iThome2004企業資訊安全大調查(下)資安採購篇

臺灣企業的資訊安全現況如何呢？為此iThome調查了1500多位臺灣企業的相關人士，了解上千家臺灣企業的資安狀況。在上一期我們已經刊登了「資安現況篇」，這一期我們則關注企業建置與採購資安設備的狀況。如果你現在手上有一大筆資安預算，你打算如何投資呢？先來看看臺灣的IT人員打算怎麼投資企業資訊安全。

如果你有一筆很大的資安預算，會打算採取哪些措施呢？根據我們的調查顯示，大多數的受訪者認為企業應該增加員工資安教育訓練的內容（60.4%），並讓資訊部門人員進修資安課程（63.1%），這也呼應我們上一期談到「人」是資安體系中最嚴重的問題。弱點掃描與滲透測試服務則各佔46.7%及41.1%，之後分別是採購完整資安解決方案（19.1%）、資安完全委外（13.9%）及採購單點設備（13.5%）。設備誠昂貴，教育價更高

我們將「未來一年內，你認為哪些資安問題對貴公司而言是最頭痛的？」與「如果你有一筆很大的資安預算，接下來你打算採取什麼措施？」進行交叉分析，發現勾選「員工忽視資訊安全政策」的IT人員，希望增加全體員工資安教育或讓資訊部門進修的比例分別為68.2%%及74.5%，同樣驗證人是資訊安全防護中最重要的因素，解決這個問題的最好方法就是加強員工和資安部門的教育訓練。

MIC產業分析師方怡文說：「企業都已經買了防毒和防火牆，是開始教育員工該怎麼做的時候了。」

如果依照調查的數字，應該會有許多教育訓練的專案，然而事實並非如此，別忘了，我們的前提是如果有一筆很大的資安預算，美夢總敵不過現實，教育訓練通常只占資安預算的一部分，徒留杯水車薪之嘆。

敦陽科技資訊安全事業處經理李欣陽表示，通常教育訓練只佔整個專案的一小部分，很多企業在採購設備或服務時，往往要求廠商一併提供教育訓練課程，甚至是包在整個專案中奉送。除非像臺積電或聯電那樣規模的大型企業才有能力自行開課。

聚碩科技網路整合事業群市場規畫部產品經理江其杰則認為，在他的經驗中，一個專案所附帶的教育訓練內容，會直接影響到專案的成功與否，顯見企業已經體認到教育訓練的重要性。

但是，企業也不是隨隨便便就可以打發，過去廠商提供電腦教育訓練中心的點券，已經不再適用擁有一定學經歷背景的MIS或資安人員，他們需要的是專業課程，而非一般電腦課程，除了必要的設備管理訓練課程外，還有企業會要求附加認證課程，藉此檢驗資安人員的能力。

不過，羊毛最後還是出在羊身上，精業公司安全事業處產品經理陳家煌說：「除了本身就有訓練中心可提供訓練課程的廠商之外，代理或經銷商很難承擔得起這筆費用，太過昂貴的課程終究還是會將費用併在專案中。」

教育訓練的內容必須不斷的提升，才能滿足企業需求，而且你非做不可，即使它是一條昂貴且漫長的道路，需要一段時間才能看得出成效。買完設備，開始找弱點、防滲透？

不少企業已經開始接受弱點掃描及滲透測試服務，許多企業也願意採用弱點掃描和滲透測試，作為評估投資報酬率，以及驗證本身安全性的依據，以金融業為例，在簽定財報時指定要作這兩項服務，因此調查出來的比例也最高（弱點掃描60.8%，滲透測試59.5%）。

乍看之下，這真是一件好事，表示資安廠商和媒體對弱點掃描和滲透測試的宣導成功。不過，照道理來講，這兩種服務的數字不應該如此接近，或許是因為許多人不了解兩者的差異，甚至搞混了。滲透測試所要下的功夫比弱點掃描多很多，同時還會牽涉到組織中的多個部門，一般企業除了害怕引狼入室造成機密外洩，一次測試需數十萬至上百萬元的高昂費用，也讓接受度無法提高。

另外一種狀況是，企業對自己的資安信心度不足，在駝鳥心態作祟之下，害怕執行滲透測試之後，發現太多無法修補的漏洞，寧可不做，這樣就可以不用面對現實。補強資安設備，因應前仆後繼的攻擊

在調查中，企業希望採購單點資安設備與資安解決方案的比例各佔13.5%與19.1%，似乎大多數企業都已經建置良好的資安防護措施，不需要再添購其他防護設備。

不過，我們也發現有些企業仍然不了解特定攻擊該用何種設備進行防禦，很可能就以防毒系統充當整個資安防護網，加上MIS大事化小的心態，反而讓企業高層主管或一般員工，誤以為不需要添購其他資安設備，讓資安系統成為一個不為人知的陰暗角落。設備的補強有其必要性，只是許多人都在有意無意中忽略了。