正視最嚴重的問題：人

很多問題都來自於人，員工不了解資安問題的嚴重性、安全認知 不夠落實及IT人力不足……等，即使你買再多的安全設備， 恐怕也無法解決人的所有問題。

根據我們的調查，前5大最嚴重的資安問題分別是：員工忽視資訊安全政策的重要占59.9%，防範垃圾郵件佔59.4%，無法全面落實資安政策佔51.6%，資安預算不足、無法採購設備佔47.3%，缺乏對資安專精的IT人員則佔42.4%。

由上述結果可以明顯看出，越是與人有關的問題，其比例就越高，萬幼筠說：「因為人沒有被列入企業風險管理的議程。」即時通訊和無線網路問題尚未浮現？

在調查中，比較令我們好奇的是，無線網路和即時通訊並非目前企業最頭痛的問題。

我們也許可以從3方面來解釋無線網路的安全問題。因為企業的無線網路應用還未普及，只在某些據點（會議室）布建無線網路，應用尚未普及，相關的資安問題也較少；基於成本效益的考量，買一臺無線接收器（AP）只要幾千元，但買無線網路安全設備卻要幾十萬，企業不願意投資。

「有線的都管不了，何況是無線網路！」李欣陽這麼說，也點出許多企業現階段的狀況。有很多問題已經發生，只是尚未引爆而己，企業尚未了解無線網路可能引起的問題。例如之前發生的資料外洩事件，帶動大家開始注重電子郵件稽核，也許關於即時傳訊和無線網路安全事件的新聞報導還不夠多，所以企業還沒產生警覺性。

對於無線網路，企業通常都有概念懂得加密或設定過濾條件，使盜用者可以找到訊號，卻無法連線，但是個人用戶則可能疏忽、不了解設定，因而遭到入侵。另外企業對於透過無線網路的盜用頻寬連網，因為缺乏偵測機制，所以發現這種濫用狀況的比例也會比較低。

張義淵表示，國內比較受歡迎的無線網路安全設備是閘道型的的設備，可以控制網路流量和走向，讓無線網路不進入公司網路，就可以直接連上網際網路，只要做好區域切割，大致上不會有太大的問題。

即時通訊近年來成為企業通訊的一大利器，我們可以利用它來知道當事人的行蹤，但是它也開始成為資訊安全的隱憂，不單只是藉由即時通訊的漏洞入侵，在沒有監控的狀況之下，員工很容易在無意間洩漏公司機密，成為相當大的資安威脅。

越來越多企業開始針對即時通訊進行過濾和監控，但也有使用者企圖躲避系統稽核或側錄內容，明顯觸犯了資安規範。不過，有些主管反而害怕遭到MIS人員監控，所以要求享有特權，反而更多的造成漏洞。

在垃圾郵件風潮之後，IM、P2P等內容過濾產品將會更風行人是關鍵因素

很多調查都顯示，企業了解到資訊安全並不只是單純防禦外部威脅，轉而開始注重內部的管理，加強內部人員的訓練和安全觀念落實。

根據IDC 2004下半年的調查顯示，造成企業傷害的威脅因素排行第二是人為因素，講到3P（Policy、People、Product），人員的教育問題也是企業資訊安全管理很重要的一環。最好是企業能夠經常教育員工的資安意識，並搭配相關的監控設備，強迫使用者遵守資訊安全政策。

現在釣魚郵件或網路詐欺的問題，通常是因為使用者警覺性不夠所造成的，也代表企業需要多加強平時的教育，張義淵表示，我們必須教育每一個使用者，落實安全觀念，告訴他們哪些動作很危險而應該避免。以前這些問題會被認為是IT部門的責任，現在則漸漸轉變為企業所有人員應共同參與的工作。間諜軟體是明年的大熱門

以目前的趨勢而言，大多數的攻擊行為都是由內部開始，由於員工沒有確實遵守資安規範，或是沒有建置良好的防禦措施（防毒及防駭牆）。

趨勢科技預估2005年，間諜軟體問題會越來越嚴重。今年間諜軟體雖然沒有對企業造成很大的實質損害，但是隨著間諜軟體技術演進與變化的速度增快，明年如果發生重大的間諜軟體攻擊的話，企業將遭受嚴重損害，因為建置這類解決方案的比例很低。

間諜軟體的可怕之處，在於造成損失之後，企業和個人還是不知情，今年就有很多傀儡型病毒（Bot）已經結合間諜軟體，竊取公司的機密。他們會擷取使用者電腦畫面，或是到檔案系統中搜尋特定的關鍵字內容，假如企業的高階主管正在觀看電子郵件或瀏覽重要文件時，螢幕畫面就會被擷取，商業機密也就隨著網路傳送到駭客手中。