https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

左右護法值勤 內外平安有望

2011 / 06 / 09
邱詩琁
左右護法值勤    內外平安有望

企業導入相關的資安產品、服務,必需要先檢視企業內部所擁有的資訊資產,再根據資訊資產的風險等級去評估其所需的防禦措施,這時你便需要相關的產品設備及提供產品、服務的廠商來保障你的資安風險,面對網路世界中病毒、駭客層出不窮的威脅、攻擊,有相關的產品設備可做防禦;外賊雖不可知、內賊更難防,因此針對內部員工,企業也有相關的解決方案可供運用。

安全是永遠無法做到百分百的,和網路上的病毒、駭客對決也有如一場無止盡的鬥智鬥力賽,安全產品、技術推陳除新,現在強調使用者不是只能被動防範,等到病毒、事件爆發才做補救;可以採取更主動式的防禦,或是層層架構多層次的防禦機制。

而企業現在除了防外賊,也明瞭了內賊更難防,於是導入具有雙方身份辨識能力、還能對訊息做加、解密的PKI機制,或是運用文件、郵件管理軟體,都可以對內部員工的權限、使用行為做更進一步的控管;善用資安產品,你就可以在享受資訊帶來便利的同時,少一分風險。

 產品面

以下為多種目前市面上熱門的資安產品介紹,企業主在通盤規劃、考量企業的資訊資產及其所可能面臨的風險和損失後,可藉由這些產品、工具,為企業多添一份保障。

一、 防毒(Anti-Virus):
趨勢:目前以混合各種攻擊手法的病蟲最為流行,同時兼具病毒感染與蠕蟲滋生的特性,還能埋個木馬後門程式在受害者的系統中,因此其生命週期也隨之延長,無法一時控制住。以往被認為較少受病毒侵害的Unix、Linux系統,也在去年傳出了多起災情。由於線上即時傳訊軟體(MSN、ICQ)的流行及無線通訊的成長,而成為病毒攻擊的新目標。

市場:市場已普及且成熟,因此成長有限。目前以趨勢科技及賽門鐵克為國內兩家龍頭大廠,外商Sophos及NAI也於去年登台,Sophos主要鎖定企業市場,NAI今年則欲將其防毒品牌Mcfee推往一般消費用戶。

重大事件:去年以Klez.H 求職信病毒及Funlove病蟲最為風光,分佔年度病毒排行第一、二名。許多病毒藉由變種,有捲土重來之勢。2001年Nimda病毒造成全球0.59 billion 及CodeRed的 2.62 billion美元損失,都是令人印象深刻的病毒界明星。

二、 防火牆(Firewall):
功用:提供對於服務存取的控制,利用檢查網路層封包的來源與目的IP,來決定是否讓封包通過,但無法檢測封包內容。

市場:市場已趨成熟,未來成長有限。2002年國內的市場規模達1,107百萬元,僅次於防毒軟體,相較於2001年,成長率為22.9%,預估2002年至2005年的年複合成長率僅達13.7 %。也因產品、市場成熟,在資安的產品別中代理及銷售的廠商最多,多為代理國外知名品牌產品如CA、Check Point、Cisco、NetScreen、Nokia、SonicWall、Symantec等,國內投入自行研發的廠商有:恒基、威播科技等。

三、入侵偵測系統(Intrusion Detection System, IDS):
功用:可監視記錄網路上可能攻擊系統的行為,當其行為符合攻擊特徵或違反安全政策,系統即提出警告並立即處理,可彌補防火牆之不足。

市場:2002年成長率達66.5%,使用單位目前多為政府、軍方、金融、電信、高科技等中大型單位,市場潛力看好,未來可望更為普及。目前國內代理的IDS品牌有:CA、Cisco、Enterasys、ISS等,賽門鐵克亦於去年整合其入侵系統產品線,今年積極投入此市場。由於技術門檻較高,國內投入自行研發的廠商不多。

四、虛擬私有網路(Virtual Private Network, VPN):
功用:利用最新的Internet IP加密的技術,可以在Internet上建立虛擬的私有通道,使企業能夠在公眾網路上架構虛擬且安全的企業內部網路。VPN結合加密、認證、密鑰管理、數位憑證等安全標準,更全面地保障了企業的網路安全。

市場:相較於昂貴的專線費用,VPN具有其成本優勢,更能符合中小企業的預算。2002年的市場規模達135百萬元,成長率為39.2%,預估2002年至2005年的年複合成長率可達48.4%,為所有資安產品中成長率最高者,被認為是資安產品中最具潛力的明日之星。目前產品及服務多由電信、網路設備等大廠提供,國內有台灣固網、Seednet、英普達等,國外廠商則為Cisco、北電網路等大廠。

五、公開金鑰基礎建設(Public Key Infrastructure, PKI):
功用:一個符合PKI架構的系統,需具備有非對稱式加密法所產生的公、私鑰來對訊息做加、解密,並可經由一值得信賴的第三者(即認證機構:CA)所發放的數位憑證,來確保雙方的身份。PKI產品便是根植於此基礎架構而開發出的相關軟硬體應用。因可達到交易安全需求的交易訊息之保密(Confidentiality)、交易雙方的身份認證(Authentication)、交易資料的完整性(Integrity)及交易的不可否認性(Non-repudiation)的高安全保障,目前以金融機構採用較多。

市場:國內於去年四月電子簽子法正式通過施行,提供相關的電子簽章的法源依據,因此被認為將可帶動PKI市場的起飛。今年四月自然人憑證預定上線、再加上政府推動電子公文交換等,市場預期在今年下半年會有明顯成長之勢,目前其應用仍著重在政府、金融單位,MIC預測明年企業應用市場商機將逐漸浮現。國內自行研發資安產品的廠商以PKI的比例最高,其自行研發比例達66.7%,如中華電信、工研院、欣領航、異康、宏瞻資訊等。

六、安全評估(Security Assessment):
功用:主要針對系統本身,檢查並稽核系統上的安全狀況,找出系統中的安全問題,並提出修復建議。

市場:根據MIC的調查,去年國內市場成長率達84.2%,成為成長率最高的產品。預估2002年至2005年的年複合成長率有28.4%。目前其產品仍多為代理國外知名品牌,如精誠代理FoundStone的弱點評估管理系統,國內廠商龍網科技則自行投入研發全中文化的DragonSoft弱點掃描軟體。

七、加密軟體:
功用:加密為最早的資通安全技術,利用公開的演算規則,及密鑰和加密演算法來維護資訊的機密性。

市場:加密軟體通常和相關的應用軟體、服務搭配,而不易以單獨的產品販售。MIC的調查顯示,其2002年至2005年的年複合成長率達20.8%,國內自行研發的比例達50%,僅次於PKI。目前國內有4家自行研發廠商:全景軟體、宏瞻、華安聯網、科思網際。2001年的市場規模為610萬元,2002年則為720萬元,成長率為18%,為所有資安產品中市場規模最小者。國外知名廠商有Baltimore、Entrust、RSA等。

八、其他軟體:
功用:包括目前熱門的生物辨識(如指紋、臉型、虹膜等),及相關身份辨認、文件使用權限控管的軟體等被歸為其他軟體部份,可協助做為使用者的身份辨識,企業可用作對內部員工的權限控管,更進一步地保障其企業內部安全。

市場:目前因價位仍偏高,市場普及度不高,其2001年的市場規模為750萬元,2002年則為1,010萬元,成長率有34.7%;2002年至2005年的年複合成長率可達39.3%。預計隨著企業越來越體認到內部員工控管的重要,及產品技術的成熟和價位的調降,未來有極大的成長潛力和空間。

 

買了資訊安全的產品,並不代表你就可以高枕無憂了,許多企業的產品、設備因MIS人員無暇管理,或是產品功用不夠了解,而被閒置在旁,沒有定期掃描漏洞、發現漏洞也沒有立即下載修補程式,即便裝了防火牆、入侵偵測系統,公司對外的門窗依然洞開,這時你也許可以考慮資訊安全委外服務,交由專業人員幫你代管、維護;並定時定期產生相關報表供您參考;若發生緊急事件時還能協助你在最快時間解決,將損失減至最小。或是有請顧問服務公司,從最上層的管理面通盤幫你描繪資訊安全藍圖、為你量身訂做公司的資訊安全政策。

由於資訊安全產品並不是買了就了事,因此相關的服務顯得格外重要,多家廠商都表示,提升服務是其未來的決勝關鍵,因此在購買產品前請先詢問廠商能否提供後續的服務,若服務需另外再計價,也請一併考慮進去。

服務面

根據MIC的市場趨勢報告,服務市場相當被看好,去年的市場規模較前年成長了39.1%,預計2002年至2005年服務佔整個資通安全市場規模將提升至45%,而專業服務的價值也漸為市場認同,2001-2002年成長率達74.1%,居服務之首。據統計,目前提供專業服務廠商約為11家、認證服務6家、系統整合廠商最多有50家以上。

目前服務市場主要可分為三類:專業服務(Professional Services)、系統整合(System Integration)及認證服務(Certification Services)。

一、專業服務
服務項目:主要為提供教育訓練、風險評估、系統設計、技術管理及設定存取權限等服務。

市場:去年佔服務市場比重為20%,2005年預估成長至24.2%。由於資通安全產品從前期的規劃、建置到後續的維護都需要專業的知識、技術及經驗,因此更需專業服務的提供。目前廠商亦普遍體認到不能光賣產品,紛紛朝「服務」的定位邁進,積極鼓勵員工考相關證照,培養更多的專業人才。去年11月1日由行政院核定的「行政院所屬機關資訊作業服務委外服務作業參考原則」中亦提及網路安全的委外服務,資訊安全的委外服務的商機可望藉由政府及金融單位的帶頭而逐漸浮現。

二、系統整合:
服務項目:主要為提供軟硬體的安裝及執行服務。

市場:目前服務市場以此塊的廠商最多,達50家以上,市場規模亦最大,去年市場規模為新台幣1,567百萬元,未來市場由於專業服務的提升,在資安服務所佔比例會逐漸下降,由2002年的74.0%下降為2005年的69.9%。

三、認證服務:
服務項目:提供如身份認證、交易認證及企業信任標章等認證服務。

市場:由於去年四月電子簽章法正式施行而帶動PKI的發展應用,也連帶帶動了認證服務的市場發展,藉由可信任的認證服務廠商簽發憑證。今年憑證市場可望藉由C計劃的推動、自然人憑證的上線及政府相關電子公文的應用,而帶動市場的活絡。

目前資訊安全廠商針對不同產業、或不同企業規模,提供其合適的解決方案,去年資訊安全市場規模達60億,市場成長空間仍大。購買資訊安全的相關產品及服務,對企業主而言,難以看見其明顯的ROI(投資報籌率),加上在景氣不佳的狀況下,資訊安全經費常成為企業預算削減下的犧牲者,但企業若少了這資訊安全的左右護法,在網路時代、普遍e化的環境下,形同門窗洞開,任外賊入侵、內賊叛變。警大林宜隆博士便強調,若沒有做好資通安全,寧可不要e化。

實體世界要保全,線上世界更要保全,想想用數十萬、數百萬還是數千萬來保障無價或難以估計的資訊財產,甚至維繫住公司營運的命脈,這樣的花費可是一點也不貴了!