觀點

英國資安教育巡禮

2004 / 05 / 17
英國資安教育巡禮

文/賴左罕


資訊安全,就有如任何一項其他的專業科目,同樣需要透過有結構及系統的教育方式來傳授給對這個領域有興趣的資訊人員。尤其是在最近幾年,因為網際網路(Internet)的快速發展以及企業資訊化的趨勢之下,資訊安全專才的需求是與日俱增。接下來本文將針對英國主要幾間大學所提供的資訊安全相關課程作一基本介紹,並對各科系所提供的職場潛力作一闡述。


在帶入正題前,必須先回答一個很重要的問題。「為什麼要選英國呢?」我想當讀者第一次看到這篇文章的標題時,一定會有這樣的疑問。為什麼要去英國學習資訊安全呢?因為...


優點

* 時間:英國的碩士是一年制 (12 個月),在一年內就可修完。而美國和大部份的國家,碩士課程則是兩年。所以對時間上有考量的學生將會是一項非常重要的因素。

* 課程內容:英國大學著重於其專業的領域,而不只是一般領域中的一小部份。例如:資訊安全碩士就是完全針對資訊安全所設計的課程內容,以有系統的方式教授,而不只是一般資訊管理碩士其下的一門科目。而在美國則是以採修模組學分的方式。

* 產業經驗:英國各大學與各企業間的關係非常密切,資安業界的專業人士時常受邀到學校授課演講。英國是全球首要金融重鎮之一,對資訊安全的重視並不比美國落後。而且時常會有企業提供學生實習作論文的工作機會。

* 管理概念:英國在管理方面的理念一直以來都非常強勢,因此對在此求學的學生可以感染並學習到各項資訊安全的管理概念及技巧。

* 學術研究:英國各大學及企業對資訊安全的學術研究非常支持及鼓勵,所以對學術研究有強烈興趣的學生將會是一個很好的學習環境。



當然天底下沒有什麼事是完美的,有好處相對的就一定會有壞處...


缺點

* 時間:由於課程僅在一年內修完,對部份學生會覺得課程進度有些匆促,內容不夠詳盡。

* 金錢:英國的生活消費指數在全球各大都市中可是數一數二的,再加上英鎊匯率這一兩年的強勢上揚,令很多學子吃不消。

* 授課方式:由於英國大學的碩士是採取開放式教授方式,著重於學生自發性的研究學習,對於許多台灣學生依賴教授主導的授課方式,或許會有些許不適應。因此在學習心態上需要調適。

* 英式英語:英國普遍以傳統的英式英語溝通,而在台灣的學生大部份所受的是美式英語,所以在英語溝通時,偶爾會有不太適應,導致無法完全理解教授所傳達的內容的情況。

* 硬體設備:由於英國各大學校齡歷史悠久,新式的資訊電腦硬體設備及實驗室,普遍不如美國及亞洲各國來的先進完善。

英國資訊安全相關科系及學校課程內容
英國大學最早的資安教育課程開始於 1992 年,但一直到 2001 年開始,更多的資安相關課程開始於不同的大學成立,目的是為了因應網際網路及電子商務在英國及歐洲各國的快速成長,而需要更多專業的資安人才投入市場。以下僅介紹幾間主要的大學供有興趣的同學參考,作一基本的了解。更詳細確實的學校課程資訊請向該校或留學代辦詢問。


Royal Holloway, University of London (倫敦市外郊區 / Surrey)


MSc Information Security

http://isg.rhul.ac.uk/msc/msc_home.shtml




這所學校座落於倫敦市外西方近郊,校區優美環境悠閒。隸屬倫敦大學之一,是全歐洲第一個開始傳授資訊安全碩士的先鋒。由於它並不僅是侷限在資訊系統(Information Systems)上的安全考量,進而針對資訊 (Information)本身的安全為出發點,所以相對的只要是和資訊相關的安全考量在此課程內容中都會涵蓋到。課程內容包含資訊安全管理,密碼學,電腦安全,網路安全,電子商務應用安全,安全評估標準,資料庫安全,電腦犯罪,及智慧卡(Smartcard)安全。課程內容以資訊安全管理為主,技術性為輔。學校請到許多在英國資安業界的資深專家親到授課並分享經驗。


此課程適合想進入資訊安全領域的各階層人員,例如從資深到低階資安管理人(Chief Information Security Officer/Information Security Management),資訊安全顧問(Information Security Consultant),資訊安全技術工程師(Technical Security Engineer)。


MSc Secure Electronic Commerce

http://isg.rhul.ac.uk/msc/msc_home.shtml




由於電子商務的迅速發展,該校於 1999 年起針對電子商務安全,成立了第二個資安相關碩士課程。課程內容包括針對電子商務方面的商業及安全問題,密碼學及安全架構,電子商務安全基礎及標準,電子商務法律規範,電子商務技術發展,另外還包含資訊安全碩士課程中的安全評估標準,資料庫安全,電腦犯罪,及智慧卡 (Smartcard) 安全。


此課程目的在培育電子商務安全的各階層人才,使其具備對資安,法律規範,及電子商務有整合能力。適合對資安重視的電子商務專案管理人才(E-Commerce Project Management),資訊系統開發人(Information System Development),電子商務應用開發人員(E-Commerce Application Development)。


自2003年起,學校並開始提供線上遠距教學課程(Online Distance Learning)給無法親自到英國來上課的學生,讓他們也有機會能夠接受同等的教育。


University of Westminster(倫敦市 / London)

MSc IT Security

http://www.wmin.ac.uk/solape/item_admission.asp?ID=3888&wp=pgs




學校座落於倫敦市中心,地緣十分方便,對吸收最新的資訊是很有力的幫助。該校之前術專校,後來改制成為大學。這個科系於 1996 年開始授課,是英國第二個成立的資訊安全碩士,針對資訊系統為出發點來探討資訊系統的安全(IT Security)。課程內容並包含資安管理,資訊系統所面臨的威脅與對策、標準及程序,風險分析,企業需求、計劃及政策,資安所面臨到法律及倫理的問題,及電腦鑑識等方面。教學內容較偏技術性為主,例如要學習 C++ 或 Java 等程式語言設計,以設計出較為安全的應用程式碼。


此課程對於想成為中高階資安管理人(Security Manager),資安技術顧問 (Technical Security Consultant) ,資安系統管理者 (IT Security Administrator),資安工程師 (Security Engineer) 的同學是不錯的選擇。


University of Glamorgan (威爾斯 / Walse)



這所學校位於威爾斯南部,於 2001 年開始提供二個不同主題的資安相關碩士課程。由於學校座落於郊區,對喜歡在郊區悠閒環境念書的同學是可以考慮的選擇。


MSc Computer Systems Security

http://www.glam.ac.uk/courses/detail2.php?id=1907&sfrom=easy&dosommat=school




此科系著重於技術性的電腦系統安全方面及系統管理,課程內容包含資安管理,密碼學及電子商務,網路及分散系統安全,及目前市場上大部份常見的電腦作業系統實務安全(Windows NT/2000/XP/Unix)。技術為主與管理為輔,但誠如其名,著重於電腦系統本身的安全,對於電腦系統以外的部份可能不足,因為目前的資訊系統幾乎都是網路及應用程式化相互結合。例如網路安全,資訊保密,各安全系統的整合性等方面可能不夠完善。


但對想進入這個領域的同學,或僅想成為系統安全管理者(System Security Administrator/Engineer)或是系統滲透測試人員(System Penetration Tester)是可以考慮的入門課程。


MSc Information Security and Computer Crime

http://www.glam.ac.uk/courses/detail2.php?id=1934&sfrom=easy&dosommat=school




此科系內容不僅是針對資訊安全,更仔細的說應該是針對資訊安全領域中的電腦犯罪領域。課程包含資安管理,電腦鑑識,網路及分散系統安全,密碼學及電子商務,電腦法律及犯罪學。


對想進入電腦犯罪調查領域的資安人員是一個可以考慮的入門課程。例如:資訊安全顧問(Information Security Consultant),負責電腦犯罪調查的警務人員(Computer Crime Investigator/ Digital Detective),電腦鑑識人員(Computer Forensics),想進入電腦犯罪案審查的律師(IT/Computer Crime Lawyer)。


資安領域的發展方向及職場潛力
資訊安全領域其實是非常廣泛的,它並不像其他的資訊相關領域是越深入越專精其範圍就越狹窄。相反的其越深入越專精則需要了解的範圍就越來越廣泛。因為它必需要應用在資訊系統中的每一環每一扣,才可能達到完整的資訊安全。而且它並不僅只侷限在某一個特殊的領域,它在每一個產業中都是必需的,因為現在沒有一家公司不用電腦資訊系統,也沒有一家公司不用網路及電子郵件來從事其商業行為。無論是從製造產業,資訊科技產業,金融投資產業,產品銷售廠商,印刷出版產業,甚至到樓下街角的便利商店,不是嗎?


簡單的舉個例子:以一家公司來說,一個員工從一走進公司開始的實體門禁進出安全管制,登入公司網路系統,存取公司機密商務資料庫,公司內外部網路架構安全,到與客戶間的商務交易安全。資訊安全可以說是無所不在,存在每一個關卡把關,以確保公司有形(商業資訊,資訊系統及電子商務網站等)及無形(企業形象,名聲及客戶的信心等)的財產安全。由此例可以看出資訊安全可以牽涉到實體安全、網路安全、資料庫安全、資訊保密分級制、資訊安全管理、資安政策制訂、資安教育宣導、法律資產保障等各個基本不同的層面。


由於其廣泛性,因而也造成人才需求的困難。所以有系統的資安教育,對求職者在職場生涯規劃以及企業在雇用資安人才的標準都將是十分重要的。目前的資安教育主要有兩個大方向:


資訊安全碩士課程

這類的資安教育是最整體紮實的,可以幫助考慮進入資訊安全領域工作的資訊人才或非資訊人才作轉業進修。唯所需要的金錢及時間成本較高,但相對的其修成後的成本效益也較顯著。可以轉入資訊安全中的任何一領域,包含資安管理階層,資安顧問服務人員,及資安技術人才等。


資訊安全證認

資訊安全的認證通常有領域的區別,而且需要基本一至三年的資安相關年資。建議目前在資訊或資安界工作一陣子的人員作進一步的在職進修,或對資安之中某特定領域有興趣的人員作進階進修。


例如:對資訊安全管理有興趣的人員,就可考慮考取 CISSP (Certified Information System Security Professional)。對專業防火牆管理有興趣的人員,就可考慮 CheckPoint Firewall CCSE(Certified CheckPoint Security Engineer)。如對資安審計有興趣的人員就可考慮 CISA (Certified Information System Auditor)。對技術性資安有興趣的人員,則可考慮 GIAC (Global Information Assurance Certificate)。


個人的學習經驗
本人是於 1999 年申請Royal Holloway , University of London(RHUL)的 MSc Information Security 碩士課程,於 2000 年順利畢業。目前在英國倫敦從事資訊安全顧問及電腦鑑識一職。


RHUL的課程內容及教學方式並不像一般的台灣大學,主要是採取類似演講的方式,由校方請到目前在資安產業中各領域的資深專家來為學生授課,並分享他們在過去職場上的保貴實務經驗。當時我對於這樣的教學方式感到非常興奮,因為它讓我有更大的思考空間可以去獲得更多的啟發,不再只是一個問題就是一個標準答案的學習方式,更幫助我從多方角度去思考資安管理上的問題。資安管理,是要去了解資訊在資訊系統中流動時所面臨的安全問題,當了解其關鍵所在後,便能決定要使用什麼解決方案,才是最有效率及效益的方式來保障資訊的安全。


學校也非常鼓勵學生做自發性的研究及實驗,如果遇到任何問題皆可以向教授請教。教授並鼓勵學生主動和資安產業聯繫以尋求論文實習機會。我當時便主動找上一家英國的銀行洽談實習機會。經過面談,該銀行的資訊安全主管決定提供我一個寶貴的實習機會,幫助我完成畢業論文。當時我的畢業論文提案是對該銀行即將推出的線上銀行(Online Banking Services)網站架構作網路安全評估,內容包含資安政策制定,網路安全架構評估,線上銀行的網路滲透測試,資訊風險分析,以及建議改善事項。經過這樣的實習過程,幫助我更加了解一個完整的資訊安全專案在進行時的生命週期以及其各個階段的細項是如何完成。


雖然一年的學習時間並不算長,但使我對資訊安全領域的了解隨著課程的漸進而逐一增長,每天都覺得學到新的知識,再加上個人及同學們之間的互動討論,幫助甚大。我的同學們,大都是從世界各國來的,有許多是從相關資安領域回來再進修,還有不少同學是各大資訊企業中的資深主管,因此這樣的碩士課程反而提供給同學們一個非常重要的人際網路平台,讓我了解到其實不僅是專業知識非常重要,人脈關係也是將來在職場生涯成功的關鍵之一。雖然畢業好幾年了,我還是跟教授們很好,有空回學校看看學弟妹們時,也都會和教授們打打招呼聊聊天。


從2000年畢業至今,陸續進入幾家國際資安顧問公司,繼續我所嚮往的資安顧問前途,但還是很懷念當年在學校和同學一同激烈的討論密碼學,一起熬夜應付期末大考,及考完當天一起去打漆彈(生存遊戲/Paintball)等點點滴滴,也交了許多知心的好朋友。這個資訊安全碩士的確對我的職場前途及生涯規劃有莫大的幫助。它可以說是走向我的夢想的踏腳石。從我下定決心要投入這個領域到今天,我沒有後悔過。我很高興地告訴自己我做對了一個人生的重要抉擇。


我找到了我人生的方向,希望大家也都找到自己的夢想。


資安教育之展望
資安領域自 2000 年起,開始在台灣迅速發展,資安的工作機會日益增加,但以我這幾年的觀察,台灣的資訊安全人才,不論是質或是量,雖然有持續提昇,但仍處於明顯不足的狀態。上自政府部門,下到民間企業,仍需要各個不同資安領域的資安專才投入職埸,當然各大企業及廣大民眾對資訊安全的了解及認知,也需要政府相關單位更加努力的宣導及傳達。


但是誠如我之前提到的,資訊安全領域並不是一個單純的領域,投入越深就牽涉越廣。它涵蓋到管理,商業、心理、科技、人性、規範等各個不同的層面,因此,要培育一個優秀的資安人才,並不容易。所以有系統有結構的資訊安全教育便顯得格外重要,完善的資安教育可以為我們的國家培育出優秀的資訊安全專才,以因應這個發展迅速的資訊時代。正所謂“十年樹木,百年樹人”。(本文作者現任職於英國電腦艦識顧問公司Intelligent Forensics Limited,擔任電腦艦識一職)


(備註:本文並無意圖幫任何學校課程,或認證組織做宣傳及廣告之目的。完全是以傳達資訊,幫助讀者了解英國資安教育為出發點。任何更詳細的資訊請親自向各學校詢問,任何私人意見歡迎來信討論:hanlai@bv2net.com)