原标题:工研院建构资安整合服务平台,媒合产业供给与企业需求
为了加速台湾资安产业生态链,经济部工业局今年开始推动新兴资安产业生态系推动计划,在工研院的执行之下,于7月底正式推出“资安整合服务平台”。他们期望,通过这项机制媒合产业供给与公私部门需求,促进国内自主研发能量,提升企业资安投入意愿,同时也通过补贴计划以创造需求带动资安产业发展。
关于这项计划的具体内容,工研院资通所资深专案经理卓传育,在31日于台北举行的企业资安主动防御论坛中,刚好也对此说明了更多的细节。
在整个计划的推动上,工业局主要采取3个手段,包括打造资安强化示范场域,提供安全软件开发工具服务,以及鼓励发展自主新兴资安解决方案。
关于“资安整合服务平台”的功能,主要聚焦在4大服务方案,包括:套装资安风险评估、安全软件开发工具、客制化渗透测试与新兴资安解决方案,用意是希望建构一个资安整合服务平台。
到底,这些服务方案的实际内容又是如何?现场卓传育也进一步说明。
基本上,每项服务方案都包含了供给方与需求方,借此帮助台湾资安产业,以及一般的企业组织。
●服务方案一:套装资安风险评估
首先,在“套装资安风险评估”的方案规画中,也就是所谓的资安健检,工业局将辅导40家厂商落实资安健检,目的是协助缺乏资安人力的中小企业,可以了解自己的资安环境与风险,以拟定资安策略并做出改善。
过去这样的服务要委外,可能需要一笔不小的费用,在此服务之下,将以套餐组合的方式,内容将包含弱点扫描、GCB检测与网络环境监控等,以平台协助议价的方式,并以IP位址数量为分界,例如,200个IP位置以下的风险评估,企业将只需要支付1万元,大约是市价的1成,其他将由工业局补助。若是企业内有200个IP位置以上,需支付的费用大约是4万元。对于这个资安健检评估,可向中华软协资安推动服务窗口提出申请。
●服务二:安全软件开发工具
关于“安全软件开发工具”方案,是平台上第二个重点,目的是强化产业安全产品开发流程,同时也鼓励发展资安强化开发工具。
其实,我们在近期的GDPR议题中,已经常听到Privacy△by△Design,但不只是个资隐私,也有人提出每一行程式都很重要,都是资安的问题。他们希望借由这样的平台,提供安全软件开工具服务,帮助大家养成安全开发习惯。
目前,工研院已经邀请台湾资安厂商,在平台上提供源码扫描工具、弱点扫描工具、渗透测试工具,以及弱点追踪工具。
对于企业用户而言,将可申请使用已上架的安全软件开发工具,平台上将提供一定额度的免费使用。而对于提供产品的厂商而言,工研院将审查申请上架的产品并采购,每个厂商最高是100万个授权,通过这种议价采购与补助的方式,提供另类的媒合作法,并希望帮助一些产业新品能有更多试用的机会。
现场,卓传育更揭露了,已经上架的安全软件开发工具达15款,其中以渗透测试工具为最多,包括ITRI_PT、OnwardSecurity△SecDevice、OnwardSecurity△SecFlow、ArgusHack-Carrier、OpenVAS、Nmap、Metasploit、W3af、Burpsuite、ZAP、Arachni与Nikto。其他工具,还包括源码分析的SonarQube,端点防护的AIR△Cloud△Platform△(Xensor),以及GCB检测的D-GCB。不过,我们也看到这当中,其实不少是开源软件。
●服务三:订制化渗透测试
在“订制化渗透测试”方案中,由于台湾的骇客社交蓬勃发展,国际骇客赛也名列前茅,工研院因此希望通过这种方式,将骇客能量变成台湾产业的特质,而渗透测试就是他们觉得可以经营规画的方向。
卓传育指出,前面的渗透测试工具,只是协助企业做到基本的防护,而专业的渗透测试,将能进一步提升资安品质。他们期望鼓励企业强化核心服务系统或产品渗透测试,当业者来申请时,找台湾的骇客公司来服务,工业局将会补助40%,最高上限则为100万元。
●服务四:新兴资安解决方案
至于“新兴资安解决方案”方案,用在在于鼓励发展新的解决方案,通过平台上架提供服务给企业,与上一方案相同的是,将提供40%补助,最高上限则为100万元。而企业方,也将能使用到限额免费的资安解决方案,或是享有折扣优惠。
目前上架的新兴资安解决方案中,包括了奥义智慧的AI端点防护产品-Xensor端点人工智能自动鉴识调查服务、安华联网的SecDevice△SecFlow、互联安睿的IoT△AAP物联网资安检测工具、承宏国际的网络安全演练平台GDPR合规检视工具,以及卢氪赛忒的ArgusHack-Carrier。
最后,卓传育也表示,他们持续在征求资安软件开发工具,以及新兴资安产品解决方案,期望有更多能量来丰富这个平台。
整体看来,在这个资安整合服务平台的规画下,可谓是一种大胆的新尝试,对于资安产业而言,期望鼓励新兴资安产品的开发,目前他们也已说服奥义智慧等厂商加入,不过,未来是否能吸引更多资安业者,还有待时间来验证。对于企业需求而言,在政府补助的诱因之下,是否能让更多企业接触资安,也值得持续关注其成效。
相关:
微服务平台Istio正式释出1.0版,支援Kubernetes跨丛集连线
最初由Google、IBM及Lyft共同开源释出的微服务平台Istio,近日跨出重要的版本里程碑,释出了1.0版。距离第一个释出的0.1版,已经超过一年。Istio团队表示,现在该平台已经逐渐出现大型企业于正式环境中采用的案例,像
曾俊华入股 IT 企业 推手机 IP 认证 一键登入不同帐户 | 香港 UNWIRE.HK 玩生活.乐科技
前财政司司长曾俊华曾扬言 70 岁前创业改变世界。离开官场一段时间后,有传他加入由 IT 界劲人张立申创办的 Benefit Vantage Limited,主攻 IPification(网络地址认证)技术。用户可一键登入不同手机帐户,无需帐户
【Google Cloud Next18】Accenture与Google云端扩大合作,合组事业群加速企业上云
早在2016年,Google就与Accenture结为策略联盟,为零售、医疗保健、能源与金融等特定产业推出解决方案,而在今年的Cloud△Next18,Google更宣布与Accenture扩大合作,由双方派出专家共同组成Accenture△Google云端事
人工智能技术有望减少药物动物测试需求 | 香港 UNWIRE.HK 玩生活.乐科技
目前无论是药品或者化妆品等产品,在推出之前往往需要先测试其安全性,而动物测试仍然是非常流行的做法,但同时引来动物保护方面的争议。最近有厂商开发针对药物测试用的人工智能技术,有望改善这个状况。来自研究期
实时热点事后,火锅店经理改口说活动是员工培训,严格来说不能算是企业文化,自己当天情急之下说错了话。企业带领员工在公开场合集体爬行,不管是出于什么目的,这...【火锅店员工在广场上边哭边跪地爬行,经理:这是企业文