【資安周報第65期】政府將提高採購臺廠自主研發資安產品比例，發展臺灣資安產業

在今年「資安即國安」是重要的國家發展政策，因此，有許多部會在去年底都陸續提出各種資安旗艦計畫，預算金額大約十億元。行政院資安處處長簡宏偉日前指出，政府在鞏固臺灣資安的同時，也肩負發展臺灣資安產業的使命，因此，未來各部會在執行資安旗艦計畫時，資安處將優先鼓勵各部會，盡量優先採購臺廠自主研發的資安產品，如果不能使用臺廠產品也必須事先提出報告。

簡宏偉表示，資安處希望先透過提高政府部門在資安旗艦計畫中，採購國產資安自主研發產品的比例，可以藉此促進臺灣資安產業的發展，並且讓臺灣的資安產品有一個正式的使用場域練兵。只不過，他也說，現階段政策是鼓勵優先採購臺廠資安產品，未來臺廠資安產品占整體資安產品採購要占多少的比例，目前資安處還沒有明確答案，「但是逐年增加採購國產資安產品的比例，則是目前政策規畫的方向。」他說。

資安國力要強，資安產業就得強

以色列這個國家在強化國家資安能力的同時，也附帶有一個重要的使命，那就是要一併發展以色列的資安產業，而且，以色列不僅鼓勵資安創業，政府對於整個產業的投資，也都是以健全整體資安產業的發展機制為主。畢竟，以色列政府不吝砸大錢的目的就是，希望讓以色列的資安產品可以銷售到世界各國。因此，以色列政府對於資安產業的投資和發展方式，一直是臺灣政府重要的參考經驗。

所以，行政院資安處的任務，除了要提升國家的資安防護能力外，也同時肩負一個重要的使命，那就是，如何做到同步提升臺灣資安防護能力的同時，也能夠同時發展臺灣資安產業，更希望讓臺灣的資安產品可以賣到全世界。

政府在把產品賣到全世界的同時，至少必須要確保臺灣所研發的資安產品具備一定的功能，可以解決某個環節的資安議題。所以政府在政策規畫上，便從政府部門自身計畫開始做起，希望透過政策引導方式，鼓勵政府部門可以提高採購國產資安產品的比例，也讓政府這樣的場域，成為這些國產資安產品最好的試驗測試場所。

畢竟，如果臺灣的資安產品要進軍全世界市場，至少要有足夠數量或者是份量的參考客戶，以臺灣政府作為臺灣資安業者重要的的參考客戶，是一項不錯的美意。

臺廠資安自主研發產品可能面臨的四大挑戰

只不過，如果政策發展方向沒變的話，許多部會應該也陸續要針對各自提出的資安旗艦計畫，進行相關的軟硬體採購。這時候各個部會可能得要思考一個重要的問題，那就是：現在到底有哪些臺灣自主研發的資安產品可以選購？

資安旗艦計畫中，不論是資安軟體、硬體或是服務，甚至是各種網路閘道端的網路安全和資安設備，以及各種控管使用者行為和確保安全的各種用戶端產品等，連越來越普及的行動裝置控管相關的應用產品等，也都有一定的資安需求時，現在是否已經有適合的臺廠資安解決方案可以提供呢？

再者，這些臺廠自主研發的資安設備和目前許多外商設備相較，是否具備同等或者是差不多的效能呢？既有產品可以解決部會現在所面臨的資安威脅嗎？

很多臺灣自主研發資安業者的產品，因為各方面的考量，大多數是先以鎖定中小企業用戶為主，畢竟，只要能夠做到「物美價廉」就有機會搶占市場。為了滿足臺灣中小企業主的需求，許多臺廠資安產品都會優先推出具備多種資安防護功能的小型資安產品，多項功能加上價格低廉，就會有好的性價比，就可以吸引中小企業主採購。

只不過，這類臺廠小型資安產品面臨的共同問題則是，雖然提供非常多樣的功能，但通常只能開啟其中一個單一的功能，才能提供足夠的資安防護效果，假設，中小企業主對這類小型臺廠資安產品經常開啟超過兩個以上的功能時，相關資安設備的防護效果，不僅使用效率會大幅降低，甚至有可能因為功能開太多，反而出現毫無防護效果可言的當機後遺症。

第三點，像是各種重要的骨幹網路的路由器或交換器，除了外商就是中國華為的產品，而臺灣的網路設備業者，多數只能夠做到家用路由器的等級，兩者產品適用規模差異過大，臺灣產品規格能否跟得上呢？

即便臺廠願意研發更高規格的路由器產品，但研發時間往往曠日廢時，加上許多單位都無法承擔採購的設備一旦出包（尤其像是路由器或交換器）所面臨網路斷線等各種後遺症時，對於想要採購臺廠設備的部會而言，更平添無謂困擾。

就像是學術網路的各個區網中心，面臨大量的頻寬使用，要維持網路連線品質的穩定與安全時，採購思科這種大品牌的路由器設備就一定沒問題，因為思科路由器一旦出問題，就會是全世界都要面臨的共同問題，負責的單位也不容易被苛責，也不需要承擔其他無謂的責任。因此，對於許多部會而言，採購知名外商品牌的資安設備或產品，除了功能考量外，甚至也避免部會必須承擔某些不必要的責任。

最後，研發資安產品最麻煩的一件事情就是，隨著各種攻擊與威脅手法日新月異，每一間資安業者都一定要有自己專屬的資安技術研發團隊才行。

唯有透過專屬的資安研究團隊，持續關注各種最新的攻擊手法和威脅型態，並且可以將研究成果加諸在自家研發推出的資安產品上，才能夠確保這樣的資安產品與時俱進，是有能力提供資安防護效能的。如果臺廠資安產品沒有自己的資安研發團隊，這樣的產品根本跟不上駭客威脅和攻擊手法變換的速度，將成為無效的資安產品。

所以，政府雖然希望透過政策方式，鼓勵部會可以提高採購臺廠自主研發的資安產品和服務，甚至也希望透過各種資安產品集中採購方式，並且將底價公開透明化，就是希望可以減少過往廠商只要敢壓低價格就可以得標，但是，這些廠商提出的解決方案根本無法驗收，最後廠商雖然因為無法驗收收不到尾款，但對於部會而言，這個案子甚至可能得面臨重新或部分來過，才有辦法結案。

當政府希望透過種種策略，提高臺灣自主研發資安廠商產品的能見度同時，臺廠資安業者也必須具備自我提升的能力，才能夠提供符合需求與功能的資安產品。

臺廠資安業者應該把握政府政策利基，自我提升

簡宏偉表示，政府為了提升臺廠資安產品的效能，願意提供政府這樣的場域，作為這些臺廠資安業者實際測試自家產品執行效能及相關的機密性、完整性和可用性，顯見政府的確希望透過更多具體的方式，藉此發展與帶動臺灣資安產業的發展。

只不過，政策推廣絕對不是萬靈丹，臺廠資安業者在自主研發資安產品的同時，也往往會面臨到，廠商不了解使用者需求、導致產品功能需求不清，廠商缺乏足夠維運和研發的資金，也不免會遇到相關資安研發人才能力不足，更多時候，這些臺廠資安業者都普遍缺乏向全球行銷和銷售能力等困境。

一位臺灣資深的代理商便表示，臺灣具有資安自主研發能力的業者，目前多數都是小公司，尤其是技術出身的資安創業者所面臨的共同問題就是，「覺得自己產品很完美，可以解決企業面臨所有的資安問題。」

他指出，這些技術出身的資安新創業者可以想到很棒的主意去解決使用者面臨的資安問題，但是在實驗室的概念要落實到商品化的產品時，往往會面臨使用者和研發者彼此對於功能需求認知上的極大差異，加上有一些研發人才不見得了解不同產業所面臨複雜的IT環境，因為需求無法真正傳遞到資安研發者身上，產品研發經常無法真正切合使用者需求、解決使用者的資安問題，使得有好概念的資安產品因為無法真正商品化推到市場上，就此無疾而終，甚為可惜。

再者，臺灣的許多創投往往都希望投資最晚可以在一年內回本，與國外天使基金可以花5年培養一家有發展前景、甚至有機會上市的資安公司心態不一樣。

因為許多創投資金的短視近利，即便資安新創業者推出再有潛力和特色的產品，除非背後有一個富爸爸，不然都很難靠剛開始的創業資金，一路撐到最後。臺灣先前的資安創業案例中，可以繼續撐下來的，多是透過被國外大廠併購的方式，由大廠買下臺灣的人才和技術，再併入到他們原先的解決方案中。

資安創業最好是創業者本身就具備相關的技術與研發能力，才不會被技術研發人員牽制；但研發需要時間醞釀研究，如果資安創業者要管研發又得兼顧營運，一定無法順利兼顧，最後可能面臨兩頭空的情況。

因為許多資安創業者多是技術出身，不管是行銷能力或者是銷售能力，都不是他們的擅長技能，但是，臺廠資安自主研發業者要能夠可長可久的經營下去，就必須要有能力把自家資安產品賣到全世界才行。所以，這些資安業者如何補足行銷與銷售能力，一直是臺廠資安自主研發業者面必須補強的能力。

資安其實是一場團體戰，不是單獨個人或個別公司可以完善每一個資安環節。臺灣政府透過政策方式，希望提升臺灣具有自主研發資安產商的能力同時，也提供測試場域，讓這些臺廠資安產品有實際練兵的機會。這樣的機會對於臺廠資安業者而言，都是不可多得的好機會，都應該要能善加把握。