UTM选购:投资报酬率效益分析攻略

      以一家拥有几百人规模,具备防火墙及企业防病毒软件等基础安全防护措施的中小企业来说,其IT管理人员在经过种种市场安全产品的浏览评估之后,最终决定采购UTM设备,那么,该如何透过投资报酬率之计算分析,来说服企业负责人同意此一采购案呢?解决上述问题的方法很多,但基本的标准作业流程,不外先列举当前企业面临的安全新难题,接着寻求市场解决方案,然后再比较各产品之目标达标率,结合总支出成本、营收及附加效益之比重,即可提供内含效益比对分析的IT采购提案书。

  对于企业用户而言,UTM最让人疑虑的地方,就是效能,当UTM所有功能全部开启时,其中影响整体效能最大的安全功能,则是网关防毒。对此,管理者只要根据企业实际需求,拟定出企业网络总吞吐量的底线,然后再依此作为UTM网关防毒的基本传输速率即可。

  换句话说,若该企业限定网络总传输量务必在100Mbps以上,那么,只要将选择范围限定在网关防毒效能最高必须达到100Mbps的UTM机种即可,如此一来,效能即不再构成问题;接着,只要就此范畴内的UTM机种与其它单个功能的安全方案进行ROI效益比对分析即可。

  UTM采购ROI比对评估事项

  虽然当前对于IT投资报酬率(ROI)的计算方式各有不同,不过,各种算法多少皆可作为ROI比对分析上的参考依据。本文则以下列公式作为采购效益的分析基准:

  ROI=(效益+营收)/总成本

  上述公式中,所谓营收,是指导入UTM设备之后所增加的营业额,不过,在此先假设营收不变,暂且撇开不谈。由此公式推知,针对UTM采购的ROI比对评估要项,大致可分成效益及成本两个方面,其中就效益来说,各效益项目之加总数值愈高,则ROI的效益也愈好。

  以下先介绍有哪些可比对的重点项目:

  1.功能的完备性-前文已提及,只要限定机种范围,效能即不构成问题。但是UTM既然集众多安全功能于一身,比起单一功能的安全产品来说,其相对应功能的完备性,势必会较差一些,例如IDS特征码数量较少,抑或病毒码更新较慢,再不然,虽可阻挡垃圾邮件,但却不支持Image Spam的过滤等等。

  不同品牌的UTM即使效能相同,但是基于厂商本身的技术背景不同,可能各有擅长的领域,而使某些安全功能较完备,而某些功能较薄弱。功能的完备性对企业安全目标之达成,有一定程度的影响,虽然大部分功能的ROI分析,可能需要在实际部署安装之后才能进行评估,但是管理及采购人员仍可就厂商列举的规格(例如特征码数、更新频率等),或透过不同产品提供的短期试用,来进行较初步的评估比对。

  2.部署的难易度-安装1台UTM,与安装多台不同安全设备,在安装复杂度上,自然不可同日而语。而且前者各功能可1次立即上线,至于后者,则必须依序完成安装工作。

      3.可管理性-由于UTM将多种功能整合在一起,比起必须同时管理多台安全设备的情况,无论是设定最佳化、不同功能间的协同运作、维修排错等管理效益,都明显高得多,毕竟,多台安全设备不但需要分别熟悉其各自的管理设定接口,甚至可能需要由不同的管理者,分别进行维护管理,如此一来,集中控管及协同运作的效益将大打折扣。至于UTM间的比较,则在于管理接口的好坏。

  4.整合性-面对各种不同安全威胁,UTM设备无论在协同防护上,或报表统一分析上,其整合性大致会比单功能产品来得好,而且多种不同的安全设备之间,也不排除可能发生兼容性的问题,至于UTM的各安全功能之间,基本上不会造成顾虑。但是,一些UTM产品若同时整合太多非自行开发的安全功能,或许会在版本更新之际,引发新的兼容性问题。

  5.可靠性-相对而言,集多功于一身的UTM,可能会有负荷过重的状况,比起专属单功能的设备来说,长久运行下的使用寿命可能会有差别。此外,UTM一旦发生问题,将产生所有安全功能皆无法正常作用的风险;相反,多台安全设备,即使其中1台出状况,其它安全功能仍可正常运作。

  6.预算目标达标率-即可降低的预算幅度。如果该企业的年度预算为20万元,当前适用于百人规模中小企业的UTM建议售价大约20万元左右,但实际上则多半以五折价格成交,那么,该UTM不但符合预算目标及企业安全需求,甚至还更进一步省下10万元。

  若1次购买多台安全设备,例如同时购买IDS/IPS、防毒墙或内含网关防毒及反垃圾邮件的内容过滤设备,以及SSL VPN,加总起来至少也要30万元左右,如此一来,便多出10万元的预算,若非要顾及安全防护的全面性,就得追加预算才可达成;若要顾及预算,那么,势必无法兼顾某些安全需求,相对的,现存的部分安全问题也将无法解决。

  接下来要比对的,是成本面的各评估项目,其全部加总即为总成本(TCO),其数值愈高,则ROI效益愈差,反之则愈佳,以下共列举5项较重要的成本比对项目:

  1.采购成本-亦即预采购IT投资项目的产品成交价,依前文所述,已经分析过

  2.管理成本-管理成本大致包括管理负担、管理时间成本2项,毕竟多台设备之间各有专属设定及管理接口,在缺乏集中管理的状况下,管理者不但要分别熟悉上手,同时必须分别管理,管理复杂度及负担自然较重,管理时间也较分散而浪费。相对的,UTM的管理负担则较轻,管理人员较有余力从事其它管理或具生产力的工作。

  3.学习成本-对于管理人力资源有限的中小企业而言,1人同时控管多台网络与安全基础设施的情形十分普遍,尤其在面对多台全新安全设备时,势必要耗费极大的时间及心力,去熟悉各项设备的功能设定与操作接口等细节,管理人员、甚至企业端点使用者,都需要接受额外的教育训练,如此一来,管理者及其它同仁便需耗费许多额外的时间。反观单台UTM之相对学习成本比较低。

  4.安装维护成本-通常第1次或保修期内的到场安装服务应属免费,之后若机器故障,安装替代机或修复机器的费用,只要在保修期内,亦为免费,但是过了保修期(通常1年)之后,则必须额外签署维护合约。如果同时购置多台安全设备,过保修期之后,可能要分别另购维护合约,相对花费也较高一些。除此之外,一旦设备出现问题时,管理人员还得通过不同连络窗口来解决问题,无异形成另一种管理维护上的负担。

  5.软件更新成本-一般来说,安全设备内建的软件保修期,多半会比硬件来得短,约3个月,因此,很可能设备还在使用期间,但是企业必须另付软件更新费用,同样的,设备愈多,这方面的成本也愈高。