記者/蘇伯方
隨著網際網路的普遍應用,資訊安全問題也層出不窮。今天作業系統又有新的漏洞,明天病毒又攻佔了整個區網,半夜還外加首頁被大戰中的駭客插上佔領的旗幟,因此年年都有企業宣示今年是資訊安全年,以示其重視資訊安全,要顧客安心的決心。
Morgan Stanley在2002年針對Fortune 1000大企業CIO所進行的兩次調查,超過四成的CEO對資訊安全軟體有重要的需求。而資策會報告,因為來自政府的大量需求、不斷發生的資安事件以及企業對資安的重視,我國資訊安全市場2003年的規模約達新台幣74億元,較2002年成長了27.9%。在資訊安全產品方面,市場規模達44.8億元,成長率為22.2%。而資訊安全服務方面,市場規模達28.4億元,成長率為34.1%。並且其預估2006年,資訊安全市場總體規模將達到150億元。
目前資訊安全產品市場主要可以分為,防毒軟體、防火牆/VPN、入侵偵測、PKI、安全評估、內容過濾以及其他類的軟體。根據趨勢科技表示,2003年因病毒攻擊企業而造成損失的總額高達550億美元,在未來一年內應會持續增加,去年防毒和防火牆/VPN便居於市場的領導地位。而美國垃圾郵件一年讓企業損失達九十億美元,台灣SOSA調查也發現,網友每日電子信箱中有四成是垃圾郵件,因此Hinet砸下一億元來還給使用者一個乾淨的信箱。也帶動了去年內容過濾產品的市場,成長率高達73%。
從以上的背景可以發現,目前企業總是處於「東補西漏」的狀態,最近什麼問題發生了,某特定產業就會開始起飛,總是亡了羊才來補牢,為了避免損失一再發生。去年許多企業也爭相導入一個國際上主要的資訊安全規範,被稱為BS7799的資訊安全稽核規範 – 由英國標準協會 British Standards Institution提出,全名是 BS7799 Code of Practice for Information Security。
BS7799在1995年提出,目前已經成為ISO的國際標準。BS7799 包含了所有企業安全政策,從安全政策的擬定、安全責任的歸屬、風險的評估、到定義與強化安全參數及存取控制、防毒策略。總共提供127條資訊安全的導引,分為十個標題。DragonSoft表示:「BS7799 是一套相當複雜的資訊安全應用與稽核的標準,但不外乎就是控管(Control)的觀念。定義一套完整的政策、程序、實施與組織化的架構,用來提供合理的保障使企業目標得以達成,並避免、偵測或修正無法預期事件所造成的後果。」
雖然目前有許多企業,包括許多高科技產業如電子、網路、電信等企業都紛紛導入BS7799標準,強調本身在資訊安全稽核、評估以及風險控管上的能力,但是過於強調通過認證,資策會認為這是企業在資訊安全上的一大隱憂。
隨著資訊安全的議題每日每日爆發,許多大型企業應該都會將資安工作交給資訊安全服務公司來進行或者諮詢資訊安全顧問公司。而中小企業應該會在預算的壓力之下,傾向使用整合型的資安軟體,但是資安咨詢服務仍然是中小企業所需求的,資安產品公司應該朝這一方面努力。