總經理(代理)

如何進入開發服

1. 進入開發服網址,會看到需要輸入HTTP帳號,輸入HTTP帳號及密碼,即可以進入開發服。 2. 進入後台請另外輸入測試帳號及密碼。

以思科技密碼管理系統使用說明

一、開始使用 (前置項目依據公司服務開通流程辦理) 步驟一:檢查Email信箱,會收到公司信箱寄出的vaultwarden註冊邀請。 步驟二:依照指示註冊完成後,該帳號會自動被加入ApolloSome並取得「組織權限」。 步驟三:使用APP或是透過Web URL介面登入。注意事項:APP 是使用 Bitwarden 官方版本,但是需要自行設定自我託管環境,輸入Web URL即可。參考資料:APP https://bitwarden.com/help/getting-started-mobile/ 步驟四:成功登入之後要開啟二階段驗證才能正常使用。參考資料:https://bitwarden.com/help/bitwarden-field-guide-two-step-login/ 二、資料保存方式 1. 資料皆儲存於ApolloSome組織內。 2. 資料保存架構如下:-公司服務(維運團隊)-公司服務(開發團隊)-實體主機(維運團隊)-VPN(維運團隊)-專案A(專案A正式服)--子專案A1(子專案A1正式服)---Dev(子專案A1開發服)--Dev(專案A開發服)-專案B(專案B正式服)--Dev(專案B開發服) 三、服務使用方式 1. 我的密碼庫:保存機密資料。 2. Send:傳送機密資料。參考資料:https://bitwarden.com/help/about-send/

團隊導入Bitwarden密碼管理系統

前言 大約在2021年第三季初的時候,遇到客戶端的資訊安全內部稽核(ISO27001:2013)。稽核人員有問到廠商(我們公司)內部的帳號是否有共用,當時是回覆「帳號有設定唯一的擁有者」。實際狀況是帳號透過Google Sheet的專案列表作共享,只是有特定指定擁有者,因此是有資安疑慮的。 第一次會議 2021年11月初的時候在維運進度會議上提議進行導入密碼管理系統。原因有以下幾點: 資安因素:系統應盡量避免共用帳號。目前放置於Google Sheet作共享會導致有權限的人都可以存取該表格。 資安因素:應確認所管理之系統帳號皆為合法授權者,避免出現閒置 ( 無人使用 ) 帳號或非授權使用者帳號 ( 例如職務調動或離職者等 ) 。目前放置於Google Sheet作共享會導致非專案人員也有權限存取。 工作流程優化:目前放置於Google Sheet的表單資料過多和格式混亂,查詢不易。 第一次會議決議納入優先評估項目,二周後由維運工程師在會議上提出評估結果和方案。 第二次會議 第二次會議大約在2021年11月24日,會前已經透過Slack大致討論過可行性以及製作方案(圖A:導入方案比較表),因此在會議上由維運工程師正式提出導入方案,並由專案經理確認當前團隊適合方案後提交總經理,於核准後依據導入流程進行(圖B:服務導入流程圖)。 第二次會議決議採用唯一非官方的A方案,環境建置時間大約三周(2021年11月24日-2021年12月8日)(圖C: 預期導入時程表 ) 第三次會議 第三次相關會議時間為2021年12月29日,當天會議上提出以下幾點正式導入時程: 2021年12月31日,對全部團隊發Bitwarden邀請,自行註冊。 2021年1月1日至1月14日共兩周Google Sheet和Bitwarden會並行,這段期間由維運工程師將帳號資料倒入Bitwarden,再透過專案經理指定專案權限開通。 2021年1月15日,將Google Sheet的帳號密碼列表刪除。 第三次會議決議照上述行程執行。 第四次會議 第四次相關會議時間為2021年1月5日,當天會議討論以下內容: 密碼管理系統使用率問題(團隊大概7人,有2人未註冊),決議由維運工程師協助輔導註冊和服務說明。 營運帳號保存問題。決議由營運人員自行保管,不用納入組織。 服務帳號保存問題。決議由營運人員和服務管理員共同保管。 主機帳號和專案帳號權限問題。決議由營運人員和服務管理員共同保管。 第五次會議 第五次相關會議已經結束宣導期,進行導入流程之檢討,提出以下問題: 註冊說明不清楚,有人註冊到官方版本。決議:流程新增必要使用說明文件,並於事後補充說明文件 導入過程中的通知未確實。決議:此項目為未確實執行標準流程。 這次導入規劃沒有新增到公司帳號傳送規定。決議:此項目事後補充即可,因為系統已經導入,算是附加價值。 未納入備份計畫,確認目前備份恢復計畫(演練)是否有需要調整。決議:流程要事前提出更新的服務架構圖,以便比較服務前後和評估是否納入備份計畫。 未列入檢討會議。決議:修訂服務導入流程。 結語 其實最大的問題會議上沒有討論到,實際導入時間從計畫到完成耗時2.5個月,規劃1個月、環境建置1個月、實際執行導入和宣導期0.5個月。規劃的1個月時間如果是非常急迫的狀況,有必要縮短。這此主要是規劃期間維運工單有許多急迫性問題,一直延宕,另外環境建置的1個月也是個問題,因為第一次架設會有學習成本,導致這一個月難以縮短,未來如果有急迫性任務應該要考慮找熟悉的人來處理(不過熟悉新系統的人是否熟悉目前架構就是另一個議題了,說不定有配合方式可以運作)。 另外一點是最早決定要導入的原因其實沒有100%解決問題,像是兩個資安因素,都是共用帳號的問題,但是最後還是沒有完全只有一人使用一組帳號,其實我在想就風險管理上,如果真的把服務帳號只給一個人,如果權限擁有者出事或是請長假的時候到底該怎麼辦?我的理解上資訊安全管理系統很重要的是究責和可溯性,如果以共同承擔風險的方式是否能夠避免這件事? 不過實際上已經達成「 系統應盡量避免共用帳號」、「 應確認所管理之系統帳號皆為合法授權者」和「查詢不易」等三個問題點,我覺得這次導入是成功的~

以思科技新網站上線

以思科技有限公司,於2019年1月以Apollosome工作室之名義成立,隨著業務需求擴增,於2019年6月正式成立。 隨後為因應近來強化學術研究成果產業化之目的,進駐國立中正大學創新創業基地,以舉用新興技術人才,推動其銜接產業需求為目的,開拓嘉義辦公室。 2020年12月,有感於學術社群溝通平台之必要,開發「學術網站管理系統2.0」,便利國立中央大學、國立中正大學之行政上、教育上互動交流。 適逢公司建立兩週年,決以更效率更具安全性之面貌回應委託需求,不僅完善內部管理標準作業程序,導入資訊安全管理系統(ISMS),更重新整建網站內容及頁面,以期符合每位需求者之期待。

Scroll to Top