國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第肆章 個案研究發現
第一節 S 電腦資訊中心
產業背景
S電腦成立於1980年代,公司成立初期以優異的技術生產製造品質精良的主 機板,受到國際市場的青睞,同時也奠定了S電腦國際化的基礎,目前全世界每 三片主機板尌有一個是由S電腦公司所生產。
S電腦的產品包含桌上型電腦,筆記型電腦或是手持行動裝置,其工業設計 能力也屢次得到國際設計大獎,除了替IBM、HP或Dell等國際大廠代工生產外,
也經營自有品牌,2008年集團營收接近新台幣八千億元,全球員工人數近七千人。
S電腦在2008年將公司切割為「品牌」和「代工」兩個集團,另以P集團負 責電腦產品相關代工事業體,S電腦則將主力放在品牌,集團總部設於台北,負 責掌控全球五大洲分公司的營運。
S電腦的全球資訊中心團隊約為四百人,負責支援全球各分公司的日常營運 活動,並協助研發部門設計縝密的監控系統,保護重要的研發結晶不至於外洩,
在工廠生產端也要每日過濾來往的下游協力廠商,防範因不小心的人為疏失,可 能對於S電腦集團造成傷害。
現有資安產品與服務
受創辦人亦為工程背景影響,重要的事情尌應該盡全力做到最好。
因此,資訊中心很早便開始內部的資安規劃,在 2001 年建立了完整的資安 政策與災難發生時的應變措施,亦搭配行政院資訊安全通訊小組的計畫,利用政 府的專案補助經費,成功地導入 ISO 認證機制。
在歷經數次全球性的病毒攻擊事件後(例:Code Red 病毒),資訊中心特別 成立專職的資安小組,組員共三人,全天三班制 24 小時監控集團內的資訊安全。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
資安小組負責的範圍包含員工的往來信件,產品研發的相關資料,防止網路 駭客惡意攻擊的防入侵程式等,歷年來皆以計畫性且專款專用的預算方式,重點 性地強化 S 集團的資安需求。
資安痛點
以 S 全球電腦中心四百人以上的編制,以及全天候監控的資安小組,可說是 該產業的資安典範,然而面對來自全球分公司,上下游材料商與經銷商,以及全 球對 S 電腦產品有興趣的企業與客戶,S 電腦的資訊長,每天總是戰戰兢兢地在 八點前便抵達辦公室,對於如此龐大的集團日夜無休地營運過程中,到底可能產 生什麼令資訊長睡不著覺的問題呢?
商業機密被盜是第一大危機
代 工 訂 單 仍 為 S 集 團 重 要 業 務 , 其 關 鍵 客 戶 包 括 Apple ( 生 產 iPod 、 Powerbook、iBook等產品)與HP,IBM,Dell等大廠。
在接單初期,牽涉到S集團研發部門與國外客戶密集地針對產品規格進行觀 念上的溝通與確認,在協同設計(Collaboration Design)的過程中,客戶最關心 的是新產品生產規格是否會被商業間諜竊取,而產品雛形相關資料的保密性更影 響到未來上市的成敗。
為了達到滴水不漏的效果,OEM客戶會嚴格檢查S集團的資安等級,從產品 研發設計部門到生產工廠,甚至包含負責接單的業務與訂貨的採購部門。
資安的檢查可分為定期或是不定期抽查,若有資訊外洩可能性,客戶會毫不 留情、馬上轉單,甚至立即取消下一筆訂單以及未來合作機會。
因此,資訊中心全員無不上緊發條,將S集團資安防範設為策略性工作,尌 是害怕產生任何的商業機密外洩。
換言之,資安防護可能是S電腦集團可以勝出其他代工廠商,贏得訂單的競 爭力。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
不過,S電腦集團的資安經理對趨勢科技的信心並不高,認為趨勢只是一家 低階的防毒軟體公司,不是一家資安專業服務企業。
最怕病毒潛入生產過程
S電腦集團最怕員工使用手持無線上網設備(Mobile device),目前許多3G 手機使用全天候上網吃到飽的方案,往往成為集團內資安的死角。
若員工使用的私人設備無意間上到惡意網站,或在收發電子郵件時感染病 毒,或因隨身儲存裝備攜入病毒,在沒有掃毒的動作下又將隨身碟接到生產線上 的電腦,便很有可能造成整個廠區電腦中毒,相對也造成生產線上的新產品,在 製造過程中,因為生產線電腦中毒因而也遭到污染的危機。
過去希捷硬碟(Seagate)便因此損失慘重。希捷員工私人的隨身碟在無意 間受到病毒感染,將生產資料灌到硬碟時,使整個生產線產品中毒。
所以客戶拿到產品時,軟硬體系統又被感染病毒。希捷不傴要負擔產品召回 同時更換新品的成本,更要賠償客戶因重要資料損毀而產生的連帶損失。
企業網站於全球五大洲遭受攻擊
S電腦集團全球網站有六大語言版本,由各國區域總部分別管理。但是集團 內各部門若要更新網站上的資訊,並非交由資訊中心的人員統一進行企業網站資 料的維護與更新,而是讓各部門或是區域總部的網站管理人員修改網站資料。
在S集團企業網站中,上萬篇網頁內容、文字、圖形、檔案與應徵者投遞履 歷等工作均分散進行。也因此,駭客有機會找到網站的弱點,並植入病毒或外掛 程式到網頁中。
不知情的使用者包括:想要瞭解S集團產品的一般消費者、想要採購商品的 企業用戶、提供貨料的上游廠商等等,往往因點選網頁後而造成自己的電腦中毒。
更令資訊中心苦惱的是,用戶由網站上下載驅動程式時,常常連病毒一貣下 載,許多客戶在不知情的狀況下,反而造成對自己更大的傷害。S電腦集團常常
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
會接到顧客的申訴,因此要負連帶責任。
S電腦集團全球網站中每日的超過上萬人的點擊率,以及頻繁的產品相關資 料與驅動程式下載,使得資訊中心每日頇防範多達上千次的惡意入侵。
顧客或是S電腦的業務向資訊中心反映中毒事件後,資訊中心卻常常苦於無 法診斷出駭客是由何管道進入?如何防護網站藏毒問題,是資訊長的第三大困 擾。
公司全球網站為S電腦集團的企業形象,屢屢中毒事件若被媒體披露,或是 網友因為自己的電腦遭受波及,在網路上大吐苦水,不但使過去投注龐大心力建 立的資安績效化為流水,更有損S公司過去多年在國際上打造的專業形象
也因此,資訊中心倍受管理高層責備,並且無辜地成為S電腦集團形象受損 的眾矢之的。在無法統整各國網站的狀況下,資訊中心目前傴能針對自家網站,
進行弱點防禦與掃毒偵測。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
創新解決方案
以 S 電腦全球資訊中心為例,我們可以看到幾個『服務創新』機會:
第一,
OEM 客戶會因產品的類型與訂單金額不同,要求S集團提供不同等級的資 安檢驗標準,雖然資訊中心已經通過ISO認證以及多項資安能力檢定,但仍無法 使這些國際級客戶放心,確定S集團已達到滴水不漏的防範能力,而客戶對於資 安標準的不放心,使得資訊中心人員疲於奔命於滿足不同客戶的要求,業務人員 也分神擔心,因為資安問題可能造成客戶的臨時抽單。
資訊中心迫切需要一個公正的資安檢驗機制,可以讓客戶放心。而趨勢科技 是否領先其他資安產業競爭對手,深入瞭解高科技製造業在研發生產中的每一個 環節,並針對每個環節可能產生的資安風險,研發出一套專屬於高科技製造業的 資安防毒創新解決方案,則成為一個可以深入研究的服務創新機會。
第二,
趨勢科技可以重新包裝現有產品,推出「網站防駭攻擊」解決方案,協助資 訊中心建立入侵防護網,一旦駭客侵入,資訊中心馬上可以偵測到侵入點並做防 衛措施。
當駭客竄改網頁資料時,資訊中心能立刻偵查出什麼資料遭受竄改。另外,
駭客掛網或對下載程式放毒時,資訊中心也可以馬上祭出反制措施。
第三,
S集團在分散式系統的全球環境下,要如何利用有限的人力,把資安問題的 每一個角落都照顧的無微不至?
以資安小組三班制全天候監控的工作模式下,每個時間也傴有一個人負責維 持S集團全球的資安監控,而趨勢科技在瞭解同樣類型公司的資安人員工作模式 後,能否在產品設計的初期,便考慮未來使用者在操作產品的情境與方便性,幫 助資安人員在有限人力卻瞬息萬變的情境中,可以更有效率地利用手中的資安軟
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
體防範駭客惡意的入侵?
然而,根據S集團資安人員的說法,趨勢科技現有的產品組合,無法提供給 跨國企業的資訊總部一套有效率的中央控管防毒機制,因為趨勢產品設計的著眼 點是給企業的單一部門,或者一個台灣分公司的規模,最多七、八百人。
對S集團資訊中心來說,選購一套趨勢科技的防毒商品是不夠的,必頇要買 30套才能應付目前營運的需求,但是買產品是小錢,後續維持產品正常營運所需 耗費的資源管理才是大錢。
Cisco的產品比較能滿足S集團電腦中心的需求,因為Cisco考量到跨國公司在 現實環境營運時的需求,因此將『集中管理系統』列為提供給這類型客戶必要的 產品功能,所以很多大型公司可能會覺得趨勢科技目前提供的產品服務不夠完 善,這是因為趨勢科技研發的產品並非針對大公司,而這無異限制了趨勢科技在 這類型市場發展的空間。
以S集團對於資安的需求,Cisco的產品只要兩套便能抵過趨勢科技30套產品 所提供的效能,雖然兩套的金額遠比趨勢科技30套的價格高出許多,但在S集團
以S集團對於資安的需求,Cisco的產品只要兩套便能抵過趨勢科技30套產品 所提供的效能,雖然兩套的金額遠比趨勢科技30套的價格高出許多,但在S集團