觀點

資安服務廠商5力分析 (一) 資安服務能力評比 挑選你的優良服務廠商

2012 / 02 / 02
吳依恂
資安服務廠商5力分析 (一)  資安服務能力評比  挑選你的優良服務廠商

本篇先就調查資料進行基本分析,其餘數篇文章將有更多針對各產業別的分析報告及圖表,解讀問卷調查結果。

資安市場上主要提供服務類型

1.資安系統整合(SI)建置服務:指的是當企業在導入資安基礎建設時,所需要的資安系統整合服務,如導入防火牆、IPSUTM、防毒等,所需要的建置、設定服務,亦包括該些項目的代管服務。

 

2.委外代管服務供應MSSP(Managed Security Service Providers )SOC(Security Operation Center)廠商服務:大體而言都是資安監控中心,而有不同的營運、服務模式。MSSP是將企業本身的資安設備Log資料交由委外廠商的SOC全權監控管理,而後者指的是企業自建SOC,有些企業需要委外廠商提供到企業駐點的服務。

 

3.弱點掃描(VA, Vulnerability Assessment)、滲透測試(PT, Penetration Test) 及緊急資安緊急應變處理(ERS, Emergency Response System)。這屬於企業資安健檢服務,系統上線之前可透過VA工具掃描出不安全的程式,平日亦可定期檢查、產出報告以符合法規遵循、內外稽核需求。PT則以專業技術能力,嘗試以駭客心理、手段,找出企業中可能有的資安威脅。

4.其他尚有管理顧問服務與資安認知教育訓練,企業可透過管理顧問服務重新審視現有架構,台灣多半是在導入國際資安驗證時會導入此服務,以政府及大型企業比例最高。

不分產業、規模,所有服務被採用比例

在此次的調查當中,以被採用的各種資安服務比例來看,以VA/PT最高,佔8成左右。政府、金融、醫療、教育產業,至少都因為法規稽核的要求,所以有這方面的服務需求,其中又以VA服務為最。但此現象在政府單位卻又有不少案例,主要是行政院國家資通安全會報技術服務中心也可以提供此項服務給政府單位另外,第二、三名分別為系統整與資安認知,都超過六成五,顯見此3種資安服務較多需求,也被企業普遍接受(圖1)。

 

從企業規模,看採取資安服務比例

以系統整合的採用來說,500人以上企業有65%,而100人以下企業則略高於平均值,此一現象在於本問卷中,採用者多為政府及電子商務產業。以管理顧問服務與資安認知訓練來說,一般在導入國際資安驗證時,通常也會將資安認知的教育訓練納入採購服務當中,因此推測兩者應為正相關。這點在千人以上大企業方面差距較小,57%採用管理顧問服務,且有65%導入資安認知服務。但差距出現在100~500人的中型企業,管理顧問服務55%,資安認知服務卻有80%,顯見中型企業目前較不考慮導入驗證標準,傾向於加強資安認知訓練。

ERS服務採用比例平均偏低,不分規模、產業別約有29%採用。但100~500人規模的採用比例卻有35%高於平均,本調查中此規模企業有4成為零售流通服務業,4成為政府產業。前者由於有較多對End user的網站窗口,因此多半採購此類服務多半與弱掃、滲透測試綁在一起,後者則有包在SOC專案裡一大包的狀況。