https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

買功能不買空殼 服務是資安系統的精隨

2008 / 06 / 23
吳依恂
買功能不買空殼 服務是資安系統的精隨

以最低價取決採購,可能造成服務品質低落,或廠商因此勿參與競標,看似較簡單的價格標,在後續帶來的麻煩確不見得較小。

在我們接觸的諸多訪談之中,儘管有許多資訊人員相當關心資安的議題,但對於資訊安全的整體觀念或是技術,往往都還是處於摸索階段,在資安防禦系統裡佔有相當重要地位的資安服務,自然也常常被忽略掉。
政府採購法當中的價格標-也就是以最低價格取決,可能造成的影響是造成服務品質低落,或不願降低服務品質的廠商因此不參與競標,但其實也有許多招標方式可供選擇,因為在前置過程較簡單的價格標,在後續給承辦單位帶來的麻煩卻不見得比較小。

資安服務認知落差 買硬體只買到空殼
關貿網路總經理暨資安促進會會長陳振楠認為,價格標對資安服務品質一定有程度上的影響,在採購跟技術是分開的狀況下,如果單純採取價格標的方式就會產生一些問題,例如說智財權的問題(不使用原版軟體),在管理維護案的時候使用水貨或是2手貨。他以過去的經驗建議,可採用POC( Proof of Concepts)的方法來進行,也就是買方出題、賣方解答,可以找專家來評選賣方的對應策略,回答的最好的人才能優先議價,陳振楠說能夠找出回應買方需求且顯示出能力的賣家,自然在後續流程上較無爭議。
他認為資安服務的概念在國內依然是個問題,大家的認知是有落差的,許多使用者寧願去買一個硬體也不願去買服務,因為它看得見、摸得著。他們就曾接觸到某個航空儲運中心的客戶案例,資訊主管很誠實的告訴老闆:「我唸書的時候,沒有資訊安全這個東西!」
的確,對於一般的資訊人員來說,資安還是非常陌生的概念,在技術上可以提供的支援並不夠充足,而當然在觀念上也還是相當模糊,難免都會過去買電腦硬體的經驗來看待服務。陳振楠認為,沒有人可以告訴業者應該做什麼樣的防護,甚至是如何舉證來保護自己,在談M化、U化之前,其實應該要先做的是S化(Security),在政府單位多無人力支援的狀況下(政府IT人力不足,甚至是兼職人力),業者選擇安全服務自保其實也是一種選擇方式。
對於什麼是服務?陳振楠舉例,租用日本的1元手機就是一個實例,手機的租用非常低價,但是提供的服務卻是有價的,他曾與日本電信服務業者KDDI的執行長對談,發現日本人相當有服務概念,KDDI執行長認為服務應該講求精緻化,才能提升客戶信賴度,市場才能無限大,付費數位音樂、電子書城等服務型態的商品都為KDDI帶來相當的效益。
與1元手機概念有些類似的是,目前有些廠商推出一些策略-送硬體,買服務。免費把硬體送給企業,若企業願意培養人才或擁有技術當然可以直接執行,但若需要廠商的服務也可以選擇性購買。這樣的動作正說明了,對於如何設定資安設備、制定Policy,這類的服務才是真正有價的部份。
Juniper Networks先進技術資深經理林佶駿說,在資安硬體設備的購買上所需要的服務可分作2種,1是售後服務,2則是加值服務。例如購買UTM設備,為了達到防禦與效能上的平衡,除了日常的特徵碼更新等以外,還要知道什麼時候開關其功能,而且如果沒有購買加值服務,就會對其產出不了解。林佶駿說,不過像是政府採購部門在採購時,往往會將加值服務也列為專案條件,SI廠商便會再尋求提供服務的供應商進行整合。
台灣IBM全球資訊科技服務事業部顧問經理陳俊昌也提到,資訊安全系統當中,所要解讀的Log、訊息並不簡單,除了能夠讀懂分析報表,還要具備相關的資安經驗與技術,考慮整體環境,才能判斷出設備調校、資安政策應如何設定等。

採購主要目的:解決需求
身為政府採購的使用者,台北縣政府資訊中心主任高永煌表示,價格標其實對承辦人在後續流程裡,是有可能會造成品質上不穩定、無法控制等問題,其中,北縣政府資訊中心使用最多的是評選標。高永煌認為會採取價格標方式的承辦人,有幾種可能,或許是不夠了解採購法、或因為此法較簡單或為了杜悠悠之口,怕被認為有不公情事會發生等。高永煌舉例說,由於一般的管理維護案需求和條件都相當簡單,便採取價格標的方式,卻還是會遇到一些「標案蟑螂」,先低價搶標,之後發現達不到成本又轉包其他廠商來做;另外一起案例是機房管理案,廠商雖然搶到標案卻遲遲沒有辦法達到要求,最後只好與之解約,讓該廠商停權。高永煌說,對廠商罰款、解約對承辦單位來說都是相無奈的事,畢竟對使用者來說,需求不能被解決,才是最大的損失。

政府單位的覺醒 服務才是王道
北縣政府目前預算多以購買資訊服務為主,在4億多的資訊預算當中,資安服務預算就佔了3億多,竟高達3/4,高永煌說,這也是他們用多年來痛苦的經驗換來的結論。
在過去為了達到需求,多是購買硬體為主,但在建置之後才發現,沒有相對應的技術人力可以運作,尤其像是資安系統等,需要較高的專業技術來維持,例如防火牆是一個很普遍的資安硬體設備,但如果沒有設定好防火牆的政策,就會形同虛設,每年都斥資建設卻無法達到需求,當然是使用者心中的痛,有了過去這樣的歷程,他們開始發現到,最應該被重視的其實是「結果」,北縣政府要的正是一個「安全」的結果。而需求可以透過委外服務來達成,儘管為了追求整體服務品質,費用不一定比過去的模式來得便宜,但不同的是,達到了縣政府資訊中心最想要的結果。
高永煌笑著說,以前沒有辦法一次給廠商那麼多錢,每次都在欠錢,說起來真的是很不好意思,自從做了委外之後就不用再欠人家錢啦!也或者是明明100台的備份只能先備個20台,在沒有人或是沒有能力自己做的情況下,所要冒的風險都高於委外,他認為這是應該要去衡量的地方,而當然,他們也會對委外人力有一定的要求,例如確實去了解對方的學經歷、背景,是否有相關證照,也有國籍的限制,並且簽訂保密條款等等。
相當具有採購服務觀念的高永煌說,買軟、硬體是在買功能,不是買個盒子放著,安慰自己這樣就安全了!他說在政府單位,過去那種資訊服務「無價(沒有價值)」的想法,也正在慢慢的轉變當中,像是研考會或是法務部在這方面都相當具有概念,他認為,從過去的痛苦經驗中學習,很多機關也都慢慢的開始覺醒,了解到能夠達到最後需求的資安服務才是王道!