https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

資安自學方案

2005 / 02 / 03
文/邱詩琁
資安自學方案

研討會、活動
最頻繁的莫過於相關廠商所舉辦的研討會、活動等,雖然有些著重在廠商產品介紹,不過倒也是個尋找產品解決方案的好時機,有些研討會同時匯聚多家廠商,縮短你搜尋產品的時間。另一個重點是,台下聽眾常是臥虎藏龍,若有機會,不妨主動交談,可能意外結交到相互切磋的夥伴。

書籍、報章雜誌
這幾年相關的資安書籍如雨後春筍冒出,許多翻譯至國外知名著作,多由電腦書籍出版社出版。雜誌部份,目前IT、電腦雜誌談及資訊安全的版面日漸擴張,有些著重產業新聞發表,有的長於產品技術的介紹,當然還包括本刊完全以資訊安全相關內容為報導對象,端看你的需求何在。

網站、電子報
網站是取得訊息最便捷的管道。除了本地網站外,建議多瀏覽國外網站,許多網站提供豐富、分類清楚的資訊。和本刊合作的Search Security.COM網站便提供了非常豐富的文章和新聞訊息。另外,資安的廠商多數都相當重視公司網站的經營,除了在網站上提供公司的相關產品等資訊外,有些亦會提供公司內部產品經理、技術人員所撰寫之文章,你也可能從中挖到寶。

學會、公協會
目前國內較知名的相關學會、公協會計有中華民國資訊安全學會、中華民國資訊管理學會、中華資訊安全管理協會、中華民國電腦稽核協會等。是接觸更多同行同業的好機會,另外公協會亦會定期舉辦課程、研討會、交流參訪活動等。多多參與,資安能量必然提升。

教育訓練
若傾向長期、有系統的學習者,資策會、恆逸資訊是目前提供較多資安相關課程的單位。恆逸資訊教育訓練事業技術副理陳宏陽表示,恆逸目前有和Bsi合作,提供偏重管理的BS7799課程;技術方面,相關課程包括微軟最新的iSecurity Camp課程,談及網路安全基礎架構、微軟ISA Server建置與部署及規劃微軟網路的安全性。Linux系統亦有相關的安全課程。以及防毒廠商趨勢的TCSE認證課程。陳宏陽指出,資安許多證照課程多和廠商產品有關,但產品技術更新快速,汰換設備的成本過高,恆逸引進新課程會經過審慎評估。恆逸目前計劃規畫完整有系統的資安課程,且不希望和產品綁在一起。
台灣資安教育需求提升,包括趨勢、精誠等廠商都將國外行之有年的病毒研習營、駭客終結者培訓班引進國內,為起四天的課程索價皆是十萬元起跳。精誠駭客終結者培訓班講師林泰瑋表示,這類課程賣的是廠商的Know-how,經過有系統歸整的資料,價位會有一定水準。

證照課程
包括BS7799 Leader Auditor、CISSP、CISA等熱門證照,目前在國內皆有訓練課程。而美國在911事件後對資安重視更甚於往,資安人員身價亦水漲船高。根據About.Com針對證照薪資水準的調查顯示,CISSP人員的平均年薪為78,000美金,相較於另一網路認證CCSA的65,000高出甚多。而根據Search Security.COM從1300位受訪者的回覆統計出CISSP人員的平均年薪達84,256美金,因此資安認證在美國已經成為求職者的極大籌碼,也成了熱門的自我投資方案。
陳宏陽表示,目前在台這幾年網路認證課程維持不錯的人氣,近來微軟MCSE等都屬較熱門的課程。資訊安全在國內仍在起步階段,由於所需的技術、知識程度較高,因此普遍來說課程都不便宜。不過相較於歐美等國的水準,已經算較便宜了。
CISSP是跨入資安的敲門磚證照,適合任何對資安有志之士投入;CISA則適合有心從事資訊系統稽核、控制和安全的人員;BS7799 Leader Auditor主導稽核員偏重稽核管理面。
另外,許多資安廠商針對自家產品提供有教育訓練課程和證照。如Cisco、Check Point、Trend Micro(趨勢)、Symantec等廠商。由於該類證照受限於廠商產品,通常視使用者工作上有無接觸和需求而定。林泰瑋因為之前負責Check Point產品訓練而取得其CCSA、CCSE、CCSI認證,目前擔任Found stone 駭客終結者培訓班講師,自然必需先取得其認證。
優利系統資訊安全與網路事業部經理呂孟玲在英國唸研究所時通過BS7799 LA考試,她表示,總不能拿到棒子才起跑,要先做助跑的準備。在英國從事電腦犯罪鑑識工作的賴左罕則認為,證照是在求職和與客戶談案子時才會彰顯其價值,不過更重要的是自我實力的累積和培養。



資安最火證照:CISSP
上期《資安人》雜誌做了一個《資安廠商服務能量大調查》報導,網羅了資安領域相關的102家廠商,其中也調查了目前各家廠商員工所擁有的證照數量和類別。結果發現,資安相關證照以CISSP和BS7799 Leader Auditor最受青睞,其中,尤以包含十大領域(CBK)(註一)、囊括了資安相關知識、管理技術兼而有之的CISSP最受歡迎。不僅在國內,在資安證照五花八門的美國,CISSP亦是名列資安證照的首選。
除了因為CISSP發展歷史較為悠久外,由於CISSP範圍廣泛,考生要對十大領域都瞭解,因此被視為資安人入門的第一證照。不過要取得此證照可不容易,內容廣泛代表著要研讀的書籍可不少,而其考試時間之長、考題之多,堪稱為一場耐力持久賽。去年3月通過考試的林泰瑋分享其經驗表示,CISSP的考試時間長達6小時,中間沒有休息時間,考生若要途中離場休息,一次只允許一位外出,時間自然不能過長。應試者多會自備些甜食、點心等以補充體力。
而250題單選題中,常會有答案模菱兩可的情形出現,考驗考生的經驗判斷能力。林泰瑋表示,除了考驗體力外,同時也是英文能力測驗。長串的英文題目敘述,若文法不好可能就會會錯意,而要看完250題長長的英文題目,對英語非母語系國家的考生而言,亦是種耐力考驗。作答時也要謹慎小心,這麼多題目若畫錯一格答案格,可是很麻煩的。而憶起上回考試最早交卷者為一位白人應試者,也顯示英文好的確較吃香。
十大類內容打散在250道題目中,若通過測驗,僅會收到考試過關通知;不及格者才會知道成績,及十大類目的得分狀況,讓應試者得以清楚需加強之處。要取得CISSP證照,除了通過考試外,還要提出IT工作經驗證明,並由其他已取得證照者推薦,才能申請核發證照。CISSP的另一大特色為有3年的到期期限,證照到期後除了繼續考試外;(ISC)2訂有另一續證方法,也就是3年期間,若累積滿120個學分,便可繼續保有證照資格。學分的依據為:必需在其認可的媒體發表文章、或是參與被其認可的機構所舉辦的教育訓練等。
ING安泰人壽風險管理室資深協理江韶文去年取得了另一知名資安證照:CISM資安管理師,他強調,對證照的得失心不用太重,他看重的反而是準備的過程。因此他鼓勵同事報名,藉由準備考試的動力和投入時間研讀,來增加自身的資安能量。





註一:CISSP涵蓋之資安
十大領域
存取控制系統與方法論、應用程式與系統發展安全、業務運作不中斷與災難復原計劃、密碼學、法律、研究與倫理學、運(操)作安全、實體安全、安全架構、電信與網路安全。(CBK, Common Body of Knowledge)
坐擁6張資安證書 陳培德確定資安志趣
今年3月23日,在成大和台灣微軟簽訂合作計劃記者會後,一行媒體被帶領到成大的網路安全實驗室,實地參觀這群研究人員的實驗天地。而當博士班研究生陳培德拿著內有多張證照的裱框供媒體拍照時,馬上成為眾人的焦點。
大四進入實驗室,跟著指導老師賴溪松教授做研究的陳培德,一路從大學、碩士到博士研究,奠定了他對資安的興趣和熱忱。裱框內裝載著偏重管理的英國BSi BS7799/ISO 主導稽核員證照、挪威DNV BS7799/ISO 內部稽核員進階訓練課程結業證書,技術面的:立駭科技BS 7799結業證書、Foundstone公司Ultimate Hacking:駭客終結者培訓班證書、Trend Certified Security Expert 趨勢認證資訊安全專家、趨勢科技Red Terminator 病毒分析特訓營。由於此類課程目前在市面上屬價位較高的IT課程,無怪乎,賴溪松笑著說在他身上可是投資了不少成本。
由於CISSP、GIAC等證照需要有相關工作經驗資歷,成了陳培德未來努力的目標。
從追隨賴溪松教授從事密碼學研究,到目前投入網路安全測試平台,深入駭客攻防演練技術中,因此報名參加了多場知名廠商所開設的技術研習營課程,成為實驗室的種子教師。未來成大密碼與網路安全實驗室希望在一個封閉安全的環境下,模擬最新攻擊模式,藉由Honeypot陷阱引誘駭客進入進而瞭解其活動行為,最終目的是藉由得知攻擊行為特徵,而研究出因應對策,降低網路之威脅和損失。
對於畢業後的未來出路考量,陳培德不排除可能會留在學校任教、繼續做研究,電機背景的他對技術特別有興趣,如果在業界有好的發展,他也願意投入。
現在大學生、研究生是否熱衷於Hacker或是Cacker技術演練,以入侵他人電腦、惡作劇為樂?陳培德表示,他所認識的朋友中大多數對線上遊戲還比較熱衷,還有精力攻擊探測他人的應該只是少數。
公協會
中華民國資訊管理學會 http://140.127.149.5/csim/
中華民國資訊安全學會 http://www.ccisa.org.tw/ccisa/flame.htm
中華民國電腦稽核協會 http://www.isaca.org.tw/
中華民國資訊應用發展協會 http://www.itma.org.tw/
中華民國開放系統協會 http://www.cosa.org.tw/