人人要安全，誰知怎麼做？

2002年將是臺灣資訊安全市場快速成長的一年。在知識經濟時代，利用網路資訊系統保存和累積資訊，成為企業提升競爭力普遍採用的解決方案。但今年五月的中美駭客大戰、七月的券商網路下單系統遭入侵和Code Red的全球攻擊、九月美國911事件，不僅造成企業有形無形的損失和恐慌，「如何保護資訊的安全」也成為大家關心的議題。沒有預算也能做到資訊安全

根據KPMG的報告，跨國企業的網路安全普遍不足，其中有85％的受訪者認為他們投注相當多的心力，也有災難應變計畫，但仍有4成擔心資訊系統遭到入侵。另外有三分之一主管將駭客視為首要敵人，但實際上有8成的攻擊事件是出自於公司內部網路的破壞。

恆逸教育訓練處系統工程部經理吳章銘說：「人和文件就是資訊安全的關鍵。即使都是紙本文書作業環境，儘管公司有沒有預算，無力建置安全軟硬體系統，文件的保存和權限設定，也都是一門學問。這個領域還在萌芽期，多數企業知道網路不安全，但不知道要如何規畫資訊安全和應用。」

吳章銘認為：「企業有許多對於人的規範，就是沒有明訂資訊系統要做什麼。企業除了要擬定資訊安全政策、進行資產風險評估、建立防禦機制外，資訊安全部門也應該獨立於其他部門之外，直接隸屬高階主管。」坐而言不如起而行

吳章銘指出，大多企業主管都認為公司「應該」執行資訊安全計畫，來避免可能造成的損失，但到最後都無疾而終。「要把『應該』改成『必須』、『一定』且是『立即』去規畫實踐。資訊安全不是產品（product），而是持之以恆的過程（process）。」

丘立全也提醒企業用戶，現在的病毒破壞力不可同日而語，趨勢也加強本身的專業顧問能力，提供最新的防毒技術和知識，並協助用戶規畫防毒策略。「防毒是服務業，不是只有銷售產品。入侵技術不斷更新，多種類、多管道並行，已經不是原有的防毒軟體架構能預防的。」

「未來資訊家電用品會走入每個家庭，成為網路上的IP設備端。這些可程式化、可設定的設備，都有可能是駭客入侵的目標。」針對家庭ADSL寬頻用戶數量逐漸增加，丘立全表示，目前趨勢要將寬頻防火牆「GateLock」燒成晶片放在ADSL中，提供家庭用戶更方便的安全防護。取得安全認證交易有保障

由於跨國企業交易日益頻繁，網路傳輸和認證安全也受到各國重視。微軟產品行銷經理王嘉玲指出：「為確保跨國交易的安全，目前國際已經制訂出國際資訊安全標準認証BS 7799，另外ISO認證組織也制訂ISO 17799。企業依循這些標準導入安全政策，可作為國際廠商尋找合作夥伴的通行證。」

吳章銘則認為，企業在依循資訊安全認證的過程中，可減少資訊安全建置的難度。他建議企業可參考認證單位所制訂的規則，藉由已經設定好的標準檢驗管理方式，改變企業看待資訊安全的態度和模式，來提高市場競爭能力。80分預防20分災後重建

FBI電腦犯罪與安全調查報告指出，網際網路已經成為企業資訊系統最常遭攻擊的管道之一，因此採用入侵偵測系統的比例，也從1998年的35％，提升到2001年的61％。企業要如何選擇適合公司的解決方案？吳章銘建議企業應採漸進式的安裝過程，「多數使用者都只『know what』，還沒有達到『know how』的地步。」

丘立全則以8020法則來看災害防治。「有些公司忽視資訊安全的重要性，認為只要花20％的投資，就能得到80％的安心程度，但結果可能是相反的。如果企業改變投資比例，放80％的心血在災害的預防和災情控制，就可能只要花20％的力氣來進行災後清理或復原重建。 」