資安廠商紛推資訊風險管理工具

根據美國Ernst & Young最新公布的企業資訊安全應用調查報告指出，「法規遵循」（Regulatory Compliance）超越病蠕蟲，成為企業資安最受重視的部分。像是將於2006年底正式施行的新巴賽爾協定（Basel II）與美國沙賓法案（Sarbanes-Oxley）等等，有鑑於此，也有不少產品打出協助企業資安管理以符合法規規範，像是一些身分認證與存取管理方案（Identity and Access Management，IAM），資安廠商紛紛以「資訊」風險控管之名，推出弱點管理或政策遵循的相關配套工具。

所謂的法規遵循範圍很廣，包括IT技術、政策制定、人員管理與作業流程，或是針對企業個別需求提供顧問諮詢與建議。McAfee日前推出 Foundstone Enterprise 4.2 與 FS 850硬體裝置，提供所謂的規範遵循範本，而 FS 850 則是具有遠端風險評估的功能， 達到資訊管理自動化，將弱點管理簡化為例行性工作，協助企業符合法規的規範，而PatchLink、BigFix等弱點評估工具也以風險管理輔助工具作為賣點。

賽門鐵克今年8月也嘗試在臺灣推出類似的政策遵循的自動化工具，Symantec Enterprise Security Manager（EMS）6.5，協助企業評估內部系統弱點，並排定優先處理順序，管理存取層級權限、追蹤與審查政策控管狀態等等，並提供整合式的即時更新。另外，賽門鐵克還提供Symantec Vulnerability Assessment(VA)、Symantec Enterprise Vault (EV)等多種輔助工具。

資訊風險管理主打金融業，但有銀行表示，對於風險管理這類茲事體大的例行工作，都期望有更成熟且全面性的工具或產品，以簡化現行繁重而複雜的工作，這類只侷限於某部分風險管理的產品，對用戶的協助仍然有限。文⊙高雅欣