引言：信息安全是管理問題，而非單純的技術問題
近年來，企業(yè)的經營愈來愈困難。除了經濟景氣的循環(huán)之外，天災人禍頻仍，讓企業(yè)的營運更加艱困。在這樣的的環(huán)境下，如何讓營運不中斷，成為企業(yè)最重要的課題之一。當災害來臨時，能持續(xù)營運而不中斷的企業(yè)，才能保有其競爭力。除了地震、洪水、非典，以及禽流感等天災之外，企業(yè)營運大量仰賴信息以及網絡系統(tǒng)，也讓信息安全上的災害，成為中斷企業(yè)營運，造成嚴重損失的重大人禍之一。

信息安全疫情爆發(fā)的最大損失，并非有形的災害，而是營運中斷所導致的商機流失。因此，信息安全的第一要務是將企業(yè)營運危機降至最少。而傳統(tǒng)僅能掃描和刪除病毒的防毒軟件，已經不足以讓企業(yè)遠離信息安全暴風圈。病毒、垃圾郵件和其它惡意程序的暴增與詭譎多變，造成信息和數據安全極大的威脅。這些快速成長和不斷演化的安全威脅，讓防護工作的難度大大提高。

威脅已經從外部轉向內部
根據美國洋基集團（Yankee Group）一項針對北美和西歐六百家公司的調查顯示，2004年的安全問題有5成源自內部，高于前一年的3成。該集團表示：「威脅已從外部轉向內部」。每年企業(yè)界動輒投資上千萬防毒防黑，但企業(yè)防御失效的另一個容易被忽略的問題是：來自員工、廠商或其它合法使用系統(tǒng)者的內部濫用。在漏洞攻擊愈來愈快速的今日，有可能因為一個訪客攜入的計算機而癱瘓幾千萬IT設備。

隱性破壞，難以察覺
從病毒造成破壞的情況來看，系統(tǒng)與網絡無法使用、瀏覽器配置被修改、使用受限和數據部分流失是病毒的主要破壞方式，其中針對網絡的破壞呈現上升趨勢。這些破壞都屬于顯性破壞形式，易發(fā)現、后果明顯，容易恢復。然而近期針對盜取各類敏感信息的木馬程序呈現上升趨勢。這種盜取活動往往較為隱秘，用戶難于發(fā)現，屬于隱性破壞，具有隱蔽性強、危害性大、目標明確的特點。攻擊目標集中在用戶的銀行賬號、網絡游戲的裝備等信息和虛擬資產，將是今后病毒的主要破壞形式。

病毒感染率持續(xù)居高不下
全球網絡病毒感染率自2001年以來一直處于高水平。感染過網絡病毒的企業(yè)用戶數量占被調查總數的73%，2002年為83.98%，2003年增長到85.57%，2004年網絡病毒的感染率達到87.93%。

圖中所示： - 2004 年與 2005 年的這段期間所偵測到的計算機病毒幾乎一樣都是1300個，相較于 2004 年，2005 年的第二季與第三季所偵測到計算機病毒總數都增加了一倍。去年第三季的數量為 2675 個，而今年的數量為 4716 個，逼近 5000 大關

大多數企業(yè)忽略了信息安全管理的重要
為何這么多的企業(yè)花費高昂的成本添購信息安全設備，但病毒爆發(fā)的烽火未曾在企業(yè)網絡銷聲匿跡？細究其原因，我們不難發(fā)現，太多的企業(yè)把信息安全當作技術問題來處理，而忽略了管理的重要。許多企業(yè)盡管擁有了先進而昂貴的信息安全設備，但「政策」或「人」往往無法配合，產生了很大問題。比如系統(tǒng)缺乏妥善的監(jiān)控與持續(xù)的警覺性、錯誤的設定等等。因此最好的信息安全設備，未必是最安全的設備，因為許多安全問題，不是因為產品的功能不佳造成的；即使企業(yè)上了層層關卡，卻可能因為被破解的管理者密碼、help desk維修后未關閉的開放權限、輕易分享所有人的網絡數據夾….等管理盲點，為黑客及病毒開啟了許多后門。因此，我們不難發(fā)現，企業(yè)信息安全是管理問題，而非單純的技術問題。唯有妥善的管理，才能降低風險，避免不必要的損失，并能持續(xù)企業(yè)的營運，積極地掌握每一個商機。

這樣的描述，也許無法讓您深刻了解信息安全問題的本質。我們提供以下十個信息安全管理測試問題，讓您進一步地檢視您的組織中信息安全的狀況。

1)您能隨時提出上個月有多少計算機遭感染、多少計算機因此無法運作、平均復原時間有多長…等安全管理報告嗎？
2)您知道哪些機器的port 6667總是開啟著，成為 bot 黑客 程序進出系統(tǒng)的后門
3)您能確認漏洞發(fā)布后的4天內完成所有修正程序的安裝，沒有任何一臺機器有漏洞，使病毒與黑客有機可趁嗎？
4)您知道貴公司中，那些使用者總是打開網絡釣魚頁面，或誤開別有用心的色情文件嗎？如何隔離或處理這個高危險人群呢?
5)您能確認貴公司現行的防毒與信息安全軟件足以對抗任何型態(tài)的網絡威脅嗎？
6)您能確認貴公司現行的網絡安全基礎架構，適合貴公司的現狀嗎？
7)您能明確說明貴公司目前投資的安全方案，投資回報率有多少嗎？
8)您能正確客觀的評估組織的防毒能力，了解那些信息安全警報值得花時間分析，并提出改善目標以及其優(yōu)先級嗎？
9)每次病毒爆發(fā)事件，您都能從容不迫地協(xié)調所有相關人員，并實時應變嗎？
10)您能24小時全年無休地監(jiān)控網絡異常活動、封鎖內部安全缺口，實時解決網絡威脅隱患嗎？

如果您無法回答所有的問題，表示您目前完全依賴防毒產品以及被動的技術支持，來解決信息安全問題。換言之，您仍然將信息安全當做技術問題來處理，忽略了管理的重要性。這樣的做法，可能會讓貴公司在不知不覺中，成為下一波網絡攻擊的目標，以及未來病毒爆發(fā)受創(chuàng)最深的公司之一。

在這樣的前提之下，到底哪些管理問題，是企業(yè)信息安全最大的挑戰(zhàn)呢?

網管員面臨的六大管理難題
根據趨勢科技全球防毒研發(fā)暨技術支持中心TrendLabs分析歸納指出，企業(yè)信息管理部門目前面臨的信息安全管理難題，主要有以下六點：

1)光靠防毒及其它信息安全軟硬件，并不足以對抗網絡威脅
2)針對漏洞發(fā)出的攻擊，讓人根本來不及反應
3)沒有人能夠24 小時全年無休工作。（除了間諜軟件等惡意程序）
4)缺乏中毒的網絡管理日志歷史數據，無法擬定正確的防毒策略與管理計劃
5)員工總是無法從每次病毒災難中記取教訓
6)商機與商譽，在網絡恢復運作之前，只能眼睜睜地流失

這些信息安全管理上的難題，往往并非企業(yè)中的信息部門人員可以獨力解決的。許多企業(yè)將所有的問題歸咎于信息部門人員，不但不公平，同時也無法真正解決問題。信息部門多樣而繁雜的工作，以及有限的人力，使得信息安全管理的工作，成為其沉重而無法獨力承擔的責任。有時問題出在哪里，不容易察覺，更遑論災害事前的預防；而有時即使可以找出問題，但種種資源上的限制，如人力不足、工作繁重等，使得問題無法被解決。因此，尋求專家的協(xié)助，是確實而有效解決信息安全管理問題的最佳途徑。

信息安全服務：未雨綢繆化解威脅
信息安全專家所提供的服務方案，應針對威脅周期的每個階段，提供企業(yè)所需的服務。以人類的健康檢查作為比喻，信息安全專家應不只是被動地拿著處方箋開藥的藥劑師，而應扮演企業(yè)的「全天候健康管理顧問」與「專屬醫(yī)生」的角色。為了讓企業(yè)在連上網絡時，不至于因病毒事件影響企業(yè)運作，專家服務方案應在網絡世界扮演著類似世界衛(wèi)生組織角色，對于各種威脅網絡健康的疫情，都能主動防護、密切的監(jiān)控并提供解決方案。

在禽流感疫情逐漸擴散期間，世界衛(wèi)生組織為避免禽流感成為全球性的災難，主動協(xié)助各國衛(wèi)生單位進行相關檢驗（診斷），公布禽流感高危險區(qū)域，并提出防制之道（規(guī)劃），發(fā)布各疫區(qū)威脅等級，協(xié)助處理最新爆發(fā)的致命疫情（執(zhí)行），嚴密監(jiān)控疑似病例并觀察是否已轉為更加致命的型態(tài)（監(jiān)控）。一旦某區(qū)域爆發(fā)變種疫情，世界衛(wèi)生組織會迅速提出控制疫情改善方案。同樣地，持續(xù)監(jiān)控應是信息安全專家服務方案的主要著眼點，在全天候中央管理的持續(xù)監(jiān)控下，一有風吹草動，網絡安全專家立即出動提供所需服務。24×7的實時且專人不間斷監(jiān)控，就好比在企業(yè)網絡植入隱形芯片追蹤一般，隨時掌握狀況，化解未知威脅。這樣的做法，能夠比客戶更早掌握狀況，且可在第一時間內主動防御，在災害未發(fā)生或規(guī)模不大時，就將問題解決，而不是等到災害大量擴散至整個企業(yè)時，再來收拾殘局。

也許有人會說，企業(yè)可以自行進行監(jiān)控，來達到及早預防的目的。但問題是，企業(yè)可能擁有各項信息安全管理工具，卻不見得知道如何著手建立信息安全架構。就像網絡生病了，卻不知道買回的成藥，是否適合企業(yè)體質一樣。而通過信息安全專家的監(jiān)控中心，持續(xù)分析企業(yè)內部的安全事件，建立企業(yè)內部防毒效能的安全指標，找出企業(yè)內部的安全隱患，并提供專業(yè)的解決方案和建議來改善企業(yè)內部的防毒效果，應該是一個更妥善的方式。以保安業(yè)來模擬，多數的企業(yè)通常并不自行征聘內部人員，來做辦公大樓的安全監(jiān)控，而是尋求保安公司的專家協(xié)助。主要的原因，并不在于不知道如何采購大樓的錄像監(jiān)控設備，而是希望能夠借重保全專家的知識及經驗，達到有效的監(jiān)控。

我們認為，成功的防毒專家服務方案，應該要針對內部的隱性威脅，診療把脈，量身訂作，提供未雨綢繆的預防性維護，以防止病毒爆發(fā)，并確保營運不中斷。尤其重要的是，這些防毒專家服務方案，應該提供全天候戒備的防毒專家、安全威脅生命周期(security threat lifecycle)的全程管理，再加上通過獨特的評量方法，來評估顧客的安全防護效果。