敦陽飛上雲端 有資安加持無後顧之憂

在上一期「值得信賴的資安服務廠商」調查中，系統整合大廠敦陽，以技術能力以及豐富的專案經驗，在資安系統整合與弱掃/滲透測試/事件處理類別，獲得讀者票選為值得推薦的資安服務廠商。敦陽成立於1993年，以企業e化服務起家，隨著網路起飛接著衍生安全威脅問題，而成立資安服務團隊，至今也有超過10年歷史。這十年一路走來，企業對資安服務的觀念逐漸從買硬體送服務到慢慢接受服務有價，讓這個團隊得以茁壯成長。至今，他們雖對整個敦陽的營收不是貢獻最大的單位，但卻是創造最高毛利率的部門。

問對問題 才能規劃正確的解決方案

「資安，是跨領域、綜合性的IT專案。」帶領資安團隊的IT管理技術開發處處長李欣陽一語道破敦陽的競爭優勢。在一個從作業系統、應用程式、資料庫、網路、儲存等元件組合而成的IT專案當中，安全與每個環節息息相關，要解決安全問題，不能只靠駭客攻防技術也必須具備上述各領域的專業技能，才能抽絲剝繭找出問題所在。而這正是系統整合廠商的優勢，一旦遇到不易解決的問題，可以直接取得各家原廠技術資源。

李欣陽進一步強調，資安必須以問題解決的角度來規劃，不是以產品為導向。以電子商務網站安全的專案來說，不是只要放一台網頁應用防火牆就可以確保系統安全，在企業內部往往是應用系統與網管部門互相推託，因此必須先實證問題發生的源頭，再來看是規劃SDLC訓練課程或是架構WAF。在上期問卷調查過程中，曾有受訪者提到過去失敗的資安專案經驗，並對系統整合商失去信心。他們想要規劃一個從社交工程、網頁過濾、網頁防護到弱點掃描的整合專案，但到頭來卻發現SI廠商帶進來的4項產品各自運作良好，卻沒辦法解決問題，做到真正的「系統整合」──資料能彙整分析。對此，李欣陽認為資安問題是連續性的行為，不是用單點方案來解決。應該在專案規劃初期，回歸到流程面思考問題發生在哪裡，有哪些方法可解決，為了有效落實，可以透過哪些工具協助，這時產品才會進來。

現今企業個資保護需求，然而許多企業個資外洩原因與營運流程有密切關連，企業期待IT顧問能更了解行業領域知識，提供整體規劃。敦陽企業應用暨軟體服務二群副總經理黃新琪認為，個資保護或資安專案都必須從技術與管理層面雙管齊下，過去敦陽資安團隊在金融的網路銀行流程、電子商務流程均有相當著墨，電信、高科技業也有經驗。然而許多複雜性的專案無法單靠一家廠商提供所有服務，因此敦陽採取專注本業的策略，與管理顧問業者雙向協同合作，來完成專案。

自動化工具 讓人力作更有價值的事

資安服務廠商除了顧問規劃能力外，許多受訪者也提到，專業技術能力及經驗累積的重要。尤其ERS事件處理專案是與時間賽跑，有經驗的資安顧問能在最短時間判斷出問題所在，並且快速解決。而能提供這樣服務的關鍵重點在於人。對資安服務廠商來說，能留得住人才，才能提供正向循環，讓經驗得以嘉惠更多客戶。然而資安服務的專案，不像軟體，可以大量複製、安裝，而是需要靠人力的實際投入，尤其在公務機關的專案，更是常常從建置到維護營運都仰賴委外業者的人力。而在人力有限的情形下，如何增加產能，則是重要關鍵。敦陽讓服務盡量作到自動化，例如在事件處理專案中，資安顧問自己開發程式，來縮短檢查的流程，將人力放在需要人工作判斷的事情上。

深入觀察台灣資服/資安產業的發展，明年即將邁入第20年的敦陽，黃新琪認為台灣資服產業應該考慮有創新的業務型態注入。過去以協助企業建置資料中心為主，敦陽自2008年開始，已經著手新的資訊整合服務，希望朝SaaS的服務提供者邁進。過去所累績的經驗促使敦陽轉型為中介平台，能將更多Content Provider、寬頻業者整合起來，推出各種新興的雲端殺手應用。

敦陽企業應用暨軟體服務二群副總經理黃新琪（右）指出，敦陽未來將朝SaaS雲端服務多元發展。圖左為IT管理技術開發處處長李欣陽。

敦陽科技小檔案