前言
優易科技(MTS)成立於1997年3月,是一家致力於網路安全顧問服務的公司,該公司與美國安全運算公司(SecurComputing)結盟,在早期即引進安全防護觀念與技術架構,提供防火牆、電子認證、網站過濾等安全產品的銷售與服務。該公司並陸續與Internet Security System、Network Associates、Abirnet等網路安全廠商合作,提供該公司客戶更完善的網路安全解決方案與更專業的安全服務。知名客戶包括︰總統府、國防部、中科院、合作金庫、玉山銀行、中國商銀、世大積體電路、錸德科技、中華電信研究所等。
1996年即洞燭機先
實際負責公司整體營運的優易協理鄧中淦表示,當初之所以會成立優易,是在一個偶然的機會裡認識了國外朋友,由其得知網路安全(Security)將會是個很大的市場,值得投入。於是,在投資人的邀請下,於1996年開始籌備的工作。在鄧中淦的觀念裡,網際網路必定是個虛擬的社會,既然是社會,難道沒有犯罪行為嗎?「以前我對資訊安全的觀念也僅止於Data的保護,對駭客的認知多半在學術的領域,後來才曉得同樣的情形也會發生在商業領域。」他說。
公司成立之初,對於市場多半在教育階段,成果並非立即可見。「從1997到1998,公司成立一年之後,投資者發現並沒有賺錢,於是想要將公司收掉。」面對投資人的撤資,鄧中淦並沒有灰心,他在業界該領域已經跑了一年,等於是做了一年的教育投資,他相信網路安全市場一定會發展起來,剩下的只是時機問題。於是,他毅然決然地接下該公司,將公司撐起來。
虛位以待專業經理人
在被問到既然是優易的實際負責人,為什麼僅掛名「協理」的頭銜?鄧中淦表示,事實上剛進優易時他的職稱是經理,半年後升為協理,一直到他完全接下該公司的實際負責人之後,很多人問他為什麼不掛名「董事長」或「總經理」?他回答︰「優易未來的成長應該由專業經理人來帶領,而這個人可能不是我,因為自承在這專業經理人相關領域的技能還有某些欠缺,如果屆時我足以承擔此責任,或許會由我自己來接任。」他認為,擁有者與經營者是兩件事,一般人會以為這間公司是他的,理所當然由他來經營,可是,他覺得這樣反而會造成經營上的問題。
防火牆應依實際需求建置
在軟硬體式防火牆廣告打得如火如荼的今天,究竟哪一種類型的防火牆才是企業所需要的?鄧中淦表示,一開始客戶通常安裝的是軟體式防火牆,不過軟體式防火牆無論安裝、設定等均較硬體式來得繁瑣。至於價格,他認為兩者相差得並不是那樣明顯,值得注意的是,價格的差距其實主要不在於軟硬體式的差別,而是防火牆所具備的功能,功能越多,相對的價格越高。
所以他強調,防火牆的建置重點應擺在客戶的實際需求,而這跟客戶的營業型態有關,如果客戶強調速度、效率,則應從防火牆所使用的機制(從封包過濾一直到應用程式的過濾機制等)來評估,顯然地,強調速度的客戶只要做到封包過濾即可,但相對的,該客戶必須付出一點安全性的風險(檢查越詳細速度越慢)。他表示,在面對一個客戶時,他都會先了解該客戶為什麼想安裝防火牆?如果是為了安全,那麼想做到何種程度的安全?另一方面,要對這些被防火牆保護的相關設備(最主要是資料)做風險評估(評估其被保護的價值),如果評估後發現被保護的資產總值不過爾爾,卻要花數倍於該資產的經費來添購防火牆,其實並無必要。所以,安裝防火牆不是盲目的,若被入侵的風險很低,或者被保護的資產價值不高,那必須重新評估建置防火牆的必要性。
人才永遠不夠 又擔心走火入魔
網際網路熱潮方興未艾,業界普遍呈現需才若渴的現象,優易也不例外。鄧中淦指出,網路安全方面的人才來源一直都不足,而且國內的人才養成事實上是有問題的,因為國內學校單位並沒有這樣的課程。據他所知,成功大學之前有類似的課程,不過那是傾向密碼學的研究,關於駭客學的技術,他表示,嚴格來講不能說沒有人才,而是這些人才都是隱性的,亦即,網路安全技術並不是其謀生工具,所以要如何雇用到他們是一個問題。
他指出,基本上人員剛進公司一定是從頭訓練、重新教起,必要時還會培養他去進修。不過訓練也不能走火入魔,他表示,有些人功力到達一定程度時會無法自制地想去試著入侵其他系統,這便是「究竟你是駭客還是安全人員」迷思。他說︰「國內有些人不斷證明其在網路安全上功力強悍,但他證明的方式是入侵其他系統。這些人的見解通常是『你看,我能入侵系統,而你不能,你跟人家談什麼網路安全?』相當的技術本位觀念。這如同在現實生活中找了三家保全公司,要求這些公司證明本身很會偷東西、搶劫、開鎖,不會的就代表保全能力不夠,這等於角色混淆。或許你覺得誇張,但相同的場景換到高科技業,通常就不會被質疑不恰當。」他無奈表示,有些客戶會要求他入侵他們系統,向他們證明該網路是不安全的,有的則在建置完防火牆後,同樣會要求他入侵看看,這根本是矛盾。他指出,站在網路安全業者的角色,他當然很了解網路的種種漏洞,但他認為應該樣花更多時間在如何保護網路安全上才是正途。
結語︰重視保密工作
對於如何留住人才,鄧中淦坦承表示,其實他並沒有什麼特別因應之道,不過,因為優易的客戶大多是在網路安全需求方面特別高的企業、單位,所以對於新進人員,他會要求簽訂保密合約,該合約不僅是謹守客戶的祕密,同時也要保障公司的祕密。除了保密合約,另外一個則是敬業合約,舉例而言,他會要求員工在離職後一年內不能從事與網路安全或防火牆建置相關的工作,他認為這應該也是對公司發展有利的措施。