根據IDC的研究報告指出,去年佔資安產業最高比率的為製造業,而究竟在製造業,其資安工作的關鍵又為何?本專題為您深入報導。
資安人於此時機,針對國內多家製造業,範圍涵蓋IC設計、半導體代工、封裝、測試以及傳統製造業等各一線、二線大廠,透過問卷調查以 及深入的訪談,以了解業界動態,此外,也希望能夠幫助產業在推動資安工作上更為順利。
製造業的資安動態
今年,許多製造業更加關注資訊安全工作,比起過去製造業對於資安工作更為積極投入。資誠企管顧問價值管理服務部協理李少華也提到,國外買主開始重視製造業的資安,但並非從今年才開始。可以觀察出,客戶對於製造廠商所提出的問題越來越精準。例如前年問:「請問你們對這些問題有提供什麼措施?」去年問:「請問你們有沒有做到如下這些保護?」今年則問「你們做的這些,哪些部門有沒有囊括進來?」也由於這個產業購併情形頻繁,買主之間彼此競爭激烈,因此會要求下游的ODM、EMS廠商,對他們所擁有的關鍵技術特別要求保護。另外,也有某些企業逐年成長,企業主以成為該產 業世界級領先者為目標,因此越來越重視自己本身所擁有的智慧財產,因此自發性的重視資安。
來自客戶的要求自然是一個原因,已經有部分國外大廠開始對台灣的代工產業要求,勤業眾信副總經理萬幼筠說:「國際大廠要求台灣一線代工大廠的動機,並不是單純只要看認證,其背後意義在於-確保這些下游廠商對於資訊安全與保護能夠持續、擴大、推動與改進。」不過萬幼筠也認為,其中最主要原因還是由於各家設計技術逐漸的逼近,今天A公司推出一樣產品,明天 B公司很可能就拿出功能相差不多的東西。在競爭越來越激烈的狀況下,商業機密的保護也就更顯得重要。他也認為,在資訊安全方面來看,如果與國外製造業相比,台灣的IT製造業可以說是走在前頭,因為如美國方面,由於其法令制度健全,一旦發生資料外洩或侵權行為,都可以透過官司訴訟來獲得賠償,而台灣的法令目前尚不若此,企業為求自保也必須尋求自我解決之道,因此,資安的完善更形重要。
敦陽科技資安暨網管服務處資安顧問部經理李欣陽也說,雖然製造業的資安推動依然相當不易,不過相較於過去,整個大環境都更趨於成熟,從銷售的角度看來,過去可能在企業測試之後依然無意願採購,仍猶豫再三,如今在確認需求後,選擇購買的不少,也可以從這些跡象看出市場逐漸成熟,
整個產業可以說是樂觀的。
製造業所關注的產業資安
台灣的高科技製造業多為代工,流程中也都有製造的部份,其各家研發重點在於如何改造製程,使得良率提升、產能提高。並且,讓客戶能夠隨時
掌握其代工進度,如期交貨,主要做的可以說是客戶服務的一種。
這賣的其實就是一種「服務」。相對而言,電子產品的代工製造業,機密保護的就是客戶機密,在拿到客戶委託代工之產品資訊(即客戶的機密)之後,所要做到的就是在製程中,確保資料被保護,除了交互檢測當中基於Need to know來使用,還要保證不作其它用途,並且在製造完成之後妥善保護或是銷毀,這也是另外一環的機密資料。取得客戶信賴、贏得訂單,便是背後驅動代工製造業安全需求的動力。C.I.A安全3要素,高科技製造業首要Confidential,其次是Availability,Integrity並非不重要,而是它是一切製造流程中的基礎,在長長的製程中,元件的真確性與正確都是必備的條件,也可
以說是品質管理的問題。
李欣陽提到,高科技製造業的設計、製程等,大都是屬於封閉系統(或是半封閉),所以相對不容易有資訊安全的風險。因此,他們著重在於智慧
財產權等機敏資料的外洩。從人員權限的嚴格劃分、專屬工作電腦的配屬、到文件本身與傳輸管道(B2B, Email, FTP, Mobile Device)的加密,都是他們最注重的範疇。
其中,IC設計產業就更是重視自身研發機密資料,相較於代工業,其動機可算是更加自動自發,這乃是因為設計之機密資料乃為該公司企業命脈,而不同的出發點也會引導更加積極的作法與態度。不管是一線大廠或是二線、傳統製造業,安全防護問題都被認為有其重要性,因此做到何種安全程度僅是階段性的問題,如今台灣已有些一線大廠開始被國外大廠要求,緊接著是二線廠被要求,這已經是一個公司整體的商業競爭,而不單僅僅是資
訊部門負責的安全問題。
這也是為什麼一些有概念的製造業在進行資安工作改造的時候,原本以IT部門來主導推動,最後IT部門卻轉為協調、配合與資安專案的管理,漸次轉為以與營運更關聯的管理階層來主導,如資訊長、風險管理、稽核部門來執行的緣故。一般的SI廠商由於常常觸碰不到製造業關注的點,而只從產品面來考量安全環境的建置,自然會大嘆製造業的安全難推!
產品要大量製造前的測試階段,都是洩漏的地方,消費者可能會在某知名的網站上,看到尚未上市機種的「開箱照」、「開箱文」,標明為「工程
機」等,其規格及功能可能都與實機相差無幾,只差沒打上Mark,一般工程師測試的時候只要報個耗損,機器可能也就被帶回家了,如果要求報告,又
會引發人員不滿,這能否用軟體還是硬體來管控?或許可藉由IT技術來協助,但如何設定相對應的流程制度,實則是製造業安全改造重要的一環。
萬幼筠建議,SI廠商可以從「業務活動」的層面來設計解決方案,而非產品技術面,這也可以說是一種「資訊流」的控管,把安全的問題拉到資訊
流的層面一一審視,這個職位的人應該有什麼樣的權限和怎樣的被管理?舉例來說,在傳統的代工製造業裡,所謂商業機密也許只存在於一台秘書的電腦上,所以要控管的就是「秘書」這個職位的人,電腦設備自然有做加密、權限控管或記錄,IT技術的應用依然涉入其中,但是重點卻應該擺放在人及
流程的控管上,分析安全應當從業務活動的流程開始,而評估機密資料的分類,可以透過流程的產業架構圖來看。
因此,對製造業來說,與其說是在做資訊安全,不如說是營運風險與管控流程改造。在訪談的過程中,有名傳統產業的資安負責人員也這麼告訴我們「總經理從國外考察回來之後,就開始決定要導入資訊安全管理機制,主要是出於提升公司管理水平的考量。」該公司的資安甚至有個專案型的組
織-資安管理委員會來負責,並且由副總來領導推動,其重視程度可見一般。
問卷訪談:製造業關注核心焦點
我們以各公司在資安工作中,以機密性而言,對現階段最為關注的核心系統展開調查,並且再針對該核心點的保護工作,其深入方式來進行訪談。
在調查過程當中,我們發現到企業對每個系統機密性的重視程度,是具有階段性以及目標性的。
階段性:例如說,某光電大廠認為現階段最重視的PLM(Product Life Management)系統,因為該公司的KM(Knowledge Management)文件管理系統在早期便由內部自行建置完成,因此較不需要擔心,在此排序便會較後面。
目標性:又譬如,該公司主要若為組裝消費性電子成品,含有產品銷售之業務,對掌管著財務資料的ERP系統便會相對的重視,一來要維持公司財
報的完整性,不可被隨意篡改,二來該公司之採購成本是其核心業務,自然受到重視。
研發為IC設計關鍵核心 資安機密度為首要
IC設計雖然與其他製造業者較不相同,不過由於該產業為製造業的設計源頭,其上下游廠商多為製造業,與製造業整體流程息息相關,因此我們也
納入此次的調查討論的範疇,以求其流程完整性。
研發技術為該產業核心,關係著公司生死,因此較其他製造業者來說,投注在研發單位的資安比例更多。或許他們沒有單一的PLM系統,但以整個
產品生命週期來看,這些研發資料在不同的部門有不同的系統在處理,以不同的方式管控。例如Source code是存放在伺服器上,用系統架構來防範,會讓接觸到機密資料的研發人,使用類似精簡型電腦的PC,以保護資料不外流;至於RD檔案則透過DRM(數位版權管理, Digital Rights Management)加密,甚至是導入DLP方案。
而這些機密資料除了在第一線接觸的使用者,透過IT設備保護之外,又會設有技術資料中心、IP管制中心來負責資料在公司內部傳遞、分享的控管,例如ISO文件可以透過文件控管系統來加密,只能在公司內部解密開啟,實體文件上則會有浮水印等,透過流程管理制度與來達到資料安控。
某IC設計業資訊處長說到「對我們來說,由於研發需要,會向國外專利機構購買專利文件,但他們甚至會稽核我們IT環境是否夠安全,不是有錢就
買得到。」因此IC設計大廠在這方面的建置往往與海外同步,可能是領先國內其他產業數年,便已佈署完畢。而半導體產業、光電產業的一線大廠,對
該公司的資安要求層級也會近似這類IC設計大廠。
不過,IC設計產業大者恆大,規模大小差異懸殊,亦有不少資本額較小的IC設計業者無力兼顧資安,因而在系統上也只能盡量使用帳號、密碼及做
好身分權限控管,訂定在此系統範圍工作的人之使用權限。
深入探討製造業關鍵
從調查中我們可以發現,在一線大廠中過半數認為製程的研發機密是最為核心的關鍵,其次為來自客戶的資料(研發資訊、技術、樣品等)。
以代工產業為主的製造業裡,所謂的商業機密之處可能是在製程的優化、機器參數的調校方式與參數,與產能調度,還有就是設計服務至光罩的後段資訊等等。這往往是位於研發文件庫(專案管理系統、PLM等)之處。在二線大廠與傳統產業的比重,則可看出ERP系統的比重加大,也就是前面所提到的「目標性」。研發文件庫主要防止竊取,ERP系統則是防止資料毀損(也就是資安所談的「完整性」)。
根據我們的訪談,最基礎的核心系統控管,就是在實體設備、網段上做實體隔離、控管,門禁實行管制,並且再搭配權限的控管,接下來便會針對特定類型的檔案使用DRM或類似的加密方式。
而根據我們對多家台灣製造業所做的調查,在針對機密資料加密的部份多會採用DRM技術,但為什麼加密了還是會有外洩事件發生呢?企業應該捫心自問的是,在哪邊加密?需要對什麼做加密的動作?技術不是問題,重要的是如何檢視流程當中可能疏忽的安全漏洞。另外,我們常談到的資訊安全,在製造業高層看來,其實卻只是所謂的「Computer Security」,只是製造業安全流程其中的部份環節而已,在公司決策者看來,甚至會認為那是IT部門本來就應當提供的安全環境,如果可以深入到產業面所注重的資訊流安全,才能真正的了解及解決產業需求。
舉例來說,一般R D人員日常行為的工作記錄簿就是最容易被疏忽的地方,裡頭包含了測試失敗的記錄等等,通常都要等到整個作業完成後才會整個放進KM系統(或文件管理系統),在測試的前階段沒有注意到,卻在最後階段才使用DRM加密,是否能夠發揮成效呢?目前在國外已發展有專為RD人員設計的專業工作流程系統,所有的測試流程進、出都源自單點,此時只要針對單點控管或加密即可,但這類系統往往要價不斐,所以建議可以從工作習慣的改變來達到此一目的,只是RD人員往往是最難以控管的一環,仍需仰賴諸多的 溝通。
創意無限 高科技人才難以管束
關於被使用者繞過安全機制的情形的確會發生。有些公司反應,有部門同仁就是在負責USB隨身碟的產品設計,當然就不可能限制他們禁用USB。
也有許多公司會做DVD光碟資料燒錄的管制,把所有使用者燒錄的資料都留存備份,但若是遇到需要作產品測試資料的燒錄,每次燒錄就是好幾GB,這
樣要作留存備份也有困難。「對於這些管理上的挑戰,我們還是會盡量去作,就算是虛掩著也還是要有一扇門。」某IC設計業資訊處處長說。
此外也會有些狀況,例如RD人員抱怨DRM機制非常難用,會降低效能,今天如果開一個設計圖檔需要10分鐘,RD人員是無法接受的,他們的耐心大
概只有5秒鐘,超過時間他就覺得這東西不可行,很難用!但既然公司規定資料需要保護,RD人員的因應之道就是另闢蹊徑或自行開發使用,雖然的確也按照公司規定保護機密資料了,但是這對公司來說,豈不是有管等於沒管?
我們在訪談過程當中,也曾遇到IT人員感嘆,資訊外流的管道如此之多,防不勝防,還不如放棄算了。萬幼筠說,他常接觸到的管理階層並不這麼想,許多優秀人才往往是「明知不可為而為之」,只要能夠部分控管,至少就能夠拉長時間象度,即使是最核心的資料外洩出去,也需要時間去實現,在這段期間,企業的競爭力依舊在提升,並不會因此就馬上被迎頭趕上,就算RD
人員把一切機密都記在腦中,就長期影響看來,人腦又能記得了多少?不過,這也牽涉到另外一個研發流程的設計問題,例如說,在研發流程中,A研發不能跟B研發放在一起,甚至不同的研發團隊人員也不清楚其他人
在做什麼,除非你可以把整個研發團隊帶走,否則,光憑一人之力依然無法動搖國本。不過這個課題的層次已經進入研發流程的改造,這也是顧問在多數資安專案中最大的挑戰。
整體管控方式
機密資料除了在核心部門必然受到嚴密保護,但若因工作需要而將資料流入其他部門,公司整體的保護機制的管控將會是資安防護的下一步。我們針對公司內幾個主要的控管機制來進行調查,包括了E-mail/Web過濾、加密、可攜式媒體(USB)的存取控管、建置ISMS機制、加強權限控管。
由訪談我們可以發現,權限控管機制在製造業當中,無論是一線、二線或傳產,都具有較為成熟且完整的建置,端點安全的控管則是二線與傳產目前較為缺乏的部份,而傳產最明顯的差異是,對於建置ISMS資訊安全管理機制的概念較缺乏。而一、二線大廠大部分都表示,並不一定要通過驗證,但在實施上會朝向ISMS的內涵與精神去做。
在加密的部分一般都會陸續建置,但比較不會有明顯成長,主要是因為投資上的考量或增加工作負擔,而且並不是每種檔案格式都會被支援,像是ERP系統內的財務報表等,有時僅能在最後匯出報表階段做加密,若在每個階段都加密,則會造成效能上的阻礙,此 時企業便會用政策宣導、行政制度、存取控管等方法來彌補這部分的不足。
中華數位產品經理林世強認為,防制資料外洩通常有2個控制法,針對郵件以及針對管道做控管,一般會先做管道,因此Client端這2年也會是個重點。E-mail由於是較為成熟的機制,若無進行E-mail關鍵字過濾的話,也多會留下Log記錄,或備份於公司伺服器。端點方面的控管,由於牽涉到較多使用者,因此產生各種使用者抗拒的情形,例如,對IC設計業者來說,RD部門是公司營運的主要單位,儘管研發資料都攸關公司營運的命脈,但有時安全與方便之間難以兼顧,因此有些公司採取的作法是把管理權限交給該部門主管決定,告知他目前作業流程下可能會有的風險,如果他願意承受風險,那麼
該部門就可以不受管制。
另外,也有企業採取的作法是複製資料到USB隨身碟時會發出訊息警告。一般而言,不論是E-mail或USB隨身碟的控管,採取這種將Log資料保留的方
式或發出訊息嚇阻,都可做為將來舉證的資料。
其他,也有一些不同的控管方式,如桌面虛擬化,技成科技資訊業務執行副總張煥旗認為這方式尤其在竹科的RD部門普及率高,且已使用多年,不
僅對商業流程有所助益也較為安全,但一來因系統需要,且有技術支援,二來也必須讓客戶連結進來查看委託資料,所以大部份建置的都是設計廠商,
桌面虛擬化這樣的應用在一般OA的環境較少。
對跨國員工(例如大陸)的遠端存取管理
達友科技總經理林朝賢提到,由於大部份製造業在大陸都設有據點,大陸員工較不易控管,因此,如何將員工使用網路電腦資產的控管做好,是
多數製造業所最關注的點。
而針對有遠端存取需求的這些使用者,有些製造廠會選擇使用虛擬桌面軟體,以加速使用NB連線存取總部主機,例如存取ERP系統時的效能,並
降低頻寬的耗用。像是在大陸地區或新成立的子公司,若沒有舊環境的包袱,便會在重要的RD部門隔絕一個封閉的環境,並且透過精簡型電腦連線到
後端系統作業。但有時在精簡型電腦作業使用者會反映有效能不夠好的問題,所以也只能局部使用,並非所有人都適用,這時會再搭配防制資料外洩的工具來做保護,安全就是需要靠一層一層的縱深防禦。
動力安全資訊技術總監盧亞德也提出他對業界的觀察,他認為值得注意的是,過去許多FAB大廠對於關鍵的RD部門會直接採取網路實體隔離的
作法,但現在遇到了難題。畢竟高科技製造業已經是朝全球協同設計、協同開發發展,跨國性的業務使得研發人員必須能直接與世界各地的研發團隊溝
通。因此,許多企業開始評估運用虛擬化技術的精簡型電腦解決方案。將所有重要應用程式與資料集中到後端控管,前端作業完畢不會留下任何資料。
例如許多軟體公司委外給印度開發,就是採取這種作法。儘管如此,但這樣的解決方案未必適合所有企業環境,例如某些必須使用CAD/CAM工具的使用 者就表示,在虛擬化環境中會遇到系統效能的瓶頸,因此DLP或DRM方案仍有其市場。
推動資安工作單位
最後我們對推動資安工作的單位來做調查,分作IT人員兼任資安,有專職資安人員且為總經理直接授權,或隸屬資安委員會等較高層級,以及隸屬於IT部門底下的專職資安人員。資安人員在公司組織裡扮演的角色,往往也說明了資安工作在該公司所佔的地位,與該公司對資安重視程度與否。我們可看出在
一線大廠,隸屬在公司高層的專職資安比例較為多數,而傳產則可能因為觀念不足或人力、經濟,資安多為兼職人員,需身兼多職。
IC設計公司通常因IT人員素質、技術高,可自行找到想要的工具解決問題。而一線大廠因人力、財力充足,多半會成立資安小組,但還是有很多依然為IT人
員兼職,對資安的方向會以IT技術角度著手,而儘管每間公司都知道要做資安,但獨立拉出專職資安團隊的卻有限,可能為專案性組織的架構,有
任務才自各部門調人兼著做,任務結束就解散。而沒有資安團隊的一般製造業,對SI的依賴較深,如南部有個集團底下有6、7家大公司,沒有資安團
隊,IT人員素質也不高,知道許多新產品但卻不知如何佈署,因此皆仰賴SI協助整合。
在我們的訪談之中,發現除了指標性的製造廠與IC設計業之外,資安做的好的製造廠可以算是少數,盧亞德估計大約只有10%,而且如果以一線大
廠與一般製造廠作比較,李欣陽說,指標性大廠如果作到了8成,一般製造業大約只達成了3、4成左右。而其實若與金融業相比,製造業比較偏重對於
資訊保護,金融業則是在資訊不中斷之外,對於流程的稽核點管控也很重視。
結語
對製造業而言,面對產業間的激烈競爭,每個產品的生產流程都是重要的關鍵,如ISO 9000的精神便是從流程來思考到品質的建立,關注於記錄作
業流程並加以稽核,而ISO 9000在製造業間已經是一項成熟的品質文化,我們該思考的是將品質文化提升到安全的文化,落實在產品品質方面的再提升
以及價值的提升,以避免去年Seagate的全新硬碟卻內含木馬程式的事件再次發生!
僅關注於架構卻沒有思考到流程,便如同忘了鎖上,門上那價值不斐的鎖,只是徒勞無功,因此若能從工作流程來檢視安全,才不會掛一漏萬,忽略掉任何可能將機密資料外洩的途徑,並且,採用ISMS的框架來做資安,可以藉此習得既有方法並且持續擴大、改善,通過驗證並不是做資安的重點,取得證書與否也不是資安的保證,但它卻是一個正 式宣示改善資安的決心以及獲得一個基本方向,因為我們都該知道,資安並不是僅僅是一個安全問題,而應該是公司的商業流程改善。