Page 1
2專題報導
S P E C I A L R E P O R T│中│華│技│術│
58 │No.76│ October, 2007
SUMMARY摘 要
2專題報導
No.76│ October, 2007 │59
壹、前言
延續財團法人中華顧問工程司(以下簡稱
中華顧問)的組織體系,台灣世曦資訊部門成
立至今已超過三十個年頭,堪稱國內工程界資
訊應用先驅,實不為過。發展至今,為提昇各
領域的服務品質、增進作業時效及控管成本,
工程師全面配備個人電腦,供工程管理、設計
繪圖、文件製作使用,工地監造人員則以個人
電腦執行營建管理工作。所有電腦均以區域及
廣域網路連接,達到資源同享、介面整合的功
能,同時也建置了本公司內、外網路平台,提
供無疆界的e化服務。
今日資訊系統對台灣世曦而言,已是公司
營運不可或缺的神經中樞,同仁賴以工作的必
要礎石,無論在工程或管理層面都扮演著關鍵
性角色。為支援全公司1800位員工的作業與管
本文主要介紹台灣世曦工程顧問股份有限公司(以下簡稱台灣世曦或本公司)
三十多年來的資訊系統發展歷程,闡述資訊系統部如何配合公司營運成長需求,運
用有限的人力及資源,建置適宜之資訊系統。文章內容首先簡述本公司從資訊應用
萌芽階段,至今日小具系統規模的資訊系統架構變革過程。有關同仁帳號及個人密
碼之身分認證、電子化作業中資料分享與文件權限管控,以及資訊系統網路化後,
本公司內部資訊安全政策與降低公司內部資通安全風險等所曾面臨的課題,文中多
所說明。至於本公司特別重視的系統備援與災難復原議題,及其採取的因應對策與
執行方案,均有著墨。最後,於文章後段,對於本公司程式開發及系統營運團隊所
具備之專業能力與可提供之資訊服務項目,作一彙總說明。
理需求,本公司已建置可提供7天24小時不間斷
的資訊系統運作平台。
從人工描繪製圖到系統自動繪製,由共用
打孔電腦主機到人手一部個人電腦,自早期之
工作站到目前各類型伺服器超過百台,且設有
專責單位自力開發各類型企業內資訊應用系
統,以高速寬頻網路服務遍及全國80餘處辦公
據點等等,數十年來,本公司資訊系統架構不
斷調整、功能不斷提升,全為符合前述公司營
運與管理需求。
為求兼顧同仁工作方便性、資料管理容易
性及權限控管統一性,有關同仁帳號及個人密
碼之身分認證、電子化作業中資料分享與文件
權限管控,以及資訊系統網路化後,為降低本
公司內部資訊安全風險,所訂定之資安政策,
均作了縝密的研析與處理。另有鑒於同業公司
關鍵詞:資訊系統、系統架構、身分認證、資通安全、系統工程
台灣世曦工程顧問股份有限公司/資訊系統部/協理/吳榮煌
台灣世曦工程顧問股份有限公司/資訊系統部/副理/林高弘
台灣世曦工程顧問股份有限公司/資訊系統部/正工程師/劉大慶
台灣世曦工程顧問股份有限公司/資訊系統部/正工程師/張世元
1 2 3 4
1
2
3
4
Page 2
2專題報導
60 │No.76│ October, 2007
2專題報導
No.76│ October, 2007 │61
受祝融之苦,為免重蹈覆轍,本公司特別重視
系統備援與災難復原相關議題,並擬訂相當完
備之因應對策與執行方案。
經由多年來累積的寶貴實戰經驗,本公司
資訊系統部同仁不但具有提供系統規劃、設
計、維運等能力,更結合運用程式開發的專業
技術,為一全方位的資訊技術服務工作團隊,
相關資訊服務項目與內容,將於本文結尾作一
說明。
貳、資訊系統架構更異沿革簡介
1994年以前,本公司資訊系統係採用當時
蔚為主流之大型主機資訊系統架構,資料集中
管理,同仁以終端機文字介面做必要之資料處
理,終端機以RS232與主機連線。值此時期,系
統環境特徵為:僅少數同仁可操作、資料提報
為紙面、需特定人員協助輸入資料、資訊提供
為報表型式、需大量紙張及放置空間、資訊的
處理及提供時效性差。
1994至1998年間,本公司資訊系統轉換為
主從架構,資訊架構為分散式處理,同仁使用
個人電腦視窗介面,以Ethernet連線,建置郵件
伺服器、檔案伺服器等服務。此階段環境特徵
為:可提供較多同仁操作、操作較為便利、提
供個人文書處理、檔案可集中存放共享、每位
員工可收發電子郵件、資訊時效性稍有改善。
1998年至今,全球資訊化邁入網際網路
時代,本公司亦配合資訊系統發展趨勢作適當
之調整,資訊架構為分散式處理、同仁使用視
窗、瀏覽器等工作介面,另外建置郵件伺服
器、導入企業內部網站服務及無線網路環境,
此階段系統特徵為不受任何空間與時間的限制
可支援本公司全體同仁、資料採線上提報、資
訊提供多採線上查詢方式、表單/公文電子化、
資訊時效性佳、…等等。
叁、帳號系統及身分認證
本公司資訊系統於完成網路化之初,當相
關資訊應用系統陸續上線使用後,登入系統帳
號為當時員工進入系統的唯一認證機制。本公
司先行利用管理部門所設定之帳號做為員工識
別機制,其後輔以電腦密碼作為安全控管強化
機制,再演進為要求每位員工需定期變更密
碼,並規定密碼必須符合複雜原則,以確保同
仁身分認証機制不為其他同仁所冒用。
當系統提供越來越多的電子化服務後,因
為各應用子系統的認證方式五花八門,導致資
訊整合作業不斷遭遇到帳號生命週期的混亂、
密碼管理的複雜、以及其他身分識別管理上的
瓶頸等問題。為解決這些問題,本公司引進並
發展了一套整合式身分識別管理解決方案。基
本上,該方案係以人事系統為依據,將員工到
職、職位變更、單位調動、留職停薪、離職、
密碼變更、帳號權限變更等各種牽涉目錄服
務、電子郵件系統以及資料庫系統異動之作
業,透過整合式流程,達到自動化同步的功能
(如圖1)。
帳號密碼既經整合,為了減少重複輸入密
碼的次數,資訊系統部經詳細評估後導入了單
一登錄系統,不但方便員工取用網路服務,也
因為新增的閘道端管制,更提供了後端伺服器
額外的安全防護以及服務效能的改善。
此外,為了強化電子行政流程的身分辨
識,在既有的帳號與密碼認證方式外,本公司
也引進並開發憑證系統的相關應用,並做為簽
核作業不可否認性的單一確認機制。
未來,本公司將在方便性與安全性兼顧的
原則下,從技術面以及制度面兩個層面,持續
身分識別機制的改善與更新。
肆、工作資料分享與權限管控
工程技術顧問公司的工作成果種類繁多,
舉凡規設書面報告、設計圖說、工程數量估
算…等等,工程師必須以其專業知識與經驗整
理大量的素材,使成可用之資料文件並彙成檔
案,且大多數的資料檔案均需與相關的計畫工
作人員再作進一層的處理,以彙整出完善的作
業成果。故此,就本公司同仁工作效益而言,
最重要的網路服務非「檔案伺服器服務」莫
屬。
談及「檔案伺服器服務」,橫亙於前的是
一連串的複雜因子。首先就本公司的主要業務
考量,因「計畫」執行是全公司主要工作的核
心,相關「計畫資料」需提供及滿足參與該計
畫的所有同仁,該等同仁所屬部門、辦公地
點、檔案存取權限、資料與工作成果傳送方
式、計畫期程、及其契約特殊規定事項…等等
需求,都將影響整體檔案伺服器服務的規劃。
再者,從伺服器的管理層面視之,有關管
理者如何藉由管理介面,即時有效控管分散於
各地的伺服器、對使用者提供服務及進行權限
管制、提供使用者可經由網際網路點選與安裝
印表機驅動程式…等等功能,其實是一項相關
龐雜的規劃與建置工作。
本公司自1996年開始建置運作檔案伺服器
系統,歷經十年的運轉,資訊系統部已可完全
掌握同仁的工作特性及需求,並深入探討檔案
伺服器服務所需儲存資料容量及搭配資料備份
系統等要素。
另為提升支援時效與落實權責管理,資訊
系統部系統組同仁與公司內各部門電腦管理
人員共同組成國內少有的〝資訊管理工作團
隊〞。將全公司資料透過分層負責的管理模
式,由資訊系統部集中管理資訊平台,計畫執
行主辦工程師負責直接控管計畫資料存取目錄
的權限,並由各部門電腦管理人輔助管理。如
此作法,因資料存取權限係由計畫執行主辦工
程師依計畫同仁個人實際工作分配而有個別設
定,不論是部門內同仁或共同工作之其他部門
同仁皆由其管制,當可落實權責管理機制,尤
其是具有保密規定之計畫更可嚴格控管,以符
合與業主之契約規定。至於資訊系統部系統組
同仁則可專心於整體檔案服務的維護,以保持
該系統時時處於最佳狀況。
伍、落實資訊安全
隨著資訊建設成為企業營運的核心基礎之
普遍化趨勢,以及任何資安事件,不論其規
模,稍有疏失即可能造成重大損失之可能性,
資訊安全已成為企業資訊系統維運中一項重要
的課題。圖1 台灣世曦身份識別管理模式