觀點

世界級國產品巡禮

2004 / 11 / 12
徐國祥
世界級國產品巡禮

長久以來,台灣民眾對國產品原本就不具信心,且在國際知名大廠的夾擊下,導致國產廠商內憂外患不言可喻,因此多半經營的非常辛苦,為了擺脫這樣的困境,部分國產廠商正默默進行自由產品的國際認證取得,來證明國產品不會比國外知名品牌差的企圖心,這就是激發《資安人》將國產廠商未來發展問題做為一個主題的原因,而藉由合勤、網安、威播、中華龍網、臺華和中華電信等公司如何參與國際認證及如何取得國際認證等面向,讓我們仔細探討國產品的價值所在。
資安認證各具風範與特質
由於資安領域的產品種類眾多,因此在資安涵蓋的國際認證有許多不同類別,包括NSS、ICSA 、CVE、FIPS等,以下內容將針對目前國產廠商取得的國際認證的內容做簡單說明。

「NSS」:NSS是新的實驗室,註冊在英國,但測試的實驗室在法國,這家公司成立13年,曾經做過Firewall、IDS的認證,但由於IDS不能防禦和阻擋由IPS取而代之,從2003年開始NSS成立一個比較完整的IPS實驗室,增加許多先進測試設備和蒐集病毒攻擊樣本,甚至自行研發攻擊、欺騙的工具,以進行相關NSS認證測試的程序。

目前除了NSS認證機構外,另有ICSA、OSEC等二家比較重要的認證機構,但由於ICSA僅有兩家廠商進行認證工作,而OSEC也由於測試更新較緩慢,因此較無法成為廠商取得認證的主要管道,所以目前仍以NSS認證較為當紅,且測試檔期已經排到明年度第二季。現今通過的廠商大致有ISS、 NetScreen、McAfee、威播等,而威播科技以防駭牆(NetKeeper Eulen)取得NSS認證,也是全亞洲第一個取得NSS國際認證的台灣廠商。

「ICSA」:ICSA是國際電腦安全協會(International Computer Security Association),持續以最新的審核標準,來確保電腦使用者資料保存與系統的安全。2000年11月ICSA.net改名為TruSecure。送測防毒產品若經測試失敗,可再送測,業者必須在7天內提出解決方案,否則會失去ICSA認證資格。目前通過認證的國外廠商有Cisco、NetScreen、Fortnet、CheckPoint、eTrust I、Trend等,國內則有臺華科技、合勤科技等。而臺華科技以WebGuard for Solaris、WebGuard for NT、WebGuard for Linux的Firewall產品取得ICSA認證,是美國境外第一家通過ICSA認證的廠商。

「CVE」:國際安全組織(Common Vulnerability and Exposure)是目前在國際上最具公信力的安全弱點披露與發佈的標準協定,以確保哪個弱點已經清楚確實的被辨識出來,並不是所有的軟體工具都會提供這樣的功能,而是只有少數的專屬工具(proprietary)會被 CVE 協定編入。

CVE位於美國,本身不從事受測工作,而是委託其他單位進行測試,目前CVE與全球94個組織機構(包含相關之非營利政府單位、學術研究機構、公司單位)及全球141項安全產品、39家開發原廠共同合作,現今通過的國外廠商,例如ISS、Symantec等。而中華龍網Dragonsoft Secure Scanner網路弱點評估軟體的產品已取得CVE認證,可喜的是,中華龍網是目前台灣第一家資訊安全的廠商獲得CVE的認可,並成為其全球訊息安全協防的一員夥伴,也是台灣第一家提供完整的全中文安全弱點知識庫的業者。

「FIPS」:美國政府國家技術標準局(NIST)於1988年採用聯邦標準1027號(Federal Standard,FS 1027)之精神決定加以改進成聯邦資訊處理標準140號(Federal Information Processing Standard,FIPS 140)的密碼模組標準,除了FIPS的密碼模組標準,相同的密碼模組標準另有美國CC認證(Common Criteria)、ITSEC認證。

目前通過FIPS認證的國外廠商,包括Symantec、IBM、VeriSign、SafeNet等。網安科技的NST PCI 安全加解密卡是台灣第一家通過FIPS認證的產品,而中華電信的高速保密器SafGuard 200產品也通過FIPS認證標準。

走入國際、認證是必要手段
嚴格說來,每一種國際認證取得都是非常不容易的,姑且不論時間的耗費,認證過程所擔負的費用往往很多,不是一般小公司可以承受的,更何況某些認證必須每年繳交年費,但為何要去取得國際認證?究竟大費周章進行認證取得,將為公司本身帶來何種效益呢?這不免讓人感到疑惑,其實可從「民眾心態」和「現實市場狀況」一窺其原由。

首先以民眾使用國產品的程度來說,由於原本民眾對於國產品的使用度就不高,對國產品缺乏信心,如果無法取得相關國際認證來佐證其產品品質,民眾更不可能看到國產品的特點,因此合勤科技網路事業部經理劉賢正強調:「透過國際認證可以讓民眾更了解合勤產品的系統,對公司產品的信任度也有加分效果。」威播科技總經理黃能富也表示:「面對市場的競爭壓力,相關認證的取得是有其必要的,其實某些知名公司已經測過威播公司的產品,仍要求需有認證的原因只在於信心問題。」而國廠業者也需有此體認,要針對自身產品取得相關認證,如此不僅國內的很多標案方能進行,對國外業務推展也有幫助,否則在國際大廠的環伺下將更難以存活。

其實我們有些被迫要取得國際認證,這樣國內的很多標案才能進行,例如國內某金融公司在標案時就規定必須通過NSS認證。這也是關係到信心度的問題,黃能富就指出:「其實客戶已經測過我們公司的產品,仍要求的原因只在於信心的問題,仍要求我們的產品必須通過NSS認證。」因此,對市場有一定程度的影響。 其次在市場拓展層面上,因為各國政府相繼要求國外產品必須通過認證,才能進口至其國內,從國際知名大廠不斷進行相關認證取得的情況,不難看出取得認證的重要性。

中華龍網總經理蔡銘桔就表示,主要是在標案取得上能有比較好的機會,因為通常國外大廠都擁有許多國際的專利與認證,在投標的過程中就佔有優勢,這也是國產廠商無法比擬的部分;至於國外市場方面也因為有認證可以比較受到國外廠商的認同,銷售與合作的機會也就較多。

網安科技協理蔡明志強調:「產品不管說多安全,沒有公正單位就不能證明,這才能讓消費者有信心,其次廣告效果,例如通過可以公佈在世界網站上,不走這條路很難打進國外市場。」因為以往台灣廠商多以價格為考量,但安全不能以價格評量的。

最後,中華電信電信研究所專案經理張耿豪也指出,有國際安全認證的背書,才能符合國際水準,這點非常重要。如同臺華科技總經理陳俊祥所言:「產品都要以客戶的需求為主,取得認證自然是必須且刻不容緩的,不謹可以開拓國際市場,也可取得國內標案,也讓消費者能夠對國產品更具信心。」

踏實設計讓認證容易取得
既然國際認證的取得絕非容易之事,國內廠商是如何取得認證的關鍵,相信這將是最令人感興趣和關注的議題,黃能富強調,當時是以非常嚴肅的心態看待認證工作,因此威播投入不少人力,諸如測試部門4~5人、專門蒐集病毒資料庫團隊(BSST)7~8人、程式修改人員7~8人、產品企劃(PM)人員,所以能有即時蒐集病毒資料庫和分析病毒資料的能力;此外,核心程式都是100%自行開發,並擁有堅強的測試和驗證環境實驗室等。因此在遭遇意外狀況時,威播能充分反應危機處理能力將問題快速解決。黃能富更指出:「不能用規避和打混的心態來設計或製造產品,否則雖然客戶無法得知其效能,但在進行測試時就無法通過認證。」

至於中華龍網能通過CVE認證的原因,蔡銘桔則很有自信的說:「主要是因為中華龍網的產品在弱點偵測的功能就很好。」所以中華龍網能取得CVE的過程可說還滿順利的,最大的挑戰可說只有備齊CVE所要求的文件而已,因為台灣廠商重視產品本身的功效,而國外則強調對於文件化的規格整理。

陳俊祥也表示:「臺華研發產品的技術沒有問題,因此產品百分之百都是自己研發的,所以能在短時間內取得認證。」而擁有自身研發的技術,這樣對消費者而言也會有比較好的的售後服務。由上述可知,認真看待認證工作、正確的設計態度和掌握研發技術等要素,是取得認證最重要的關鍵。

追求更高標準不以台灣第一為滿足
多數取得國際認證的台灣廠商不以『台灣第一』為滿足,也一致認為台灣廠商經營最大的對手以知名國外大廠為主,因此國際認證取得實在是相當重要,但目前國內廠商存在一些問題,以致於進行認證取得的廠商仍屬少數,甚至造成多數廠商裹足不前,合勤科技經理劉賢正就表示,國內廠商多為代工廠,但不論是否有研發自身專利產品,一旦銷售至國外,其專利多半也要歸買者所有,所以導致國內廠商也不想從事研發工作,其實擁有自由品牌和爭取策略聯盟是非常重要的,但很多老闆的心態是殺價格,不想浪費成本去認證,這是非常錯誤的思考模式。蔡明志也指出資安產品生命周期較短,花的錢和回收通常無法平衡,另外,投入認證成本太高,讓公司無法承受。

面對此種不利於國產廠商的狀況,陳俊祥認為:「目前國產品對外是品牌壓力,對內是售價壓力,解決之道除了要厚植自身研發能力,也要整合本土的力量去對抗國外大廠,才能求得一席之地。」而蔡銘桔更強調:「對於想要取得認證的廠商而言,應盡力取得能與國際品牌相同競爭的認證標準。」值得一提的是,蔡銘桔提醒想取得國際認證的國廠商,僅需針對要取得認證的部分去爭取就可以了,不需要的就不必去取得,因為這對於未來幫助不大,否則只是徒然浪費許多時間去爭取。這也是國產廠商在進行認證時可以加以思考與評估的,認證取得也自然可以水到渠成。

以合作與輔導將國產品導向國際舞台
將國產品推向世界舞台與取信一般大眾絕非易事,但令人覺得意外的是,其實原本國產商的競爭對手是國外廠商,但國產廠通常都是單打獨鬥,不但不相互合作,甚至削價的惡性競爭,所以面臨國外大廠強大的競爭力時,就顯得力量十分渺小,如同蔡銘桔指出:「由於國廠商自己看不起自己的國產商,只會找國外廠商合作,這也造成國產商競爭力越來越低的情況。」所以唯有取得相關認證和國產商相互合作才能讓國產產品取得較佳的競爭能力。

不過,解決問題不單要靠國產廠商的認知,其實某種層面也需要政府相關政策的協助,劉賢正就斬釘截鐵的說:「政府要從旁輔導國產廠商,除了要進行相關政策制訂與標案計畫,更應鼓勵進行國際認證取得。」張耿豪也表示「目前國內廠商相互競爭,以打擊對方提高自己生意,應該加以整併合作,不能個自為政,也要協助國產商送審國際認證。」而陳俊祥則以積極態度表示,雖然不期望政府政策的保護,強調願意接受自由競爭市場機制的挑戰,但仍需要政府宣導安全觀念,來加速國內資安工作的進行。

目前政府當局已計畫成立國內自身的認證實驗室,這樣對於想取得認證的國產廠商而言將是一大利多,因為這不僅可以節省往來溝通的時間,認證所花費的成本也將減低,但蔡明志強調,未來成立的國內認證機構也要取得國際承認才可行,否則此一美意將無法讓國產廠商獲得任何益處。

後記
台灣企業已逐漸意識到取得國際認證的重要性,且都有取得認證的決心,雖然國際認絕不是企業發展的萬靈丹藥,但至少能讓國產品在民眾內心提升信心,更可以領先亞洲與世界頂尖知名公司同步。