陳宛綺
在資安預算與人力吃緊的環境下,單靠企業自身的力量想要防禦來自四面八方、各式各樣的資安威脅是非常困難的。透過外部專業資安廠商的協助與監控,則可以在節省維護人力與採購成本的情況下,達到協同防禦的效果。不過,企業是不是這麼想呢?
資安預算不足與人力吃緊的情況是確實存在的。根據「網路資訊 2008 企業資安現況調查」的結果顯示,2008 年企業的資安預算佔整體 IT 總預算比例 20% 以下的企業高達 72%(參考圖 2);此外,有 62% 的企業,IT 人員的人數在 10 人下,其中 5 人以下的企業更佔了 44%(參考圖 4)。這些數字也顯示出目前企業確實面臨了資安預算與資安人力嚴重不足的情況。
資安委外成長趨緩
正因企業普遍存在資安預算與人力吃緊的壓力,過去業界普遍看好資安委外在臺灣的發展機會,許多廠商投入此市場。但根據本刊的調查顯示,企業對於資安委外服務仍舊是興趣缺缺,在 2008 年有將近 7 成企業並未採用資安委外服務(參考圖 8)。
在此所稱的資安委外是泛指企業將資安相關架構、政策、設備、產品等委託專業廠商代為監控、管理與規劃等。目前國內資安委外服務大致可區分為 4 種型態:資訊安全監控中心 (Security Operation Center, SOC) 、資安代管、顧問服務,以及一次性的服務。 SOC 服務一般是提供 7 天 24 小時全天候遠端監控代管企業內各項資安設備,也就是「全都管、全都看」,國內主要廠商有 Acer eDC 、數聯資安等;資安代管則指企業將部分資安設備或產品委託其他廠商來代管,例如中華電信 HiNet 的資安艦隊服務、趨勢科技的防毒委外專家代管服務 (Expert Service Offering , ESO) 等;另外一種是較接近顧問服務的型態,如 Acer eDC 協助客戶自建 SOC,精誠資訊協助企業通過資安認證等;還有一種是提供客戶定期或一次性的弱點掃瞄、滲透測試等服務。
政府與金融單位是 SOC 主力
根據本刊調查顯示,2008 年度與資安相關的預算支出比例,在「資安委外」的投資最低(參考圖 6)。在眾多資安委外服務中,過去大家普遍看好 SOC,但在發展多年之後,市場狀況不如預期。根據 MIC 的調查顯示,有近 7 成的金融業並未採用 SOC 服務,而在 3 成有採用 SOC 的單位中,7 成是自行建置與維運,只有 3 成是委外建置與代管。顯示出就連對資安最在意的金融業,對於委外資安監控中心的服務也不大感興趣。
……未完(更多內容請參閱網路資訊雜誌 2009 年 1 、 2 月號 206 、 207 期)