https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

中華龍網公司取得台灣第一個CVE認證
結合「理念」與「技術」 讓台灣資安產品揚眉國際

2005 / 03 / 01
徐國祥
中華龍網公司取得台灣第一個CVE認證<br> 結合「理念」與「技術」	讓台灣資安產品揚眉國際

善用自身優勢和掌握市場商機
相信有許多人對於「弱點評估」的功能並不清楚,簡單說就是在不同系統環境中提供偵測與正確修補的程序,陳治豪表示,公司的技術人員在此一領域已有十年以上的豐富經歷,也專精於研究如何透過網路取得他人資料和防火牆技術,因此深刻明瞭一旦網路沒有經過修補就很容易被駭客入侵,更何況以許多系統平台多存在漏洞,因此發展弱點評估技術必然會有市場需求。可是,當時公司在開發弱點評估工具時,市場早已存在競爭對手,如ISS等國際大廠,因此許多廠商對中華龍網的生存都不抱持樂觀態度,但事實證明弱點評估工具實有普及化的必要。 陳治豪更指出,目前公司提供原廠網站進行弱點修補的連結,更針對老舊系統提供修補程式,如Linux 7.0、8.0版本已停止修補,但仍與日本知名大廠合作針對Linux 7.0、8.0提供修補程式,就是要讓客戶能安心使用修補檔案,不因下載公用修補軟體而承擔安全問題,也不必因系統更換,造成系統架構必須重新設計,相信這決不是企業樂意看見的,所以弱點修補是解決問題的首要考量,也是弱點評估存在於市場的立基點。

以國際市場做為公司發展的首要定位
除了掌握市場商機,明瞭市場定位也非常重要,陳治豪明白表達:「在思考市場取向時,公司也曾面臨選擇國內或國外市場的兩難局面。」雖說台灣IT觀念已較普及,但IT人員運作已面臨瓶頸,需要藉由其他管理工具才能讓資訊產業繼續成長;此外,台灣市場需求度本身就較小、觀念不成熟,這也牽涉到產品口碑和服務等,如果無法克服這些問題勢必面臨生存的危機。又假如真正商機是在國外,為什麼不一開始就投入到國際市場呢?在幾經評估之後,中華龍網毅然決然以國際市場做為自身發展的定位,所以國內市場的運作並不多,例如不會主動參與國內廠商活動、產品競賽和不做國內市場惡性競爭等,而是將有限人力運用於國際市場開拓和認證取得,尤其在認證方面更是不遺餘力,因為不但可以將公司技術提升至國際水準,取得國際認證也等同於台灣認可。

有關國內、外經營策略方面,陳治豪認為,公司是採取不同以往的經營模式,以國內市場而言,基於內部人力和主打國際市場的考量,所以只會透過「直接對應」方式在網路上開放弱點評估版本下載,藉此取得第一手的使用者資料,也讓使用者直接認識公司產品,只要該公司需要導入弱點評估工具時,自然會做出正確的建議,而此種效益也滿大的;國外市場開拓則不能採行上述方式,必須透過夥伴關係來構築經銷市場,如德國某大電信公司選購弱點評估工具時,中華龍網也在評選的6家廠之中,評選過程認為中華龍網產品具有極佳的技術,但最後沒有選擇中華龍網的產品就是基於沒有相關服務據點,因此未來公司在國際市場開拓上必須加強合作對象和服務據點的設立。

認證取得是走入國際市場的第一要素
由於過去台灣在弱點評估較少與國外廠商合作,所以國際廠商多半認為台灣在弱點評估技術是十分荒蕪的地區。陳治豪認為,既然公司已明確將市場定位於國外,想要踏入國外市場取得國際認證就成為必然的要件,因為沒有通過認證就無法確認技術是否符合國際標準,這也是公司會去爭取CVE認證的重要原因,而為了通過CVE認證前後約花費18個月左右時間,CVE認證大致分成5項流程,其中1~4項多針對檢測文件的整理,以確認弱點資料庫的編碼與定義是否正確,但由於需要準備的文件非常繁複,因此耗費最多時間就在此一階段,至於第5項則是檢視產品的操作畫面、效能等實際弱點比對,藉以檢測產品本身所能對應的資料是否正確。

其實CVE並非評比機構,而是中立的弱點對應機構,不會將不同廠商的產品做比較,可是CVE認證規定仍極為嚴格,因此檢測產品都必須100%通過弱點比對,例如NS4034在中華龍網的弱點編碼可能是138,可是138在換過包裝後可能成為NS03046,這就牽涉是否可以和其他弱點產品做比對。只要有完整弱點訊息就能對符合CVE規範,如此才能通過CVE檢測。值得一提的,由於中華龍網產品本身是軟體,CVE認證測試只需到公司網站下載此一軟體即可進行測試,因此認證過程並不需派遣人員至CVE機構,而測試文件也只需藉由電子郵件傳達即可。

改變資安視野與深植弱點評估觀念
陳治豪強調,弱點評估工具至少會延燒至2008年,可是台灣對於弱點評估觀念並未普及,雖然公司經營以國外市場為主,仍希望將弱點評估知識傳遞給大眾,才不致被錯誤資訊所誤導,以IDS、IPS為例,一開始大家都認為IDS是最好的防護工具,演變結果卻轉變成IPS;又如今年最熱門的產品是Anti Spam工具,台灣也有幾家廠商積極研發,但如果政府通過垃圾郵件管理法案後,這些廠商又該怎麼生存下去呢?其實弱點本身就是資訊安全的主要關鍵,因為只要做好弱點修補的工作,就能擋掉90%的資安攻擊,而不是被動聽從購買防火牆、IPS等方法,所以中華龍網花了很多心力在經營網路社群和安全訊息的發佈等行銷方面,以國外弱點知識庫收費的情況來說,中華龍網在網站提供免費的弱點知識庫就是想藉此改善和提供台灣民眾更正確的弱點評估觀點。

針對台灣當局推動弱點評估的作法,陳治豪表示,公司經營仍將鎖定國外市場,至於國內弱點評估市場則將等到趨勢較為明確再踏足,當然如果政府能將CVE認證納入推動弱點評估的標準,如同取得BS7799認證的做法,中華龍網也將樂見其成,更將盡力協助,但這些都需視政府心態如何看待。

後記
「面對許多國際知名大廠的夾擊,中華龍網在國際市場上算是滿孤獨的,取得認證只是踏足國際的開端…。」陳治豪重申,只有好的技術是不夠的,如果沒有多重因素相結合,公司一樣沒辦法生存下去,因為購買者最關心仍在於相關服務、合作夥伴、解決方案等,所以除了取得國際證認,尋找國外合作夥伴也是行銷國際的重要課題,相信這也是未來想踏足國際市場的台灣廠商必須引以為鑑的。