隨著金融海嘯的風暴席捲而來,企業也不斷傳出縮減人事的消息,在這個不景氣的年代,學習永遠是最好的投資,如何讓自己成為不可取代的人才,就需要去重新檢視自己的技能,而增強資安方面的知識,將是一條長久可行的道路。
隨著資安事件不斷地發生,以及政府相關單位的重視與要求,資訊安全已成為近年來熱門的話題,但是,企業普遍都有優秀的網管人員,卻缺乏可用的專責資安人員。根據MIC在2007年針對台灣大型企業資安現況的報告指出,有七成大型企業的資安人力配置低於2人,其中5.6%根本沒有設置任何資安人力,而僅配置1人的大型企業也佔有30.4%,可以看出多數大型企業的資安人力配置明顯不足。
目前,許多企業的資安工作,仍是交由資訊部門來主導負責,因此對網管人員來說,除了確保網路連線順暢的既有任務之外,防制可能的網路攻擊也成為必要的責任,但是該如何去防治千變萬化的網路攻擊手法,若缺少適當的學習方式與管道,資安工作就會變成是個沈重的負擔,尤其是資安涵蓋的層面太廣,如果沒有適當的認知與學習方法,恐怕也會迷失在茫茫的資安大海之中。
資安人員的角色職責
根據個人的觀察,目前企業普遍欠缺的仍以資安技術人員為主,因為需要他們來協助建置維護相關的網路安全設備,例如防火牆、入侵偵測系統和防毒系統等。
不過,也有企業是為了導入完整的資訊安全管理系統,因此更需要了解如ISO27001等國際標準的資安人才,來協助導入符合資安標準要求的各項政策與作業規範。
所以,如果想要讓自己能夠在企業中有所發揮,變身成為資安人才,是讓自己不被取代的好方法。不過,在此之前需要先了解目前資安人員的角色與職責,依據本身已具有的專業技能,並評估企業目前的實際需求,再來決定要朝哪個角色職務來邁進。
基本上,資安人員的角色可分為以下幾種:
─主要職責在於確保網路通訊安全、進行資安弱點評估、協助IT日常營運與與資安事件處理、系統與應用程式安全、負責資安產品開發、資安設備的建置與維護等,例如資安工程師、資安分析師、資安架構師等。
─主要職責在於制定資安政策、進行資安風險管理、資安事件應變管理、評估企業的營運持續與資安法規遵循,在企業中這屬於較高階層的管理職務,例如像是資訊長、資安官、資安小組召集人等。
─主要職責為協助企業進行資安標準與法規遵循的稽核工作,例如資安稽核人員或電腦稽核人員。
─主要職責為進行資安事件現場鑑識調查、數位證據之蒐集檢驗與分析報告,以及擔任法院訟訴時的專家證人。在台灣主要仍以檢警調相關單位為主,像是調查局鑑識人員、刑事警察局鑑識人員和犯罪現場鑑識人員。
─主要職責範圍為給予企業資安標準或產品導入建議、協助進行資安風險分析評估、資安治理諮詢建議,以及執行資安教育訓練等,常見的職稱有資安顧問、風險管理顧問和ISMS顧問。
資安人員必備的基礎知識
若想了解成為一位IT的資安人員,到底該具備哪些基礎知識,建議可參考2007年10月由美國國土安全部所發布的「Information Technology Security Essential Body of Knowledge (IT Security EBK)」,全文可以至「http://www.us-cert.gov/ITSecurityEBK/」網址下載。
以下則列出其12項知識領域項目,能作為網管人員在決定資安學習方向的參考:
●Data Security(資料安全)
●Digital Forensics(數位鑑識)
●Enterprise Continuity(企業營運持續)
●Incident Management(事件管理)
●IT Security Training and Awareness(IT安全教育訓練)
●IT Systems Operations and Maintenance(IT系統營運與維護)
●Network Security and Telecommunications(網路與通訊安全)
●Personnel Security(人員安全)
●Physical and Environment Security(實體與環境安全)
●Procurement(設備採購)
●Regulatory and Standards Compliance(法規與標準遵循)
●Risk Management(風險管理)
●Strategic Management(策略管理)
●System and Application Security(系統與應用程式安全)
如果網管人員對以上的知識領域有興趣,想要更進一步地去學習,但卻又不知該如何著手,建議可以從準備考取資安證照的方式來著手,因為證照所要求的專業知識,和IT Security EBK的領域有許多雷同的地方,若是還能藉由參與相關資安證照的訓練課程,那麼更是增強資安實力的最快方法。
資安證照的專業知識領域
目前國際間最知名的資安證照,非CISSP莫屬,CISSP是由國際非營利組織(ISC)2所提供的資訊安全專家資格證照,它設定的對象為負責制定資訊安全政策、推行資安管理標準的資訊安全專家,並且更獲得了美國國家標準學會有關資訊安全的ISO/IEC 17024證書標準。
換句話說,此一證書可作為全球專業人員資格認證標準,確保已擁有資安各範疇之專業能力,CISSP的知識領域如表1所示。
| 表1 CISSP證照十大知識領域 |
| 1.存取控制 |
6.法規遵循與調查 |
| 2.應用程式安全 |
7.作業安全 |
| 3.業務持續與災害復原計畫 |
8.實體(環境)安全 |
| 4.密碼學 |
9.安全架構與設計 |
| 5.資訊安全與風險管理 |
10.通訊與網路安全 |
另一張很適合網管人員來取得的資安證照是CEH(Certified Ethical Hacker ),它是由國際電子商務顧問局(International Council of E-Commerce Consultants,EC-Council)所推出。
此一課程介紹駭客常用的工具與方法,以實際了解駭客行為,進而懂得如何保護網路與系統免受攻擊,並可學習如何去制定攻防策略,以防堵不法駭客的入侵。
EC-Council的課程及證照已經獲得許多知名公司或政府單位的認同,包括Canon、HP、Sony、US Military、FBI、CIA、US Army等,其涵蓋的知識領域如表2所示。
| 表2 CEH證照之知識領域 |
| 1.倫理與法律 |
12.網站應用程式的弱點 |
| 2.足跡 |
13.密碼破解技術 |
| 3.網路掃瞄技術 |
14.資料隱碼的入侵模式 |
| 4.列舉 |
15.入侵無線網路系統 |
| 5.電腦系統入侵 |
16.病毒與病蟲 |
| 6.木馬程式與後門程式 |
17.實體安全 |
| 7.封包監聽 |
18.入侵Linux系統 |
| 8.阻斷服務 |
19.入侵偵測系統、防火牆與網路誘陷系統 |
| 9.社交工程 |
20.緩衝區溢位 |
| 10.連線劫持 |
21.密碼學 |
| 11.網站入侵 |
22.滲透測試方法 |
第三張個人推薦的資安證照是CompTIA Security+,它適合想要全面性的了解資安各個領域,以及剛接觸資安不久的網管人員,它是由成立於1980年,總部設於美國華盛頓的美國電腦協會(Computing Technology Industry Association,CompTIA)所推出,此協會致力於協助全球資訊產業發展、政府資訊產業政策制定與資訊技術的認證,會員遍佈102個國家,是全球性的電腦技術協會組織,也是全球最大的獨立認證機構,此一證照涵蓋的知識領域如表3所示。
| 表3 CompTIA Security+證照知識領域 |
| 1.安全概要 |
7.密碼學基本原理 |
| 2.攻擊、惡意軟體與威脅 |
8.密碼學的應用 |
| 3.網路基礎建設安全—基本安全概念 |
9.認證、授權與存取控制 |
| 4.網路基礎建設安全—IDS/IPS、事件處理 |
10.安全政策與管理 |
| 5.弱點與稽核 |
11.作業安全、營運持續與災難復原計畫 |
| 6.通訊安全與對策 |
12.其他安全相關課題 |
變身成為多重能力的人才
知名的趨勢大師大前研一說過,大多數的專業人才,都屬於擁有單一技能的「T型人」,就像網管人員一樣,持續在單一領域裡不斷鑽研,最終成為網路管理的專家,但是可別忘了T型人只有一隻腳,除非真正進入一家仰賴單一專業技術的企業,否則在這個專業外包且成本更低的年代,只懂得單一技能的人員,就會產生被取代的潛在風險。
因此,僅有單一技能是不夠的,我們應該想辦法讓自己成為一個「兀型人」,也就是讓自己具備「網管+資安」的兩種專長,有了二隻腳就能夠站得更穩、看得更遠,甚至還能跑的更快,藉由不斷學習新知識領域的過程,使自己具備各項整合的專業能力,才能打敗不景氣,同時能往更高一層的職務邁進。