資安產業如何搭上國際趨勢列車？

台灣技術夠強，國際市場夠大，如何接軌、再創新機？

　　資安國產商自主研發的能力有目共睹，但現實情況卻是成長幅度相當微幅緩慢；因此，近來有關國產商如何踏出台灣這塊百家爭鳴的彈丸市場，走向國際的話題，一直被熱烈的討論著。由於資安市場是「信任」市場，自有品牌是『通行護照』不遑多論，然而國產商要打著自有品牌在國際發光，需面臨的問題已跳脫了技術本位的問題，而是對國際市場生態的認知、行銷策略的捉摸，甚至回歸至『Made in Taiwan』在國際地位上的尷尬瓶頸。

　　由經濟部工業局主辦的《資訊安全產業市場與技術趨勢國際研討會》 6月7日(2006)在台北舉辦。主要目的是將現今美國資安市場趨勢與關鍵技術發展現況，透過「北美台灣工程師協會(NATEA)」與在美已有基礎市場的廠商，提供行銷策略交流，並分享其在美開疆闢土的實務經驗。

資安與威脅循環共生

　　IT供應商在研發新科技和提供新服務時，並沒有把周全的安全設計也考量進來，因此，同時也生產了更多的安全漏洞；當一端以利益為動機的攻擊事件日益複雜，並且正為組織化的犯罪行為引導現形時，防禦端的網路安全、主機設備的發展，也和如何降低風險與安全管理並駕齊驅的馳騁。道魔持續的消長，資安與威脅循環共生，亦諷刺的創造著商機。

　　不安全產品使企業成了受害者，消費者更是這個生物鏈的『下游受災戶』，當消費者將問題丟給立法者時，立法者則再反諸企業。因此，法律的規範驅策著美國CEO/CFO的政策制定和採購方向，也激發著企業防禦能力的提升；攻防賽則在入侵者與抵禦者之間上演，兩者表演著高超的技術和精湛的工具，而安全供應商則像是這場競賽的『軍火商』，同時『販賣恐懼』。

法規驅策安全發展

　　美國的確是個善於法治操作的國家，安全產業亦不例外，其資安的發展可說是被法規牽著鼻子走的，從SOX、HIPPA、Patriot、BaselⅡ、到GLBA、FFIEC、PCI等，法規的要求將諸多解決方案綁了進來，活絡了商機。

　　據InfoPro調查，美國資安人員在諸多安全管理項目中，認為最迫切需求，並列為最優先考量的項目即為法規依循，第二為SOX，再其次才是安全營運、存取控制管理等項目；主因是CEO會直接受到法規的影響。北美台灣工程師協會資深安全架構師張思源強調，「只要是SOX中規範的相關產品就很好賣，因為企業的選擇夾雜了許多被迫成分，並非完全是安全考量。」。

　　資訊安全防禦從週邊安全轉移至內部的存取控制和身分管理；企業必需制定政策以確保機密資料安全，並遵從這些政策。現在安全重任已落到C字輩的長官們(CEO/CFO)肩膀上了，他們必需面對責無旁貸的法律義務，假設發生資安事件，不需等狗仔來踢爆，就得主動對外說明，並給客戶一個解釋和報告。因此，法規依循成為企業安全投資時最大的驅動力。

市場趨勢帶動關鍵技術

　　據IDC和Pacific Crest 2005年的報告，美國整體安全市場共達17億美元，較前一年成長了17%，而內容安全管理和UTM安全應用產品和技術逐漸加溫，在未來幾年亦將持續發燒。Frost & Sullivan 2005年報告亦指出，Smart card的市場相當火熱，估計2010年將成長30%，達545佰萬美元，展現了高度商機。

　　據Gartner的報告指出，一台丟失的PC，它的帳號密碼最快可在14分鐘內不費吹灰之力的被破解；間諜軟體也可以輕易的拿走正在線上的使用者密碼；而網路釣魚技術的高明甚過於使用者的電腦功效，讓受害者在銀行的存款自動地送到『釣魚者』手上。Marsoft的CEO陳昱寧表示，單一密碼已無法滿足身分認證的安全需求，現FFIEC(Federal Financial Institutions Examination Council)針對網路銀行有明確的規範，在2006年底前金融機構必需完成多因素身分認證的規範。

　　據InfoPro調查結果，身分管理和資訊保護是千人以上大企業的主要需求，弱點管理與漏洞管理在大企業已不如以往熱門，但仍為中小企業的需求，而個人防火牆和Network IPS則仍然同為兩者之所需。保護個人資訊的安全工具逐漸被重視?Network IPS、SSL VPN及通訊保護等，是2005至2006年邊界安全中前三項新編預算。而IDC的調查顯示，美國資安市場仍以郵件安全為最大，而最大幅度成長的則以網頁安全/網頁過濾為榜首，其次為IDS/IPS、弱點安全管理。IPO集團總裁蔡體行表示，熱門產品趨向於四個面向：與消費者身分認證有關者、與法規相關者，以及多功能應用和網頁安全；而Firewall/VPN與防毒則逐漸勢微。

　　從市場趨勢來看安全的模式，張思源則表示，安全架構的核心圍繞在身分、風險、可信賴即弱點管理上。企業的第一要務是加強基礎架構做好弱點管理，第二是能掌握使用者端的身分管理，第三必需加強流程與資料保護，建立可信賴的管理機制，其四為建置監控系統以防禦不適當和惡意行為。關鍵技術即圍繞在此四個面向的in-line設備上著墨：

1. 弱點管理(弱點評估、軟體安全)：系統存取控制。

2. 身分管理(身分認證、帳號密碼管理)：認證與存取控制。

3. 信賴管理(政策管理、金鑰管理、可信賴模式)：加密技術。

4. 風險管理(風險識別、安全監控、稽核)：入侵偵測與防禦。

沙盤推演還需實戰演練

　　如何在國際競技賽中嗅到商機，取得有利位置？蔡體行表示，「跟隨著新的服務佈署，例如WLAN、VoIP等，因為新產品新服務上市時，同時也是新的攻擊威脅和新的資安商機。而具成本效益的多功能安全應用工具，將協助企業佈署更多的安全保護。另外，資訊安全管理與安全監控服務亦是可關注的機會。」

　　張思源認為，探勘不同領域的市場需求，並了解該領域應遵從的法規，例如，金融服務業對防釣魚網站解決方案的需求，以及必須遵從的SOX內容規範，在其法規預算中拓展商機；在企業和應用軟體供應商之間發現關聯性、建立橋樑，以及利用傳統通路的力量，將商機觸角延伸至客戶的客戶等。「揣測CEO/CSO的思維，或許他們需要的解決方案，是如何監控員工日常的工作行為而非技術上的弱點」；提供更有價值的產品和服務，而不僅是察覺弱點而已─「如何讓客戶的工具處理的更快、節省花費；以多功能解決方案取代多端點佈署的安全產品。」

　　在高喊進攻前先自我評量一下，什麼項目是你在行的，再進軍哪一塊市場；意志力太薄弱恐怕也不適合這局博弈。Marsoft的CEO陳昱寧談及，進軍美國市場時遇到的困難和挫折點滴在心頭，像是以台灣廠商的身分要打入新市場，被矮化的眼光亦難免，但陳昱寧舉例，「要打國際市場，就要有成吉思汗拓荒者般的征服精神，堅毅不撓地找尋並攻下屬於自己的部落，才能超越藩籬開闢出自己的疆土。」陳昱寧亦強調，了解和善用你的工作成員，將其特質和優點發揮出來，解決困難，「要像美國職棒紐約洋基隊的教練一樣，永遠知道每個球員的專長、特質和信念，讓最困難的時刻有最適合的人選來化解危機。」

國產商的瓶頸

　　SOHOWare的總裁及CEO烏鋆圖表示，國產商開發美國市場時可能會面臨的困難是，從「價格導向」轉為「價值服務」模式的挑戰，因為這是有別於國產商在地的低價策略和優勢。因此，除了價格和堅強的技術底子外，還可以如何思考？蔡體行建議，「市場上還沒人做過的新技術產品，或僅少數供應商在做而且是市場需求的…」，重點在於什麼是CEO擔心的事情，什麼產品是IT人員容易向老闆推薦的，這些都會是比較好賣的產品。陳昱寧認為，安全的賣點即是便利性，如何讓產品安全又方便操作就容易銷售。

對政府的期待

　　政府這幾年大力推動資安，與民間業者建立資安維護的夥伴關係，也擴大了國內資安市場，但速度和力道趕不及整個大環境的變化，實在無法滿足國產商殷切企盼的眼神。期待政府未來亦可學習美國對法規的重視，從法規和標準制度著手，帶動台灣資安產業發展，讓國產商在台灣就有很好的練兵場，更能走向國際市場。

　　北美台灣工程師協會表示，協會本身能運用組織的功能和在美的人脈關係，盼能成為台灣與美國接軌的橋樑。另外，工業局已成立的「安全產業推動辦公室」，為期四年的計畫，主要面向在推動資安、安全器材、工安、消防、通訊安全等，諸多資安推動計畫已在進行；工業局在會中亦誠摯表達，希望國產商不吝與工業局多溝通，透過更多的謀合，共同為資安產業注入更多力量。