https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

資安市場熱 新貴到位

2005 / 02 / 03
文/邱詩琁
資安市場熱 新貴到位

What─
資安市場的定位問題
在談資安市場人力供需之前,可能要先談一下資訊安全的定位問題。「資訊安全」在這幾年隨著網路、科技的蓬勃發展而漸受關注。包括系統弱點、攻擊事件、網路金融犯罪、病毒垃圾郵件、企業內部人員洩密等事件近年頻傳,都拉抬了資安的聲勢。訪談中,中央大學資管系教授范錚強亦提到,總是要發生事情,或是發生在自己身上,大家才會開始關注到安全問題。
安全:邊緣、附屬?
提到資訊安全,范錚強認為,企業的主軸為興利,而防弊雖是必須知道的,卻永遠不會是軸心。因此他期望中央資管研究所培育出的學生會是未來企業的執行長、資訊長(CEO、CIO),而非資訊安全長(CSO),而目前台灣企業最缺乏的並非資訊安全長,而是深知企業核心價值資料的人,也就是興利的人員。
這是安全的宿命、原罪?不,就算是安全的「特性」吧,但安全還有一特色是,當我們現在提到安全的地位,總不忘提醒「若你無法確保安全,就不要太快e化。」這樣的呼籲是從經驗、教訓中得來的。過往發展作業系統強調的是使用者親和性;當一個系統、程式並不普及時,就不會常有安全漏洞、警告出現。因此當「安全」旗幟高張時,代表的是該領域已經發展到了一個蓬勃、成熟的地步,安全的需求才會顯現出來。因此它的確依附著主體,發展速度及規模當然也不可能凌駕主體,但若主體失去它,確可能中箭倒地不起、心血毀於一旦。最觸目驚心的例子莫過於美國911事件,公司營運資料的瓦解其強度甚過實體辦公室被炸毀。
資訊安全的重要性
為何近年資安漸成顯學?因為資訊主體已發展到了一定程度,資訊安全因此能揚眉吐氣。台北101大樓安全總監徐子文便指出,當資訊成為一國之基礎建設時,資安的需求便會大幅增加,因為它提供了國家穩定的力量。除了國家政府應重視外,安全同樣使得企業能夠穩定發展求獲利,而企業穩定與否關係著經濟、社會之發展,影響極大。因此安全雖非搖錢樹,卻能協助企業獲利。對安全的重視程度,反映的是企業經營者的眼光長短。
因此,雖然普遍認為台灣資安市場目前的規模不大,未來成長亦有其天生定位的限制性,但可以確定的是:它是個成長躍升中的市場。根據資策會MIC的統計資料,2002年台灣資安市場規模約為60億新台幣,2003年成長為74億,預估2006年會達到150億的規模。投入此領域的資安人,對此市場多抱持樂觀。成大電機工程系教授賴溪松表示:「資安未來的發展一定是越來越好。」畢業於英國資訊安全研究所,目前在英國擔任電腦鑑識工作的賴左罕,在電子商務最熱的時候,卻另外選擇了資訊安全研究所,因為看到了資安未來發展的無限潛能,他表示,CRM、ERP的熱潮總會過去,但資安的發展卻是無止盡的。

When─
資安人力市場何時起?
以上說明了資安的重要性、必要性和未來性。台灣資安市場規模雖不大,但絕對有發展的潛力。因此,相對要投入的人力成本亦會跟著逐年攀升。由於資安人力範圍較窄,范錚強便明白指出,要做資訊人力市場的統計分析有可能,但無法做到資安人力的市場分析,人力市場計算是針對較廣範圍的。雖無提出具體數字,但市場上總是聽到人才缺乏、難尋的聲音。鈺松國際研發處協理樊國禎表示,目前國內無論是技術還是管理面的資安人才皆缺乏,如何有計畫的培育人才應為當務之急。賴左罕亦認為,台灣資訊人才,質量雖有提升,但仍明顯不足。歸結原因,除了資安領域較新且更為專門外,資訊安全由於跨足管理、技術兩大面向,要找到兩方兼而有之的人才實屬不易。
若要論及資訊安全發展成熟,成為社會普遍的認知,進而每個組織單位可能都會有專門人力負責有關安全的工作,徐子文認為最快也還需十幾年,但由於安全人才特重實務經驗的累積,堪稱越陳越香,因此現在正是進入卡位的好時機。

Who─
資安人的定義
我們急欲尋覓的資安人究竟所指為何?廣義來說,我們希望任何使用資訊、電腦的人都需具備基本的安全使用防護觀念,就如同本刊在創刊封面故事所談的「人人都是資安人」,但這畢竟是一個長遠、有待努力的理想。更切實些,豈碼現階段需要有些較具資安意識及知識的資安人做為種子部隊,因此不論是因為工作上的需求而接觸,或是相關科系的在學學生等,都屬資訊安全的先發部隊。
若我們再將範圍縮小一點,本文所指的是目前工作和資安習習相關,甚至我們稱之為資訊安全「圈內人」,他們可能是在企業當中負責有關安全的事宜,目前國內企業中有單獨設立資訊安全長(CSO)或資安官者寥寥可數,資訊安全重任多半是交由網路資訊部門來負責,有些企業採取負責網路的同仁兼負責網路之安全;管系統的人員就要扛起系統安全之責;甚或有些大型企業還會再細分為病毒、防火牆、郵件等細項由不同人員負責。我們將之歸類為使用端的資安人。
至於供給端,以管理和技術兩大層面做一區分,偏重管理面的為提供規劃、諮詢、稽核等服務的顧問人員,目前較集中在四大會計師事務所內。另外,包括系統整合廠商(SI)或產品廠商、代理商內,由於客戶服務的需求及要求提高,也傾向培育更專業的人才來提供顧問諮詢服務。在技術方面,目前國內有些廠商從事資安產品的自行研發工作,例如威播科技是由清大資工系教授黃能富領軍,其研發團隊有多數來自清大;其他如鈺松、威播、桓基等擁有自行研發能力的廠商內亦擁有多位資安技術研發人力。另外一部份則為國外產品在台分公司、代理商、經銷商等,由於較傾向於產品銷售面向,理工相關背景會有加分作用,卻未必是絕對條件。
另外一群資安人則分佈在政府單位、學術機構中,包括教授相關課程的教師、研究人員等,以及有些人力分佈在包括國家資通安全會報等政府機構,或工研院、資策會等研究單位中。以上都是資安人力棲息的相關選擇。

How─
如何培育資安人
由於資安屬新近蓬勃的領域,目前許多在業界工作的人力都非相關科系畢業。而一般咸認和資安領域最相近,可望成為培育資安人力搖籃的則為資訊管理科系及資訊工程科系。其中資訊管理系學生,由於所學範圍資訊和管理兼而有之,目前擔任中華民國資訊管理學會理事長,同時為淡大資管系教授黃明達表示,資管系所是最適宜從事資安的人才,資工科系則偏重於技術面,但目前國內研發市場較小,相對的出路亦較窄,而資安管理則是不論供給雙方皆有需求,市場的需求量較大。目前全國有108所學校設有資管系所,被認為有供過於求之現象,黃明達認為資管科系的出路範圍廣、各行各業都有需求,甚少聽聞找不到工作的。
資安課程漸往大學部延伸
由於安全的牽涉範圍極廣,學生必需先懂網路、懂系統、了解程式設計,才能更進一步學習到相關的安全技術和知識,因此目前一般學校多半將資安課程排在大三、大四的課程中,課程內容多為資訊安全概論、網路安全管理等屬於較基礎的概論課程。更進階的課程則會開在研究所。不過,由於網路、電腦技術的普及,黃明達教授提到慢慢地有些研究所課程會往大學部延伸,未來並考慮將較基礎的課程提前到大二開課。至於更深入、專業的研究則讓有興趣的學生在研究生階段去選修專研,如密碼學等。
網路倫理課程宜儘早開課
賴溪松則表示,最重要的還是學生自己是否有興趣。資安技術課程不適宜開得太早,但如網路倫理等偏重倫理、法律的課程,他倒是建議要提早開設,甚至在國中、高中就應該修習此類課程,以免一些年輕學子走偏了路。徐子文也提到:「安全很特殊,理論可以教,但技術不能隨便教」。賴溪松認為技術方面的課程宜等心智較成熟再來學習更為妥當。不過他建議倒是可以早一點進實驗室,一來可從實作中去察覺自己的興趣,若有心從事,再增強理論和實務的學習。
目前國內並無專門資訊安全系或資訊安全研究所,而國外則以美國、英國、大陸等在此方面的發展最為領先。而大陸近年在國家安全考量下,發展最為積極,專門的學院、系所應運而生,其中以上海交通大學、北京郵電大學等配合國家計劃,發展最力。美國則在911事件後,政府民間對資安高度重視,亦發現資安人才的培育,以各別課程訓練尚不足夠,而需有更完整、系列的課程培育(參考表一)。英國則由於長於管理,發展資安管理理論起步甚早,學校教育則從2001年後相關的課程、研究所紛紛成立。
推動資安學程箭在弦上
多數教授皆認為以台灣目前的市場規模,單獨成立系所稍嫌太早亦不符實際需求。不過成立學程卻是最近期的目標。目前中華民國資訊管理學會正著手進行資安學程的規畫事宜,黃明達表示主要參考美國做法,預計今年6、7月時會有明確的學程建議內容產出。
學會秘書長蕭瑞祥亦指出,學程的規劃必需先考量其時間長短,需一年還是兩年期;以及其定位問題,是要讓學生皆具備基礎知識,還是要培育學生一出社會即能立即和資安業界工作接軌的能力,這些都關乎課程的設計和深度問題。目前傾向將基本的核心課程列為必修科目,其他如密碼學等較專門內容則屬選修科目。該學程的規劃還包括有課程大綱建議,相關的課本、參考書籍建議等。同時因應資安實務經驗的重要性,有些課程會安排業界人士擔任講師,可採目前盛行的遠距教學等方式進行。
蕭瑞祥認為若從目前市場供需角度來看,設立學程已經足夠。若就國家資訊建設保護而言,才有單獨成立系所之必要。畢竟相較於大陸正積極發展從事資訊戰之技術人員,在國家安全考量下,確實有必要培育此方面的專門人才。學程若能順利推行當然有賴主管機關的大力支持,才能將完整的資安課程推動至各校園內。目前預定最快也要在九十三學年度第一學期才有可能落實。但各學校內是否有足夠的師資?蕭瑞祥指出,若單就課程來看,目前每所大學內一定有教授相關內容的師資,但每所學校的專長不同,有先偏重資訊安全管理、有些長於密碼學研究、有些擅於駭客攻防技術研究。結合各校資源、借重各校的專長來培育種子師資,是不錯的方式。
目其淡大正計劃明年成立「資通科技系」,將資訊和通訊整合為一。黃明達表示,安全會是這門科系的重點教授內容之一。

Which:
資安人的全配要件
如果要列出一張資安人的徵才啟示,能夠修習過相關課程自然最佳,懂技術還懂管理更屬可貴。在詢及一些顧問和業界人士時發現,由於資安著重經驗,若非偏重技術研發的人員,技術出身或理工畢業未必是絕對條件。徐子文表示,技術出身雖吃香,但也不能只懂技術。而安全人員常來自各領域,賴左罕提到,資訊安全領域並不是一個單純的領域,投入越深就牽涉越廣。涵蓋管理、商業、心理、科技、人性、規範等不同層面。
反倒是個性、人格特質等成為首要考量。以下整理出誠徵資安人的五大要件,若你都具備的話,不妨考慮資安這條明星路。
一、 興趣
興趣似乎是放諸四海皆準的原則,每個人都夢寐以求做自己有興趣的工作。不過在這要特別提出來的原因是:由於資安人員的可貴之處,在於經年累月、無可替代的經驗累積、判斷能力。在「資安人的天堂路」文章中便提到:實際上真正能夠培養具有資安識能之優秀人才,則需仰賴經驗的傳承,也就是實作經驗的累積。徐子文也提到在國外資安主管是越老越值錢,可見資安是個需要且值得長期投入的領域。再加上資安技術、訊息與時俱進、變動快速,若沒有興趣做支撐,只怕還未能看到開花結果,便已心力不堪負荷,而功虧一匱了。
二、 樂於學習
其實剛從學校畢業時,初出職場,多數的新鮮人都會強調自己的旺盛求知慾和學習能力,炯炯眼神中燃燒著對工作的執著和熱情。但在職場闖盪幾年下來,也許,許多人也同意當年的那股衝勁已不復見、當年的熱情已漸熄滅。不過,在日新月益的資安領域,可不容許你放慢腳步,即便是升上管理職了,仍需磨亮自己的知識觸角,四面八方吸取最新資訊。這對於喜歡求新求變,在工作中需要永遠有新東西可學人非常合適。優利系統資訊安全與網路事業部資深經理呂孟玲便表示,顧問業界普遍患有知識焦慮症,看到書會一直買。而BSi大中國區訓練經理蒲樹盛則提到,相信有很多人喜歡有新東西可學的工作,稽核員工作便屬其一。
三、 耐操耐勞
資安領域中的會計師事務所顧問堪稱此類表率。能夠在客戶面前展現專業的一面,背後仰賴著狠狠的K功,熬夜苦讀、寫計劃書、週末也在工作,是很多顧問的生活寫照。時常當空中飛人,若進辦公室總會在七點左右報到的蒲樹盛則提到,不論客戶在山上、在海外,稽核員一定要準時報到,人在異地的安危等都是稽核員的工作挑戰之一。這時你若遇上家庭兼顧、健康挑戰的難題,沒有帶點阿信精神恐怕很難渡過。
四、 樂於與人溝通
資訊安全畢竟不單是技術面,還包括更上層的管理面。即便是MIS主管或人員,你若懂得如何與老闆溝通,在爭取資安預算時一定更有把握;若懂得和其他員工溝通,在推動政策時,才能獲得同事全力配合。徐子文便提到,安全人員也不能太嚴肅,這樣沒人會聽他的。徐子文自認自己喜歡服務業,所以很適合安全的工作。若是當顧問,要時常和不同的客戶接觸、溝通,除了樂於溝通外,可能還要再加一條件:懂得溝通,且自我表達能力的要求更高。這也無怪乎許多顧問都練就了一番好口才。
五、 自我要求高
這裡所提的是安全人員要以身做則,才能影響他人。徐子文提到安全人員個人品性之重要,尤其當安全人員到達一定位階時,千萬不能忘了自己身份,自己破壞了規則。除此之外,個人的操守、品格也很重要,就像駭客攻防技術猶如雙面刃,端看你是要拿來防守還是攻擊別人。而近來相關人員因為受不了金錢、聲色誘惑,而出賣寶貴的個人金融資料等社會事件,更是讓社會國家付出了極大的代價成本,都足證品德操守之重要性。
其他種種要求,還包括蒲樹盛提到,稽核人員不能太主觀、太好爭辯,而從面試應答的種種舉動,蒲樹盛就能洞悉一二。太主觀除了不利於和客戶溝通外,亦不適合團隊工作。呂孟玲則表示,像自己個性較為嚴謹,做任何事情前會先把各種情況都分析、設想清楚,這樣的個性特徵和安全屬性頗能穩合。徐子文則特別強調安全需要的是T型人才,要廣泛涉獵相關的法律、心理學等,但又要有一核心的專長能力;既要瞭解技術設備、也要懂管理,同時具備跨領域的知識及縱向深入的核心專長。
種種條件開列下來,要身為一個資安人確屬不易。如同范錚強教授所言,不是每個人會當一輩子的安全人員。不論是工作職涯的其中一個階段,還是你已如賴左罕相信資安是不悔的選擇,瞭解資安絕對是種“加分“。而以上的種種條件,除了資安人要具備,對於任何一個對工作懷抱熱情的人都是同等重要。資安業界彼此相熟的狀況履見不鮮,這多少代表了目前市場不大,耳熟能詳的多半在此領域已深耕多年,而資安市場將逐漸增溫,資安新貴是到位的時候了。
匯聚資安能量 淡大重管理 成大長技術
淡大從本學期開始,邀請BSi講師至學校開設BS7799 Leader Auditor(主導稽核員)訓練課程。目前已經有20位人員通過考試,其中包括4位教師。由於報名人數踴躍,4月底又加開了一班。由於覺得台灣資安管理市場潛能較大,黃明達偏重資安管理的推廣。他表示,現在學生很內行,而資安證照也確實有加分、加薪效用。而證照課程讓學生畢業後擁有更多進入資安業界的籌碼。未來身為資管學會理事長的他,希望此舉起示範作用,推廣至更多校園中。
1998年去大陸訪問時,成大賴溪松教授發現大陸正積極進行駭客攻防技術的研究,投入了極大的人力、物力成本。因此感於台灣亦需要此方面人才,回國後,帶著研究生著手研究,卻苦於沒有封閉的實驗平台,若控制不好,恐殃及無辜。直到2002年獲得電信國家型計劃補助經費,建立起網路安全測試平台。今年3月並和台灣微軟簽定資訊安全合作計劃,由微軟提供資金、軟體與技術支援。除了做網路安全性之分析,並會提出相關具體的資料以支持學術理論的發展。未來將編撰教育訓練教材供各單位學習與防護,並定期舉辦資安講座及規劃課程,以培訓資安人才、降低我國網安事件之發生率。
國內大專院校,除了淡大、成大之外,包括台大、台科大、中央、警大、清大、交大、逢甲、中山等學校各自其資安教學的資源。期盼資安能量得以交流、匯聚,資安技術、管理人才質、量皆得以提升。

資訊安全課程內容芻議
以下為鈺松國際研發處協理樊國楨參考美、英、澳等先進國家之資安課程,所提出之課程芻議,盼能對培育人才大計,供一己之力。
1. 資訊安全管理(Information Security Management)(必)。
2. 密碼學與安全機制(Introduction to Cryptography and Security Mechanisms)(必)。
3. 網路安全(Network Security)(必)。
4. 電腦安全(Computer Security)(必)。 5
. 電子商務安全與其應用(Secure Electronic Commerce and other Application)(必)。
6. 安全評估準則(Security Evaluation Criteria)(必)。
7. 資料庫安全(Database Security)。
8. 高等密碼學(Advanced Cryptography)。
9. 程式安全(Secure Programming)。
10. 入侵偵測(Intrusion Detection)。
11. 電腦犯罪與鑑識(Computer Crime and Forensics)。
12. 商業與安全議題(Business and Security Issues)。
13. 專題實作(Project Hands-on)(必)。
14. 論文(Thesis)(必)。
說明:
1. 必:表示必修,其他為選修。
2. 每一課程均為一學期(Semester),除論文與專題為2學分外,其他均為3學分。每一學生須修畢24學分(含)以上。
電子商務安全課程芻議
1. 商業與安全議題(Business and Security Issues)(必)。
2. 密碼學與安全機制(Introduction to Cryptography and Security Mechanisms)(必)。
3. 安全電子商務:基礎建設與標準(Secure Electronic Commerce: Infrastructure and Standard)(必)。
4. 電子商務相關法律與規範(Legal and Regulatory Aspects of Electronic commerce)(必)。
5. 電子商務安全發展近況(Current Developments in Secure Electronic Commerce)(必)。
6. 安全評估準則(Security Evaluation Criteria)(必)。
7. 資訊安全:電腦、網路與資料庫(Information Security: Computer, Network and Database)。
8. 高等密碼學(Advanced Cryptography)。
9. 程式安全(Secure Programming)。
10. 入侵偵測(Intrusion Detection)。
11. 電腦犯罪與鑑識(Computer Crime and Forensics)。
12. 資訊安全管理(Information Security Management)。
13. 專題實作(Project Hand-on)(必)。
14. 論文(Thesis)(必)。
說明:
1. 必:表示必修,其他為選修。
2. 每一課程均為一學期(Semester),除論文與專題為2學分外,其他均為3學分。每一學生須修畢24學分(含)以上。