首頁 > 焦點新聞

以攻防演練為主的資安人培2.0

作者:編輯部 -2018 / 04 / 24 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

為落實資安即國安政策,與打造國家數位經濟的基石,去年11月行政院資通安全會報發布第五期「國家資通安全發展方案」。以建構國家資安聯防體系、提升整體資安聯防機制,與強化資安自主產業發展為3大目標,並將孕育優質資安人才列為4項推動策略之一,以做為台灣資安產業自主發展堅實基礎,並建立千人的資安應變小組。對此,行政院資安處長簡宏偉表示,根據2017年初的調查,目前政府資安人力缺口達500人左右,未來將透過教育部與經濟部共同推動的「資訊安全人才培育計畫」等方式,持續培養資安專業人才。

資安教育淪為紙上談兵
國內資安人力不足是存在已久的現象,第五期資通安全發展方案除了增加資安人才「量」的供應,也要提高「質」的問題。而提升資安人員素養的關鍵就在實戰能力的表現上,例如當事件發生時,能迅速予以回應處理,並了解掌握整個網路與系統弱點所在,避免損害範圍擴大,甚至進一步在駭客攻擊前及早發現並成功阻截。以往國內資安課程內容偏向理論,就算偶有實機操作的課程,也與企業真實網路環境有很大的落差,使資安教育淪為紙上談兵,無法應付企業實際需求。
即使這些年在政府、媒體大力推動下,企業紛紛導入像ISMS等資訊安全管理制度,也按照廠商顧問的建議買了各式的資安設備產品,建立所謂縱深防禦的架構。但不少企業主管還是會想問:「真正發生攻擊入侵時,這些防護是否真能發揮作用?」這時一場適度的模擬攻防演練,能協助企業檢視現有防禦機制在威脅發生時,是否真能如事前規劃般的正常運作,並找出缺失不足的地方。

建立模擬攻防的演訓平台
因此在方案中的培育所需資安專業人才中特別提到「以實習、實訓等方式培養實戰能力」、「建立學習與實習演練之平台」,與「促成國際資安訓練機構協同合作」的具體內容,就是希望藉由強調實戰經驗的教學方式來提昇資安人員在「質」上的實務能力。例如由科技部委託國網中心開發,配合資安人才培訓的CDX資安攻防平台,能讓使用者在安全隔離的環境下快速部署出具有漏洞的虛擬主機,並配合相關的檢測工具來進行操作訓練。也可建置成多台主機的網路架構,以模擬真實網路的狀況,進一步做為攻防演練之用。

1
推薦此文章
2
人推薦此新聞
文章回應話題
Daylight 發表於: 2018 / 05 / 08
電影"葉問2"中,提到當時香港武術界的規矩「想開宗立派者必須先在一柱香的時間內接受各門派的挑戰而不倒。」

今天資安廠商們各家有各家的產品,對於企業界來說,有些人也不知道從何選起,產品是不是真的那麼好用,沒有遇到大風大浪,從何得知?

是不是有哪個單位開辦模擬環境,廠商進入攻防排行,我們也可以觀摩學習?
Daylight 發表於: 2018 / 05 / 08
戰士的實力,不是看有多少裝備,而是看有多能打
希望有機會觀摩實際的攻防
或者參加政府資訊方面的標案,要先進入模擬環境,進行競賽排名,才知道該企業的實際實力如何?
陳德欽 發表於: 2018 / 05 / 08
非常讚同本篇的標題所示, 資安的人才培育絕對不能再像以往, 只是在紙上書本上跑一遍, 一定要建立在以實作為基礎的訓練上才能達到企業期望的效益.

目前國內陸續引進各種攻防演練平台, 除了本文中所提及的 CDX (國網中心), Cyberbit Range (精誠資訊) 還有已經建置且開始啟動培訓的 Cyber Range (協志聯合科技). 人力資源的培訓是一條漫長的路, 實作課程的費用除了較高之外, 還又不斷出現的各種新威脅亦需要不斷的進修學習才能應對新的攻擊, 這些都需要企業願意持續的付出及支持.
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…