資安自學方案

研討會、活動
最頻繁的莫過於相關廠商所舉辦的研討會、活動等，雖然有些著重在廠商產品介紹，不過倒也是個尋找產品解決方案的好時機，有些研討會同時匯聚多家廠商，縮短你搜尋產品的時間。另一個重點是，台下聽眾常是臥虎藏龍，若有機會，不妨主動交談，可能意外結交到相互切磋的夥伴。

書籍、報章雜誌
這幾年相關的資安書籍如雨後春筍冒出，許多翻譯至國外知名著作，多由電腦書籍出版社出版。雜誌部份，目前IT、電腦雜誌談及資訊安全的版面日漸擴張，有些著重產業新聞發表，有的長於產品技術的介紹，當然還包括本刊完全以資訊安全相關內容為報導對象，端看你的需求何在。

網站、電子報
網站是取得訊息最便捷的管道。除了本地網站外，建議多瀏覽國外網站，許多網站提供豐富、分類清楚的資訊。和本刊合作的Search Security.COM網站便提供了非常豐富的文章和新聞訊息。另外，資安的廠商多數都相當重視公司網站的經營，除了在網站上提供公司的相關產品等資訊外，有些亦會提供公司內部產品經理、技術人員所撰寫之文章，你也可能從中挖到寶。

學會、公協會
目前國內較知名的相關學會、公協會計有中華民國資訊安全學會、中華民國資訊管理學會、中華資訊安全管理協會、中華民國電腦稽核協會等。是接觸更多同行同業的好機會，另外公協會亦會定期舉辦課程、研討會、交流參訪活動等。多多參與，資安能量必然提升。

教育訓練
若傾向長期、有系統的學習者，資策會、恆逸資訊是目前提供較多資安相關課程的單位。恆逸資訊教育訓練事業技術副理陳宏陽表示，恆逸目前有和Bsi合作，提供偏重管理的BS7799課程；技術方面，相關課程包括微軟最新的iSecurity Camp課程，談及網路安全基礎架構、微軟ISA Server建置與部署及規劃微軟網路的安全性。Linux系統亦有相關的安全課程。以及防毒廠商趨勢的TCSE認證課程。陳宏陽指出，資安許多證照課程多和廠商產品有關，但產品技術更新快速，汰換設備的成本過高，恆逸引進新課程會經過審慎評估。恆逸目前計劃規畫完整有系統的資安課程，且不希望和產品綁在一起。
台灣資安教育需求提升，包括趨勢、精誠等廠商都將國外行之有年的病毒研習營、駭客終結者培訓班引進國內，為起四天的課程索價皆是十萬元起跳。精誠駭客終結者培訓班講師林泰瑋表示，這類課程賣的是廠商的Know-how，經過有系統歸整的資料，價位會有一定水準。

證照課程
包括BS7799 Leader Auditor、CISSP、CISA等熱門證照，目前在國內皆有訓練課程。而美國在911事件後對資安重視更甚於往，資安人員身價亦水漲船高。根據About.Com針對證照薪資水準的調查顯示，CISSP人員的平均年薪為78,000美金，相較於另一網路認證CCSA的65,000高出甚多。而根據Search Security.COM從1300位受訪者的回覆統計出CISSP人員的平均年薪達84,256美金，因此資安認證在美國已經成為求職者的極大籌碼，也成了熱門的自我投資方案。
陳宏陽表示，目前在台這幾年網路認證課程維持不錯的人氣，近來微軟MCSE等都屬較熱門的課程。資訊安全在國內仍在起步階段，由於所需的技術、知識程度較高，因此普遍來說課程都不便宜。不過相較於歐美等國的水準，已經算較便宜了。
CISSP是跨入資安的敲門磚證照，適合任何對資安有志之士投入；CISA則適合有心從事資訊系統稽核、控制和安全的人員；BS7799 Leader Auditor主導稽核員偏重稽核管理面。
另外，許多資安廠商針對自家產品提供有教育訓練課程和證照。如Cisco、Check Point、Trend Micro(趨勢)、Symantec等廠商。由於該類證照受限於廠商產品，通常視使用者工作上有無接觸和需求而定。林泰瑋因為之前負責Check Point產品訓練而取得其CCSA、CCSE、CCSI認證，目前擔任Found stone 駭客終結者培訓班講師，自然必需先取得其認證。
優利系統資訊安全與網路事業部經理呂孟玲在英國唸研究所時通過BS7799 LA考試，她表示，總不能拿到棒子才起跑，要先做助跑的準備。在英國從事電腦犯罪鑑識工作的賴左罕則認為，證照是在求職和與客戶談案子時才會彰顯其價值，不過更重要的是自我實力的累積和培養。



資安最火證照：CISSP
上期《資安人》雜誌做了一個《資安廠商服務能量大調查》報導，網羅了資安領域相關的102家廠商，其中也調查了目前各家廠商員工所擁有的證照數量和類別。結果發現，資安相關證照以CISSP和BS7799 Leader Auditor最受青睞，其中，尤以包含十大領域（CBK)（註一）、囊括了資安相關知識、管理技術兼而有之的CISSP最受歡迎。不僅在國內，在資安證照五花八門的美國，CISSP亦是名列資安證照的首選。
除了因為CISSP發展歷史較為悠久外，由於CISSP範圍廣泛，考生要對十大領域都瞭解，因此被視為資安人入門的第一證照。不過要取得此證照可不容易，內容廣泛代表著要研讀的書籍可不少，而其考試時間之長、考題之多，堪稱為一場耐力持久賽。去年3月通過考試的林泰瑋分享其經驗表示，CISSP的考試時間長達6小時，中間沒有休息時間，考生若要途中離場休息，一次只允許一位外出，時間自然不能過長。應試者多會自備些甜食、點心等以補充體力。
而250題單選題中，常會有答案模菱兩可的情形出現，考驗考生的經驗判斷能力。林泰瑋表示，除了考驗體力外，同時也是英文能力測驗。長串的英文題目敘述，若文法不好可能就會會錯意，而要看完250題長長的英文題目，對英語非母語系國家的考生而言，亦是種耐力考驗。作答時也要謹慎小心，這麼多題目若畫錯一格答案格，可是很麻煩的。而憶起上回考試最早交卷者為一位白人應試者，也顯示英文好的確較吃香。
十大類內容打散在250道題目中，若通過測驗，僅會收到考試過關通知；不及格者才會知道成績，及十大類目的得分狀況，讓應試者得以清楚需加強之處。要取得CISSP證照，除了通過考試外，還要提出IT工作經驗證明，並由其他已取得證照者推薦，才能申請核發證照。CISSP的另一大特色為有3年的到期期限，證照到期後除了繼續考試外；(ISC)2訂有另一續證方法，也就是3年期間，若累積滿120個學分，便可繼續保有證照資格。學分的依據為：必需在其認可的媒體發表文章、或是參與被其認可的機構所舉辦的教育訓練等。
ING安泰人壽風險管理室資深協理江韶文去年取得了另一知名資安證照：CISM資安管理師，他強調，對證照的得失心不用太重，他看重的反而是準備的過程。因此他鼓勵同事報名，藉由準備考試的動力和投入時間研讀，來增加自身的資安能量。





註一：CISSP涵蓋之資安
十大領域
存取控制系統與方法論、應用程式與系統發展安全、業務運作不中斷與災難復原計劃、密碼學、法律、研究與倫理學、運(操)作安全、實體安全、安全架構、電信與網路安全。(CBK, Common Body of Knowledge)
坐擁6張資安證書 陳培德確定資安志趣
今年3月23日，在成大和台灣微軟簽訂合作計劃記者會後，一行媒體被帶領到成大的網路安全實驗室，實地參觀這群研究人員的實驗天地。而當博士班研究生陳培德拿著內有多張證照的裱框供媒體拍照時，馬上成為眾人的焦點。
大四進入實驗室，跟著指導老師賴溪松教授做研究的陳培德，一路從大學、碩士到博士研究，奠定了他對資安的興趣和熱忱。裱框內裝載著偏重管理的英國BSi BS7799/ISO 主導稽核員證照、挪威DNV BS7799/ISO 內部稽核員進階訓練課程結業證書，技術面的：立駭科技BS 7799結業證書、Foundstone公司Ultimate Hacking：駭客終結者培訓班證書、Trend Certified Security Expert 趨勢認證資訊安全專家、趨勢科技Red Terminator 病毒分析特訓營。由於此類課程目前在市面上屬價位較高的IT課程，無怪乎，賴溪松笑著說在他身上可是投資了不少成本。
由於CISSP、GIAC等證照需要有相關工作經驗資歷，成了陳培德未來努力的目標。
從追隨賴溪松教授從事密碼學研究，到目前投入網路安全測試平台，深入駭客攻防演練技術中，因此報名參加了多場知名廠商所開設的技術研習營課程，成為實驗室的種子教師。未來成大密碼與網路安全實驗室希望在一個封閉安全的環境下，模擬最新攻擊模式，藉由Honeypot陷阱引誘駭客進入進而瞭解其活動行為，最終目的是藉由得知攻擊行為特徵，而研究出因應對策，降低網路之威脅和損失。
對於畢業後的未來出路考量，陳培德不排除可能會留在學校任教、繼續做研究，電機背景的他對技術特別有興趣，如果在業界有好的發展，他也願意投入。
現在大學生、研究生是否熱衷於Hacker或是Cacker技術演練，以入侵他人電腦、惡作劇為樂？陳培德表示，他所認識的朋友中大多數對線上遊戲還比較熱衷，還有精力攻擊探測他人的應該只是少數。
公協會
中華民國資訊管理學會 http://140.127.149.5/csim/
中華民國資訊安全學會 http://www.ccisa.org.tw/ccisa/flame.htm
中華民國電腦稽核協會 http://www.isaca.org.tw/
中華民國資訊應用發展協會 http://www.itma.org.tw/
中華民國開放系統協會 http://www.cosa.org.tw/