資安人的天堂路

在SANS 2004的年會議程中，總共分成14個主題區，這些主題的訓練課程，提供資訊安全人員所需的基礎與進階訓練，而我們所討論的「資安人才應具備的識能(competence)」這個議題，也可以從這些課程的內容窺知一二。茲將議程內容整理如下：網路安全(防火牆、VPN、入侵偵測)，作業系統安全(Windows平台與Unix/Linux平台安全)，資安稽核與應變(駭客技術、弱點與應變處置、系統與網路稽核、資安事件鑑識調查)，資安顧問服務(ISO17799、 安全顧問、經理人的安全管理議題)，以及CISSP的初級和進階課程。
從這些課程來看，我們可以把資訊安全的工作內容，依性質劃分成以下三類：技術層面工作、安全顧問與教育、安全管理與危機處理，三種不同的工作所需要的知識與技術能力亦不相同，所以在提升資訊安全人員素質與培育資安人才上，所歷經的訓練課程也不全然相同，就看你要從哪個面切入。在此將探討如何強化資安技術層面的識能，以及有哪些學習上的挑戰。
曾經有一位教授開玩笑地說，技術層面的工作就像是車廠裡面修車的黑手，這樣形容是一點也沒錯，因為許多作業系統、網路設備、應用程式都需要正確的組態設定，才能夠正確、正常、安全地運作，而最基本的資訊安全則是建構在這種正確的組態參數之上，正如汽車需要準確的定位、正確的鎖上每一顆螺絲，才能正常開動。這些資安人才個個都是技術層面上的專家(skill expert)，也是真正站在第一線上的執行者。技術層面並不是代表職務上比較低階，在資安領域中，可沒有這回事；相反的純熟技術代表著專業、解決問題的方案，而且還是老闆的定心丸。
資安技術層面人員所需要的核心能力，是屬於通才型的，我相信每個組織裡面多多少少都有一兩個「鬼才」型的高手。就資安方面的能力而言，這些專家通常具備「熟悉作業系統」、「網路組態與架構」、「基本的程式語言撰寫」、「熟悉軟硬體配備和設定」這些特點。在SANS課程中的網路安全、作業系統安全、資安稽核與應變，均屬於資安技術層面相關的訓練。
接著我們從資安技術層面人員所面臨的挑戰，來談談如何提升資安領域的能力，以及如何培養優秀的資安人。



變、變、變
資訊安全的技術是隨著市場而日新月異的！造成技術層面人員必須要不斷接受新的技術和防護對策，這應該是整個資訊產業中的從業人員都會面臨的問題，只是對於資安人而言，是一個更沉重的挑戰。建議多利用電子媒體，如訂閱電子報、網路論壇、定期瀏覽國內外資安公司的網頁，來補充各種資安的新知。當然，如果公司裡面有專職蒐整資安情報的人員，每天彙整一份「國情日報」給相關人員看，則可以省去自己花時間、精神去找新聞資料，不亦善哉!?
對於企業內資安的制度、系統的維運，亦需不斷更新病毒碼、存取權限設定等等，尤其是面對最新的重大資安警訊，應該透過行政程序發佈因應措施，使第一線的人員對於如何應變、該怎麼做、執行程序有適當的了解；在平時，可以透過企業內定期教育研討來增進資安團隊的能力，以小組討論及報告的方式，讓小組成員產生交流互動。

丈二金剛摸不著頭緒
這個情況就是說，技術層面的從業人員，整天與網路設備、伺服器為伍，開口閉口就是安裝、更新，空有一身本領而無從施展。如果你對於這個情境感同身受，建議你有機會就多看看寫企劃案、建議書的人在寫些什麼，想想為什麼要這樣做，嘗試以較高層次的觀點來看整體的資安架構，也許可以從中學到不少寶貴的經驗。資安需要的是整體性、全面性的防護，在企業環境中普遍存在異質性的系統，如果只從片面的網路設備來做到整體的資安，是不能完全涵蓋整體的資安防護目標，更容易產生「挖東牆補西牆」、「越補越大洞」的情形。
所以，在這邊要建議各位技術專家，開始從整體規劃的角度來進行下一個專案，以達到更高水準的資安服務，同時也能夠提升對於資安專案的規劃能力。

以戰養戰增加實作經驗
許多教育訓練單位均提供以上所談到的資安技術的課程，包括證照考試課程、資訊設備採購案內含的教育訓練等等。當然，這些課程都是屬於基礎訓練，多少能夠提升技術人員的能力，但是，實際上真正要培養具有資安識能之優秀人才，則需仰賴經驗的傳承，也就是實作經驗的累積。
從2003年以來，重大資安事件不斷上演，在一波一波的病毒蠕蟲、駭客入侵、系統漏洞的橫掃下，國內的資安水準也漸漸提高，對於資安事件的反應與處置亦日趨成熟，可以從最近幾次事件中，國內受災程度遠低於歐美地區看出。也就是所謂以戰養戰，在技術、作業程序上愈練愈精，到第一線處理案件的收穫，比從書面資料、課程學習來的有效益，更能促進技術與觀念的提升。
資安稽核與鑑識人員是不是要算在技術層面的工作裡？資安稽核比較偏向於行政、監察之類的工作，而鑑識人員要配合資安稽核提供技術上的證據蒐集、處理，就比較偏向於技術層面的工作者。雖然現在鑑識軟體提供了很強大而便利的功能，但實務上大部分的案件還是需要大量鑑識上的領域知識，才得以完成。 技術專家，是公司的寶藏，當然會成為競爭對手積極拉攏的對象。要如何累積你「轉換跑道」時，論斤較兩的籌碼，這也是你成為優秀資安人的關鍵。綜合前面所談到的內容，不外乎「吸收新知、掌握脈動」、「向上提升、邁向整體規劃管理」、「以戰養戰」，針對這幾個方向去思考，你欠缺的是哪一塊呢?

成為技術專家的自學方案
表一中，分為網路安全、作業系統、應用程式與資料庫、滲透測試、資安稽核與鑑識這五個主軸。分別說明在學習上的要點，從這五個方面下手，截長補短，以自己找資料、練習的方式進行。
除了上述的學習途徑之外，現在最熱門的就是考資安相關的證照，取得證照的學習過程中，可以接受到系統化整理之後的課程，因此比自己摸索的學習障礙會稍小。因此，筆者鼓勵大家可以透過取得專業認證，做為學習的途徑。最後，以一張資安人員的識能成長圖跟大家分享。
(本文作者現從事資安技術工作)