https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

立錡保護研發命脈 推動資安有POWER

2009 / 07 / 13
何依玟
立錡保護研發命脈 推動資安有POWER
從事IC設計的立錡科技,在資安的防堵技術求新求變的同時,對於「管理」也自有一套獨特風格

  致力於提供客戶完整電源管理IC產品的國內類比I C設計龍頭─立錡科技,因主要客戶皆為國內外知名大廠,常會有技術及研發等資訊的交流,對於機敏資料的保護格外重視。除了本身研發的產品能滿足客戶需求,資安成效的施行與否,亦會是廠商選擇立錡的加分依據,立錡科技資訊長蔡永沛表示,「資安的推動主要是為了保護自己;產品從設計、製成到產出前後需花費約6個月,但被不肖人士竊取僅是幾秒鐘就完成,除了維持自身企業形象,更重要的,是確保員工心血結晶的安全。」

實體隔離 雙重保護

  研發資料是IC設計業者的命脈,確保RD系統完整與安全性極為重要;然而有些資訊是跨部門作業,必須要全面維護資料的隱密性。蔡永沛說,這牽涉到資料的重要程度,RD設計資料是最核心的,公司IC的電路圖設計後,最終會產生GDS file,必須把該檔案傳送到外部協力廠商以便製成IC光罩(Masks)然後進行生產,而存放這項重要資料的系統,除了定期備份,立錡亦做了其他的保護措施。第1,他們將RD部門網路完全獨立於公司OA環境外,以方便進行實體隔離;第2,舉凡任何的資料文件下載、上傳與列印,皆均依照公司標準流程處理,審核過後才能依個人使用權限存取資料;第3,不論RD或其他部門的人員若要使用該系統就需經過精簡型電腦(thin client)連線至伺服器,並搭配動態密碼產生器輸入密碼,方能進入核心研發資料的系統內。

  傳統的輸入密碼方式隱藏著許多潛在危機,如電腦被植入側錄程式,密碼即會被竊取,再加上部份同仁使用太過於簡單的密碼,更增加了密碼被破解的風險,有鑑於此,立錡日前建購了One Time Password動態密碼的機制,運用每次使用密碼便更新的特性,讓機密資料獲得雙重保護。立錡對內部資料的保護已做到上述控管,而由於他們也常和國際大廠合作,與外部協力廠商進行資料交換都是根據國際標準Rosettanet協定為依據,包括數位簽章、傳輸加密等方式來保護,任何對外傳輸的資料也皆需經過電子流程逐一審核,以防止雙方機密資訊外洩。蔡永沛進一步指出,推動資安所費不貲,在資源有限及無法將外在威脅完全防堵之下,最重要必須將核心資料的防禦做到滴水不漏,將傷害降至最低。

專精技能 讓RD人員接受改變

  在大多數的高科技產業中,RD通常扮演主導角色,IT多半是被定位為支援企業營運,但在立錡擔任3年資訊長的蔡永沛則認為,IT人的定位應是參與公司重大企畫的執行,並盡力協助把事情做的更好,而非被其他部門使喚的對象。他指出,立錡將對待客戶的理念「Your Power Partner」,也應套用於資訊部門上,有問題就盡力幫忙,提供使用者最大的方便。舉例說明,總經理凡事皆強調「人性化」管理,為了方便研發同仁7×24的工作,公司全面提供NB做為同仁工作的電腦平台,然而,本是貼心的政策卻也導致安全上的隱憂─「每個人都把公司當成自己家」。蔡永沛發現員工將NB帶回家,任意安裝軟體,以進行上網、P2P傳輸等行為,讓星期一固定成為IT人員的「掃毒日」,IT人員每天忙的焦頭爛額,還得要應付突如其來的「例行」公事,為了減低屬下的工作負擔,也為強化健全網路環境,他希望能收回系統管理者權限,將原有的Admin Mode改為User Mode,然而這項工程龐大耗時,在蔡永沛與總經理的溝通後,同意將這項作業以外包型式進行,其中3人負責重灌系統,2人來解決員工使用應用軟體或其他網路服務時所產生的問題,終於在3個月內將之完成。

  改變的政策不只一樁,現在公司員工凡在公司內外上網,亦都會留下log,萬一有不當行為事後追蹤也能有所依據;同時,像是將NB內建的DVD燒錄器功能失效,他們也使用了一套軟體將功能鎖住,以防止不正常的資料複製行為。但種種改變在行使初期多少會引起反彈聲浪,尤其部分工程師會嘗試挑戰IT部門的專業能力,他打趣的說,公司剛開始推動資安時要求桌面淨空,規定下班時將電腦關機,以免成為駭客犯罪溫床;然而有些同事會故意不關機,卻將網路插頭拔掉或是讓電腦網卡失效,雖然與關機的意義相同,但身為IT人員若沒有這方面的知識,就會落入陷阱。

  蔡永沛進一步指出,這些規定對自視甚高的IC設計人員而言當然難以接受,要壓住他們唯有比他們更專業,在能力上使其臣服。由於IC設計工程師對於網路架構、PC工具及封包的形式等未必精通,出身於系統及資安的蔡永沛,對該領域所學專精,遇到難以解決的問題或規定施行有阻礙時,除了不斷與之溝通,也會適時表現強勢作風,甚至質問「是否希望公司成為人家的研發部門?」讓同仁體認其勢在必行的決心。

擇善固執的管理作風

  「堅持認為對的決定」,是蔡永沛與上級與屬下的溝通哲學。

  在訪談中看似親切、談笑風生的蔡永沛,其實在工作上則是相當堅持原則,公司內頒佈的資安政策與規範,或多或少會造成各部門的不便,對具有專業工程背景且自視極高的研發人員來說,更是難以接受,蔡永沛是如何成功扮演讓同仁配合與屬下信服的資訊長角色?

  剛通過ITIL認證的蔡永沛表示,除了要不斷增進自身專業能力,在必要時要以強勢態度讓研發人員人員信服。他也會不斷鞭策屬下成長,要求同仁需安排自己的職涯規劃,並期許於3年內具備當主管的領導能力;而儘管實務經驗重於一切,他仍會督促屬下考取IT相關證照,以做為日後考核標準,他表示,「考取證照雖是種手段,但仍是必要的,尤其是考認證代表著對人員服務專業的commitment」,舉例來說,他要求屬下通過RedHat認證,曾有同仁開玩笑的向他表示「你要先考取,再來要求我們」,為了讓同仁心服口服,蔡永沛毅然決然的以身作則帶頭獲取認證,藉以激勵同仁進取心。蔡永沛指出,過去曾有其他部門工程師欲得到存取Oracle DB中的table的權限,但他表示,沒有考取Oracle OCP(甲骨文認證專家,Oracle Certified Professional)的人就不能給予使用權限,要證明其實力,就必須以相關證照作為依據。從上述例子可看出,蔡永沛是個願意溝通,理性的資訊主管,他歡迎有興趣的同仁來學習新事物,但前提是:「你必須要有專業能力!」


分析利弊得失 和高層做好溝通

  然而資安政策推動不易,除了有技巧性的讓同仁執行,如何與上級溝通也是門艱深學問。立錡科技總經理室副理施月娥指出,總經理做事強調要有methodology,你必須很清楚的知道為什麼要做、如何做、及效益為何,才有機會讓總經理接受你的提案。RSA台灣區總經理邱宇也補充說道,與老闆溝通要以業務角度出發,「若大客戶的機密資訊沒保護好,其他企業的訂單還留的住嗎?」的觀念,讓老闆知道資料保護的重要;因知悉總經理的思考邏輯,蔡永沛在與之溝通時,皆以業務需求為出發點,分析管理模式及技術的改善能帶來的利弊,讓其選擇是否予以投資;然而,IT投資效益難以量化,要如何排列出優先順序?他表示,每年公司IT預算大致分為4個等級:(1)必要投資(2)有90%投資必要性(3)有投資的話最好(4)可有可無的。他將這4類預算的花費與成效分析,交給總經理審查,由總經理作最後裁決 。他進一步說道,資訊部門永遠都被說是花錢單位,但事實上其後續成效卻是幫公司省錢並創造財富,而「資訊」就是財富,必須將之掌握並妥善利用,以創造更大價值。

  他也提到,即使將投資預算分析,總經理仍會覺得資訊部門花費太高,並詢問要如何降低IT預算?蔡永沛則認為,IT就是服務,除非接受降低服務品質,預算才會隨之下降。舉例說明,若公司ERP系統每天0點到2點進行備份,萬一系統在2時至24時之間當機,這段期間就是備份的空窗期,公司能不能接受?如果不行就必須要有一套備援系統在台北分公司每15分鐘由總公司同步備份至該系統。在清楚定義公司需求為何後,最終再由總經理衡量公司可接受的風險。蔡永沛說,要先清楚總經理想法,再予以分析利弊,這就是溝通的藝術。

彈性管理 方便上下游資料串聯

  立錡成立至今近10年,公司快速的發展,3年前所規劃的基礎硬體設備已漸不敷使用,未來的IT組織架構,必須讓系統保持高度彈性,又能兼顧投資成本的控制,而之所以將IT部門定位為KIM(知識與資訊管理),就是希望未來能將系統進行上下游的整合,創造公司與客戶更多價值。以「研發設計」為主的立錡,員工頭腦內的資產最為重要,若欲往國際化發展,資訊部門就必須要做好KM管理(Knowledge Management);為了要建立與外部廠商的交流之便,立錡於今年開始建置Design for Manufacture,希望將RD專案計畫的技術文件、技術資料,都在該系統建立,產品、生產的工程資料,亦能將之放置系統,再進一步去做統計分析,並回饋到新的專案計畫中。立錡已建置了一套PLM系統,用以管理專案流程,讓計畫從開始到結束的所有流程都需控管、簽核、發佈;另一套與業務相關的BI(商業智慧,Business Intelligence),則是提供一平台,讓財務、銷售、及生產資訊能同步、即時。蔡永沛說,我們若能透過系統知道外包廠商產品庫存量,就能自行調整生產下單量,可省去大筆不必要的費用。

  而根據《遠見》針對台灣70家企業的調查顯示,立錡名列最能替股東賺錢的前幾大企業,有如此好的經營績效,公司對資訊安全有最嚴格的要求。因此,能集中並監控所有資安資訊分析與控管的SOC,亦成為他們下一步的投資計畫,以期能降低機密資料與文件遭不當竊取的機率。

  從上述的規劃可看出,立錡推行資安工作已見不錯成效,未來是否會獲取ISO 27001國際資安認證?對此,蔡永沛指出,ISMS需花費大筆預算,大型企業財力人力相對較為充沛,如欲建置,對規模較小的公司而言是種負擔,因此他們自有一套資料保護之道,以符合其公司營運,像對個人電腦與廠商及客戶入廠的電腦進行管制,並控管同仁使用電子郵件的制度,以及內部員工皆需遵循公用伺服器與網際網路及網內網路的使用規範等,從花錢較少的員工日常行為開始規範,藉以杜絕病毒對個人電腦系統的破壞;從執行僅短短1年的成效看來,蔡永沛表示,「電腦中毒事件已大幅減少了90%!」言談中聽的出他對於公司良好政策的驕傲!

立錡科技經驗分享

1. 將存放重要資料的系統,定期備份,並建立一獨立的網路環境。

2. 使用核心研發資料系統時,需透過精簡型電腦連入伺服器,並使用Token輸入密碼。

3. 所有NB收回系統管理者權限,將原有的Admin Mode改為User Mode

4. 分析投資利弊,以業務風險角度與高層溝通。

5. IT人員取得證照,增進自身專業能力,讓同仁信服。

6. 未來將建置SOC,集中並監控所有資安資訊的分析與控管。