SANS(System Administration, Networking and Security)於1989年成立,以網路社群型式經營,為一合作研究及學術教育組織,提供超過165,000名以上的資訊安全專家、稽核員、網管系統管理人員及CIO等相關人士,分享其資訊安全教育課程,同時能為其所遭遇的問題提供解決方案。SANS擁有許多在公家單位、法人機構及大學工作的安全專家,他們非常樂意分享其研究,教導並幫助想進入資訊安全領域的人。
另外,SANS的網站提供一連串的研討會及教育訓練課程,所邀請的講師也是業界赫赫有名的人物,如擔任CISSP認證的講師-Eric Cole,擔任資訊安全專家已有10年以上的資歷,擁有多張專業證照,並協助SANS設立GIAC證照及設計合適的課程;擅長於駭客攻擊及防禦技巧、企業資訊安全、及電腦隱私的議題等的講師-Ed Skoudis,是SANS的發起人之一,同時是Intelguardians(位於華盛頓DC的資訊安全顧問公司)的資深安全顧問。
專攻資料庫安全的講師-Tanya Beccam,目前擔任Vigilar的高階主管,該公司主要業務即為資訊安全相關。她負責工作有滲透測試、弱點及危險評估、教育訓練及客戶系統稽核等。可見SANS對於課程的設立及講師的專業度是相當嚴謹。
SANS提供的網站資源
SANS網站上提供了許多非常有用的內容:1.「Reading Room」-Reading Room由3,500名以上擁有GIAC GSEC認證的專家花費許多時間建立,且有許多安全專家針對有興趣的議題提出更新及修正。Reading Room並提供超過1,300份近期的研究報告,每天平均都有14,000人使用這些研究報告;2.「Internet Storm Center」是SANS於1999年設立,是一功能強大的工具用來防禦網路上的威脅,ISC應用先進的關聯資料及視覺化的技術分析從60個國家約3,000個防火牆及IDS(Intrusion detection systems)蒐集而來的資訊,並有資深的分析師隨時監控;3.GIAC(Global Information Assurance Certification)是SANS於1999年成立,主要是提供給上千位安全專家證明其所擁有的技能及知識是合於標準。GIAC提供有各種不同主題的認證,如安全基本認知、入侵偵測、事件管理、防火牆等,GIAC相當特別的是它不只是測試學員的相關知識,並且會測試學員在實作上的能力。
另外,還有許多免費的資訊提供給所有使用者,如蒐集坊間經測試可行的資安政策,提供給使用者參考使用、與FBI合作提出的Top 20 List,且發行多種電子報,如weekly vulnerability digest (@RISK)、the weekly news digest (NewsBites)、the Internet''s early warning system (Internet Storm Center)、flash security alerts 等。在Press Room除了網站上更新的內容之外,也提供重要的資安新聞,還可查詢SANS講師的個人資訊,及目前所有網站上免費的資源等。
GIAC認證介紹
GIAC認證是SANS所設立關於資訊安全領域的認證,大略可分為五個主題,即Security Administration、Management、Operations、Legal、Audit,其下依難易程式又區分有不同層級。依課程不同,分有Full Track即是為期6天的完整課程,與Special Course即為期1~2天的短期課程,依課程不同可分為Certification及Certificate二種證照,Certification必須在一定期限後重新認證,又分有Silver及Gold二種;而Certificate則不需要,類似於一種上課證明。為了方便學員學習,課程式又區分有實體課程及線上課程二種,依學員自己的情況選擇,但都是採取線上報名及線上考試的機制。
SANS所提供教育課程介紹
SANS所舉行的研討會及課程分別實體課程及線上課程二種,實體課程根據舉辨地區的不同分別有:在美國本土訓練課程,如今年7月5~13日在華盛頓DC盛大舉行為期6日的資安課程;國際地區則分別在瑞士、印度、日本東京、加拿大多倫多、英國倫敦、新加坡、澳洲雪梨、挪威奧斯路、荷蘭阿姆斯特丹等地舉辦研討會,跨歐、亞二大洲。除此之外,還設計提供其它線上的教育訓練及認證課程等。
結論
SANS除了協助政府單位培育了許多的資訊安全人才,而其所成立的GIAC的認證同時也是具國際性的認證。SANS不僅僅只是提供教育訓練課程及認證考試,同時與業界知名專家保有良好的合作互動,並與不同單位合作,免費提供許多相關的免費資源,如,Reading Room、ISC、電子報、專家研究報告等,讓資訊安全專家、稽核員、網管及系統管人員,和CIO等對資訊安全有興趣的使用者互相交流。值得推薦給國內資訊安全從業相關人員或有興趣者作為蒐集、交流資安訊息的重要管道。