首頁 專案管理
台北富邦商業銀行股份有限公司 開源應用 敏捷致勝
2023/3/1 作家:專案經理雜誌
2181
為因應金融科技發展趨勢,提供更貼近客戶需求之產品,並快速上架,開源軟體具備低成本、高靈活性……等優勢,故許多企業在開發應用系統的過程中,廣泛應用開源軟體,根據2021Open Source Security And Risk Analysis Report統計,創新金融科技服務有69%應用開源軟體,但其中衍生風險的問題,儼然成為企業迫切需要面對的管理議題,開源軟體潛藏的風險,包含軟體未授權安裝、軟體版本未更新或軟體可能出現的弱點,分析報告中亦指出開源軟體中有84%有弱點風險,其中有60%為高風險弱點;目前一般金融機構多以試算表工具進行人工管控,惟作業流程繁雜,管控不易,「開源軟體風險評鑑與智能監控系統」應運而生。

公司名稱:台北富邦商業銀行股份有限公司

公司簡介:
台北富邦銀行為富邦金控百分之百持有之子公司,2021年第一季底合併總資產達新台幣3兆2,837億元,擁有135家國內分行、5家海外分行及辦事處2家;在台北市之分行市占率為台灣民營銀行第一名。本行持續建構包括台灣、香港、大陸、越南與新加坡「兩岸五地」的金融平台,期能以精進的營運效能,穩步朝「亞洲一流區域銀行」目標邁進!

專案介紹

專案名稱:開源軟體風險評鑑與智能監控系統

專案團隊介紹:
由擁有豐富資訊治理及國內外新創獎項常勝軍的林世哲資深協理擔任本專案PS,帶領團隊顛覆傳統並開創運營作業的新型營運模式。

合作廠商為嚴選本土優質程式開發廠商—安卓資訊,運用開源軟件技術,整合資訊內部管理系統及外部情資網站,為組織打造一套合身的監控系統,本專案動員資訊單位指派各部門菁英擔任專案成員。

專案目標:
本行對使用Open Source著重法律、程式品質和資安的問題。首創「開源軟體風險評鑑及智能監控系統」,進行數位創新,快速導入開源軟體開發產品創造價值:
(1)風險情資共享平台
使用爬蟲機器人的技術取得外部情資,彙整風險數據,揭露開源軟體法律及漏洞風險。
(2)監控管理功能
整合內部電腦資源管理系統、伺服器組態管理系統及外部情資風險數據,透過風險警示儀表板監控未授權安裝、版本異常……等,並即時通報。
(3)圖像化數位儀表
以視覺圖像化的儀表板呈現,讓管理者達到「可視化」快速從各個指標察覺問題,以提升應變時效性。

專案人數:14人

專案起訖時間:
第一階2020.1~2020.12
第二階2021.1~2021.12
第三階2022.1~2022.12

專案經費:536(萬元)

點擊看得獎心得影片

本案承襲本行「效率工程」數位創新的精神,為取得快速導入市場的優勢,廣泛應用成本低且靈活性高的開源軟體(Open Source)。但開源軟體常存有潛在風險,需輔以資安 檢測評估無虞後方可使用。基於開源軟體管理及使用風險的痛點,導入「痛點式創新」概念,自建「開源軟體風險評鑑與智能監控系統」。

專案目標
本案目標為將開源軟體管理透過數位化轉型,由人工作業改為自動化流程管理,並使用本行的新型專利,透過開源軟體生命週期監管、整合外部資安情資與內部組態資訊系統,及透過可視化圖像儀表板進行風險預防。

專案執行說明
從流程、人力、商業環境、價值……等角度,說明如何管理與執行本專案,例:
一、專案環境與業務目標
因應金融科技發展趨勢,為提供更貼近客戶需求之產品,並快速上架,開源軟體具備低成本、高靈活性……等優勢,故許多企業在開發應用系統的過程中,廣泛應用開源軟體。

二、專案價值主張—數位創新
市場上管理Open Source的套裝軟體,實無法貼合本行最切身的需求。因此本行採用使用者最佳體驗的原則,依組織特性並善用外部資安風險情資整合內部系統組態管理系統,首創「開源軟體風險評鑑及智能監控系統」。

本產品已於2021年申請新型專利,創新功能如下:
1.外部風險情資共享平台:導入流程自動化機器人(RPA)技術概念,使用網路扒文的技術取得外部的Open Source情資,彙整Open Source風險數據,揭露Open Source特定版本的漏洞及風險。
2.智能監控管理功能:本行各單位透過本系統申請使用Open Source,專家小組依據風險情資分析結果,審核Open Source的使用申請。系統會整合內部個人電腦資源管理系統、伺服器組態管理系統及外部情資風險數據,透過風險警示儀表板監控未授權安裝、版本異常等,並即時通報。
3.圖像化監控儀表:以視覺圖像化的儀表板呈現,讓管理者達到「可視化」快速從各個指標察覺問題,以提升應變時效。
4.主動訊息發布平台:即時通報主要警示訊息或系統異常紀錄。

三、專案管理
依據本行敏捷專案管理標準作業程序,本案採用混合式手法進行專案管理,使用調適性手法進行產品開發,將產品分成兩個Release進行開發,並使用瀑布式手法規劃、部署及上線。

因受疫情影響無法同地辦公,使用Microsoft Teams的團隊協作工具進行專案管理,並使用Teams線上會議進行溝通。

敏捷專案執行過程分成4個循環(Sprint):
● Release 1
.Sprint 1:開源軟體申請與評鑑
.Sprint 2:開源軟體管理與系統維護
● Release 2
.Sprint 3:爬取外部風險情資與內部組態整合
.Sprint 4:智能監控儀表板

專案效益
一、節省採購成本:
同業間開源軟體使用管理的思維,多以最小化申請為原則限縮風險範圍。本產品佈建完整的安全防線,建置開源軟體情資庫。鼓勵同仁擁抱開源軟體多元的技術,符合時代的潮流,支持業務快速進展。更節省採購商業授權之開發軟體的成本,目前至少節省了600萬元的商用軟體採購成本。(以壓縮商用軟體一套1000元,採7zip免費,本行6000台電腦,約計節省600萬,目前審核使用的開源軟體共208套。)

二、縮減作業成本:
為快速提供產品服務,開源軟體的運用是不可避免的趨勢。多數同業均採用人工或購置商用軟體管控開源軟體的使用。本行自建「開源軟體風險評鑑及智能監控系統」,整合外部情資網站,運用AI網路爬從機器人,主動預警外部潛在風險,自動化嚴密監控,提升企業資安防禦實力,總計納管200多套免費軟體及開源軟體,申請使用件數達1,500多件,作業效率提升500%,無紙化達100%(45分鐘降為9分鐘)。

三、風險降低:
本案運用網路爬蟲機器人,定期於外部資安網站蒐集開源軟體的漏洞、弱點公布訊息及授權條款方式等資訊,以提升資安與合規情資的蒐集時效,加速更新至安全版本的效率,確保開源軟體的使用的安全性與合規性,使用開源軟體最大的風險為軟體的漏洞及侵害版權,透過定期於外部資安網站蒐集開源軟體的漏洞、弱點公布訊息及授權條款方式等資訊,大幅降低開源軟體使用風險。

四、防禦力升級:
除引用外部情資警示機制外,亦整合內部系統組態資源,全面掌控開源軟體使用情形。在風險發生時,可迅速鑑別受影響的資產,由「開源軟體風險評鑑及智能監控系統」主動發出警訊。由每月人工被動發現風險,縮短為每周系統主動警示風險,時效提升400%。

困難與挑戰
一、專案整合的困難:
在開源軟體的安全庫中,以圖書館藏方式,目前納管200套開源軟體。更結合企業外部風險情資與內部組態管理系統,建立開源軟體與資訊資產的關聯性,在風險發生時可由系統及時發出準確預警警示訊息,迅速鑑別受影響的資產,以快速應變將衝擊降到最低。

本專案的困難在於整合外部開源軟體風險情資及內部組態資料,因此專案團隊透過客製開發的數位化之開源軟體管理系統,整合內部資訊資產組態資源及外部開源軟體資安情資,將資料提升運用價值發揮統整綜效,並開發即時智能監控儀表板,完整透視組織使用開源軟體之生命週期,更主動警示開源軟體弱點,以提升開源軟體潛在風險之處理時效,達到強化組織使用開源軟體資安防護力。

二、流程數位化的挑戰
本系統針對開源軟體採申請授權制,透過數位化進件,經由資訊安全、軟體授權、程式應用、佈署與維護四大專業領域之專家評估,送呈主管審核,到發佈授權開源軟體使用,全程數位化流程,完整留下軌跡;使用者安裝使用過程中,定期進行開源軟體需求檢視及整合內、外部開源軟體資安情資,適時警示軟體弱點並進行公告下架,佐以及時智能預警儀表板,強化開源軟體使用之安全性,以健全授權開源軟體使用之生命週期管控,並降低潛在資訊安全風險。

結語
本案透過專案管理的過程,實踐規劃藍圖,經歷無數次的溝通及整合,最終在如期、如質、如預算的終極目標下完成使命,獲得國內、外多項獎項的肯定,為持續精進注入相當能量的動力,未來將秉持專案管理精髓,發展更優質的專案。

2023獎出新價值

COVID-19自2019年末爆發後已步入第三年,各國防疫措施漸趨鬆綁,而在此期間應運而生的熱門話題便是「敏捷」、「數位轉型」。值得...
2023獎出新價值
專案經理雜誌
《專案經理》雜誌是華人最有影響力專案管理雜誌,宗旨為擴大專案管理應用傳播。
邀您一同為深耕專案管理努力,您的參與,相信能為您的產品/服務,擴展商機, 無形中,也為專案經理雜誌的永續經營注入契機。
您可能也喜歡這些文章