隨著資安事件不斷地發生,以及政府相關單位的重視與要求,資訊安全已成為近年來很熱門的話題,但是,企業普遍都有優秀的網管人員,卻缺乏可用的專責資安人員。根據MIC在2007年針對台灣大型企業資安現況的報告指出,有七成大型企業的資安人力配置低於2人,其中5.6%根本沒有設置任何資安人力,而僅配置1人的大型企業也佔有30.4%,可看出多數大型企業的資安人力配置明顯不足。
目前,許多企業的資安工作,仍是交由資訊部門來主導負責,因此對資訊人員來說,除了確保網路連線順暢的既有任務之外,防制可能的網路攻擊也成為必要的責任,但是該如何去防治千變萬化的網路攻擊手法,若缺少適當的學習方式與管道,資安工作就會變成是個沈重的負擔,尤其是資安涵蓋的層面太廣,如果沒有適當的認知與學習方法,恐怕也會迷失在茫茫的資安大海之中。
資安人員的角色職責
根據個人的觀察,目前企業普遍欠缺的仍以資安技術人員為主,因為需要他們來協助建置維護相關的網路安全設備,例如防火牆、入侵偵測系統和防毒系統等。不過,也有企業是為了導入完整的資訊安全管理系統,因此更需要了解如ISO 27001等國際標準的資安人才,來協助導入符合資安標準要求的各項政策與作業規範。
所以,如果想要讓自己能夠在企業中有所發揮,變身成為資安人才,是讓自己不被取代的好方法。不過,我們需要先了解目前資安人員的角色與職責,依據本身已具有的專業技能,並評估企業目前的實際需求,再來決定要朝哪個角色職務來邁進。基本上,資安人員的角色可分為以下幾種:
- 資安技術人員 - 主要職責在於確保網路通訊安全、進行資安弱點評估、協助IT日常營運與與資安事件處理、系統與應用程式安全、負責資安產品開發、資安設備的建置與維護等,例如資安工程師、資安分析師、資安架構師等。
- 資安管理人員 - 主要職責在於制定資安政策、進行資安風險管理、資安事件應變管理、評估企業的營運持續與資安法規遵循,在企業中這屬於較高階層的管理職務,例如像是資訊長、資安官、資安小組召集人等。
- 資安稽核人員 - 主要職責為協助企業進行資安標準與法規遵循的稽核工作,例如資安稽核人員或電腦稽核人員。
- 資安鑑識人員 - 主要職責為進行資安事件現場鑑識調查、數位證據之蒐集檢驗與分析報告,以及擔任法院訟訴時的專家證人。在台灣主要仍以檢警調相關單位為主,像是調查局鑑識人員、刑事警察局鑑識人員和犯罪現場鑑識人員。
- 資安顧問人員 - 主要職責範圍為給予企業資安標準或產品導入建議、協助進行資安風險分析評估、資安治理諮詢建議,以及執行資安教育訓練等,常見的職稱有資安顧問、風險管理顧問和ISMS顧問。
若想了解成為一位專業的資安人員,到底該具備哪些基礎知識,建議可參考2007年10月由美國國土安全部所發布的:Information Technology Security Essential Body of Knowledge (IT Security EBK),以下是其14項知識領域項目,可作為您在決定資安學習方向的參考:
- Data Security (資料安全)
- Digital Forensics (數位鑑識)
- Enterprise Continuity (企業營運持續)
- Incident Management (事件管理)
- IT Security Training and Awareness (IT安全教育訓練)
- IT Systems Operations and Maintenance (IT系統營運與維護)
- Network Security and Telecommunications (網路與通訊安全)
- Personnel Security (人員安全)
- Physical and Environment Security (實體與環境安全)
- Procurement (設備採購)
- Regulatory and Standards Compliance (法規與標準遵循)
- Risk Management (風險管理)
- Strategic Management (策略管理)
- System and Application Security (系統與應用程式安全)
如果您對以上的知識領域有興趣,想要更進一步地去學習,但卻又不知該如何著手,建議可以從準備考取資安證照的方式來著手,因為證照所要求的專業知識,和IT Security EBK的領域有許多雷同的地方,若是還能藉由參與相關資安證照的訓練課程,那麼更是增強自己資安實力的最快方法。
資安證照的專業知識領域
目前國際間最知名的資安證照,非CISSP莫屬,CISSP是由國際非營利組織(ISC)2所提供的資訊安全專家資格證照,它設定的對象為負責制定資訊安全政策、推行資安管理標準的資訊安全專家,並且更獲得了美國國家標準學會有關資訊安全的ISO/IEC 17024證書標準,換句話說,此一證書可作為全球專業人員資格認證標準,確保已擁有資安各範疇之專業能力,CISSP的知識領域如表一所示。
資安證照的專業知識領域
目前國際間最知名的資安證照,非CISSP莫屬,CISSP是由國際非營利組織(ISC)2所提供的資訊安全專家資格證照,它設定的對象為負責制定資訊安全政策、推行資安管理標準的資訊安全專家,並且更獲得了美國國家標準學會有關資訊安全的ISO/IEC 17024證書標準,換句話說,此一證書可作為全球專業人員資格認證標準,確保已擁有資安各範疇之專業能力,CISSP的知識領域如表一所示。
表一:CISSP證照十大知識領域
| 1.存取控制 | 6.法規遵循與調查 |
| 2.應用程式安全 | 7.作業安全 |
| 3.業務持續與災害復原計劃 | 8.實體(環境)安全 |
| 4.密碼學 | 9.安全架構與設計 |
| 5.資訊安全與風險管理 | 10.通訊與網路安全 |
另一張很適合資訊人員來取得的資安證照是CEH(Certified Ethical Hacker ),它是由國際電子商務顧問局(International Council of E-Commerce Consultants;EC-Council)所推出,此一課程介紹駭客常用的工具與方法,以實際了解駭客行為,進而懂得如何保護網路與系統免受攻擊,並可學習如何去制定攻防策略,以防堵不法駭客的入侵。EC-Council的課程及證照已經獲得許多知名公司或政府單位的認同,包括Canon、HP、Sony、US Military、FBI、CIA、US Army等,其涵蓋的知識領域如表二所示。
表二:CEH證照之知識領域
| 1.倫理與法律 | 12.網站應用程式的弱點 |
| 2.足跡 | 13.密碼破解技術 |
| 3.網路掃瞄技術 | 14.資料隱碼的入侵模式 |
| 4.列舉 | 15.入侵無線網路系統 |
| 5.電腦系統入侵 | 16.病毒與病蟲 |
| 6.木馬程式與後門程式 | 17.實體安全 |
| 7.封包監聽 | 18.入侵Linux系統 |
| 8.阻斷服務 | 19.入侵偵測系統、防火牆與網路誘陷系統 |
| 9.社交工程 | 20.緩衝區溢位 |
| 10.連線劫持 | 21.密碼學 |
| 11.網站入侵 | 22.滲透測試方法 |
第三張個人推薦的資安證照是CompTIA Security+,它適合想要全面性的了解資安各個領域,以及剛接觸資安不久的相關人員,它是由成立於1980年,總部設於美國華盛頓的美國電腦協會(Computing Technology Industry Association;CompTIA)所推出,此協會致力於協助全球資訊產業發展、政府資訊產業政策制定與資訊技術的認證,會員遍佈102個國家,是全球性的電腦技術協會組織,也是全球最大的獨立認證機構,此一證照涵蓋的知識領域如表三所示。
表三:CompTIA Security+證照知識領域
| 1.安全概要 | 7.密碼學基本原理 |
| 2.攻擊、惡意軟體與威脅 | 8.密碼學的應用 |
| 3.網路基礎建設安全-基本安全概念 | 9.認證、授權與存取控制 |
| 4.網路基礎建設安全- IDS/IPS、事件處理 | 10.安全政策與管理 |
| 5.弱點與稽核 | 11.作業安全、營運持續與 |
| 6.通訊安全與對策 | 12.其他安全相關課題 |
變身成為多重能力的人才
知名的趨勢大師大前研一說過,大多數的專業人才,都屬於擁有單一技能的「T型人」,例如像是網管人員,若持續在單一領域裡不斷鑽研,最終會成為網路管理的專家,但是可別忘了T型人只有一隻腳,除非真正進入一家仰賴單一專業技術的企業,否則在這個專業外包且成本更低的年代,只懂得單一技能的人員,就會產生被取代的潛在風險。
因此,僅有單一技能是不夠的,我們應該想辦法讓自己成為一個「兀型人」,也就是讓自己具備兩種以上的專長,有了兩隻腳之後就能夠站得更穩、看得更遠,甚至還能跑的更快,藉由不斷學習新知識領域的過程,使自己具備各項整合的專業能力,才能打敗不景氣,同時能往更高一層的職務邁進。(本文刊載於2008年12月號網管人雜誌)
1 則留言:
近期有開政府補助課程-資訊安全管理師培訓班
http://eec.uch.edu.tw/web3/index3.asp?cid=307676
張貼留言