工研院建構資安整合服務平臺，媒合產業供給與企業需求

為了加速臺灣資安產業生態鏈，經濟部工業局今年開始推動新興資安產業生態系推動計畫，在工研院的執行之下，於7月底正式公布將推出「資安整合服務平臺」（SecPaas）。他們期望，透過這項機制媒合產業供給與公私部門需求，促進國內自主研發能量，提升企業資安投入意願，同時也透過補貼計畫以創造需求帶動資安產業發展。

關於這項計畫的具體內容，工研院資通所資深專案經理卓傳育，在昨日（7月31日）於臺北舉行的企業資安主動防禦論壇中，剛好也對此說明了更多的細節。

在整個計畫的推動上，工業局主要採取3個手段，包括打造資安強化示範場域，提供安全軟體開發工具服務，以及鼓勵發展自主新興資安解決方案。

關於「資安整合服務平臺」的功能，主要聚焦在4大服務方案，包括：套裝資安風險評估、安全軟體開發工具、客制化滲透測試與新興資安解決方案，用意是希望建構一個資安整合服務平臺。

到底，這些服務方案的實際內容又是如何？現場卓傳育也進一步說明。基本上，每項服務方案都包含了供給方與需求方，藉此幫助臺灣資安產業，以及一般的企業組織。

●服務一：套裝資安風險評估

首先，在「套裝資安風險評估」的方案規畫中，也就是所謂的資安健檢，工業局將輔導40家廠商落實資安健檢，目的是協助缺乏資安人力的中小企業，可以瞭解自己的資安環境與風險，以擬定資安策略並做出改善。

過去這樣的服務要委外，可能需要一筆不小的費用，在此服務之下，將以套餐組合的內容，包含弱點掃描、GCB檢測與網路環境監控等，以平臺協助議價的方式，並以IP位址數量為分界，例如，200個IP位置以下的風險評估，企業將只需要支付1萬元，大約是市價的1成，其他將由工業局補助。若是企業內有200個IP位置以上，需支付的費用大約是4萬元。對於這項資安健檢評估，可向中華軟協資安推動服務窗口提出申請。

●服務二：安全軟體開發工具

關於「安全軟體開發工具」方案，是平臺上第二個重點，目的是強化產業安全產品開發流程，同時也鼓勵發展資安強化開發工具。

其實，我們在近期的GDPR議題中，已經常聽到Privacy by Design，但不只是個資隱私，也有人提出每一行程式都很重要，都是資安的問題。他們希望藉由這樣的平臺，提供安全軟體開工具服務，幫助大家養成安全開發習慣。

目前，工研院已經邀請資安業者，在平臺上提供源碼掃描工具、弱點掃描工具、滲透測試工具，以及弱點追蹤工具。

對於企業用戶而言，將可申請使用已上架的安全軟體開發工具，平臺上將提供一定額度的免費使用。而對於提供產品的廠商而言，工研院將審查申請上架的產品並採購，每個廠商最高是100萬個授權，透過這種議價採購與補助的方式，提供另類的媒合作法，並希望幫助一些產業新品能有更多試用的機會。

現場，卓傳育更揭露了，已經上架的安全軟體開發工具達15款，其中以滲透測試工具為最多，包括ITRI_PT、OnwardSecurity SecDevice、OnwardSecurity SecFlow、ArgusHack-Carrier、OpenVAS、Nmap、Metasploit、W3af、Burpsuite、ZAP、Arachni與Nikto。其他工具，還包括源碼分析的SonarQube，端點防護的AIR Cloud Platform (Xensor)，以及GCB檢測的D-GCB。不過，我們也看到這當中，其實不少是開源軟體。

(圖片來源：工研院)

●服務三：客製化滲透測試

在「客製化滲透測試」方案中，由於臺灣的駭客社群蓬勃發展，國際駭客競賽也有不錯的佳績，因此工研院希望也能將駭客能量變成臺灣產業的特質，而滲透測試就是他們覺得可以經營規畫的方向。

卓傳育指出，前面的滲透測試工具，只是協助企業做到基本的防護，而專業的滲透測試，將能進一步提升資安品質。他們期望鼓勵企業強化核心服務系統或產品滲透測試，當業者來申請時，找臺灣的駭客公司來服務，工業局將會補助40%，最高上限為100萬元。

●服務四：新興資安解決方案

至於「新興資安解決方案」方案，用於鼓勵產業發展新的解決方案，透過平臺上架提供服務給企業，與上一方案相同的是，將提供40%補助，最高上限同樣是100萬元。而企業方，也將能使用到限額免費的資安解決方案，或是享有折扣優惠。

目前，上架的新興資安解決方案，包括了奧義智慧的AI端點防護產品－Xensor端點人工智慧自動鑑識調查服務、安華聯網的SecDevice SecFlow、互聯安睿的IoT AAP物聯網資安檢測工具、承宏國際的網路安全演練平臺GDPR合規檢視工具，以及盧氪賽忒的ArgusHack-Carrier。

最後，卓傳育也表示，他們持續在徵求資安軟體開發工具，以及新興資安產品解決方案，期望有更多能量來豐富這個平臺，將新的解決方案放上他們的平臺，讓很多人有機會來用。

初步統計，現在平臺上已經上架的產品，總共是15套安全軟體開發工具，以及5個新興資安解決方案，他們表示將持續增加。另外，我們也詢問了這個平臺的網站，何時正式開放外界使用，他們表示網站正在進行最後的測試，再等一段時間就會開放。

根據我們會後的再次確認，卓傳育也說明，該網站目前有一些DNS申請作業程序還未完成，為避免之後頻繁修改，所以會延後幾天確認後再發佈。他也坦承，目前網站上的功能只有部分可用，不過，所列廠商上架的工具及產品均已確認談妥規劃上架，但整合完畢時程仍需1到2月，才會陸續上線。另外他也透露，關於安全軟體開發工具，在開源軟體之外，以及臺灣廠商、工研院自行研發，也將會有國際知名的源碼掃描、滲透工具加入其中。

整體看來，在這個資安整合服務平臺的規畫下，協助企業提升產品設備或場域的資訊安全，在某些方面也可說是一種大膽的嘗試。對於資安產業而言，期望鼓勵新興資安產品的開發，目前他們也已成功邀請奧義智慧等廠商加入，不過，未來是否能吸引更多資安業者，還有待時間來驗證。對於企業需求而言，他們也期望讓更多企業接觸資安並帶動相關需求，後續成效同樣值得持續關注。

在7月31日於臺北舉行的企業資安主動防禦論壇上，工研院資通所資深專案經理卓傳育也揭露了更多「資安整合服務平臺」的資訊，初步統計，現在平臺上已經上架的產品，總共是15套安全軟體開發工具，以及5個新興資安解決方案，正在持續增加中。至於平臺網站何時上線，在我們進一步追問下，他們表示網站正在進行最後的測試，將延後幾天確認後於網站上發佈。（圖片來源：iThome）