2006企業IT應用大進擊－資訊安全篇

UTM成為資安設備主流
為了應付手法日益複雜的惡意攻擊，單一功能的安全需求逐漸式微，傳統的單點安全產品已經不敷使用，再加上網路與資安管理的設備越來越多，資訊主管意識到多臺設備管理的困難度，安全管理的成本越益複雜昂貴，也就促成了整合式威脅管理(Unified Threat Management，UTM）硬體的誕生。

由賽門鐵克和Fortinet率先喊出的整合式威脅管理，根據IDC對資安硬體設備市場的預測，UTM近年來以年平均16.8%的速度成長，預計到2008年時將取代傳統的防火牆／VPN成為銷售主流，達到57.6%的市占率，讓投入UTM研發的廠商逐年增加。

IDC對UTM的定義，是以防火牆／VPN為基礎，整合防毒、垃圾郵件過濾、入侵偵測／入侵防禦、內容過濾等多種功能，包括Astaro、Fortinet、Juniper Netscreen、Kaspersky、Secure Computing、Sonicwall、賽門鐵克等都推出這類產品。

合勤等網路設備商也跟著搶進市場，多加入流量管理、負載平衡等網管功能，將設備擴充到6合1、甚至是8合1。其他資安廠商也持續跟進當中，像是軟體防火牆大廠CheckPoint也不免俗的在日前推出UTM新產品，防毒廠商趨勢也計畫在明年年初推出一系列UTM產品，這些動作都顯示市場熱度將延續到2006年。

整合式硬體裝置接受度最高的是中小企業，根據資策會在今年所做的調查顯示，缺乏資安預算的中小企業也缺乏專業IT人員，安裝與維護產品的能力相當有限，再加上所需資安層級較低，也讓多功能硬體閘道持續成為市場主流。

今年廠商開始喊出以UTM分別防守網路、SMTP與HTTP等不同通訊大門，以拓展多功能產品的市場可能性，企業多認為，UTM價格划算，配置上也更為靈活，防守的地方很多。

由於有不少高階用戶像是電信產業，如中華電信與SeedNet，政府單位和大專院校開始採用，讓這類設備可望在明年出現「向上提升」的趨勢，用戶眾多的大型企業以高規格應付高流量，多為了滿足統一管理需求。不過，如果要維持較佳的產品效能，功能最多做到4合1，那最多只同時開啟2個功能。

隨著傳統防火牆的淘汰，企業多將UTM列為優先選擇。不過，多功能合一的情況下，產品效能不彰多是用戶對UTM的批評，不管是採用ASIC加速器還是NP、FPGA，供應商勢必大大加強產品效能。另外，雖然一開始購買的價格很低，但用戶多反應；內建功能模組在第2年後的續約費偏高，也逐漸成為日後UTM發展的隱憂。身分辨識與存取管理更受重視
根據IDC最新公布的2005年上半軟體追蹤報告顯示，臺灣資訊安全軟體市場將持續成長，其中以安全內容管理需求最強，占整體資安市場的75％。IDC軟體市場分析師陳志杰表示，內容安全管理中，以企業資料保護及身分認證與存取管理（Identity & Access Management，IAM）最受企業重視。

隨著多起重大資料外洩事件傳出，企業不得不重視身分認證與存取問題，開始徵詢、規畫、導入這類產品，比較完整的產品架構直到今年才逐漸成型，各家廠商的技術都在發展當中，現階段市場仍缺乏具有統一管理能力的產品，現在供應商仍處於努力整併公司或技術，以拓展跨系統與跨平臺的管理能力。

企業多從單一登入（SSO）著手，像是越來越普遍的企業內部入口網站，通常扮演著串起內部不同應用系統的角色，也多搭配單一登入，減少員工需要使用不同密碼進入不同系統的麻煩，金融與電信產業是最迫切需要的一群。

以完成分散各地10個院區病例資料整合的聯合醫院為例，先是透過帳號密碼進行登入身分管理，明年中以後，「電子病歷資料庫」的連結與資料存取都透過「醫事人員卡（HCA）」 IC卡進行身分認證，醫生進入病歷資料庫都必須透過認證，來做到資料存取管理。

第一金控就是導入身分辨識管理系統，以單一登入方式整合與集中管理金融整併後取得多個獨立系統。淡江大學則是透過自然人憑證，作為進入電子公文簽核、人事、財會、成績資料庫等不同系統的身分與權限管理依據。

不過，企業內系統不斷增加，單一登入只是IAM的基礎，不管是迫於預算或是技術限制，企業多根據最迫切的需求一塊一塊做，先是幾個主要系統的登入管理，再以企業內部入口網站的單一登入開始，整合多個系統或應用程式，接著加入資料庫的安全存取與權限管理，或整合網路設備的遠端存取管理。昇陽與微軟則都提出以單一身分認證，就可以跨越所有的線上交易與網路服務的願景。也就是說，接下來的幾年，企業還有很多工作要做。安全評估與法規遵循讓資安變成例行工作
IDC指出，沙賓法案（Sarbanes Oxley Act）與新巴賽爾協定（Basel II）等法律政策，已經成功帶動資料保護與安全控管需求。所謂的法規遵循範圍廣泛，IT技術、政策制定、人員管理與作業流程都包括在內，像服務的連續性或客戶資料保密，中華電信、遠傳、速博、Seednet等電信業者也掀起一股BS7799的認證風潮。

資策會MIC表示，行政院國家資通安全會報大力推動資安工作，計畫中明確將資安議題融入企業與各級政府機關，讓全民開始「拼資安」，這個部分被MIC稱為「安全評估」，也被認為是推動臺灣資安市場的重要推手。目前為止，臺灣BSI標準協會授與的BS7799認證一半以上都是政府機關。

由於行政院國家資通安全會報明文規定，2004年底前A級以上的機關必須採用資安監控中心（SOC）服務，並取得BS7799認證，已經有為數不少的重要機關導入BS7799，像是中華郵政等重要單位都先後取得認證。接下來教育部則針對各大專院校做出更嚴格的資安規範，繼淡江大學之後，不少大專院校也準備導入BS7799，相信這波認證風潮將延續到明年。

還有不少政府機關採用資安監控中心（SOC）服務，不管是導入認證或資安委外，定期的風險評估與稽核需求隨之而來，這類的資安預算與經費在明後年都將持續支出。像是行政院衛生署、臺北縣政府、文官培訓所等大小單位，都採用資安監控通報委外服務。

另外，因為受到新巴塞爾協定或臺灣金管會的規範，金融業開始設立專職風險管理部門，不管是透過顧問公司、IT產品或自行開發，風險管理成為例行工作，在制定安全政策與工作流程規範同時，必須進行風險評估與管理，後續還需要定期稽查審核。離完成期限明年底還有一段時間，像上海商銀等中小型銀行正如火如荼的進行相關工作。

至於少數幾家受到美國沙賓影響的臺灣企業，像是臺積電、中華電信以及日月光，都必須提出具有時效且正確的財務報表，並建立內部會計監督制度，資訊部門也必須建立內部安全控管與審核監督機制。而臺灣證期會或金管會也有類似的規範，不管是金融業、製造業或是上市櫃公司，都必須強化資訊風險的評估與管理，固定每半年就要進行資產與風險管理。

今年傳出日本將在2007年提出類似美國沙賓法案的相關規定，很可能在明年影響到在日本在臺灣的關係企業、在日本上市的臺灣公司，以及與日本公司有生意往來的企業，顯示這股「法規遵循」風潮方興未哀。文⊙高雅欣

UTM成為資安設備主流	為了應付手法日益複雜的惡意攻擊，單一功能的安全需求逐漸式微，傳統的單點安全產品已經不敷使用，再加上網路與資安管理的設備越來越多，資訊主管意識到多臺設備管理的困難度，安全管理的成本越益複雜昂貴，也就促成了整合式威脅管理(Unified Threat Management，UTM）硬體的誕生。 由賽門鐵克和Fortinet率先喊出的整合式威脅管理，根據IDC對資安硬體設備市場的預測，UTM近年來以年平均16.8%的速度成長，預計到2008年時將取代傳統的防火牆／VPN成為銷售主流，達到57.6%的市占率，讓投入UTM研發的廠商逐年增加。
身分辨識與存取管理更受重視	根據IDC最新公布的2005年上半軟體追蹤報告顯示，臺灣資訊安全軟體市場將持續成長，其中以安全內容管理需求最強，占整體資安市場的75％。IDC軟體市場分析師陳志杰表示，內容安全管理中，以企業資料保護及身分認證與存取管理（Identity & Access Management，IAM）最受企業重視。 隨著多起重大資料外洩事件傳出，企業不得不重視身分認證與存取問題，開始徵詢、規畫、導入這類產品，比較完整的產品架構直到今年才逐漸成型，各家廠商的技術都在發展當中，現階段市場仍缺乏具有統一管理能力的產品，現在供應商仍處於努力整併公司或技術，以拓展跨系統與跨平臺的管理能力。
安全評估與法規遵循讓資安變成例行工作	IDC指出，沙賓法案（Sarbanes Oxley Act）與新巴賽爾協定（Basel II）等法律政策，已經成功帶動資料保護與安全控管需求。所謂的法規遵循範圍廣泛，IT技術、政策制定、人員管理與作業流程都包括在內，像服務的連續性或客戶資料保密，中華電信、遠傳、速博、Seednet等電信業者也掀起一股BS7799的認證風潮。