歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
資安人的天堂路
2005 / 02 / 03
大滷麵
在SANS 2004的年會議程中,總共分成14個主題區,這些主題的訓練課程,提供資訊安全人員所需的基礎與進階訓練,而我們所討論的「資安人才應具備的識能(competence)」這個議題,也可以從這些課程的內容窺知一二。茲將議程內容整理如下:網路安全(防火牆、VPN、入侵偵測),作業系統安全(Windows平台與Unix/Linux平台安全),資安稽核與應變(駭客技術、弱點與應變處置、系統與網路稽核、資安事件鑑識調查),資安顧問服務(ISO17799、 安全顧問、經理人的安全管理議題),以及CISSP的初級和進階課程。
從這些課程來看,我們可以把資訊安全的工作內容,依性質劃分成以下三類:技術層面工作、安全顧問與教育、安全管理與危機處理,三種不同的工作所需要的知識與技術能力亦不相同,所以在提升資訊安全人員素質與培育資安人才上,所歷經的訓練課程也不全然相同,就看你要從哪個面切入。在此將探討如何強化資安技術層面的識能,以及有哪些學習上的挑戰。
曾經有一位教授開玩笑地說,技術層面的工作就像是車廠裡面修車的黑手,這樣形容是一點也沒錯,因為許多作業系統、網路設備、應用程式都需要正確的組態設定,才能夠正確、正常、安全地運作,而最基本的資訊安全則是建構在這種正確的組態參數之上,正如汽車需要準確的定位、正確的鎖上每一顆螺絲,才能正常開動。這些資安人才個個都是技術層面上的專家(skill expert),也是真正站在第一線上的執行者。技術層面並不是代表職務上比較低階,在資安領域中,可沒有這回事;相反的純熟技術代表著專業、解決問題的方案,而且還是老闆的定心丸。
資安技術層面人員所需要的核心能力,是屬於通才型的,我相信每個組織裡面多多少少都有一兩個「鬼才」型的高手。就資安方面的能力而言,這些專家通常具備「熟悉作業系統」、「網路組態與架構」、「基本的程式語言撰寫」、「熟悉軟硬體配備和設定」這些特點。在SANS課程中的網路安全、作業系統安全、資安稽核與應變,均屬於資安技術層面相關的訓練。
接著我們從資安技術層面人員所面臨的挑戰,來談談如何提升資安領域的能力,以及如何培養優秀的資安人。
變、變、變
資訊安全的技術是隨著市場而日新月異的!造成技術層面人員必須要不斷接受新的技術和防護對策,這應該是整個資訊產業中的從業人員都會面臨的問題,只是對於資安人而言,是一個更沉重的挑戰。建議多利用電子媒體,如訂閱電子報、網路論壇、定期瀏覽國內外資安公司的網頁,來補充各種資安的新知。當然,如果公司裡面有專職蒐整資安情報的人員,每天彙整一份「國情日報」給相關人員看,則可以省去自己花時間、精神去找新聞資料,不亦善哉!?
對於企業內資安的制度、系統的維運,亦需不斷更新病毒碼、存取權限設定等等,尤其是面對最新的重大資安警訊,應該透過行政程序發佈因應措施,使第一線的人員對於如何應變、該怎麼做、執行程序有適當的了解;在平時,可以透過企業內定期教育研討來增進資安團隊的能力,以小組討論及報告的方式,讓小組成員產生交流互動。
丈二金剛摸不著頭緒
這個情況就是說,技術層面的從業人員,整天與網路設備、伺服器為伍,開口閉口就是安裝、更新,空有一身本領而無從施展。如果你對於這個情境感同身受,建議你有機會就多看看寫企劃案、建議書的人在寫些什麼,想想為什麼要這樣做,嘗試以較高層次的觀點來看整體的資安架構,也許可以從中學到不少寶貴的經驗。資安需要的是整體性、全面性的防護,在企業環境中普遍存在異質性的系統,如果只從片面的網路設備來做到整體的資安,是不能完全涵蓋整體的資安防護目標,更容易產生「挖東牆補西牆」、「越補越大洞」的情形。
所以,在這邊要建議各位技術專家,開始從整體規劃的角度來進行下一個專案,以達到更高水準的資安服務,同時也能夠提升對於資安專案的規劃能力。
以戰養戰增加實作經驗
許多教育訓練單位均提供以上所談到的資安技術的課程,包括證照考試課程、資訊設備採購案內含的教育訓練等等。當然,這些課程都是屬於基礎訓練,多少能夠提升技術人員的能力,但是,實際上真正要培養具有資安識能之優秀人才,則需仰賴經驗的傳承,也就是實作經驗的累積。
從2003年以來,重大資安事件不斷上演,在一波一波的病毒蠕蟲、駭客入侵、系統漏洞的橫掃下,國內的資安水準也漸漸提高,對於資安事件的反應與處置亦日趨成熟,可以從最近幾次事件中,國內受災程度遠低於歐美地區看出。也就是所謂以戰養戰,在技術、作業程序上愈練愈精,到第一線處理案件的收穫,比從書面資料、課程學習來的有效益,更能促進技術與觀念的提升。
資安稽核與鑑識人員是不是要算在技術層面的工作裡?資安稽核比較偏向於行政、監察之類的工作,而鑑識人員要配合資安稽核提供技術上的證據蒐集、處理,就比較偏向於技術層面的工作者。雖然現在鑑識軟體提供了很強大而便利的功能,但實務上大部分的案件還是需要大量鑑識上的領域知識,才得以完成。 技術專家,是公司的寶藏,當然會成為競爭對手積極拉攏的對象。要如何累積你「轉換跑道」時,論斤較兩的籌碼,這也是你成為優秀資安人的關鍵。綜合前面所談到的內容,不外乎「吸收新知、掌握脈動」、「向上提升、邁向整體規劃管理」、「以戰養戰」,針對這幾個方向去思考,你欠缺的是哪一塊呢?
成為技術專家的自學方案
表一中,分為網路安全、作業系統、應用程式與資料庫、滲透測試、資安稽核與鑑識這五個主軸。分別說明在學習上的要點,從這五個方面下手,截長補短,以自己找資料、練習的方式進行。
除了上述的學習途徑之外,現在最熱門的就是考資安相關的證照,取得證照的學習過程中,可以接受到系統化整理之後的課程,因此比自己摸索的學習障礙會稍小。因此,筆者鼓勵大家可以透過取得專業認證,做為學習的途徑。最後,以一張資安人員的識能成長圖跟大家分享。
(本文作者現從事資安技術工作)
資安天堂路
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制