文/郭慧姿
由於網際網路持續蓬勃發展,網路的使用逐漸生活化、普及化,當多元化的網路服務型態存在時,也存在著愈來愈多的安全弱點與漏洞,讓入侵者有機可乘,且展現日益增加的知識與技術,利用對於網路系統的了解,採用更複雜化的攻擊手法,取得未經授權的資料。
一連串資訊安全事件在企業主心上烙下深刻印象,需要更進一步的安全防護技術與專業防護資源;根據資料顯示,受攻擊的企業往往需要付出高於損失10倍以上的金額進行事後彌補,更驚人的是,沒有人可以保證這樣的事件下一次不會再發生。從防火牆、病毒防護、入侵偵測系統.... ,資訊安全產品不勝枚舉,「購買相關產品就可以達到資訊安全管理」是目前一般企業普遍存在的錯誤觀念,而實際上這些產品多半所費不貲,在資訊安全問題的威脅下,企業往往在採購時只以價格作為考量的優先順序;更糟糕的是,企業通常在購買了資訊安全相關產品後才認清,並無法如其所願因此而取得資訊安全的「護身符」。在不了解本身需求,以及缺乏充分了解產品特性的專業人員進行操作以取得最佳效果的情況下,企業資訊安全的目標並不易達成。
於是在成本與人力的負荷下,資訊安全工作的委外(Outsourcing)可望比企業自行管理更能兼顧企業節省成本、提昇資訊安全的期望,也因此出現了資訊安全管理服務的風氣,不少MSSP(Managed Security Service Provider,資訊安全管理服務供應商)相繼進入市場,提供資訊安全委外服務。
為什麼需要資訊安全委外? 「委外最大的意義在於成本的降低」,精誠資訊網路軟體技術處處長黃政杰指出,精誠資訊一向以代理產品、提供相關服務為主,近半年來客戶端卻逐漸突顯出一些狀況:資訊安全產品價格昂貴且設定不易,當企業透過產品的協助而獲知安全漏洞後,卻很難花費那麼多時間與人力去讀懂報表,並進行處理,當其求助原購買業者時,業者也很難提供24小時不間斷的監控服務或代管,「於是我們依據公司既有的服務系統,再結合資訊安全委外的特性,開始提供相關服務」,黃政杰說明精誠投入MSSP之列的原因。
「資訊安全委外是產品售後服務的延伸」,新光組合產品經理暨資深技術顧問黃寶仁指出,人力與技術通常是企業處理資訊安全問題最大的障礙,2001年4月才剛結合新光保全與組合國際成立的新光組合,以組合國際既有產品為基礎,提供相關技術服務,以資訊安全委外服務作為經營主軸之一。黃寶仁說,最具經濟價值的服務方式就是透過Internet從遠端進行服務,更快速找出問題癥結,這就是委外服務的特性。而自行管理與委外管理在效益上究竟有何明顯差異?以防火牆為例,黃寶仁估算,除了硬體設備這一項無論委外或自行建置管理都不可避免的投資外,企業若進行委外,要支出的是設定、安裝與管理費用,平均每月不到新台幣8000元,遠低於一個資訊安全人員一個月的薪水,卻不必負擔軟體費用、粗估資訊安全人員平均每月新台幣5萬元的薪資、教育訓練成本,一年下來可節省新台幣60多萬。
「企業內部已經有IT人員了,為何不能負責資訊安全工作,而要將工作委外?」是目前企業主對資訊安全委外的其中一個疑慮。「IT人員的工作重點在於維護企業系統運作正常或寫程式,與資訊安全工作完全是兩回事」,鈺松國際總經理徐鈺宗指出,由於目前國內一般企業普遍存在「資訊安全工作交由網管人員進行就夠了」的觀念與現況,因此資訊安全相關工作多由原本工作已相當沉重的IT人員兼任,實際上以目前國外的薪資結構來說,資訊安全人員高出網管人員的一倍多;反觀國內則未對資訊安全人員的工作有具體定義。
資訊安全委外市場興起而隨著網際網路的盛行,企業業務的進行是以24x7(全天候)進行,因此完整的安全防護也必須是全天候不間斷,徐鈺宗表示,如此一來成本負擔便遠遠高出企業人員平均一天8小時,一週5天的工作量,也就是說,當企業要以專人自行做到全天候的安全防護,就要多付出數個人員薪水的可見成本才能辦到;若再上人員教育訓練成本,則成本勢必再增加。所以,能夠彌補專業資訊安全人員的不足、提供7x24x365全天候安全服務,也是資訊安全委外的優點,讓企業可以更專注於本業,立駭科技業務行銷處副總經理黃惠東即指出,委外服務將有助於企業競爭力的強化。
遠傳電信安全管理處經理徐子文指出,企業將資訊安全工作委外,不外是避免培養相關專業人才的困難、策略性考量兩個原因。
其實委外並不是一個新名詞,例如ASP、ISP經營型態就因委外觀念而興起,甚至企業將清潔、保全工作交由專人或專業公司負責,也是一種委外型態,遠傳電信安全管理處經理徐子文指出,企業多選擇將較繁雜的業務或較次要的業務進行委外,以避免培養相關專業人才的困難,另外一個情況則是,企業將不擅長的非核心業務進行策略性委外,例如英國航空將飛機、飛行員、票務等委外,僅保留了品牌及客服人員,即是具體案例。徐子文表示,資訊安全委外也不外這兩種原因,他進一步指出,防火牆管理、病毒分析、入侵偵測屬於專業中的專業,當這些專業資訊安全人員隸屬於企業編制時,很難有合適的升遷空間。徐鈺宗也指出,當企業認為資訊安全工作是一件嚴肅而重要的事件,就應考量是否願意培育專業人才投入工作,當企業考量成本與既有人才,認為委外較符合企業原則後,通常就會考慮委外,這也是資訊安全委外市場興起的原因。
資訊安全委外市場有多大?
根據市場研究機構Infonetics Research的分析,2004年以前,歐洲地區在網路管理服務(Managed Network Service)方面的支出,將由32億美元增加到181億美元,成長約466%,主要的原因在於資訊安全管理委外。而另一家研究機構IDC也預估,至西元2003年時,全球資訊安全委外管理服務市場將成長至23億美元的規模,研究機構The Yankee Group更預估,到西元2005年全球MSSP的收益將超過26億美元。無怪MSSP莫不摩拳擦掌,爭相搶食市場大餅。
資訊安全委外服務推行的對象
一般來說,大型企業擁有專業IT部門,再加上掌握較多資源採購、管理整套系統,多傾向自行管理,因此中小型企業才是MSSP?定的目標群。另外,值得注意的是,日前紅極一時的IDC(Information Data Center)也是MSSP鎖定的重要合作對象,期提供IDC或IDC業者的企業客戶群相關服務。
資訊安全委外服務有哪些?
MSSP建置SOC(Security Operating Center,資訊安全監控中心),提供包含防火牆、入侵偵測、病毒防護...等相關的系統評估、政策制定、代管、定期報表分析、監控、緊急狀況處理、教育訓練或顧問諮詢等服務,訴求專業技術團隊、7x24全天候安全監控與回應、降低企業營運風險、Service Level Agreement(服務品質協議)等優點提供客戶參考。
以精誠資訊來說,其服務內容包含:防火牆監控與管理服務、入侵偵測系統監控與管理服務、隨選網路安全掃描服務、網頁監控與即時復原服務、安全警訊通報服務、報表分析服務、安全事件回應/調查/蒐證服務、資訊安全政策制定服務、資訊安全教育服務等,黃政杰表示,看好精誠資訊多年代理Check Point防火牆多年豐富經驗,期透過充分了解客戶需求,以及與原廠在技術支援緊密結合的優勢切入市場,短期先以防火牆監控與管理、網頁監控作為市場推廣的主軸;而身為美國ISS(Internet Security Systems)公司獨家代理,鈺松國際對於資訊安全委外也有防火牆系統管理、入侵偵測及回應管理、VPN系統管理、資訊安全評估服務的規劃、網站存取過濾管理與病毒防禦管理等嚴謹規劃,徐鈺宗表示,將先以資訊安全評估作開路先鋒,未來將持續、階段性推出其他資訊安全委外服務。新光組合則以組合國際軟體解決方案為基礎,提出防火牆、入侵偵測系統與防毒系統等委外服務;至於2000年甫成立的立駭科技則是從因政治情勢特殊、注重資訊安全的韓國進行技術移轉,希望整合不同品牌產品,提供整合性解決方案。此外,更有MSSP提出保險概念,例如精誠資訊與蘇黎世產物保險合作,由精誠先針對欲保險企業進行風險評估與稽核,再由蘇黎世進行保單審核;至於立駭科技則與韓國保險業者合作,引進理賠制度。
企業,你心動了嗎?
較之大型企業,中小企業在資金與人才較為不足,看到以上MSSP提供的服務,企業,你心動了嗎?對於委外,還有哪些正確觀念必須建立?哪些是企業進行評估應該注意的?下一篇文章將有進一步的說明。