https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

敦陽飛上雲端 有資安加持無後顧之憂

2012 / 06 / 20
張維君
敦陽飛上雲端  有資安加持無後顧之憂

在上一期「值得信賴的資安服務廠商」調查中,系統整合大廠敦陽,以技術能力以及豐富的專案經驗,在資安系統整合與弱掃/滲透測試/事件處理類別,獲得讀者票選為值得推薦的資安服務廠商。敦陽成立於1993年,以企業e化服務起家,隨著網路起飛接著衍生安全威脅問題,而成立資安服務團隊,至今也有超過10年歷史。這十年一路走來,企業對資安服務的觀念逐漸從買硬體送服務到慢慢接受服務有價,讓這個團隊得以茁壯成長。至今,他們雖對整個敦陽的營收不是貢獻最大的單位,但卻是創造最高毛利率的部門。

問對問題 才能規劃正確的解決方案

「資安,是跨領域、綜合性的IT專案。」帶領資安團隊的IT管理技術開發處處長李欣陽一語道破敦陽的競爭優勢。在一個從作業系統、應用程式、資料庫、網路、儲存等元件組合而成的IT專案當中,安全與每個環節息息相關,要解決安全問題,不能只靠駭客攻防技術也必須具備上述各領域的專業技能,才能抽絲剝繭找出問題所在。而這正是系統整合廠商的優勢,一旦遇到不易解決的問題,可以直接取得各家原廠技術資源。

李欣陽進一步強調,資安必須以問題解決的角度來規劃,不是以產品為導向。以電子商務網站安全的專案來說,不是只要放一台網頁應用防火牆就可以確保系統安全,在企業內部往往是應用系統與網管部門互相推託,因此必須先實證問題發生的源頭,再來看是規劃SDLC訓練課程或是架構WAF。在上期問卷調查過程中,曾有受訪者提到過去失敗的資安專案經驗,並對系統整合商失去信心。他們想要規劃一個從社交工程、網頁過濾、網頁防護到弱點掃描的整合專案,但到頭來卻發現SI廠商帶進來的4項產品各自運作良好,卻沒辦法解決問題,做到真正的「系統整合」──資料能彙整分析。對此,李欣陽認為資安問題是連續性的行為,不是用單點方案來解決。應該在專案規劃初期,回歸到流程面思考問題發生在哪裡,有哪些方法可解決,為了有效落實,可以透過哪些工具協助,這時產品才會進來。

現今企業個資保護需求,然而許多企業個資外洩原因與營運流程有密切關連,企業期待IT顧問能更了解行業領域知識,提供整體規劃。敦陽企業應用暨軟體服務二群副總經理黃新琪認為,個資保護或資安專案都必須從技術與管理層面雙管齊下,過去敦陽資安團隊在金融的網路銀行流程、電子商務流程均有相當著墨,電信、高科技業也有經驗。然而許多複雜性的專案無法單靠一家廠商提供所有服務,因此敦陽採取專注本業的策略,與管理顧問業者雙向協同合作,來完成專案。

自動化工具 讓人力作更有價值的事

資安服務廠商除了顧問規劃能力外,許多受訪者也提到,專業技術能力及經驗累積的重要。尤其ERS事件處理專案是與時間賽跑,有經驗的資安顧問能在最短時間判斷出問題所在,並且快速解決。而能提供這樣服務的關鍵重點在於人。對資安服務廠商來說,能留得住人才,才能提供正向循環,讓經驗得以嘉惠更多客戶。然而資安服務的專案,不像軟體,可以大量複製、安裝,而是需要靠人力的實際投入,尤其在公務機關的專案,更是常常從建置到維護營運都仰賴委外業者的人力。而在人力有限的情形下,如何增加產能,則是重要關鍵。敦陽讓服務盡量作到自動化,例如在事件處理專案中,資安顧問自己開發程式,來縮短檢查的流程,將人力放在需要人工作判斷的事情上。

深入觀察台灣資服/資安產業的發展,明年即將邁入第20年的敦陽,黃新琪認為台灣資服產業應該考慮有創新的業務型態注入。過去以協助企業建置資料中心為主,敦陽自2008年開始,已經著手新的資訊整合服務,希望朝SaaS的服務提供者邁進。過去所累績的經驗促使敦陽轉型為中介平台,能將更多Content Provider、寬頻業者整合起來,推出各種新興的雲端殺手應用。

 

敦陽企業應用暨軟體服務二群副總經理黃新琪(右)指出,敦陽未來將朝SaaS雲端服務多元發展。圖左為IT管理技術開發處處長李欣陽。

 

敦陽科技小檔案

公司名稱 敦陽科技
資安人力 約18位
資安管理服務

- 滲透測試服務

- 網路弱點稽核服務

- 資安紀錄分析服務

- 資安教育訓練服務

- 安管中心建置服務

- 緊急應變服務

- 資安顧問服務

推薦原因 「敦陽on site setting服務不錯,較多硬體建置經驗。」
「對EMS來說,敦陽在10個問題中可快速找出6-8個,算是不錯。」
「PT部分,深度廣度兼具,報告形式符合需求。」