茂德科技為DRAM設計、研發、製造大廠,對他們而言資安不是IT部門的事,而是全公司的事。
在安全管制上最傷腦筋的,可能是來自外面的廠商,不僅進出頻繁,人員又繁雜。「造訪的廠商我們難以管制,但對員工我們會嚴格要求。」林政宏開玩笑對筆者說:「如果等下妳出去的時候搜查包包,發現多一個隨身碟,妳的隨身碟不但要留下來,帶妳進來的人也要被記違規唷!」
走進茂德,便可看見大廳張貼著告示,標明數位相機、PDA、隨身碟等物品不能攜入廠區,這還不足夠,警衛在筆者造訪時也徹底清查了包包,認真詢問造訪目的,又一一在筆者手機、USB隨身碟貼上了封條,這才放行,該公司對安全的嚴謹程度可見一般。
資安推動背景
茂德自2003年底與韓國海力士半導體 (Hynix Semiconductor)簽署合作備忘錄後,多年來雙方一直進行合作。Hynix對資訊安全的要求非常嚴格,凡是在內部流通的所有文件都必須經過加密,太過嚴苛的要求,在茂德看來顯得太過不人性化,因此在與Hynix早期的合作中,總是有許多的溝通要做。茂德資
訊處處長林政宏笑著說,「剛開始的時候我們跟Hynix有許多爭議!」2家公司的合作,不僅僅是公司文化的不同,國情的差異也造成合作上的歧異,不過也由於與Hynix合作,開啟了資安推動工作的開端。導入初期,茂德也派出種子學員,學習BS7799的內涵與精神,再回公司互相學習與討論,依此針對公司的架構來規劃,進行資安工作的推動。該公司推動資安除了在技術方面精進,也相當重視制度的制定與教育訓練的成效。
|
茂德科技小檔案
負責人 陳民良
成立時間 1996年
實收資本額(元) 670億
員工人數 近7000人
主要業務 動態隨機存取記憶體 (DRAM)設計、研發、製造及行銷
|
拉高資安層級 管理格局變大
茂德非常的重視資訊安全,這從一家公司的資安推動人員所隸屬的層級,以及資安工作推行的結構,便可以觀察出該公司對資安工作推動的重視程度。
茂德設有一安全委員會,委員長為董事長,各本部副總為組成委員,因此實際負責推動資訊安全相關業務的執行總幹事為RD部門的處長。
在安全委會員下,還有人資、資訊、技術文件中心、法務、保全課與稽核等工作小組,負責資訊安全相關的日常管理工作,如IT部門負責資訊系統
安全、使用管理辦法的擬定,與資訊安全管理系統的建置與管理,DCC(Document Control Center)負責技術文件的使用規範與日常管理,人事負責資訊安全政策擬定、安全委員會組織架構、資安教育訓練、違規懲處等,行政支援處的保全課則負責進出人員、物品的管制、檢查,其他如稽核部、法務處等單位皆有涉入資安的推動工作,幾乎可以說是全公司動員做資安,將資安共識納入公司體制內,推動層級一拉高,其成效當然大大提升。茂德的安全委員會每月舉行一次月會,協調資安事務的推動,共同討論公司內部資安政策、法規的調整與違規事件檢討等等相關議題。
茂德科技董事長陳民良本身為RD人員出身,更是深知技術財產的保護乃為公司關鍵核心,因此直接指派RD部門處長為推動資安負責人,這樣的決定也獲得IT部門認同。林政宏說,畢竟讓IT部門球員兼裁判也不太好做事吧!自2001年就加入茂德的林政宏說,對IT部門來說,安全防護網的建置本來就
是資訊部門分內該做的事,但5、6年前公司尚未全面推動資安的時候,IT部門想要建構一個安全環境
時會有較多限制,但如今在公司大力支持下,事情真的是順利多了!他說,如果光靠IT部門想要推行資安,真的是很困難的!
除了溝通 還要有制度與方法
在執行資安工作的時候,勢必會產生使用者抗拒的情形,這是在每個公司多少都會出現的情況,因此茂德也藉著每2個月舉行、由各廠最高主管、各處處長參加的Submeeting,進行雙向溝通,共同討論、提出問題解決之道。每個月茂德都會設定一個目標,於每個月的安全委員會議中檢討違規事件最多的前3大部門,需參加每2個月舉行的Submeeting違規員工則需接受資安訓練課程並通過考試(透過公司內部既有的E-learning系統),將資訊安全教育
確實的深入到每個員工身上。
藉由召開Submeeting,也就是與使用者的溝通會議,與每個工廠的高級主管展開會談,藉此擴大推動資安工作的參與層級,並且聆聽使用者的意見,
增加共識、降低反彈。公司既然已經規定了,員工勢必要遵守,沒有第二句話,但是能夠聆聽使用者的意見,改善使用者的不便,茂德也盡量做到。
林政宏說,既然有管制就一定會有特例,在制定任何規範的時候都需要深思熟慮考量到各種可能性,他認為不是光靠溝通就可以,還得要靠制度與
方法,當正常的情形發生時可以循規章來進行,但針對特例也要有彈性的因應之道,才不會造成過大的反彈。
保衛關鍵的核心機密
過去一般多會採用實體隔離的作法來防護機密資料,但不僅是與海外據點的聯繫,在競爭越趨激烈的市場,跨國合作的情形越來越多,實體隔離的作法執行上有困難,因此透過桌面虛擬化的方式來與外部做連結,也為近來不少廠家的選擇。對茂德來說,與Hynix合作的研發機密,便是公司最核心的關鍵,以權限控管為基礎,透過Thin Client(精簡型電腦)的架構,將研發機密資料確實的限定在一個範疇內運作,再透過獨立的網段進行資料交換,使
得資料只能在特定的防護網內被寫入、讀出,而每筆資料要與Hynix交換之前,都需要經過高階主管的簽核,藉由這套操作系統,雖有所不便,但能滿足雙方對於資訊安全的要求,已順利運作多年。
RD人員在進行研發時,往往會經過多次測試,因此研發產生的資料又分作2個階段,已完成簽核過的正式文件,利用DRM(Digital Right Management)加
密技術,由DCC進行控管,而尚在討論中,存放於工作區的文件,主要利用使用者權限進行控管。針對不同機密等級的資訊資產,茂德會建置不同的資
訊安全系統進行保護。
此外,端點的安全控管方面,每台電腦都用大鎖鎖住除了副總層級以上以及特殊申請的情形外,一律禁用USB,再佐以管理辦法,每半年就檢查一次。茂德內部僅有7%左右的人能夠讀取USB,但寫入的時候自動加密,只能在公司內部使用;既能讀取,又可明碼寫入的人,僅有3%左右。並且無論是讀取或加密與否,每個動作都會在Server內留存一份原稿記錄,以作為日後備查。考量到郵件的關鍵字過濾可能會造成郵件寄送、收發的效率,因此茂德針對郵件並無過濾機制,但茂德的員工只要每發一封有附件的郵件出去,都會寄一份副本給直屬主管,並且留存記錄在系統,以作為日後備查。此外,像是MSN、SKYPE等IM軟體也有嚴格的控管。
未來規劃
茂德台中廠在3、4年前剛建廠的時候,便已導入網路存取控管(NAC,Network Access Control),這些年來,NAC已經可以說是做得相當不錯,實屬不易。然而,資訊安全是永無止盡的,茂德除了打算要更精進其機密防護網之外,未來,更打算竹科廠也朝網路存取控管(NAC, Network Access Control)與防制資料外洩(DLP, Data Leakage Prevention)的部份努力,「各種入侵方式及病毒變種總會隨著時代一直產生,我們也會透過不停的學習來持續更新資安方面的知識。」林政宏如此期許。Hynix每半年便會對茂德進行一次內部稽核,從過去兩方的諸多爭議、協調溝通,到如今,茂德的資訊安全推動工作已有所成,「去年,他們給我們打93分!」林政宏充滿自信的說。
茂德科技經驗分享
1. 導入初期,茂德也派出種子學員,學習BS7799的內涵與精神,再回公司互相學習與討論,依此針對公司的架構來規劃,進行資安工作的推動。
2. 茂德科技董事長陳民良本身為RD人員出身,更是深知技術財產的保護乃為公司關鍵核心,全公司動員做資安,將資安共識納入公司體制內,推動層級一拉高,其成效當然大大提升。 3. 在制定任何規範的時候都需要深思熟慮考量到各種可能性,不是光靠溝通,還得要靠制度與方法,針對特例也要有彈性的因應之道,才不會造成過大的反彈。 |