本問卷為本刊年度資安市場調查,透過資安使用者在這過去一年的經驗,與對未來一年之展望,讓我們了解現今階段,資安產業呈現之面貌。
調查背景
調查樣本數為206家企業,調查期間為97年11/07~11/20,問卷樣本有25%為100人以下之小型企業,31%為100~499人之中型企業,並且有44%為500人以上之大型企業,足以反映大中小型企業之資安動向。問卷之產業比例亦可參考。我們注意到開始有風控、稽核、政風等職務從事資安管理稽核工作。可喜可賀的是,在整個資安工作的最高層主管上,總經理與副總經理的比例相加起來佔了4成的比例,比起往年約7成是資訊主管負責的結構,資安重視度稍微提升。
從I T預算面來看,持平者與去年相同接近6成,但是預算增加者相較去年調查結果約減少了2 成, 這2 成跑到預算減少的群組中。我們也可以從資安預算佔I T預算之比例來看,主要在3 %~5 %的範圍中,但是在8 %~10%以及10%以上的比例相加下也接近3成,同時也有1 4 %的I T人力縮減現象,可能會影響到來年資安人力的工作負擔。探討資安威脅層面,則有接近16%認為威脅狀態差不多,因此對於資安的威脅防護仍然是一個重要的需求來源。我們再從資安事件的增加比率來看有4成的受訪者認為表示2008年資安事件是實質上增加的,其增加的比率在10%~20%者佔最多。
市場趨勢面看來,資安意識不足落實到資安教育訓練上,排名第4僅落後於傳統資安需求之防火牆、垃圾郵件與防毒軟體。而內部網路存取違規則可對應到各種方案,如存取權限控管、政策管理、記錄管理系統、端點安全、身分識別與內容過濾和防制資料外洩方案。
而以檢視資安環境的方法,則是使用監控的方式來達到稽核效果,包含郵件監控與上網監控,加起來大約佔1/4強,而透過滲透測試的方式來驗證資安防禦機制是否有效,的確也是近年來開始廣受企業的接受),包含內部與外部的方式,以及自行採購與使用一些自動化工具來完成此任務,提供資安防禦措施成效的評量指標。
從問卷裡也看見委外以教育訓練最為熱門,選擇或計畫委外的需求,進行更詳細的分析,包含資安規畫與顧問、教育訓練就佔去了65%,這的確是符合市場面的需求項目。而在資安人力委外以及網站安全代管方面也各佔15%,人力委外可以使用其他項目的預算來降低企業對於人力擁有的負擔,包含專業訓練、管理以及福利等支出,所以人力委外的衡量通常會比企業自行擁有人力來得高一些;網站安全代管在許多企業已經逐漸建置資安設備和機房、線路的同時,需求量似乎有下降的趨勢,原因也有可能是供給方無法提供像樣的網站安全管理機制,或者成本上企業寧可把網站放在公司也不願花大錢去買不知道有沒有管的代管服務。
新興科技探討則是在虛擬化與SaaS方面,我們看到了兩極化的結果,而且是出乎原先預料之外。以虛擬化來說,已導入和評估中預計導入的部分已經接近5成,僅22%不考慮虛擬化的方案,探究其原因可能是能源成本提高,及對IT管理在虛擬化下的方案已逐漸成熟,讓企業重新規畫出新的資訊架構與成本節省方案。反之在SaaS軟體即服務方面,僅3%已經導入,而不考慮或可能不會導入比例竟然超過7成,這與目前節省成本導向與節能導向的議題受到很大的打擊,像是Google Apps或Salesforce.com與郵件管理等,均為SaaS的方案模式,在實際上頗受中小型企業的歡迎,而相較於大型企業可以因為歷史包袱、企業文化與既有的軟體架構、作業模式下,無法快速接受新的軟體服務觀念。此外,我們還需要探討受訪者是否未真正了解此兩議題的方案意義與架構組成,導致有點出人意料之外的一個結果。
資安使用者發聲 蟄伏沉潛的2009 文 ■ 吳依恂
除了問卷調查顯示出來的數字分析結果之外,我們也特別進行了一些實地訪談,以求更貼近各產業狀況的細節處。
對許多受到景氣影響的產業而言,在預算及人力上都不得不凍結,因此只好固守原本已建立起的制度或系統,而這時候便是考驗過去做的夠不夠扎實,是一個汰舊換新,考驗企業實力與競爭力的時刻。
觀察1:政府、服務2大產業預算增加
從產業別來看預算增減,在IT預算增加的1成裡,第1名為政府,第2名則是服務,政府由於為編列預算制,較不受景氣影響是可預見的。而服務業裡其中包括了電信業、電子商務、大型零售業或飯店業等,值得一提的是大型連鎖零售業在過去對資安可能較無著墨,近來在資安事件增加的情形下,紛紛增加預算。根據問卷結果顯示,預算增加的企業多數在過去1年當中亦增加了10%~20%的資安事件。而預算減少最多的產業為製造業,約有43.5%,其次是金融業,約有19.4%預算減少。
而從企業規模來看預算增減,預算減少的比例以大、中、小企業來看是4:3:2,與我們的問卷樣本比例接近,但在預算增加的比例則變成了5:3:1,中型企業比例維持不變,但大型企業及小型企業呈現兩極化的現象。
觀察2:原始碼檢測、資料庫安全來年可受關注
而欲增加IT預算的企業在未來的09年又有什麼計劃呢?我們觀察到原始碼檢測(code review)以及資料庫安全是2大趨勢。在已使用的前10項資安產品裡面,網路安全便囊括了4項,其次為內容安全、應用安全,最後則為管理安全。顯見在資訊安全的領域裡,管理依然不及工具來得廣被採用。
觀察3:企業未必會採取委外來節省開支
在選擇或計畫委外中,政府單位便佔了4成2,其次為服務業約佔了22%。此外,透過委外的方式來完成資安工作亦是在不景氣環境下的一個方法,通常委外的成本應該要比自己籌建或購買來的便宜,一方面要考量人力成本,以及擁有該設備或服務的成本,然而根據問卷調查,約有37%的已委外或計畫委外,但沒有進行的卻高達63%。推測這是由於企業IT預算持平的有6成,人力持平的亦有78%,故企業未必會積極尋求委外來節省開支。而IT人力減少的企業約1成,畢竟對許多企業而言,IT人力仍為專業之基礎建設人員。
又,在人力裁減的企業裡,僅有1/4比例確實選擇將資安日常維護工作委外。教育訓練與資安規劃為資安專業性服務,與資訊維護人力之增減較無直接關聯性,故不列入資安日常工作計算。
觀察4:企業推動資安有6成進步
在過去的一年裡,政府單位大多施行了資安教育訓練,並且覺得同仁資安意識有所提升,這也是相對來說花費成本較低但成效較為顯著的資安手段,不過普遍依然認為儘管有進步卻還需要再加強。
我們嘗試觀察企業內資安進步是否與督導資安的最高主管階層有關係,在資安最高領導主管是總經理的情況下,則企業約有7成是進步的;在資安最高領導主管是資訊主管的情況下,則企業約有6成是進步的,較無顯著差異。不過本次問卷的調查當中,從整個大環境來看,企業在資安推動上約有6成都是進步的。
觀察5:製造業遭遇資安事件比例 各產業中最高
我們從問卷裡觀察到竟有佔全體樣本1.9%的資安企業使用者,在過去的一年裡增加了超過40%的資安事件,更有高達27.1%的企業發生10%左右的資安事件,並且不管是在哪一個區間,製造業受到資安事件困擾的比例都是各產業最高,不過,仍以500人以下之中型製造業居多。此外,還有約1成的使用者表示不知道企業發生過多少資安事件,絕大多數作答者都是技術人員或工程師。
此外,雖然虛擬化為新興科技,評估後打算導入以及欲導入的企業幾乎佔了5成,這是由於多數企業基於節能、省成本的原因。而SaaS有不少企業對其定義不清楚,或表示沒有需求,例如對某些大型企業來說,由於內部已有既定的系統規格,採取SaaS模式不見得能夠適切的整合起來。
接下來我們也針對各產業進行訪談,更進一步了解各產業在數字背後所呈現的意義。
金融業:
在我們的問卷調查裡,金融產業約有半數的IT預算是刪減,另外的半數則與去年差不多,僅有約1成的銀行預算增加。其中以公股行庫的表現較為穩定,受到不景氣層面打擊較小,而由於銀行在資安產業裡算是起步較早,許多的資安基礎建設都已經建置得差不多,未來可能會朝向如資料庫加密等內容安全去進行。
有些趨勢顯示金融業將資訊委外的部分收回,轉為由自己的人力來建置,不過金融業的受訪者表示,若有這樣的跡象,倒不認為是因為受到經濟層面影響,反而是考量到基於安全的因素。
高科技製造業:
越接近消費性上游的產業所受到經濟不景氣的影響也越大,某製造業資安長表示公司的整體營業額下滑,因此不僅IT預算減少、人力也呈現凍結的狀態,更別提資安還會有預算可以做新的東西,但幸好過去已經將資安制度及系統建立起來,目前只要能夠繼續維持便可。
而在不景氣當中,大家當然會想採取一些免費軟體、開放性原始碼的資源等等,只是通常懂的人才有限,往往建設起來而後續無人維護,若以長遠來看,有時候還可能必須付出更大的代價。不過他也認為,有很多資訊建設都需要花時間建置,若等到真的景氣復甦之後才開始動作,又會失去先機,因此他們採取的策略還是先使用現有人力補足,運用一些免費的工具持續進行資訊開發,在經濟體質不好的時候,有些風險也只好不得不冒,例如他坦言,進行虛擬化的導入的確有其安全風險,但在不景氣的狀況之下,為求生存只好節約能源、省成本,這也是不得不的措施。
同時,他也認為這是一個好好檢視企業資安系統的時候,能夠修補的就修補,而既然沒有太多餘力可以增加抵禦,不如就將一些服務關掉,例如關閉某些Web Portal。而公司在資源有限的狀況之下,可能年度的專案數量也會縮減,這也使得想要進行的事情必須想辦法插在同個專案裡面去做。
服務業:
在眾多產業裡,電子商務、線上購物網站果然是在這波經濟不景氣當中較不受到影響,又或者說該產業由於可節省消費者的時間與成本,不但易於比價、送貨到府、時有贈品與特賣活動,通常也較為低價,所以更是消費者在不景氣中的消費首選。但在景氣低迷時,他們也對於成長獲利的預估趨向
保守,在過去一年裡,線上購物遭受到不少資安威脅,因而也發生了不少個資外洩事件,於是從08年開始進行補救,到了09年,由於未被景氣不好波及,因此資安系統導入計畫皆按照原定計畫如常進行中,IT預算也能順利增加。
教育:
教育界顯然受到經濟不景氣的影響較小,在本問卷調查裡,在2009年多數的預算持平,且約有1.7%增加,人力則有9成持平,8.3%增加,不管是在預算或人力上,較去年來說都沒有明顯的減少。而增加預算或人力的單位,在過去08年來大部分都發生過10~20%的資安事件,因此打算在09年作出補強的動作。
政府軍方:
政府單位在資訊安全的維護上多數依然維持委外,而由於預算多為早先就編列好,針對受景氣影響的部份也較少,不過由於軍政單位多有內部人員資安意識不足的問題,未來一年多數的計畫目標著重在資安教育訓練的部份,以及落實資安制度,許多政府單位原本便通過ISMS制度,雖然並非擴大驗證範疇,但大多表示將要持續在內部推廣該制度之概念,期許將制度推廣到一般業務單位的實行面。
其實,資安也不差
由上述統計結果顯示,雖然明年經濟不景氣,但對於資安的認同皆有所成長,企業重視資安的精神尚在,過去已經預備好的,現在仍盡力維持,需要補強的企業也沒有在逆境中省略資安。這是不幸中的大幸,整體資安環境看來不算差,儘管有3成企業IT預算降低,但資安意識的逐漸形成也是可預見的,這更是經濟不景氣當中每個資安人的安慰。