工研院建构资安整合服务平台，媒合产业供给与企业需求,,他们期望，通过这项机

原标题：工研院建构资安整合服务平台，媒合产业供给与企业需求

为了加速台湾资安产业生态链，经济部工业局今年开始推动新兴资安产业生态系推动计划，在工研院的执行之下，于7月底正式推出“资安整合服务平台”。他们期望，通过这项机制媒合产业供给与公私部门需求，促进国内自主研...

为了加速台湾资安产业生态链，经济部工业局今年开始推动新兴资安产业生态系推动计划，在工研院的执行之下，于7月底正式推出“资安整合服务平台”。他们期望，通过这项机制媒合产业供给与公私部门需求，促进国内自主研发能量，提升企业资安投入意愿，同时也通过补贴计划以创造需求带动资安产业发展。

关于这项计划的具体内容，工研院资通所资深专案经理卓传育，在31日于台北举行的企业资安主动防御论坛中，刚好也对此说明了更多的细节。

在整个计划的推动上，工业局主要采取3个手段，包括打造资安强化示范场域，提供安全软件开发工具服务，以及鼓励发展自主新兴资安解决方案。

关于“资安整合服务平台”的功能，主要聚焦在4大服务方案，包括：套装资安风险评估、安全软件开发工具、客制化渗透测试与新兴资安解决方案，用意是希望建构一个资安整合服务平台。

到底，这些服务方案的实际内容又是如何？现场卓传育也进一步说明。

基本上，每项服务方案都包含了供给方与需求方，借此帮助台湾资安产业，以及一般的企业组织。

●服务方案一：套装资安风险评估

首先，在“套装资安风险评估”的方案规画中，也就是所谓的资安健检，工业局将辅导40家厂商落实资安健检，目的是协助缺乏资安人力的中小企业，可以了解自己的资安环境与风险，以拟定资安策略并做出改善。

过去这样的服务要委外，可能需要一笔不小的费用，在此服务之下，将以套餐组合的方式，内容将包含弱点扫描、GCB检测与网络环境监控等，以平台协助议价的方式，并以IP位址数量为分界，例如，200个IP位置以下的风险评估，企业将只需要支付1万元，大约是市价的1成，其他将由工业局补助。若是企业内有200个IP位置以上，需支付的费用大约是4万元。对于这个资安健检评估，可向中华软协资安推动服务窗口提出申请。

●服务二：安全软件开发工具

关于“安全软件开发工具”方案，是平台上第二个重点，目的是强化产业安全产品开发流程，同时也鼓励发展资安强化开发工具。

其实，我们在近期的GDPR议题中，已经常听到Privacy△by△Design，但不只是个资隐私，也有人提出每一行程式都很重要，都是资安的问题。他们希望借由这样的平台，提供安全软件开工具服务，帮助大家养成安全开发习惯。

目前，工研院已经邀请台湾资安厂商，在平台上提供源码扫描工具、弱点扫描工具、渗透测试工具，以及弱点追踪工具。

对于企业用户而言，将可申请使用已上架的安全软件开发工具，平台上将提供一定额度的免费使用。而对于提供产品的厂商而言，工研院将审查申请上架的产品并采购，每个厂商最高是100万个授权，通过这种议价采购与补助的方式，提供另类的媒合作法，并希望帮助一些产业新品能有更多试用的机会。

现场，卓传育更揭露了，已经上架的安全软件开发工具达15款，其中以渗透测试工具为最多，包括ITRI_PT、OnwardSecurity△SecDevice、OnwardSecurity△SecFlow、ArgusHack-Carrier、OpenVAS、Nmap、Metasploit、W3af、Burpsuite、ZAP、Arachni与Nikto。其他工具，还包括源码分析的SonarQube，端点防护的AIR△Cloud△Platform△(Xensor)，以及GCB检测的D-GCB。不过，我们也看到这当中，其实不少是开源软件。

●服务三：订制化渗透测试

在“订制化渗透测试”方案中，由于台湾的骇客社交蓬勃发展，国际骇客赛也名列前茅，工研院因此希望通过这种方式，将骇客能量变成台湾产业的特质，而渗透测试就是他们觉得可以经营规画的方向。

卓传育指出，前面的渗透测试工具，只是协助企业做到基本的防护，而专业的渗透测试，将能进一步提升资安品质。他们期望鼓励企业强化核心服务系统或产品渗透测试，当业者来申请时，找台湾的骇客公司来服务，工业局将会补助40%，最高上限则为100万元。

●服务四：新兴资安解决方案

至于“新兴资安解决方案”方案，用在在于鼓励发展新的解决方案，通过平台上架提供服务给企业，与上一方案相同的是，将提供40%补助，最高上限则为100万元。而企业方，也将能使用到限额免费的资安解决方案，或是享有折扣优惠。

目前上架的新兴资安解决方案中，包括了奥义智慧的AI端点防护产品－Xensor端点人工智能自动鉴识调查服务、安华联网的SecDevice△SecFlow、互联安睿的IoT△AAP物联网资安检测工具、承宏国际的网络安全演练平台GDPR合规检视工具，以及卢氪赛忒的ArgusHack-Carrier。

最后，卓传育也表示，他们持续在征求资安软件开发工具，以及新兴资安产品解决方案，期望有更多能量来丰富这个平台。

整体看来，在这个资安整合服务平台的规画下，可谓是一种大胆的新尝试，对于资安产业而言，期望鼓励新兴资安产品的开发，目前他们也已说服奥义智慧等厂商加入，不过，未来是否能吸引更多资安业者，还有待时间来验证。对于企业需求而言，在政府补助的诱因之下，是否能让更多企业接触资安，也值得持续关注其成效。

橙山网（Csnd.net）简评：他们期望，通过这项机制媒合产业供给与公私部门需求，促进国内自主研...为了加速台湾资安产业生态链，经济部工业局今年开始推动新兴资安产业生态系推动计划，在工研院的执行之下，于7月底正式推出“资安整合服务