https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

資安行家在哪裡?

2003 / 07 / 05
邱詩璇
資安行家在哪裡?

資安範圍廣,人才難尋
從一般談到資訊安全所涵蓋的網路安全、應用安全及管理安全三大面向來看,就可發現要做個資安通,要懂得不只有電腦技能,也絕不是深諳密碼學、駭客攻擊技巧了得就足以勝任。除了懂電腦、網路、密碼學外,還懂企業管理、流程改造,要涵括且統整電腦、管理兩大截然不同領域,還需具備強烈的安全意識,實在是難上加難。

剛在澳洲成立亞太區SOC中心的網路安全廠商賽門鐵克,其市場行銷經理許淑菁指出,明年才會考慮在台設立SOC,不過可能採取和其他ISP廠商合作的模式。除了評估目前台灣資安委外市場尚未成熟外,另一主因是目前台灣資安人才亦不足。

除了能專門提供資訊安全委外的人才缺乏,企業內維護資訊安全的人才亦是嚴重不足,根據資策會的市場調查報告,大部份企業並無專人維護資訊安全,多為MIS兼任,其兼職比例高達65.3%。

資安人養成 從長計議
針對資安人才嚴重不足的問題,民國74年便開始於淡江大學教授資訊安全相關課程的黃明達教授指出,欲解決此一問題可就長、短期不同做法來看。長期的規劃需仰賴最基本的學校教育,目前多數資管、資工學系雖有開設相關課程,不過多為單項科目。應朝一學程,至少20學分發展,甚至將來會出現資訊安全科系。畢竟越來越多人體認到資訊安全的重要及不可或缺性。

由於資訊安全大部份的事端是肇始於人的因素,因此突顯出資訊安全中管理的重要性。黃明達教授提到,技術問題不大,最主要是人的問題,因此需要做電腦稽核。而電腦稽核便跨越了電腦及稽核兩塊領域。黃明達教授指出,電腦稽核人才以資管研究所出身者最易勝任,除了懂電腦外,亦修習過管理、會計等科目;而資工人才雖專精電腦,但會計、管理非必修科目,反而對此較為排斥。

不過,黃明達教授提到,於民國79年開始在系上開設系統稽核課程時,只有寥寥可數的個位數學生。現在則有30至40多個。可見對資安重要性的體認亦在校園升溫中。

資安證照時代來臨
證照時代的來臨,資訊從業人員藉由取得相關證照以加薪升等、提升自我競爭力,資訊安全亦有相關的認證,且隨著這波證照熱而水漲船高。

國內認證
經濟部「資訊專業人才鑑定」 經濟部於去年推動「資訊專業人才鑑定」制度,並試辦了五個類別的檢定考試,資訊安全類便名列其中,且成為去年試辦三次後及格率最高者。其中包含了六個科目:資訊風險評估與管理、資訊安全管理系統之原理架構與控制、存取控制與系統安全、業務持續運作與災害復原計劃、資訊法律調查與倫理、通訊與網路安全,涵蓋面極廣,並計劃朝跨國互相採認的目標邁進。

CISSP(Certification for Information System Security Professional)
CISSP是最為國人所熟知,且坊間相關教育訓練最多者。CISSP 由美國非營利組織「國際資訊系統安全認證協會((ISC)2)」於1992年所發起的認證制度,考試範圍涵蓋資訊安全內十大領域:存取控制系統與方法論、應用程式與系統發展安全、業務運作不中斷與災難復原計劃、密碼學、法律、研究與倫理學、運(操)作安全、實體安全、安全架構、電信與網路安全。除了資通訊安全外,還包括實體安全,須瞭解及研讀的書籍也相對增多。
除了通過考試外,該證照還規定必需在一個或一個以上的CBK領域擁有至少4年的工作經驗。(到2004年,最低的工作經驗年限會延長為5年)。

Global Information Assurance Certifications (GIAC) 由世界著名的資訊安全機構SANS所舉辦的GIAC認證,相較於CISSP的廣度,更講究針對特定安全領域的深度。而國內第一張GIAC GCIH(GIAC Certified Incident Handler)資訊安全意外事件處理領域的專業證書則是由諮安科技所取得,通過該認證的人員需具有控制意外事件的知識和技能,並且能夠了解一般的攻擊技術和工具,以及具備當這些攻擊事件發生之後的反制或回應能力。

且GIAC 應試者需提交實際工作經驗以證明其實作安全技能的熟練度。另外,該認證必須每2~4年更新一次,以確保持有人具備有最新的安全威脅技術及實務的知識。

Certified Information Systems Auditor (CISA) CISA(資訊系統稽核師)認證由「資訊系統稽核與控制協會」所核發,屬電腦稽核領域。於1981年首次舉行考試,目前已成為全球唯一被認定之資訊系統稽核暨控制專業人才檢定程序,且在世界各地150個地方舉辦,並有18,000個專業人員通過檢定考試。

目前國內有多個公協會組織致力於推動資訊安全的相關標準及舉辦相關認證的教育訓練課程。CISSP因其含括資安十大領域的廣度,適合有心從事資訊安全顧問服務的人士報考。尤其資安眾多廠商都表示將朝整合服務邁進,而非單賣產品,如何讓客戶相信其服務品質,持有國際或國家的資安認證總是多了份說服力,也成了提供資安服務廠商的賣點之一。而要求更為專精的GIAC,目前國內領有此證照的人員並不多。CISA證照則代表了同時具備電腦及稽核的能力了。

許多網路安全及資訊安全廠商亦有針對自身產品的認證方案,拿到認證便代表了對此公司產品的熟稔,能熟悉多家品牌產品的人才仍是少數,而要提供資訊安全委外服務,協助不同廠商監看、管理不同產品的人員便需具備這樣的技能。聚碩科技網路整合事業群市場規劃處產品經理江其杰表示,目前資安委外服務多只能達到監看功能,若要能針對攻擊事件做到立即且恰當的回應,除了技術外,還要瞭解該公司的資安政策、文化。

看來一個兼具深度及廣度的資安人才除了難尋外,也很難當。美國資訊安全著名機構SANS顧問Stephen Northcutt雖表示,美資訊安全就業市場將會出現僧多粥少的局面。不過我國資安起步較晚、資安意識亦較為薄弱,安全議題雖在承平時代總會為人所忽視,但其重要性就在於有資訊存在,就絕對有安全的需求。技術不斷進步、分秒鬆懈不得的資訊安全領域,需要更多資安人的投入。
何謂 電腦稽核?
電腦稽核簡單來說,即稽核人員利用人工或電腦系統蒐集證據,以決定委託人電子資料處理系統是否能達成組織目標的程序。 稽核前規劃應考量事項:
*電腦處理會計作業之重要性
*電腦處理會計作業之複雜度
*受查核者電腦資訊系統作業之組織結構與電腦處理集中及分散之程度
*取得電腦作業資料之難易程度
*固有風險與控制風險評估
*尋求專家協助
*電腦輔助查核技術

稽核策略(HOW)
1. 繞過電腦審計(Auditing around the computer)
2. 穿透電腦審計(Auditing through the computer)
3. 利用電腦審計(Auditing with the computer)