隨著Internet的發展及駭客攻擊事件的不斷發生,資訊安全議題逐漸被重視。根據美國FBI(聯邦調查局)與電腦安全協會連續六年針對大型企業、政府部門與學校機構的資訊部門所進行的電腦犯罪與安全調查報告指出,有91%機構在過去一年曾遭受電腦安全破壞事件,損失金額2000年為2.7億美元,2001年則高達3.8億美元,成長42%,並逐年攀升。
在資訊科技普及與人們對其依賴日深的情勢下,資訊安全已成為影響國家發展、社會安定及企業經營的重要課題,而資訊安全產業也在此議題的發燒下逐漸受到矚目。根據Ovum顧問公司的估計,2005年資訊安全市場規模將高達600億美元,較2000年市場成長近十六倍。
而台灣資訊安全市場規模,根據資策會MIC(資訊市場情報中心)的估計,2001年約新台幣50億元,2004年將超過100億元,成長相當迅速,是相當值得廠商投入的明星產業。(見表)
事實上,資訊安全牽涉的範圍極廣,並非單純指病毒危害及駭客的攻擊這些一般民眾較熟悉的問題而已。
其主要包括三大領域,首先是「網路安全」,乃指企業或組織實際運作的資訊系統與網路的安全防護,例如存取控制、入侵偵測等等。
其次是「應用安全」,乃指合法客戶在授權範圍內的資料加密與身份驗證等機制,如資料本身的加密機制與身份驗證,透過CA(Certificate Authority,認證中心),做為統一標準的認證單位。
在應用上包含VPN(Virtual Private Network,虛擬私有網路)及PKI(Public Key Infrastructure,公開金鑰基礎建設)等安全機制。
再其次則是「管理系統安全」,其乃指企業全方位觀念的資訊安全推動,包括了資訊安全政策、人員、實體與環境的安全,電腦與網路管理,系統存取控制,系統開發與維護,業務的永續運作規劃,政策法規遵行……等。
不過管理系統安全這方面的議題一向較被忽略,但值得注意的是,正當公司忙著檢查網路系統是否有可能遭受駭客入侵時,內部員工卻可能利用網路做不當的使用。根據調查顯示,有高達49%的受訪單位曾遭受內部人員未經授權登錄電腦系統,因為許多內部入侵案件很難被偵測出來,相信實際比例更高於此調查數據,所造成的財務損失亦難以估計。
雖說資訊安全已普遍受到關注,但我國在資訊安全的發展上仍有些不足之處有待進一步加強,包括:
公開金鑰基礎建設觀念的有效教育與推廣:公開金鑰基礎建設機制雖然滿足了資訊安全的基本要求,但其使用及申請手續過於繁雜,目前無論個人或企業,雖然都認同安全的重要性,但對公開金鑰基礎建設的使用經驗仍屬缺乏。
交互認證問題有待解決:國內認證中心間所使用的憑證無法相容適用,對於使用者徒增複雜與不便,另外由於電子商務多為全球跨國界行為,因此認證中心與認證中心間,及國與國之間認證中心的交互認證問題亦有待解決。
決策者對資訊安全的警覺性:由於資訊安全投入的多寡看不見成效,一般企業都認為此一投資不會為企業帶來利潤,相反的認為會增加負擔與支出。事實上資訊安全之防護就如同預防火災工作一樣,平常不注意此工作的防護,等到發生時損失已經是非常嚴重。
建立資訊安全管理與稽核準則:國內目前除應參考ISO17799資訊安全管理準則建立相關國家標準外,更應針對不同行業或領域建立不同安全需求等級,並落實稽核制度,協助各組織建立資訊安全管理系統並通過認證。
培養資訊安全專業人才:安全上的風險並非僅源自外界,內部人員的疏失或蓄意破壞,同樣會造成企業或組織資訊安全上的風險。根據美國調查顯示,70%的資訊安全事件是來自企業內部,可見解決「人」的問題,亦為企業建構資訊安全的重要工作。
綜觀資訊安全的發展,筆者認為應同時將其定位為手段與目的,亦即透過重視資訊安全此一手段來發展自有的資訊安全產業,才能有效地建構完整的防護體系,確保國家及企業的永續發展。(作者詹文男為資策會MIC主任,虞金燕為資深產業分析師)