有資安設備，才有本錢防禦

從調查可以得知，企業最需要的資訊安全設備依序為垃圾郵件過濾（24.8%）、IDS/IPS（17.3%）、資安管理系統（15.0%）、防火牆（9.5%）及多功能網路安全設備（9.3%）。這與本刊在9月所做的採購調查結果相近（垃圾郵件過濾50.9%，防毒系統50.0%，IDS/IPS 20.5%）。垃圾郵件不僅是垃圾，可能危害更甚

雖然垃圾郵件問題浮上檯面只有短短的一年，但是蔓延的速度卻相當驚人，已經成為企業避之唯恐不及的問題，更可怕的是，許多安全報告指出，垃圾郵件已經開始結合病毒、蠕蟲、木馬及後門等威脅，並透過電子郵件迅速散播，我們要對付的不只是垃圾郵件，而是混合式威脅。

我們以「曾發生過的資訊安全威脅」與「最需要的資安設備」進行交叉比對，發現希望採購垃圾郵件過濾產品的企業，除了遭到垃圾郵件（88.0%）威脅，也大多曾受過病毒蠕蟲（81.9%）及木馬後門（48.1%）等攻擊，驗證了上述的說法。

企業總希望投資能夠立即看得到效益，垃圾郵件過濾產品和防毒軟體相同，立即就可以看得出效益。在沒有建置垃圾郵件過濾系統時，高階主管每天都要浪費許多時間刪除垃圾郵件，但建置解決方案之後，至少可以減輕90%左右的垃圾郵件。

為什麼是90%左右，而不是百分百？就像你裝了防毒軟體，也無法保證不會中毒。由於不同的產業及企業型態，對於垃圾郵件的定義也不同，同樣一封廣告信，對金融業而言是垃圾，但對零售通路可能就是寶貝，而且攔截率越高，誤攔率也就越高，這已經算是不錯的數字了。IPS取代防火牆成為新寵兒

經過這幾年前的努力，防火牆已經從資安設備，化身為企業網路基礎建設之一，企業對它的需求度正逐漸趨緩，不過，也有人喊出防火牆換機潮，希望再造防火牆的另一個春天。

相較於防火牆的成長趨緩，IDS/IPS則是成為新寵兒，可見企業需要能夠主動防禦的設備。對管理者而言，透過IPS可以主動攔掉不少攻擊，減少分析記錄檔的時間，並且增強防護能力。

在我們的交叉分析中，想要採購IDS/IPS的企業，多半也常遭受病毒蠕蟲（87.4%）、木馬後門（54.1%）及駭客攻擊/Port Scan（46.5%）等攻擊，由此可見，許多企業可能是因為遭受到傷害，才會想要採購相關設備。

但是，萬幼筠則尚未看出IDS/IPS對企業的必要性，他認為產品再怎麼自動化，還是需要專人負責管理，企業不見得會願意付出這樣的成本。資安管理系統讓大型企業增強管理效能

資安管理系統會排名第3，倒是讓我們蠻訝異的，也許是因為受到mini SOC風潮的影響，讓已經建置相當多資訊安全設備的產業（金融、政府及電信），希望能夠統整並集中管理資安設備，以降低管理人員的負擔，不過，願意立即採購的意願似乎並不高。

多功能網路安全設備排第5，顯示企業對多功能網路安全設備的需求逐漸增加，除了因為中小企業的預算有限，希望能夠一次購足所有產品，它也能夠降低資安人員的工作負擔。

企業對於即時通訊（IM）監控的需求則沒有想像中的高，多半直接禁止員工使用各類即時通訊軟體，而允許使用即時通訊的企業，則仍在評估相關的解決方案。中華數位產品研發部產品經理高銘鍾表示，大型企業對即時通訊監控和網頁內容過濾的需求比較明顯，小型企業則是能不管就不管。

資安設備沒有換機潮，只有合用不合用

在許多資訊設備的調查中，我們時常會聽見「某某設備換機潮」，實際上，資安產品其實很少會出現「換機潮」，因為大多數的企業都會繼續使用原設備，或是移至內部網段使用，藉此達到雙層防護。加上大多數設備都能夠以韌體或資料庫更新的方式延長生命周期。

至於許多廠商喊出的防火牆換機潮，Symantec亞太區技術顧問林育民認為要等到景氣再復甦一些才有機會，或者是等到防火牆升級的價格與每年維護費用差不多，且新的功能比原來的設備好時，企業才會開始更換。

此外，新技術也為市場投入一顆震撼彈，例如今年造成相當大迴響的SSL VPN，雖然大多數防火牆或路由器都有內建IPsec VPN功能，不過由於應用的範圍不同，許多企業已開始評估SSL VPN解決方案。

滲透測試需要了解企業文化的專家

滲透測試能夠告訴企業風險在哪裡，該如何去改，但它可不是萬靈藥，並無法解決所有的問題。勤業眾信副總經理萬幼筠表示，由於企業本身的「資安能量」不足，根本無法一次就解決所有的問題，舉例來說，滲透測試發現的問題點在於資安設備不足，接著又衍生出人手不足和預算不夠等問題，之後發現還要進行風險分析，並且制定資安政策，問題就像滾雪球一樣越來越大，光靠滲透測試根本就不夠。

「每個產業都有自己的文化，必須進入他們的世界，才能了解問題在哪裡。」萬幼筠說，如果你不了解企業的運作模式，可能就無法從中獲取所需的資訊，他舉一個實例，某家公司認為密碼是一個弱點，所以用Token取代密碼，但顧問執行風險分析後，發現當歹徒拿到Token時，將造成另一個資安弱點。

整個滲透測試過程中，顧問開始先破解「暗碼」，發現他們是以客戶編號作為暗碼，但是並未攻擊防守嚴密的客戶資料庫，而是從其他管理鬆散的部門下手，最後在業務部門的資料庫中發現客戶編號，然後再利用社交工程取得Token，兩者組成完整的密碼。我們可以從這個例子發現，資訊安全是需要經驗的，盲目的一直強攻，不一定能夠找得出問題點。

此外，目前大型企業的總部都設在臺北，大部分的資訊安全廠商也都位於北部，資安人才自然也集中在這邊，如果需要廠商到中南部服務，除了基本的服務費用，恐怕還要負擔差勤和人事費用，造成整個專案成本大幅提高，不是一般企業所能負擔。