以提供更便民的服務為目標導向,政府組織逐步走向整併、再造。而這個目標一喊也喊了20年,目的就是希望可以打造一個更精簡、彈性、有效能的政府,並且預計於民國101年就要啟動,整體架構起了很大的變化,此外,在組織改造的整併與虛擬化、雲端潮流等因素夾擊下,未來的資安產業又將會起什麼樣的變化?
資訊架構隨業務流程變動轉
自99年底,行政院函送立法院審議28部會及其133部組織法案開始,至100年6月14日為止,立法院已三讀通過法務部、文化部、金管會、客委會、中央銀行等,共有5個部會23部組織法案完成立法程序。在立法院全數審議通過之前,重要的一、二級部會架構大勢抵定,但複雜的人事異動、安排卻非短時間內可解決,也因此在這過度時期,我們一方面剖析現今資訊、資安產業的變動,一方面也關注未來的變化趨勢。
組織改造意味著業務流程的變動,也是資訊改造的開始,Novell資深業務經理
李逸凡說,根據規劃,政府是要以建構穩定的基礎環境為第一階段,並且有效的應用服務為第二階段,最終第三階段要能夠靈活的提供民眾隨選所需的政府業務。因此在政府的採購案上,開始出現了過去所沒有的大金額,例如內政部警政署、移民署的系統強化再造動輒2、3億元新台幣,或者是像整合了地方及國稅業務的財稅中心,也高達30億新台幣。
Juniper先進科技部資深技術經理林佶駿也說,近年來,政府建構的資料中心越來越大,為了降低複雜程度,因此網路架構走向扁平化架構的趨勢,長期來說能夠減少成本、提高效率等。acer eDC副總經理吳以南表示,在資料中心集中後,系統重要度更加提升,更加需要完善的備援機制和演練。不過,當然有利亦有弊,專案大,規劃期也不可能拖太久,但複雜度增加許多,加上避免單一採購圖利廠商的策略,當中參與的廠商多,難免規劃的疏失也會比較多。
省錢、事多、人簡化
預計中央部會機關將會從37個,整併成29個部會,中央政府的機關總員額也將由20萬人精簡至17.3萬人。就整體而言,在組改的集中化整併趨勢下,總體採購金額雖然變大,比起過去各機關分別採購的總體成本卻來得精省,各採購窗口自然也減少、集中,未來總體人力精簡後,政府組織就要用更少的人力來提供對民眾更多的服務。
儘管目前組改仍在過渡時期,許多的因素持續變動,但從組織改造來看資安產業,應是從整個業務流程的改變來觀察,一旦流程變動就有風險可能產生,因此就可以思考要用制度或是技術來事先防範,當下阻絕,甚至是事後處理,過去是各機關各自負責,整併後影響層面擴大,這在在都是專業技術與管理流程的考驗。
第一階段就從機房共構開始,在基礎建設當中,為滿足不同單位需求,硬體功能也越加走向多合一,所以佔的份額相對變少。此外,在虛擬化架構下,李逸凡說,舉例來說目前政府單位的虛擬化已可做到15:1,甚至是20:1,也就是1台虛擬機可虛擬出20台主機,從20台到個位數的主機需求,所以相對的主機需求,或是閘道口安全設備(IPS、Firewall)也會減少許多,過去3、4級機關所採用的防火牆、IPS等份額,可能都統一由中央1、2級機關採購、共用。
顧慮到組織改造的艱難度,雖然提供了優退制度,但也不能在短期內進行過度的人力精簡,也因此在短時間之內,Client端相關產品,像是防毒軟體等,影響還不會這麼大,亞利安科技協理范梓芳也說,以閘道端的資安相關廠商來說影響相對多,會多轉往其他產業靠攏,例如新興的電子商務等,對資安產業來說倒是立即性的影響還算不大。不過,acereDC資深業務經理楊旭平說,自今年上半年已經開始有不少共構名義的標案出現,接下來下半年會有更多,例如說目前約有5、6家以上的公文系統,但是未來合併後顯而易見的一個部會將會剩下一家廠商,這對產業界是有一定傷害的。
專案廠商架構亦呈扁平化
而在組織整併過程當中,若廠商具有越高度的整合能力,同時具有硬體供應與軟體服務,整合項目越多的廠商自然也越吃香,當然,在舊有系統中佔絕大多數的原生廠商亦有其優勢。而跨部會系統的整併,與其中的目錄、帳號、應用程式等都需要長期的規劃。我們可以說,事前的分析規劃需要高度的經驗與專業服務團隊,在基礎建設上,提供軟體服務與硬體設備又是另外一層,並且,在最後的執行,亦需要透過更高階的管理系統來整併,例如ITSM(IT Service Management)、BSM(Business Service Management) 也因此相對而言,在軟體上的投資亦會變多。而過去政府單位裡面原有的身分認證、權限管理等系統在整併時也大多會沿用,變動較少。
在整體金額降低且硬體採購份額變少的狀況下,擔任投標角色的大型系統整合商,自然取得最多資源,再分配給主機系統商、網路、儲存、系統平台商等。在原廠既定的利潤下,自然會縮減中間代理/配銷商的利潤。李逸凡說,從近來的政府專案裡看見,利潤至少減少一半,過去中間代理/配銷商的利潤可以達10~15%,現在都已被壓縮到3%以下。也因此近來可看到一些經銷商、代理商的大併小狀況出現,產業結構開始呈現一個扁平化。
除了扁平化以外,也會出現兩極化的狀況。大者恆大、小的則必須要有獨特專業度才能生存下去,甚至有跟大廠商合作的機會。大廠商就像大賣場,要提供更低價、多元化商品。生存下來的小廠商就像便利商店,要精緻化,獨立開發。應用程式開發的小廠商可能比較沒影響,林佶駿說,像是原本專賣各地方機關的小廠商、中小SI,如果還是純賣硬體設備,例如說只賣印表機、防火牆硬體設備的廠商就容易被淘汰。
從雲到端 唯有專業才是關鍵
在一個逐漸走向扁平化的架構下,中小型廠商又應該如何存活?優易資訊總經理鄧中淦也說,即使是大型系統整合商承接專案後的轉包,也會因為利潤低造成中小型SI無法提供良好的服務品質。也因此,中小型廠商更必須將基礎打好,在服務與專業技術上更專精,才能生存,此外也由於現今IT技術跳轉太快,唯有經驗豐富的廠商才能快速良好的因應。他認為,在虛擬化架構下,對外網路變單純,可能20條線路連外只剩下1條,但是內部網路卻變複雜了,在一個大單位下可能會有不同的需求要被滿足,無論是服務或技術,這可能是很具獨特性的,僅有部分廠商能夠做到,因此身為一個中小型廠商,他認為更要培養起這種無可取代的專業,才能持續生存下去或者是與大廠配合的條件。
專業不僅僅是技術,包括整體業務流程的改變,影響到對資訊架構的轉變產生的風險,再落到資安的防護可能有哪些面向。他舉例,過去手機沒有密碼嗎?有,可是大家不一定會去設,現在是智慧型手機當道,可以聯結的甚至可能是企業內部郵件,MIS是否應思考到主動教育user的責任,甚至是更進一步加強控管的權限?從單一的點對點,到現在大家在談雲端,政府要提供雲端服務便民,但是在雲到端之間,仍有許多議題待改善,雲端之上是誰?提供資訊的人越來越複雜與不透明,在手機上可以查看公車到站狀況,這可能是公車公司提供的服務,但當這類資訊越來越多,越整合,雲裡還有雲,你知道是誰提供的嗎?有問題應該要找誰負責?
過去企業跟消費端是完完全全分開的,企業IT人員不會特地需要負擔端點裝置的安全控管問題。趨勢科技台灣暨香港區總經理洪偉淦也觀察到,近來企業的「IT消費化」狀況相當盛行,像是香港的廠商已經紛紛開始從賣PC的軟硬體,開始轉向賣平板電腦等行動裝置相關,這也是因應到企業需求的轉變,如何協助企業在不同的新裝置上,運行企業內部的系統?在不同的端點裝置中,從身份驗證、權限控管到資料保護等,這不僅是SI的商機也是資安廠商能夠提供服務的地方。
整併裡的資安一大包 沒專業也無法處理
李逸凡說,在政府的整併當中,有許多單位提出希望未來有資安監控服務的需求。過去的SOC(約2009年時期的規劃)大約都只是收集資料,提供分析、示警等,無論是自建或是委外,為了節省儲存管理成本,log並不會保存太久,但新一代的SOC加入了新的需求 – 個資法,log不僅要保存,還是要好好的保存、備份,保存年限、方式都要能夠符合法規、稽核需求。不過,SOC僅是監控的功能,並不是資安事件的終點。
無論結果是要處理資安事件或是增添資安服務、設備來加強防護,都交由原本做IT服務的大型系統整合商一家來執行,但除了自己做以外也可能會再轉包,李逸凡說,如果提供的服務品質不如理想,還是會另外開標給專業廠商去做,這是由於影響範圍過大需要更加專業才能處理。總而言之,因應組織改造的衝擊以及未來幾年後的資訊架構大轉型,對廠商來說都是不小的變動,競爭愈發激烈,大廠除了品牌以外要提供更多整合性、彈性、多元化的服務,而小廠商更需深化其專業度,創造無可取代的價值。變動中,危機還是轉機?端乎實力。