-
我這邊有準備一份資料,可以給委員參考。
-
我們這邊是艾波比股份有限公司,算是外商,因為我們在跟政府單位有關電子化的過程中有些問題,所以想說看政委是不是可以幫我們協助、解決的。
-
請說,怎麼樣的問題?
-
以這個圖來講,我們有跟財政部電子平台來作資料交換,目前跟經濟部這邊有電子公文的交換,他們因為安全的考量會要求我們提供IP,經濟部這邊是一定要提NIC的IP,他們才接手,財政部這邊是沒有這樣的限制。
-
不能在臺灣隨便租機器?
-
我們的使用者,現在是全球的,是用iboss cloud的Proxy去……
-
有點像VPN,一個出口IP?
-
是很多出口,像在亞太地區,各個國家都有Proxy的IP位置,每個使用者,有可能是從臺灣這邊出去,也有可能從其他的國家,或是你去旅遊到其他的地方,走個IP不一定是某個固定的IP。
-
我的意思是,你們的公文交換服務,是所有的使用者都可能用到的服務,對不對?
-
對,類似像各部門助理之類的,我們在臺灣又有很多個辦公室,所以目前的做法是,我們只能在某個辦公室,可能我們租中華電信的ADSL,就是這台機器去連,如果是其他的使用者,在別的辦公室沒有辦法,在同一個辦公室,也就是要用的時候再接,拿那個筆電去接那條網路。
-
但是不能把那個IP變成大家都可以用的,類似像VPN的單一出口嗎?也就是要用這個服務的時候,也就是有點像健保署,所有的藥師不管在哪裡,都用專用的VPN,一接入就回到健保署的內網,從健保署內網的角度來看,就是在同個網段裡面,當然就需要個設定,也就是在這個IP的這個機器上,必須要透過身分認證的方式,就可以讓其他地方的員工都連到這台機器上來用這個服務,一般來講會這樣做。
-
其實在財政部這邊,其實就已經是用這樣的模式在運作,但這個IP申請下來的時候,不是TWNIC的範圍,因為那個真的是在臺灣防火牆出去的IP,所以那個東西在臺灣一定沒有錯,只是核發的單位不是TWNIC,但是經濟部要求一定是要TWNIC,我們覺得不合理的地方是在這裡。
-
但是我的意思是,現在右邊這個IP是TWNIC是中華電信的IP?
-
對,那個是中華電信另外去租的,但是這路網路並不是在整個雲端的控管當中。全球在管理的時候,是委由BT在做企業網路的管理,像你左邊看到這些IP,其實都不是TWNIC發的IP,問題是卡在這邊,如果這是臺灣的企業、公司的話,其實很簡單,也就是跟中華電信去租,但是這部分的網路管理……
-
我的意思是這兩個IP的控制權都在你們?就是說都發給你們,是同一家公司嗎?
-
左邊是發給BT,右邊是ADSL,是我們臺灣這邊公司自己申請。
-
但固定是ADSL?
-
對。就不是全球的IT在管理,而是另外再申請的這條。
-
但你對這台電腦有控制權?
-
這是使用者的電腦。
-
所以另外一個辦法是,你在這兩個中間作tunnel,你讓連得到這台的,當它要進這裡的時候,你針對這個網外的trafic,你都透過這個管道走,可以用好比像OpenSSH,因為你現在的問題是這個路郵連不到這裡,你可以告訴他說這個要連到那裡以前,要先透過這個來當一個跳板,所以其他的人都連到這裡,每次要連到經濟部的時候,這個路郵過去,那就不是VPN了,這就很像OpenSSH,也就是可以用一個連接阜的重導向,也就是每次要連到他的時候,也就是先透過這邊連到他。
-
這比較困難,因為這條不在Global的管轄範圍,其他這些也不在我們的管轄範圍,所以我們沒有辦法運作。
-
所以才問你有沒有網管的控制權?
-
沒有。
-
那誰有?
-
國外。
-
這台也是國外嗎?
-
這個是臺灣自己申請的。
-
我的意思是,因為這個有它自己的IP,這個系統有自己的網址?
-
-
現在這個既然連不到這裡……
-
這個不需要連到這裡,這是兩條分開的,這邊是沒有問題的。
-
對,但是我的意思是,你這個會連到財政部,財政部有個IP,財政部就叫做「F」好了,經濟部就叫做「E」好了,我的意思是,現在可以讓這台電腦透過聯接的轉送方法提供這個服務給他,所以從這個角度給他,要連到經濟部的時候,並不是連到E,而是連到這個服務,所以只要有系統管理員的權限,並不需要那台的系統管理員權限,最多只是改一個目標網址,本來是經濟部的網址,但是改成中間這台,然後這台收到的時候就自動轉送。
-
這路網路我們沒有管轄權,但是這路有,但是我們沒有設備,也就是ADSL牽進來,然後就直接接電腦,所以沒有辦法轉送路郵到這邊來。
-
但是你的電腦一定要關機嗎?都是筆電或者桌電?
-
都是筆電,我們現在的狀態是,臨時狀態就拿出來用。
-
不能用便宜的伺服器或者是桌長,就算是筆電不關機,也就是接在IP上當作共用的出口,這是最便宜的方法,可能2、3000元就可以了,而且馬上就可以做到。
-
對,但是我們覺得比較不合理的地方是,我相信財政部會這邊要求有固定IP,這也是安全考量,一樣是安全考量,為何兩個單位的做法是不一樣的,而且另外一個單位是要求TDIC,事實上核發IP的單位,就不只有TDIC,臺灣的IP可以核發的,也不是只有TDIC,所以我們想要從源頭解決,這個是很奇怪的要求。
-
他這邊就有說TWNIC核發嗎?只是說要查得到,這兩個是一樣的意思嗎?
-
是同樣的意思,你看這張的話,我們有用防火牆的IP去TWNIC查,他說這不是他所配發的,我們是打算去經濟部這邊註冊,但是我知道TWNIC查了之後,知道這不是他配發的,所以經濟部就不接受。
-
我們在溝通的過程中,不太理解的是,是這個單位沒有搞清楚要求還是什麼原因,目的應該是要希望在臺灣的IP,可是卻綁死,很像是只有TWNIC查,但是事實上就從iboss的上面TW IP,但是核發單位都不是TWIC,就說不認可。
-
我理解。你現在是用哪個介面查的?有個WHOIS,是不是?
-
-
我是不是要輸入你左邊的這個?
-
對,就是這個IP。
-
我查一下。
-
(查詢中)
-
所以把你連到APNIC,因此從APNIC的查詢,可以看到這整個網段都是叫做Telstra,Telstra是香港那邊實質管理的。
-
應該是說,好幾個都查得到,是澳洲或者是香港,這兩個地方。
-
但你的論點是,因為從APNIC可以看到實體位置在臺灣,雖然不是臺灣的單位所配發,這是你們的論點,也就是只要實體在臺灣,不需要是臺灣所配發就可以了。
-
-
我們想說財政部是行之有年的,電子公文這個平台是剛才實行的,我們的過程中,其實我們跟那邊的單位溝通時,他們就是用這樣的文告訴我們說不是TWNIC配發的,所以就不行了。
-
現在的問題是,雖然實體的機房在臺灣,我想這應該沒有什麼問題,用意我這邊看起來是,要對這個IP的核發單位,要能夠去確認是誰登記、誰註冊的等等,TWNIC當然在配發出去,每個配發出去的網段都會蒐集這些資料,因為WHOIS因為GDPR的關係,如果是物理在臺灣的電腦,但是IP好比像香港或者是澳洲配發的,經濟部跟他要聯絡資訊或登記資訊的時候,未必要得到,也就是以WHOIS看到的為準,就這麼多而已,這是他們實際作業上會碰到的狀況,但是為了要解除這個,主要是你們沒有這台機器的控制權,要是有的話,就直接解決了,兩個網卡雙IP,什麼都解決,對吧!
-
所以這台機器的的網管就是兩位?
-
就很像家裡用固定IP。
-
你這個連到的電子公文交換的實體插卡,那張卡是你的筆電上有讀卡機或者是怎麼樣?
-
是外接的讀卡機。
-
你這邊可能不在臺灣?
-
其實我們都在臺灣作業,因為我們iboss在臺灣的Frox有IP的,我們當初是把這個IP跟單位申請,跟我們說一樣的問題,也就是防火牆的問題,也就是IP並不是TWNIC配發,所以不核可,所以是不能接受的。
-
我們也跟iboss過去,也是不能接受的,我們跟全球申請控管……
-
既然都在臺灣,本來IP就一定是TWIC發。
-
結果發現防火牆的IP也不是TWNIC配發,我們知道實際上的在臺灣,所以也不行,因此在這邊就都卡住了。
-
所以你用的是Windows、標準電子公文e-clint等,都是標準的。
-
就是網頁加上讀卡機。只是會讀憑證。
-
所以你用的是公文交換E網通?或是商工交換服務?你們在這台裡面用windows,然後用VPN,有用過嗎?
-
沒有。
-
做法是在這台用windows 10接進去,我連不上是不在它的白名單裡。
-
好,像剛剛講到的,在這台裡面用windows,然後開VPN,有比較完整的教學,可以看一下,你可以先用筆電,如果不想買桌機的話,其他人連到的話,打帳號、密碼,其他的人連到這個IP,就打帳號密碼,連到VPN的時候,等於在操作的時候就暫時用這個身分出去,這樣就連得到,等到用完電子公文交換,再從VPN斷網,其實就是這樣,不要連上做出電子公文交換、背景下載大量影片的事情,把這台頻寬用完,但是電子公文不花什麼頻寬,所以大家養成要連之前,就先登VPN,這台筆電就不要關機,這是瞬間不花錢可以解決的方法。至於你說現在要改這個,我現在感覺上不是不小心的,而是故意的,所以這就比較困難。
-
所以一定要從WTNIC?
-
我這樣看完,原因是想要知道如果每次有異常使用或者是怎麼樣,也就是要從IP追到後面的行為人,但是APNIC一定不會給他這個資料,你們實際上我看APNIC的資料,不管是香港或者是澳洲配發的,NIC跟TWNIC沒有資訊互通的義務,以後經濟部若說有異常使用,想要找到那個人的聯絡電話之類的,APNIC是不會給他的,所以我看起來是故意的。
-
可是我們在註冊的時候,我們提供IP給他們,有問題的話,就直接給……
-
概念是這樣子,一方面你是申請人,但是二方面是IP的實質管理者,好比像在BGP那層被別人導到別的地方之類的,這不是你們終端的網管要負責的,而是管那群IP的人要負責的,所以兩邊的人都必須要聯絡得到。
-
如果TWNIC說這區是中華電信,如果壞掉的話,是某區的話,這樣打通電話就可以找到那個人,但是如果是別的IP網段的話,那就不一定,他的用意是這樣子,但是我也瞭解到比起財政部要嚴格很多。
-
通常我們的解決方案就是如果有可以控制這台就給雙介面,兩個IP瞬間就解決了,甚至現在還有固定式4G網卡,你可以在裡面弄SIM卡的介面。
-
那就變成我們請國外是不是申請一條也是網路的線,但是這台比如像中華電信的,然後接到自己的防火牆裡面,我們這邊要過去的話,是因為防火牆的IP,從中華電信的IP過去。
-
實務上可以是同台電腦沒有關係,但是連到3的時候,是要走這個介面出去的話,這邊多個介面就一勞永逸,如果不行的話,公司網管願意幫你牽條線,不管是弄機房或者是開VPN的話,任何人要用的時候,就用VPN,交換完就解掉,VPN不花錢,只是可以放在那邊不關機。
-
這個部分比較困難一點,因為就變成你在公司用的,其實只能用我們公司配發的PC,不能自己去拿另外一台,這樣就只能接訪客的網路,不能連這個。
-
但是這個是固定式,你們是用公司帳號請的。
-
對,但是是我們在地申請的,並不在全球的管轄範圍之內。
-
至不濟就弄小shuttle放在那邊,這邊有比較奇怪的資安設定,所以需要VPN,其實這個是非常合理的,我如果是總部的話,我不會覺得奇怪,因為有些服務也有類似的限制,也就是有GO的情況,所以我是覺得可以放鬆,但是另外一方面的收緊,也就是這個註冊單位給經濟部是給APNIC的資訊,但是這個就比較累,我不知道怎麼談。
-
也就是防火牆導到那邊,直接從這邊過去。
-
對,雙介面最容易,而且很容易設定。
-
我們公司在規劃網路的時候,其實整個環境都是封閉的,不願意開通道的原因也是這樣。
-
如果只連到spec 3的網站,也就是只有設定這幾個網站才走那個介面,也不會影響到你的防火牆,因為是外連,並不是在這邊讓人連進,所以從資安的角度上,你的表面不會變多,經濟部也不會故意放木馬在網站上,所以應該是還好。
-
因為主要是你們不控這個,也不控配發IP,如果這兩個都控,我們就可以談你們可以給什麼資訊,但是你們只看這個,似乎把介面接過來,才是兩邊都省一點的做法。
-
現在暫時都用這個東西在工作,我們遇到一個是,最近在溝通的時候,因為給我們的溝通是服務窗口,每次要測試的時候,就打到服務窗口,像網站的測試都run過之後才說這個東西都沒有問題,其他的東西再……
-
這個是宏碁嗎?
-
不知道。測了兩個小時之後沒有成功,要再測的時候,然後再從頭到尾再走,我們再等工程師跟我們聯絡,我們是覺得最近三、四天都浪費一半的時間在測試,沒有辦法世界聯繫後面的後台。
-
你需要通關密語之類的。
-
工程師都知道我們的狀況,但是每次都要跑500障礙一樣。
-
你問後端看有什麼通關密語。
-
我們問過啊!
-
已經跟之前的後端工程師已經有case number或者是聯絡過,就會不要。
-
我們都講過,但是他們都說要這樣走。
-
應該是要case或者是紀錄在,很像24小時之後就失憶了。
-
當天打了兩、三次電話,因為這個是會議系統,必須booking整天的會議室,等到他打一通電話過來,然再打一通進去,測一個小時之後,然後再等。
-
這個真的不對。這個我想得出理由,但是你這個是沒有理由的。(笑)
-
我們說前面都不用測,但是他們說不行。
-
這個我不知道是商業司或者是誰的,但是你們都是打4121266嗎?順便問一下你們交換公文都是做什事?
-
是因為台電說有要用這個。
-
他們丟訊息,你們是收取方?
-
對,我們從去年8月開始,他們覺得所有的解決方式都不能接受,才用這個。
-
財政部有開發票,所以是零售?
-
不算零售,我們做電子發票,因為他們要求我們也要用電子發票。
-
因為我看你們是2B的公司。
-
對,像南亞、台積電等等,那邊都是針對客戶的。
-
所以像工業局、智財局等等都有?因為我想如果有的話,就一次解決。
-
臺灣的IP單位並不是只有TWIC可以配發,溝通的管道無法建立的時候,我相信有很多的外商公司,當時申請都是這樣的狀況。
-
其實說不定有「.tw」的網域,但是並不是TWIC買的,因為全世界都可以買。
-
對,是不是這樣的話,都要另外申請一條網線。
-
這個是一種,很多人是用固定式的4G網路,那個是最便宜的,不用拉線,這個量不大、4G很快,主要的問題是內部的審核看到行動網路就不會簽過,但是固定、行動網路最快,買個SIM卡插上去就夠了,不用等工人來鋪線。
-
行動、4G網卡IP,不是有無線的issue嗎?
-
4G大家都在用,除非是內部完全不能通無限電波的行業,不然一般4G頻段廠區都會開。
-
拉線的話,沒有牽進去這個線路是沒有辦法走這個事情,但是4G是有可能經過無線……
-
還好吧!相對上還好吧!如果4G可以冒充任何的SIM卡,可以做更多的事,不需要來這邊冒充更多的IP,就可以冒充我的手機打電話了,所以4G當然有4G的資安保護,但是固定IP似乎並不是最需要保護的。
-
沒關係,如果你沒有找到的話,我就覺得是商業司了。所以是另外一支。02-82585020、另外一支是商業司,理論上商業司比較近。
-
(測試電話中)
-
G2B2C,試試看商業司的那個比較快,國發會類似總機,還是回到商業司的團隊,我剛剛查了一下,這個應該是國發會的,所以你在這邊等的意義不大,如果412也有同樣前後的問題,我這兩天問一下商業司,看是不是可以有通關密語之類的,也就是比較快到後台的情況,如果有同樣的狀況,下次也打412。
-
我們提的都弄好了,本來是同一家公司,現在公司拆開變成電網,統邊是同一個,改名字之後換了卡片,本來測試都好了,結果今年拿新卡片之後,然後發現不能用,我們跟後台測了3、4天,對方剛開始覺得是網路的問題。
-
但是應該不是網路的問題。
-
中華電信的數據接我們的電腦,這樣很難有問題,講了20次,才終於接受這個說法,這樣就算了,但是後來測起來發現很像是卡片有問題,因為我們在這個卡片上的測試,只能測跟他連線、簽章之類的,在最後的過程中是沒有送過去,也就是憑證有些內容沒有過去,但是我們說這張卡片來做電子發票是正常的,但是同張卡片到這邊不正常,是不是有什麼測試的方法來說卡片有問題。
-
所以你的統編都沒有變,兩張卡都一樣,舊卡還在用?
-
舊卡不能用。
-
新卡一樣,但是全名不同?
-
對。名字完全不同。
-
新的卡片簽的時候,也簽不出東西?
-
對,前面要跑認證,單獨測讀卡機,也是正常。
-
不是你這端的問題?
-
-
反過來收文?
-
光簽章這端過不了,所以沒有辦法簽,但是同張卡片弄電子發票是可以的,我不懂那張卡裡面是不同的憑證對不同的單位,或者是同一個憑證?
-
同個,財政部是讀統編,如果一樣的話,就沒有問題,我不知道公文名稱,是不是一定要什麼?
-
財政部這邊也會讀名字,憑證也會讀。
-
測到後來是4天整,我問是不是有任何工具測出來說有問題,他說沒有,就只能一直試,甚至遠端連進來自己在那邊試,結果沒有結論,叫我們再去申請附卡,因為這張是正卡,但是來申請附卡來試試看,我們有試過拿著原來ABB的卡來註冊成測試卡,這樣子可以過,所以代表環境是可以的,我就問他卡片有問題,別的地方可以用、這邊不能用,他說把後台清掉,再重新建置,但是還說不行。
-
這樣很神秘。
-
所以我們再去申請附卡。
-
附卡來了嗎?
-
禮拜一測到沒有結論,所以才去申請。
-
真的很抱歉,真的不太對。不過應該是兩個工作天就會核發下來,所以應該還算快,如果附卡不行的話,那就是後端有問題,那就要改程式,如果有問題的話,你就mail我,我看可以做什麼,說不定我真的跑到那邊幫忙改程式。
-
因為看起來並不是卡片的問題,一定是後端有什麼問題,只是希望附卡就沒有問題了,如果還有問題的話,真的後端就要改,再看看我可以幫什麼忙,如果後面跟他們mail聯絡,也可以把我放副本,有時也可以有用一點。
-
商業司那邊我也會再跟中企處的相關討論一下,也就是之後能不能有一站式的G2E,不然你們現在只接這兩個,未來其實有非常多申報,像環保許可、員工扣繳、動植物檢疫、股東申報,如果要做這些利害關係人說用線上,就得跑去用線上,這個是剛開始而已,所以不同的規則真的是墊高大家的成本,應該要有共用的protocal,看看怎麼做,未來有什麼要beta測試的話,會再通知你們,希望新的體驗會好一點,謝謝。
-
謝謝。