經營的資安工作，能夠持續不斷地推動、進步。