陳宛綺
位於新竹的精品科技 (FineArt),如同大部分的高科技製造業,一踏入大門,接待小姐會親切地詢問:請問您有攜帶筆記型電腦或數位相機嗎?如果有請暫放至櫃臺,因為本公司規定禁止攜帶任何相關設備喔!
精品科技規定,所有外接式儲存體、外接式光碟燒錄設備、資料傳輸線(如 P2P 連接線)、無線通訊設備、筆記型電腦等,都禁止攜帶入辦公室。此外,內部員工也禁止使用與下載 P2P 軟體、即時通訊 IM 軟體、 FTP 軟體,也禁止使用 Web Mail,並瀏覽未經主管核可或與業務無關的網站,如購物網站、證券網站等。
看似嚴格的資安內規,一方面是為了要保護公司內部機密資料的安全;另一方面則是要「以身作則」。
從自己做起
1989 年成立的精品科技,近年來致力於資訊安全軟體的開發,在防止資料外洩相關產品的研發上更是不遺餘力。 2003 年精品科技推出了 X-FORT 電子資料監控系統,可以控管員工使用各種電腦周邊儲存裝置、上網活動、軟體安裝等,並詳細記錄電腦使用行為,提供分析報表,是一套企業內部資安控管系統。
不過,在該產品推向市場之前,精品科技即開始將 X-FORT 全面部署至公司內部。「在產品開發的階段,精品科技就試著將 X-FORT 導入至全公司,把自己當作測試站。」當時參與研發與導入工作的精品科技研發二部經理陳弘儒指出,這樣才能夠親身體驗產品的優缺點,瞭解客戶的需求。
安裝簡單 內部推廣才是重點
X-FORT 產品屬於主從式 (Client-Server) 架構,在主機端需安裝 X-FORT Server,Client 端則需要安裝 X-FORT Agent 。因此精品科技導入 X-FORT 的首要步驟是先進行 X-FORT Server 的安裝。
陳弘儒回想,當初在建置過程中最多時間是花在裝備環境,安裝 Windows Server 、 Service Pack,以及安裝 SQL Server 與 Service Pack,這段過程可能就花費了數個小時,真正安裝 X-FORT Main Server 大概只花了 10 分鍾左右即可安裝完成,之後再進行基礎資料,包括網域、同步 AD 帳號、電子郵件等設定,大約 20 分鍾左右即完成。
安裝完成之後,重頭戲是制訂「內部推廣計畫」,也就是制訂出全公司需要遵守的資訊安全政策,確保公司內的一切機密資料的安全。
在此過程中,必須瞭解公司哪些屬於機密資料,又有哪些設備必須控管等,並透過公告讓全公司員工瞭解新規範。精品科技研發中心技術總監賴頌傑表示,「這個過程很重要,唯有建立全員工的共識,才可能降低之後部署的阻力。」
完成了內推計畫之後,確定了資訊安全政策,即開始了佈建計畫,決定分階段實施,「而實施的第一站,選擇在研發部門。」陳弘儒指出,選擇從 IT 人員的個人電腦開始部署,主要是希望若發生任何問題,由於研發部門最瞭解該產品,可在最短的時間內將問題解決。