金融集團如何採購防火牆

寶來金融集團成立於1988年，業務涵蓋投資顧問、投資信託、資產管理、期貨、金融資訊等，目前是臺灣第一大的網路證券交易商。

7年前（1997年），寶來開始網路下單業務，2001年推出中文介面的跨國交易平臺，到目前的雙層防火牆架構，寶來的網路環境隨著企業發展而逐漸「演化」當中。

網路進化後，駭客和蠕蟲攻擊也接踵而來，寶來金融集團資訊處經理林承義以Slammer為例，中毒的資料庫主機會一直發送封包，任何防火牆都抵擋不住攻擊，還好寶來蠻幸運的，網路只有癱瘓10幾分鐘，不像其他企業癱瘓數天。

寶來希望不論遭遇到何種網路攻擊，交易都能夠不停頓，但目前沒有任何網路設備能夠達到這樣的境界。老大帶頭向前衝

寶來是國內網路交易的龍頭老大，凡事只能帶頭跑，絕不能落人後，強化網路安全是一定要走的路。2001年5月，寶來重新評估公司的網路架構，決定建置第二道防火牆，強化現有的安全架構。林承義認為雙層防火牆的複雜性很高，尤其寶來的程式都是自行開發，顧慮也更多，所以寶來花費一年時間來「磨合」各種設備，最後終於順利解決所有問題。

在選擇防火牆產品前，寶來會先向SI廠商提出需求，由他們挑選合適的產品，經過多方面的測試，最後決定採用Nokia IP530。

對寶來而言，產品好壞其實不是最重要的，廠商的支援能力才是重點。寶來資訊部目前有80個人，所有寶來的前後臺系統和客戶端程式都是自行研發，包括期貨、線上下單等系統。這些資料在傳輸時一定會經過防火牆，雖然寶來在開發軟體時會參考大廠的軟體，甚至符合相關規範，但仍然會與網路設備相衝突，這時寶來就需要廠商配合修改設定，或者告知原因何在。重視與廠商的互動

安全、穩定和速度是網路交易成功的關鍵，效能是寶來選擇防火牆的重要指標，因為股票下單和期貨交易系統最重視速度，時間差1秒，損失可能是上百萬元。

在評選過程中，林承義特別重視與廠商的互動，他認為沒有任何一個產品是完美無缺，重要的是廠商是否有能力解決問題、與原廠的關係及反應的時間等因素，他以微軟為例，最了解產品的是微軟研發人員，程式碼都掌握在這群人手中，如何與這群人保持聯繫，並解決問題。

在選擇安全產品上，林承義認為，每家廠商都有其長處，例如Cisco在路由器方面很強，但入侵偵測可能就不是如此，所以寶來花了許多時間，讓防火牆、VPN、入侵偵測系統、路由器和應用程式取得最佳的平衡點。沒有完美的安全解決方案

與大多數的企業相同，寶來除了防火牆、防毒系統，還有架設入侵偵測系統，但弱點稽核則採取委外服務，林承義認為寶來不是ISP或SI廠商，購買弱點稽核產品是浪費的行為，而且經歷之前的「流光事件」，他下令禁用各種免費軟體。

林承義從技術面分析，認為防火牆只能抵擋「君子攻擊」，就是一些好玩的、沒有仇的攻擊，如果駭客真的存心攻擊，任何防火牆也無法阻擋，而入侵偵測系統只能做緊急處理，達到某種程度的防護。林承義認為目前沒有完美的安全解決方案，他以最近最熱門的整合型安全設備為例，如果每樣配備都有，那車子一定很重，自然也就跑不快，對有些情況而言，這樣做就沒有意義。文⊙陳世煌