2009年11月5日 星期四

[觀點] 成為資安人才的學習之路

隨著金融海嘯的風暴席捲而來,企業也不斷傳出縮減人事的消息,在這個不景氣的年代,學習永遠是最好的投資,如何讓自己成為不可取代的人才,就需要去重新檢視自己的技能,而增強資安方面的知識,將是一條長久可行的道路。

隨著資安事件不斷地發生,以及政府相關單位的重視與要求,資訊安全已成為近年來很熱門的話題,但是,企業普遍都有優秀的網管人員,卻缺乏可用的專責資安人員。根據MIC在2007年針對台灣大型企業資安現況的報告指出,有七成大型企業的資安人力配置低於2人,其中5.6%根本沒有設置任何資安人力,而僅配置1人的大型企業也佔有30.4%,可看出多數大型企業的資安人力配置明顯不足。

目前,許多企業的資安工作,仍是交由資訊部門來主導負責,因此對資訊人員來說,除了確保網路連線順暢的既有任務之外,防制可能的網路攻擊也成為必要的責任,但是該如何去防治千變萬化的網路攻擊手法,若缺少適當的學習方式與管道,資安工作就會變成是個沈重的負擔,尤其是資安涵蓋的層面太廣,如果沒有適當的認知與學習方法,恐怕也會迷失在茫茫的資安大海之中。

資安人員的角色職責

根據個人的觀察,目前企業普遍欠缺的仍以資安技術人員為主,因為需要他們來協助建置維護相關的網路安全設備,例如防火牆、入侵偵測系統和防毒系統等。不過,也有企業是為了導入完整的資訊安全管理系統,因此更需要了解如ISO 27001等國際標準的資安人才,來協助導入符合資安標準要求的各項政策與作業規範。

所以,如果想要讓自己能夠在企業中有所發揮,變身成為資安人才,是讓自己不被取代的好方法。不過,我們需要先了解目前資安人員的角色與職責,依據本身已具有的專業技能,並評估企業目前的實際需求,再來決定要朝哪個角色職務來邁進。基本上,資安人員的角色可分為以下幾種:
  1. 資安技術人員 - 主要職責在於確保網路通訊安全、進行資安弱點評估、協助IT日常營運與與資安事件處理、系統與應用程式安全、負責資安產品開發、資安設備的建置與維護等,例如資安工程師、資安分析師、資安架構師等。

  2. 資安管理人員 - 主要職責在於制定資安政策、進行資安風險管理、資安事件應變管理、評估企業的營運持續與資安法規遵循,在企業中這屬於較高階層的管理職務,例如像是資訊長、資安官、資安小組召集人等。

  3. 資安稽核人員 - 主要職責為協助企業進行資安標準與法規遵循的稽核工作,例如資安稽核人員或電腦稽核人員。

  4. 資安鑑識人員 - 主要職責為進行資安事件現場鑑識調查、數位證據之蒐集檢驗與分析報告,以及擔任法院訟訴時的專家證人。在台灣主要仍以檢警調相關單位為主,像是調查局鑑識人員、刑事警察局鑑識人員和犯罪現場鑑識人員。

  5. 資安顧問人員 - 主要職責範圍為給予企業資安標準或產品導入建議、協助進行資安風險分析評估、資安治理諮詢建議,以及執行資安教育訓練等,常見的職稱有資安顧問、風險管理顧問和ISMS顧問。
資安人員必備的基礎知識

若想了解成為一位專業的資安人員,到底該具備哪些基礎知識,建議可參考2007年10月由美國國土安全部所發布的:Information Technology Security Essential Body of Knowledge (IT Security EBK),以下是其14項知識領域項目,可作為您在決定資安學習方向的參考:
  • Data Security (資料安全)
  • Digital Forensics (數位鑑識)
  • Enterprise Continuity (企業營運持續)
  • Incident Management (事件管理)
  • IT Security Training and Awareness (IT安全教育訓練)
  • IT Systems Operations and Maintenance (IT系統營運與維護)
  • Network Security and Telecommunications (網路與通訊安全)
  • Personnel Security (人員安全)
  • Physical and Environment Security (實體與環境安全)
  • Procurement (設備採購)
  • Regulatory and Standards Compliance (法規與標準遵循)
  • Risk Management (風險管理)
  • Strategic Management (策略管理)
  • System and Application Security (系統與應用程式安全)
如果您對以上的知識領域有興趣,想要更進一步地去學習,但卻又不知該如何著手,建議可以從準備考取資安證照的方式來著手,因為證照所要求的專業知識,和IT Security EBK的領域有許多雷同的地方,若是還能藉由參與相關資安證照的訓練課程,那麼更是增強自己資安實力的最快方法。

資安證照的專業知識領域

目前國際間最知名的資安證照,非CISSP莫屬,CISSP是由國際非營利組織(ISC)2所提供的資訊安全專家資格證照,它設定的對象為負責制定資訊安全政策、推行資安管理標準的資訊安全專家,並且更獲得了美國國家標準學會有關資訊安全的ISO/IEC 17024證書標準,換句話說,此一證書可作為全球專業人員資格認證標準,確保已擁有資安各範疇之專業能力,CISSP的知識領域如表一所示。

表一:CISSP證照十大知識領域

1.存取控制

6.法規遵循與調查

2.應用程式安全

7.作業安全

3.業務持續與災害復原計劃

8.實體(環境)安全

4.密碼學

9.安全架構與設計

5.資訊安全與風險管理

10.通訊與網路安全


另一張很適合資訊人員來取得的資安證照是CEH(Certified Ethical Hacker ),它是由國際電子商務顧問局(International Council of E-Commerce Consultants;EC-Council)所推出,此一課程介紹駭客常用的工具與方法,以實際了解駭客行為,進而懂得如何保護網路與系統免受攻擊,並可學習如何去制定攻防策略,以防堵不法駭客的入侵。EC-Council的課程及證照已經獲得許多知名公司或政府單位的認同,包括Canon、HP、Sony、US Military、FBI、CIA、US Army等,其涵蓋的知識領域如表二所示。

表二:CEH證照之知識領域

1.倫理與法律

12.網站應用程式的弱點

2.足跡

13.密碼破解技術

3.網路掃瞄技術

14.資料隱碼的入侵模式

4.列舉

15.入侵無線網路系統

5.電腦系統入侵

16.病毒與病蟲

6.木馬程式與後門程式

17.實體安全

7.封包監聽

18.入侵Linux系統

8.阻斷服務

19.入侵偵測系統、防火牆與網路誘陷系統

9.社交工程

20.緩衝區溢位

10.連線劫持

21.密碼學

11.網站入侵

22.滲透測試方法


第三張個人推薦的資安證照是CompTIA Security+,它適合想要全面性的了解資安各個領域,以及剛接觸資安不久的相關人員,它是由成立於1980年,總部設於美國華盛頓的美國電腦協會(Computing Technology Industry Association;CompTIA)所推出,此協會致力於協助全球資訊產業發展、政府資訊產業政策制定與資訊技術的認證,會員遍佈102個國家,是全球性的電腦技術協會組織,也是全球最大的獨立認證機構,此一證照涵蓋的知識領域如表三所示。

表三:CompTIA Security+證照知識領域

1.安全概要

7.密碼學基本原理

2.攻擊、惡意軟體與威脅

8.密碼學的應用

3.網路基礎建設安全-基本安全概念

9.認證、授權與存取控制

4.網路基礎建設安全- IDS/IPS、事件處理

10.安全政策與管理

5.弱點與稽核

11.作業安全、營運持續與
災難復原計畫

6.通訊安全與對策

12.其他安全相關課題


變身成為多重能力的人才

知名的趨勢大師大前研一說過,大多數的專業人才,都屬於擁有單一技能的「T型人」,例如像是網管人員,若持續在單一領域裡不斷鑽研,最終會成為網路管理的專家,但是可別忘了T型人只有一隻腳,除非真正進入一家仰賴單一專業技術的企業,否則在這個專業外包且成本更低的年代,只懂得單一技能的人員,就會產生被取代的潛在風險。

因此,僅有單一技能是不夠的,我們應該想辦法讓自己成為一個「兀型人」,也就是讓自己具備兩種以上的專長,有了兩隻腳之後就能夠站得更穩、看得更遠,甚至還能跑的更快,藉由不斷學習新知識領域的過程,使自己具備各項整合的專業能力,才能打敗不景氣,同時能往更高一層的職務邁進。(本文刊載於2008年12月號網管人雜誌)

1 則留言:

匿名 提到...

近期有開政府補助課程-資訊安全管理師培訓班
http://eec.uch.edu.tw/web3/index3.asp?cid=307676