《2005臺灣2000大企業IT採購大調查（中）》近半企業今年不導入資安管理方案

當企業完成資訊系統與網路基礎建設之後，資訊安全的需求才會浮現，近年來資安事件頻傳，混合式病毒攻擊與惡意程式威脅不斷升高，駭客入侵、資料偷竊、網路釣魚等網路犯罪更是從未間斷。病蠕蟲、駭客入侵、身分竊取、網路釣魚、間諜與廣告軟體、阻斷服務式攻擊、垃圾郵件、無線安全、手機病毒、企業內賊、針對軟體弱點的零時差威脅、社會工程、機密資料外洩等，都是企業面臨的安全威脅與挑戰，也讓資訊安全產業被視為這幾年資訊市場的閃亮一顆星。

過去幾年，資安事件造成的衝擊的確成功帶動市場銷售，讓防毒、防火牆和VPN等產品成為企業的基本配備，雖然市場持續不斷喊出新產品像是入侵偵測、入侵防禦、垃圾郵件過濾、員工上網管理、網路內容管理等等，到今年最受到討論的間諜程式防禦，近年來的市場反應顯示，企業不再對資安新產品或新技術照單全收，通常會等到產品更加成熟後再進行採購，從這幾年入侵偵測／入侵防禦與垃圾郵件過濾等產品的銷售曲線就可以看出來。

企業資安重點由產品技術，轉為政策管理面向
由於防毒、防火牆和VPN等產品幾乎是企業必備「基本款」，今年iThome的臺灣2000大企業IT採購大調查有別於去年以產品作為選項，今年我們改將資安支出分別歸到IT建設維運的軟體服務，以及IT設備升級與擴充的資安硬體設備，因為軟體部分每年都有續約的「訂閱」支出，硬體部分則有後續的維護支出。

另外，因為市場逐漸成熟，企業資安的重點已經由產品與設備的技術，轉為政策與管理面向，隨著企業管理需求浮現，讓這次的調查將焦點擺在企業已經或即將導入的資安專案，所以資安產品選項中並沒有出現防毒、防火牆、垃圾郵件等產品，而是以員工上網管理、資產管理、安全監控服務(SOC)、風險管理及BS7799等新需求為選項。

企業嚴重誤解安全監控服務(SOC)，市場亟需再教育
根據調查結果發現，不分產業，企業導入資安新專案的意願不高，沒有導入計畫的比例都在4成以上，整體接近5成，製造業甚至超過5成，顯示企業對資訊安全的重視不如預期。如果以專案內容來看，已經導入或是即將導入資安專案的前三名都是員工上網管理、資產管理與安全監控服務(SOC)，製造業與服務業的排名順序一模一樣，近年來持續被廣泛討論與認識的風險管理和BS7799則特別受到金融業的青睞，顯示金融業在資安需求上的確獨樹一格。

不過，值得注意的是，在經過深入採訪受調查對象後發現，安全監控服務(SOC)被企業嚴重誤解，不了解所指的其實是資安委外服務，大家普遍都就字面解讀為網路監控或是網路偵查，再進一步向受訪者解釋後，卻普遍得到不大可能放心將資安委外的答案。雖然這兩年安全監控服務被視為明日之星，資安委外的觀念與信任度仍然薄弱，市場需要加強教育與推廣，供應商還需要多多努力。

網路應用普遍，引爆員工上網管理問題
經訪查後發現，員工上網管理之所以最受到歡迎，多是為了要「亡羊補牢」，因為企業一開始多沒有對員工上網或使用即時通訊軟體進行限制，多在使用安全或網路流量等問題爆發後，但又不能馬上禁止使用，只好透過解決方案加以管理或記錄，也方便整合公司的稽核制度。

這也突顯公司改變資安政策上管理與「平息眾怒」的問題，企業也可以很殘暴的直接禁止員工使用，或是直接從閘道端阻斷對外連線，但大部分的資訊主管都表示這需要「管理的智慧」，導入員工上網管理解決方案比較能夠達到「溫和」又「有效」的目的。
此外，經由調查結果也發現，資產管理對於員工人數眾多的製造業或金融業的資訊主管也是很重要的課題，都很重視這部分的定期管理，風險管理在金融業也逐漸成為例行工作。

不是沒有需求，就是沒有預算
至於企業為何普遍沒有新的專案導入計畫?大興電線電纜陳宏斌與允強實業的資訊專員陳顯仁異口同聲的表示，主要設備都是Unix和Linux主機，所以沒有這方面需求。承啟科技專案經理鄭陽鴻指出，防毒、防火牆、垃圾郵件過濾、網路流量管理都有了，已經滿足目前的需求。

企業IT預算有限是事實，佳大世界資訊股長林維平表示，並不是不重視資安，而是預算有限，以實際需求為前提，有免費工具一定會優先使用，或是乾脆自己寫程式管理，還有一些細微的管理或監看需求，是想做但根本找不到工具。

資安投資多伴隨著資訊系統的更新或擴充，以今年預計在資安上將投資上千萬的可成科技為例，資訊經理陳彥志表示，今年因為擴廠的關係連帶汰換3個據點的資安設備，除了更新防火牆，還將新增垃圾郵件過濾與郵件側錄等設備，採購也以硬體式產品為主，主因是人力有限，硬體產品維護容易，至於整合性產品則要看產品效能表現，如果效能不佳，還是會以單一功能產品為主要採購目標。

高科技製造、金融業和政府比較重視資安
資策會軟體與服務產業分析師方怡文表示，雖然資安受到熱烈的討論，對於企業普遍沒有資安預算的調查結果，雖然有點失望但並不驚訝，顯示企業對於資訊安全的態度保守。因為調查對象大部分是一般的製造業，的確屬於比較不重視資訊安全的一群，至於調查對象比例第2大的服務業，在資訊安全上的關注也相對較低。她認為，資訊安全市場的比重還是有產業差別，以高科技製造、金融業和政府為主。

即便調查結果讓人對資安市場無法樂觀看待，方怡文指出，隨著資訊應用的普及，再加上網路詐騙的猖獗，全球頻頻出現資料外洩或被竊的事件，相信會引發政府對資訊安全的重視，再加上針對不同產業對資料保護相關法令的制定，相信在未來幾年會持續帶動資安需求。文⊙高雅欣