政府機關如何採購防火牆

政府單位所有的採購流程，有特定的程序管控，由我們訪問到的案例得知：相關單位會組成評審委員會，經過公開招標、廠商說明，成員們再評選產品，最後公布中選的廠商產品。評選時會提供一定的採購價位作為廠商們競標的基準，廠商必須在政府單位提出的費用以內，提供最價廉物美的解決方案即勝出。

我們訪問到任職於某政府單位資訊中心的張肇安先生，談到他任職單位先前採購防火牆產品的考量，最後底定岱凱通訊代理的CyberGuard，及後續關切的安全議題。選購防火牆時的評估標準

首先是價格。政府單位的採購預算，皆是年度固定編列的費用，優先考慮報價是否符合需求，而且關於選擇防火牆，會優先考慮不限使用人數的產品。

其次是廠商的服務面，包括產品的售後服務、廠商在各地的據點分布、叫修維護與服務時間與到府服務的速度。假如防火牆產品停機毀損，一個小時內無法復原，小則影響整個單位八、九百人的對外連線，更廣泛的是妨礙民眾的資訊存取，因此雖然與廠商透過合約要求，但實質上廠商須提供更快速的到府服務。張肇安說，因為MIS人員人力有限，控管的系統數量多，政府單位往往期望防火牆廠商，能夠代為處理報表處理的動作，因為廠商須對產品負責，技術掌握度高，如果能夠提供充分的技術支援，即使單位的管理人員流動，仍然能維持防火牆系統的正常運作。

然後考慮防火牆本身的功能。張肇安表示，防火牆必須要能夠抵擋這些新式來自網路的大量攻擊模式，評審委員會也關切各產品的細部規格：防火牆每秒提供的連線數與網路的吞吐量（throughput），是否足以負荷整體使用量；是否具備雙機備援的功能，因為防火牆主控對外網路的唯一通道，假如無法運作，雙機備援能夠立即備援恢復網路運作與控管。因為該單位內部網路的主要幹線都是GbE模組，所以防火牆設備還需要有支援GbE環境的能力。後續安全需求

張肇安表示，目前防火牆系統的負載程度低於50%，一旦開啟更高階的功能控管，系統負載將會提升到接近70%，他們近期會考慮升級防火牆系統的處理器和記憶體，以便再運用更高階的封包控管能力，他們也考慮將網路上的其他服務轉移到防火牆系統，他們曾經測試過的經驗指出，如果防火牆再開啟其他不牽涉到複雜輸出入的網路查詢，負載最多增加3%至4%。

關於VPN功能，中華電信與研考會合作，政府單位使用中華電信的VPN可享價格優惠，而且又不需要額外指派人員管理，所以他們並不需要防火牆上附加的VPN功能。

該單位目前的安全考量，主要以服務外部使用者查詢的網站伺服器為主，因此特別看重伺服器本身的安全性。未涵蓋到內部網路的一般用戶端的考量，一方面是因為限制ICQ、MSN Messenger、P2P軟體或股市即時盤等資訊代理程式，會遭到使用者的抗議，單位無法形成管理政策約束使用者，但是行政院研考會目前已經要求所屬單位，朝向BS7799的安全認證發展資訊安全架構，嚴格控管勢在必行。

張肇安任職的單位，目前對整合防毒、防垃圾郵件、網頁內容過濾、即時通訊軟體監控的閘道控管產品，都很有興趣。他們認為這些整合性設備，最好能夠具備多處理器的環境，以提供高承載的持續管理。至於入侵偵測（IDS）的產品，張肇安認為，當駭客發動網路攻擊時，防火牆只能不斷地記錄所有的事件，默默承受，而IDS可以觀察分析出攻擊模式，不過仍會發生誤判，兩者需要管理者互相參照比較。文⊙李宗翰