先評估:需要的程度有多少?
什麼樣的中小企業需要資安?Seednet李佳哲指出,以下的企業不可不做資安:
1. 有導入ERP的公司:代表公司的作業已經電腦化;
2. 自己有Mail Server的公司:代表靠網路進行與內部、外部的互動多;
3. 自己有Web Server的公司:代表有更多的作業都要倚賴網路進行;
簡而言之,公司作業電腦化與網路化程度愈高者,對資安的需求愈是急迫且必要。
然而台灣的中小企業主,是不是從這個角度來思考自己對資安的需求?答案是否定的。很多中小企業主對資安的重視不夠,對資安投資永遠最少,更多的中小企業是為做而做,以為買了防火牆或防毒軟體,就天下太平。事實上,真正會從源頭來思考資安需求,並會實際行動拿錢投資的,大致可分為以下類型:
1. 應國外客戶要求者:例如國際大廠的零件供應商,以及金融業等。
2. 應中心廠要求者:上下游廠商間需傳遞重要資訊,而對彼此的資安程度提出要求。
3. 曾受害且遭受損失者:例如曾因網路中斷、病毒攻擊,導致作業中斷或機密資料外洩,而在企業財務或聲譽上蒙受損失。
再考慮:問題有哪些?誰可以解決?
沒有人希望是在事情發生之後才來補救。聰明的企業主,應知道最常見的資安問題有哪些,以及有誰可以幫忙解決這些問題。
以企業來說,最常面臨的資安問題不外乎以下四種:病毒攻擊、駭客入侵、mail relay以及垃圾郵件的干擾。其中垃圾郵件的問題是近兩年來最新興的熱門議題,因為以前的垃圾郵件並不會直接對企業造成傷害,而是造成企業員工為了刪除這些不請自來的信件,使得生產力下降,然而最近垃圾郵件的數量不但暴增,也隱藏了愈來愈多諸如詐欺等犯罪情事在裡面,因此愈來愈受重視。
這時我相信大多數的人一定會立刻想到:「我可以買什麼產品來防禦這些攻擊?」希望大家不要忘了上一篇文章的例子:買了資安產品,卻沒有良好的管理制度及管理人員,因此仍然被病毒攻擊、被駭客入侵。
人少更容易落實管理制度
沒錯,先從制度下手。智享科技規劃師林之璋指出,首先,企業主應建立對資安的正確認知,並對員工進行持續性的宣導,讓員工明白公司做好資安的決心,並明確規範員工哪些事該做、哪些事不能做,以維護公司的資訊安全。空有制度沒有用,落實才是重點。而由專業的第三方來進行定期與不定期的稽核,可以讓企業主知道制度有沒有被落實。
接下來,可以從公司的IT環境來看自己需要什麼產品。林之璋說,最好的情況,就是把整層防護都建起來,因為「資安的服務少一樣就扣很多分」。然而實際上的情況是,大部份的企業無法自己建置完整的系統,無論是因為成本,抑或是人力及能力的考量。
對大型企業來說,資安的難題往往來自人員的管理;只要一個人出事常常導致很難收拾的殘局。中小企業由於人員較少,管理制度比較容易落實,反而容易建立安全的環境。當然啦,企業主自我的體認絕對是關鍵源頭。
能委外就不要自己做
宏碁業務行銷處處長吳乙南指出,就他的經驗,中小企業通常是請人事或總務兼著做資安,「然而資訊取得不易,資安又太專業,非專業人士很難做得好。」
與其浪費人力及時間去做自己難以辦到的事,倒不如早日思考並評估有哪些部份可以委外。林之璋說,「利用專業來協助你,會讓事情事半功倍。」
智享科技將自己定位為「中小企業的MIS」,就是希望透過一群受過訓練、具有各種IT專業的人員,來分擔企業主在IT設備、資安方面所花費的心力。這樣的公司可以協助企業規劃IT環境及設施,也就是去實現企業心目中所勾劃的IT環境藍圖。而為了讓業主能有安全的e化環境,在建置資訊系統時,會順便導入資安的概念。林之璋表示,「每個企業都想成長,也都有成長的機會。我希望透過我們幫他們循序漸進地導入這些,讓他們在日後發展時更順利。」
「而由於中小企業本身的預算比較低,因此我們希望與企業取得溝通管道,讓企業主能因信任而對我們做全權委任。我們要讓他們就算沒有MIS,也像是有MIS的公司。」林之璋強調,「我們所做的不是讓企業主不斷花錢,而是讓他們對資安的投資能不斷重覆運用。須增加的要增加,若有缺點,則要去面對。」
此外,智享科技提供「IT代管」的服務。此服務指的是「人員」,而非「機器」的代管。也就是協助企業主建立IT人員的管理制度,明確定義他們的職能職掌,並協助訓練。一旦整個機制建置好之後,就退出。「我們讓MIS的工作成效量化,讓企業主知道MIS的功能在哪裡。」
ISP租用服務一兼兩顧
除了上述的類型,中小企業還可以從ISP及IDC處取得一些解決方案。例如,並不是每家企業都有能力自建一個mail網域,因此有很多企業會向ISP申請帳號。ISP在提供Email帳號以及連網服務時,通常會一併提供基本的資安服務,包括防火牆、病毒掃瞄等,
舉中華電信為例,最近主推的「企業e速通」,就是一個針對中小企業提供的服務。企業主以租用的方式,使用上面的服務,包括最基本的e-mail、e-learning等。並採取Single Sign-on方式,讓用戶用同一組ID及password即可使用不同的服務,省去記憶多組ID及password的麻煩。
中華電信數據通信分公司處長馬宏燦表示,在費用方面,考慮到中小企業不希望有太大的負擔,因此並不貴。例如五個人、300M空間的版本,費用是1,200元/月,若是600M的空間,則是2,350元/月。另外,15人版,900M的空間,費用是3,500元/月,至於20人版,1.2G空間,則要4,500元/月。多種費率,提供企業用戶多種選擇。
至於針對中華電信IDC用戶,中華電信也提供防火牆、入侵偵測、弱點掃瞄、防垃圾郵件等資安服務。目前在規劃中的、預計在年底也將推出中小企業SOC服務。
馬宏燦指出,「我們與資安業者合作,導入防毒、防駭、防垃圾郵件等服務,客戶有問題,只要針對我們,不需一一去找資安廠商。」
國內另一家大型ISP─Seednet,也提供中小企業多項服務,並在提供這些服務的同時,提出資安解決方案。如前所述,中小企業最常遇到的資安問題為病毒、駭客、mail relay及垃圾郵件,針對這些,Seednet提供如下的解決方案:
1. 產品:防毒、IPS、防火牆
李佳哲表示,在這邊Seednet帶給客戶的利益包括:
整合。李佳哲比喻道:「因為我們『連門帶鎖』銷售,因此我們知道什麼鎖最適合客戶。」
系統調校。這些產品都得做調整,例如防火牆就需要維護。
李佳哲指出,Seednet在全省有6大據點,包括台北、桃園、新竹、台中、台南及高雄等。工程師不斷在進行培訓,所有到客戶端提供服務的人員都是經過訓練的,「不像是到光華商場買東西,店家不會對你的產品持續關心。」李佳哲說。
2. 服務(現階段)
在連網方面︰提供Seednet自行研發的防火牆,可以幫客戶做到入侵偵測及分析。甚至會定期派「假想敵中隊」去測試,看是否能確實阻擋外界的攻擊;Seednet並會針對客戶的情況做建議。
在mail方面︰提供的solution則是︰a. Virtual Mail:以帳號個
數計價;b. X Mail:以serve個
數計價。
在這方面,提供的資安服務包括:
a. security:包括防火牆、掃毒;
b. 備份:用戶不須擔心停電問題;
c. 用戶不再需要維護自己的mail server。
IDC主機代管
從IDC轉型的宏碁eDC,針對中小企業提供兩大面向的服務:
1. 資訊安全
資料保全:包括資料備份、異地存放等。
資訊安全:例如防火牆、弱點掃瞄、主機強化等。
宏碁業務行銷處處長吳乙南表示,台灣中小企業生命力很旺盛,做了很多國際貿易,可能24小時都需要與國外進行連線,因此對於重要資料,最好是透過異地存放來保障其安全。
企業主通常將資料存成磁帶或燒成光碟,有的會存放於銀行的保險箱,但銀行所提供的安全服務卻不是7x24的。舉例來說,銀行假日就不開門。
而宏碁透過與立保保全合作,提供客戶資料的運送及存放服務,在運送過程中,資料是被保存在一個黏有封條的手提箱裡,確保資料是保密的。吳乙南說,這種方式資料只存在著一天以內的落差,雖然大部份企業主都能接受,但宏碁希望日後能透過網路傳輸的方式,讓資料可以控制在1、2分鐘以內就搞定,對中小企業的資安而言,更上一階。
而針對eDC的主機代管客戶,則提供了上述防火牆、弱點掃瞄等服務。
2. 日常維運
包括網路、系統、資料庫以及一些加值服務的部份。吳乙南說,「在中小企業人力有限的情況下,事實上他們可以利用這類的服務來協助他們做管理。」
只需要一條專線,宏碁就可以幫客戶做每日的維運。裡面的防毒、防火牆也都顧到了。此外,宏碁也跟軟體應用廠商合作,一有問題,可以很容易判斷是系統、網路還是AP的問題。
不同於其他外商,宏碁一開始設立eDC時,就將客戶目標設定在中小企業。吳乙南說,「中小企業聘請一位資訊人員,包括薪水、教育訓練及福利,一個月可能要5~6萬。但如果依我們的收費,可能一萬元不到,就算加上主機代管服務,可能兩萬元就同時將主機管理、網路安全監控、資訊安全一次搞定。」「對企業而言,不但成本可以減少50%以上,企業主還不用傷腦筋資訊人員的生涯規劃!」他笑說。此外,另一個好處是,此服務可以隨時被擴充,比起日後得不斷買設備,划算得多。
做資安是為了賺更多錢
吳乙南表示,其實中小企業的IT需求不大,所以資安對他們而言,應比大型企業來得更簡單易做。他提醒,企業愈小,對災難的防禦能力愈小,一旦資料有什麼問題,則公司很難有資源去應付危機狀況,因此對資安一定要重視。
而無論採用的是廠商提供的產品或服務,最重要的前提還是要知道企業本身的需求為何。綜合以上,最後要提出幾點建議做總結:
1. 要做好資安,產品只是工具,企業一定要先落實企業的資安管理制度及態度。
2. 資安政策透明化,企業主應定期開會說明公司的資安政策,讓全體人員對資安的落實更具共識及信心。
3. 先從防毒做起,並要持續且定期做。
4. 要有公開的資安訊息。不是要員工去study技術,而是要用「看颱風警報的態度」,知道現在的資安大事、其危害程度、如何簡易判別,以及是否能提早做防範。
5. 能委外的就不要自己做,例如防毒、防駭等。因為做資安,是要讓企業有更安全的e化環境,並因此賺更多錢,而不是要花錢去建置這些資安設備,卻又無力管理。
ISP與IDC自身的安全
ISP、IDC提供客戶資安服務,然相對地,自己內部的資安也要做好,以取信客戶;甚至在實體安全方面,更要固若金湯,提供客戶最大的安全保障。
以中華電信而言,他們的做法及優勢包括:
1. 從技術面來看,中華電信協助維護政府CA的安全,此外,Hinet本身也有很大的資安需求,因此內部有HiSOC,有足夠的技術可以提供給客戶。
2. 從體制面來看,中華電信是公務人員體系進來的,有固定的稽核體制,總公司稽核處及審計部都會定期派員來稽核。此外,公司訂有人員晉用標準,而公司每個人、外包廠及合作廠商都得簽定保密協定。
3. 中華電信在做GCA的部份,已於去年取得BS7799;IDC也在作業中。研究所通過ISO,研發、品管方面也預計在今年年底通過CMMI。
Seednet在實體及資訊安全部份,也做了相當多的投入,然最值得一提的是,Seednet擁有獨立的資安部門。據了解,這個資安部門自Seednet成立的第一天就開始設立,一開始,是為了維護Seednet內部網路的安全;發展至今,已提供客戶堅強的資安保障。
至於宏碁不但提供安全服務,對自己企業本身的安全也非常重視。宏碁eDC通過BS7799認證,對於機房作業管理及人員管理都有嚴謹的規定。所有人員門禁進出記錄、CCTV的記錄,一次保存三個月。eDC建置已有三年,由100多人的團隊來提供服務,其機房的穩定度是100%,至今沒有斷過一秒鐘的電。宏碁在機房的建置上獲得客戶的信任,目前也因應客戶需求協助建置機房。