旺宏電子是全球最大的唯讀記憶體生產製造公司,1989年創立於新竹科學園區,接受來自全球客戶的訂單生產相關產品。除了以生產品質傲視全球之外,每年還會提撥營收的14%至24%作為研發之用,相關的技術論文也持續入選多項國際學術會議。
為了保持公司的競爭優勢,旺宏電子中的員工便時常需要收集各式各樣的資料,網際網路當然是相當方便的管道,但也因為方便,而成為許多攻擊蔓延的溫床。過去為了資訊安全的考量,危險網站的連線會由防火牆阻擋,但是這種方式相當沒有彈性,無法針對不同人員或群組權限設定特殊的規則,在應用上帶來不少困擾。
為了確保同仁上網時的安全,同時兼顧相關的便利性,旺宏電子企業資訊平台管理處處長李坤龍博士,便決定導入網頁過濾設備,除了阻擋各種有害內容侵入同仁電腦之外,也藉由良好的管理規範機制,落實相關的公司政策,進一步提升績效。
瀏覽行為 讓安全遭威脅
|
▲「導入網頁過濾設備後,先建立基本的連線規範,」旺宏電子企業資訊平台管理處處長李坤龍博士表示,「而後依據不同使用者或群組角色,定義不同權限,不但能夠落實管理權限,也能提高使用彈性。」 |
旺宏電子並不單單負責研發與生產,同時也有負責產品開發及客戶服務等相關單位,隨著各種論壇、部落格及討論區的興起,在網際網路上瀏覽並收集各項資料,也成為這些部門同仁每日必作的功課。
「有許多消費性電子產品的愛用者很習慣在網路上留言分享使用心得,」李坤龍表示,「因此我們的資料收集團隊、客戶服務人員甚至是工程師,就會時常瀏覽討論熱絡的網站,藉以得到產品回饋,並刺激下一次的開發流程。」
但是在網際網路上的威脅越來越多,特別是透過網頁流傳的各種攻擊,如ActiveX、Java或是Cross-Site Script等有害內容,往往會將瀏覽者導向有害網站,甚至誘使他們下載包含間諜程式、木馬程式或病毒等惡意軟體,光是清除這些惡意軟體,每天就讓管理單位忙不勝忙,因此當發現同仁們有瀏覽網路的需要時,旺宏電子便決定導入網頁過濾設備,以確保瀏覽安全。
依據部門需求 設定不同權限
「公司內各部門的需求都不同,所需要的連線權限也不一樣,」李坤龍表示,「特別是對於業務或客戶服務相關的部門而言,上網瀏覽各論壇或討論區以收集相關意見,是他們很重要的資訊來源之一。」正因為如此,旺宏電子不能全面封鎖一些熱門網站,在上網瀏覽方面需要一套可以彈性調整權限,同時又能兼顧安全的設備。在經過評估之後,他們最後選擇採用Websense Web Security Suite。
「在導入Websense Web Security Suite後,藉由良好的網頁過濾機制,我們可以阻擋許多惡意網站,」李坤龍說明,「同時藉由Websense的網站分類資料庫,可以輕易地規範哪些網站是可允許,哪些網站必須禁止瀏覽。」
而針對不同部門的特殊需求,Websense Web Security Suite也可以提供彈性調整的方式,以使用者或群組為標的,設定大原則之外的特殊規範,讓旺宏電子的上網政策既有統一的標準,也可以基於業務需要而彈性調動。「對於評定屬於高風險的網站,我們一律採取禁止連線的策略,」李坤龍解釋,「至於中低風險的網站,或許原本不屬於公司業務所需的,例如新聞網站或論壇,我們會統計每位同仁的連線次數與時間,給予一定的彈性時間,等到累積量超過當天配額時,才會阻擋同仁連線。」
但如果是跟工作所需的網站該怎麼辦?「如果是業務或客戶服務部門需要上論壇或討論區,看使用者的反應並收集相關資料的話,」李坤龍回答道,「我們能以專案方式提報,經過核准後,會依據當初的申請人或單位,設定相關的例外規則,讓同仁工作可以更順利。」
報表檢視提升管理績效
新網站每天都有如雨後春筍般冒出來,因此如果抱持著「有了設備就高枕無憂」的心態,而不定期檢視並修正政策上的遺漏處,肯定會導致安全隱憂。因此旺宏電子也相當注重定期檢視與報表,除了建置之初有原廠支援並協助分析報表之外,之後的報表都是由企業資訊平台管理處製作並檢視。
「Websense的報表功能符合我們的需要,」主任工程師侯昇凭表示,「我們可以設定自動送出每週報表,而且內容豐富詳盡,可以藉此報表檢視過去的同仁行為與政策設定,不但速度更快,同時也更為準確。」
旺宏電子自2007年4月導入Websense Web security Suite至今,也已有一年的時間,同仁也從原先不樂意受到管理,到現在能夠接受相關的安全防護,最重要原因就是企業資訊平台管理處的態度與作法相當明確且和緩,導入之時有先經過一段測試期,並且在正式導入之前,也透過正式的公文與說明會,讓各單位同仁得以瞭解導入設備的功能與影響,避免因為不知情或誤解引發不必要的困擾。
管理不失人性才能服眾
一般而言,很多人都會認為這些資訊設備的管理總是很死板,幾乎沒有彈性可言。但在旺宏電子裡面,雖然從事的是高科技電子產業,相關的規定一應俱全,但在嚴格的管理下依然不失其人性化的一面,從網頁過濾管理上便可一窺端倪。 「在設定網頁瀏覽規範時,除了依據網站風險性評估之外,我們還加上了類別管制,」侯昇?說明,「有部分不適合在公司內部瀏覽的類別,我們當然會阻斷其連線,同時轉向到特定網頁說明為什麼會禁止同仁瀏覽。」
但像是運動網站或是YouTobe之類的網站,則是採取有限度的開放,「因此我們便會在記錄中看到一些週期,」李坤龍笑著說,「某些時候我們看到大聯盟網站的點閱率偏高,我們就知道王建民又出賽了。」
而在政策管理上也提供互動式的管道,只要同仁提出合理的需求,經過評估核准之後,就可以馬上設定完成。「具備高彈性的管理設定機制,良好的報表功能及安全過濾能力,是兼顧同仁上網安全與便利性的關鍵,」李坤龍如此認為。