iThome2004企業資訊安全大調查(下)資安採購篇─功能不斷延伸的防毒設備

防毒兩大龍頭—Symantec及趨勢科技 （43.9%）分佔一二名。廠商除了不斷加強 防毒技術之外，產品也加入更多的防護機制。

由Symantec拔得頭籌，相信大家都不會太意外，而且無論是在何種產業，都有相當高的使用率。趨勢科技則緊追在後，並且在政府與電信業拿下相當高的使用率。不可否認的，政府極力扶植本土廠商，有70%的政府單位是使用趨勢的產品，此外，趨勢與電信業合作推廣產品，也是高使用率的因素之一。

相較於這兩家強勢的防毒系統廠商，其他品牌的使用率則都只有個位數，或許與廠商的發展策略有關，大部分總部位於美國的廠商，下一步會朝亞洲發展，而總部位在歐洲的廠商，則是先往美洲發展，對亞洲的速度也比較慢。

另外，我們可以從調查看出防毒產品完整度、廣告行銷及本國品牌支持度對於使用率的影響。 鈺松國際研發處副總經理張裕敏認為，防毒產品要打整體戰，從閘道端一直延伸到用戶端，如果再配合強力的廣告行銷，以及政府的支持，一定能夠搶到市場。閘道防毒不容忽視

一般而言，我們將防毒軟體定位在個人電腦上，但你也必須開始正視閘道端安全，今年就有很多病毒是透過HTTP和FTP等通訊協定攻擊企業內部的電腦，舉例來說，有很多員工擁有Hotmail或Yahoo!等私人電子郵件信箱，他們可能會利用公司網路存取信件，而病毒和蠕蟲也就利用這個管道感染到個人電腦，進而擴散到整個內部網路。目前已經有企業採購相關的設備（防毒牆），防止病毒藉由這些途徑散布，但是，建置的速度卻比不上員工使用Web Mail的速度。

除了最基本的防毒功能之外，防毒設備也開始整合其他的防護機制，不但能夠防範病毒、蠕蟲，也能夠阻擋木馬和後門等攻擊，甚至加上IDS、IPS及垃圾郵件過濾功能，相信未來一定也會加入防間諜程式功能。功能取勝vs.服務掛帥

個人市場以功能取勝，但企業市場則是服務掛帥。如果個人電腦要更換防毒軟體，也許只要移除舊軟體、安裝新軟體即可，但在大規模部署的企業環境中，問題可就沒那麼簡單，更換軟體不但耗時費力，人力和物力支出也相當龐大，所以，企業只要找到合適的廠商和產品，大都不會輕易更換。

為了因應這股潮流，防毒廠商這兩年開始主打服務和解決方案，他們認為防毒產品已經不是在比功能，而是在拼服務，尤其是中大型企業市場，產品的技術差距不大，廠商只能以服務取勝，尤其是在病毒爆發的初期，誰能夠在最短的時間內即時處理，提供最完整的服務，都是企業是否採購防毒產品或續約的重要因素。企業網路安全大漏洞：縱容跨越防火牆的存取

透過設備的防護，即使企業將內部網路安全提升到自認為可以安心的地步，然而各種業務上的突發狀況需求，常促使MIS人員不得不妥協於管理階層的命令，一次又一次的破例放行，由於企業普遍無法認識IT管理與服務的價值，加上企業未獨立看待資訊安全，仍視為IT的附屬管轄範圍，沒有與企業管理政策相結合，導致內部不當控管與疏失，容易造成閘道端政策無法顧及的內部病毒感染與攻擊事件。

一家電視媒體的MIS人員說，今年他們歷經了Netsky、Sasser等災害，發生與蠕蟲攻擊相關的「紅色風暴」，當時雖然靠防毒軟體與防火牆，為公司內的400多部個人電腦擋下這些病毒，MIS也了解使用者電腦素養不足的問題，不定期宣導資訊安全的做法，同時也落實微軟的SUS軟體更新服務，將更新檔部署到一般使用者的電腦。但是行動使用者攜帶的筆記型電腦、員工特殊需求的下載行為，以及有些高階主管的權限被允許可以穿透防火牆存取內部網路等例外狀況，讓企業網路等於間接暴露在網際網路上。

該公司頗重視資訊安全，每年編列資安預算約佔15%至20%，他們具備了可中央控管的賽門鐵克企業版防毒軟體、Juniper的NetScreen防火牆、入侵偵測系統、應用程式流量管理系統及網頁代理伺服器，但卻缺少垃圾郵件過濾。他認為垃圾郵件也是公司感染病毒的原因之一，目前已經借測這一類型產品，預計明年年上線。文⊙李宗翰

謹慎限制使用者上網人數，隨時注意稽核

從這次的資訊安全大調查的結果中，醫療業被認為是資訊安全的黑洞，不過我們也發現有一些醫院不同於調查結果。

一家地區教學醫院的資訊室主任表示，他們嚴格限制院內電腦的對外上網，控制在50至70部內，儘可能地做到隨時稽核與控管。但是隨著組織e化與網路化的需求日增，需要上網的電腦數量持續增加中，原有的控管政策必須重新調整，以因應新挑戰。

該醫院今年的資訊安全事件以病毒/蠕蟲、木馬/後門兩類居多，他們使用趨勢的企業版防毒OfficeScan與個人版防毒PC-Cillin，如果有電腦中毒，主控臺會通知系統管理人員，執行清除病毒的動作。由於允許連上網際網路的電腦數量受到限制，所以垃圾郵件問題並未成為採購主要考量，反而網頁內容過濾的需求較明顯，院方用Linux自行架設代理伺服器（Proxy）管制網頁瀏覽。此外，MIS也隔離對外服務的掛號系統與辦公室內部網路的網段，同樣有助於流量管理單純化。

資訊室主任表示，即使沒有獨立、固定編列資安預算，不過院方卻相當重視與支持資訊安全的採購，大部分提出的設備需求都能夠得到認同，順利添購需要的資安設備。異於大多數醫院IT的困窘，這家醫院已經打算購買入侵偵測與防禦設備，也考慮採用弱點掃描與滲透測試服務。文⊙李宗翰

使用者心聲：請給我一個不中斷的共同作業環境

一般的使用者雖然未必能夠了解企業資訊安全的架構，從他們的經驗和意見中，比起安全，我們發現他們更需要穩定的共同作業環境。

一家電子公司的行銷副理說，公司目前總共只有20位左右的員工，除研發與行銷之外，生產製造委由代工廠處理。該公司目前使用賽門鐵克的個人版防毒Norton Antivirus 2004以及零壹的ZOT寬頻防火牆路由器。他認為「不會有人想入侵小公司」，平日危害公司網路安全的問題比例中，少數是病毒事件，其他則多半是垃圾信。

這位行銷副理表示，企業一般使用者如果有資安方面的認知，上網時小心謹慎，可以減低受到網路威脅的干擾；雖然他們公司沒有明定資安規範，平時MIS採用走動式的宣導，在服務一般使用者時，會順便提醒一些應注意的規範。他認為目前公司員工人數少，問題相對較少，假如公司擴充人員，就可能需要進一步具體規範。

他認為伺服器服務的不穩定，對使用者生產力的影響遠比資訊安全更重大。他說，公司雖然有ERP，不過他只會用到郵件伺服器、FTP伺服器和網站，有時候因為伺服器的硬碟出了問題，MIS必須要想辦法從其他電腦挪出可用的硬碟，或換掉整臺硬碟，如此會導致伺服器服務中斷一段時間，他也無法繼續工作。由於公司的伺服器都是以個人電腦組裝，同樣問題重複發生的機會頗高，他希望公司當務之急應優先考慮採購穩定度夠的伺服器，而非添購典型的網路安全軟硬體。文⊙李宗翰對外防護穩固，但仍缺乏內部防護機制

在我們的印象中，政府單位最容易被駭客攻擊。今年政府某單位的論壇網站，由於原先使用的phpBB版本出現漏洞，未能及時進行修補，很快的就慘遭駭客置換網頁。該單位的MIS人員表示，由於系統是開放原始碼，事後也只能夠多注意原廠推出Patch的時間，才能防範類似的事件。

如果要他對資訊安全進行評分，他認為該單位可以拿到90分，由於該單位已經通過BS7799，有完善的資安政策，所以員工對資訊安全有一定的概念，各個網站和系統主機也都有專人負責管理，雖然九成以上的員工都會遵守資安政策，但有些員工未必完全遵守安全政策。不過，他也指出一些值得注意的隱憂，例如在漏洞出現後的空窗期，雖然內部個人電腦都有連上AD進行修補，但攜帶到外部使用的個人電腦沒有良好的管理政策，例如僅有防毒，沒有個人防火牆和IDS，即使是Windows XP SP2上的防火牆也多未開啟，而且防護機制大多僅止於由外對內的攻擊，一旦內部被滲透，相關的防護可能不足。

為了解決上述的問題，如果現在有一筆預算，他們會先採購個人電腦防火牆、IDS及防毒方面的產品，或是網路型IDS，以做為預防及偵測之用。該單位採購資安設備，主要由MIS人員建議，考量目前整體資安環境中，先加強最容易遭受攻擊或最弱的地方。

另外，他認為政府以標案採購產品，優點是比較不會由少數幾個人決定買什麼產品，而發生私相授受的情形，缺點則是容易壓低價格，導致功能壓縮或不足，而且一昧的壓低價格搶標，反而造成國內資安廠商生存困難。文⊙陳世煌