資訊安全的資優生－金融業

維護核心價值，才能永續經營

當初，銀行在設計系統時，並沒有將資訊安全的因素考慮進來，所以有很多安全漏洞，例如程式只設計4位數密碼，即使現在大家知道安全性不足想修正，也怕影響到系統運作，這也造成一個好玩的現象，雖然資安規範要求員工的密碼不得少於8位數，偏偏最重要的系統登入密碼卻只有4位。

從今年初開始，金融業開始做資訊安全，到明年會達到最高峰。萬幼筠認為，會做的企業會一直往上做，因為他們要維護核心價值，以求永續經營，但也有不打算做的，不做資安的金融業就是等著被併，認為做資訊安全不具效益。

每家銀行的風險、心態和策略不同，所選擇的布建方式也不同，雖然各家都在做資訊安全，但我們可以探討他們執行的範圍，有些可能是研發部門或財務部門，有些是全公司，從中看出其差異。雖然金融業是資訊安全的資優生，但可不是每一家的成績都超人一等。標案黑洞補不了資安破洞

標案問題多，分級認證不可少

政府單位之前常見的一個狀況是，中央政府與地方政府各做各的，或只針對某些節點導入資安解決方案，造成漏洞百出；現在則開始由資通安全會報統籌管理，先做全盤性的規畫，再配合顧問輔導和建置服務。

不過，與一般的企業不同，政府以「標案」來採購資安設備。標案價格標、規格標及最有利標等，間接影響到政府機關的資安系統完整度。如果是採取價格標，擁有完整規畫的廠商比較難進入，加上專業評審的數量不多，每個標案參與的評審大同小異，所以產品的完整性、評審的主觀因素和偏好都會是影響因素，即使每年投入很多預算，防護效果還是不如預期。

美國會對每一個資安產品分級，各級單位只能採購對應等級的產品；另外，廠商也有相同的認證，必須通過測試，參與特定的協會，只有通過認證的協會會員才能參與標案，否則就只能在一般企業單位推行。這種認證在美國稱為通用採購標準（Common Criteria），會評估產品優劣、人員專業度及服務品質，讓很多資訊安全廠商都想取得相關認證。

資訊安全保護的對象與攻擊的來源都不是一個單純的機器，而且與我們具備同樣的智慧，甚至比你更聰明的人或組織，資訊安全是人與人之間的對抗，而不是設備與設備之間的比較。奕瑞科技總經理張義淵說：「採購規格流於產品間的比較，反而失去資訊安全的精神。」中小企業與傳統製造業

明年資安預算將小幅增加

落實資訊安全的中小企業，比例應該非常低，因為他們連管理維運的人力都是力求精簡，不出事就算是資訊安全了，何況是一些SOHO或小企業，恐怕只能購買防毒軟體，或使用開放原始碼的產品，不可能考慮採用顧問服務和BS7799。

高銘鍾認為，中小企業常常痛過才知道要保護，而且還要看「痛的力道」，如果只是小痛的話，他們寧可用人工或紙張書寫的方式修補損害。

根據CIO Magazine今年9月的調查指出，整體IT預算並不會增加，資安方面的預算也持平，不過明年中小企業的資訊安全投資將會提升。只是在預算有限下，他們仍只能逐步購買單點資訊安全設備，無法從整體面來考量。

傳統製造業在生產部分的e化程度算高，但是一般辦公室作業的e化程度不夠先進，而且生產線的網路並不會連結網際網路，只有行政人員才會上網，所以大部分的廠商只重視資料備分，還沒有資訊安全的意識。