根據行政院主計處98年電腦應用概況報告調查顯示,2009年台灣企業與各單位整體資安支出僅佔IT支出的4.92%,總金額較前年(2008)還少7.8億元;而根據媒體報導指出,台灣豐富的寬頻資源以及地利之便,已成為最受國際與中國駭客喜愛的練兵之地。
<p>
兩者相較之下,顯示出來的是國內資訊安全意識與現況之間的鴻溝與危機警訊,對於企業而言更是直接關係著金錢上的損失與市場商譽的毀損。然而相較於其他IT設備,資訊安全卻是「沒事才是萬幸」的隱性衛兵,在預算和IT部署上總是顯得較為弱勢。此時不需自行建置與維護的資訊安全委外服務,便成了企業合算的好選擇。
<p>
此次網管人針對國內各家ISP業者以及幾家較具代表性的企業網路服務供應商,所提供的資訊安全委外服務進行廣泛掃描,包括可提供企業的解決方案內容、各家優勢與特色、以及目前資安委外市場現況和企業應瞭解的觀念等,提供全面性的資訊與評估準則,讓企業在面對琳瑯滿目的資安委外服務時,能打好算盤,選擇最適合的服務方案。
是的,對於企業而言,資訊安全就像是人壽保險一樣,不買照樣能好好生活,但就怕出門碰到鬼,半路遇搶劫;不怕一萬,只怕萬一;流汗總比流血好……(咳)這麼說好了,資訊安全防護就像企業的衛兵,保護企業在較無虞的環境穩定中求發展,這樣的需求不論企業規模也不分產業,只要「資訊化」就需要「安全防護」機制。問題來了,原本就有許多資訊基礎建設及應用系統需要管理維護,要成本也要人力,哪來更多的專業人員顧好資訊安全呢?此時,資訊安全委外服務,成了企業可評估考量的好選擇。
本地電信業者 vs.跨國企業網路供應商
不過,市場上琳瑯滿目的資訊安全委外服務,企業應該如何做選擇?人家說,貨比三家不吃虧,就讓我們從服務供應商到資安委外服務內容等面向,一次全數掃過一遍,並提供企業評估選擇的要點與方法,以確保採購更加精準及具投資報酬率。
目前,提供資訊安全委外服務的網路服務廠商主要包括兩種類別,分別是本地電信業者兼網路服務供應商(ISP),像是中華電信(HiNet)、台灣大電訊(TWM Solution)以及遠傳電信(FAREASTONE)等;與可提供跨國企業網路的服務供應商如CPCNet和香港商第一線等。之所以先將服務供應商類別作為前提介紹,主要原因在於,不同類型的服務供應商,可提供的服務各有所長。以本地電信業者來說,可以較具經濟優勢的價格提供企業最直接的服務支援,包括網路資源(如寬頻固網或企業專線以及虛擬專線網路VPN等)與其所相關的資訊安全防護機制,另外各家電信業者也紛紛提供可滿足企業資安基本需求的套裝方案(如中華電信的資安艦隊、台灣大電訊的資安大管家以及遠傳電信的中小企業資安防衛方案等),讓企業可做更精簡的資安配置。
至於跨國企業網路供應商,顧名思義,除了上述服務之外,更強調其優勢在於不受限於地理位置的跨國網路資源以及資訊安全防護解決方案,標榜在各國家地區皆設有資訊中心與網路機房作為服務提供據點,尤其對於擁有兩岸三地各地區分公司據點的跨國企業更為合適採用。
多元資安防護機制任君選擇
基本上,不分供應商類別,各家廠商目前皆致力從不同面向提供企業資安防護機制,如可從SOC(資安監控中心)進行資訊安全事件與資安設備log蒐集,進而分析並提供報表與即時警訊;從ISP端直接控管網路流量與阻擋網路攻擊;提供資安設備設定、管理與維護等技術和人力委外服務等。這些服務可任由企業依照需求個別選擇,也可搭配交叉選擇,更可與ISP提供的網路頻寬資源一併採購,讓單一廠商同時負責網路與資安解決方案。
不過,雖然服務供應商皆表示企業用戶可單獨選擇採購資安服務,不須硬性規定同時採用該家廠商所提供的網路專線,然而廠商們也坦言,如果企業採用的是其他家ISP提供的網路骨幹,許多與網路密不可分的資安防護機制即無法替企業做到把關的動作,如從ISP端過濾網路攻擊、解除DDoS(分散式阻斷服務攻擊)等,而僅能提供像是垃圾郵件防護(Anti-SPAM)、病毒防護(Anti-Virus),或是提供資安技術人力與用戶端安全設備等服務。(更多精彩文章詳見網管人第58期﹚