淺談資安技術,把握晉升好機會!

作    者:唐任威 精誠資訊 恆逸教育訓練中心 資深講師
技術分類:資訊安全

綜觀上半年,重大資安新聞事件不斷,從這些新聞中,不難看出資訊安全目前已經朝向軍事化、犯罪化以及激進主義化的方向顯著發展,這對個人或企業而言都是重大的警訊。因為隨著人們對於電腦及網路的日趨依賴,攻擊資訊環境所能得到的利益就日趨龐大。

在台灣的IT環境中,安全向來是重要議題。可是由於預算有限,因此一直以來都是以廉價的方式、用產品導向的思維去解決問題;連帶著在人力的部分也都是以兼職或配置極少數人力的方式去管理企業的安全問題。

對於專業的資安從業人員而言,這當然意味著機會是存在於業界而非企業;但對於身處企業的IT從業人員而言,這則是一個提升自我職場競爭力的絕佳機會。因為倘若可以在自己的IT專業之外,透過其他技能為自我專業加值,那麼在面對競爭日趨激烈的職場環境時,相信則更會有競爭力。

其實,能夠為自我IT專業加值的第二專長並不算少,但為什麼資安會是個不錯的選項呢?這其中的重點在於,第二專長是否真的可以為原本的專業加分! 以安全為例,獨立存在的安全性,其實是沒什麼意義的!這是因為安全的價值是在於維持資產不被危害的狀態,以確保資產可以發揮其功能性、正常運作、創造價值。因此倘若沒有資產,那麼就算是安全的,那麼維持安全又有什麼意義呢? 回到IT專業來看,每個人專長所適用的項目其實就是資產!但倘若專長所適用的項目無法正常運作,則專長本身似乎也不會有什麼價值。例如專精資料庫管理的人,其管理的資料庫,因為遭受攻擊而無法正常運作;或者專長於網路管理的人,其所管轄的網路,因為遭到網路攻擊而陷入癱瘓;或者負責開發系統的人,其所開發出的系統,在遇到攻擊時,都不堪一擊。這些例子其實都強調了維持資產正常運作的重要性,而其中的關鍵就是 – 安全!

然而,如何培養自己在資訊安全這個領域的專長呢?以恆逸現有的課程為例(參見表1及表2)第一步,當然是思考自己想要在哪個領域有所發展,例如:是以管理為主,還是以技術為主;接著衡量自己的經驗與背景,再決定是由初階開始,還是可以直接挑戰中高階課程。最後考量自己的需要來決定要涉獵哪一個種類的主題,如資訊安全管理、資安攻防與分析、事件回應與調查、災難復原或其他主題,如:防火牆、入侵偵測或安全系統開發。當然在完成課程後,如果還可以再考取證照,這當然是大大的為自己加分!

在選擇課程主題的部分,當然也可以依照自己的目標或期望挑選。例如:想要以初階且全面性的資安知識為主軸,則從SSCP或ENSA開始學習會是不錯的選擇。但如果是以資訊安全專業做為最終目標,那麼CISSP是一定必要挑戰的。若您是具備開發背景可以考慮CSSLP或ECSP .NET。再不然,如果由組織營運管理的角度切入,則國際標準系列課程亦是不可錯過的。最終,當然也可以依照自己的需要選擇特定主題的課程,如安全調查、災難復原、網路分析、入侵偵測或防火牆等,以滿足自己在工作上的需求。

其實安全本身並不是件困難的事。真正困難點在於,如何在不影響功能性的前提下,把安全做到淋漓盡致。安全是需要保證的,而不是做了就好。可惜的是,很多人目前都只停留在後者。歡迎您一起加入資安的行列,探索安全的真諦,希望藉由增加自己的資安專業來提升職場競爭力!

 

 技術課程 管理課程 軟體開發 實機操作 認證課程

(ISC)2

          
SSCP - 資安專業人員認證課程   V     V
CISSP - 資安系統專家認證課程   V     V
CSSLP - 資安軟體開發專家認證課程   V V   V

EC-Council

          
ENSA網路安全管理師認證課程 V     V V
CEH駭客技術專家認證課程 V     V V
ECSA資安分析專家認證課程 V     V V
ECIH資安危機處理員認證課程 V     V V
CHFI資安鑑識調查專家認證課程 V     V V
EDRP資安災害復原專家認證課程 V     V V
ECSP .Net安全程式設計師認證課程 V   V V V

國際標準系列

         
ISO 27001資訊安全管理系統系列課程   V     V
BS 10012個人資訊管理系統系列課程   V     V
ISO 22301營運持續管理系統系列課程   V     V

Check Point

          
CCSA資訊安全與網路軟體課程 V     V V
CCSE資訊安全與網路軟體課程 V     V V

UCOM

          
網路安全封包分析認證課程 V     V  
免費入侵偵測解決方案–Snort for Windows之建置與管理 V     V  
個資安全與稽核實務   V   V  
Juniper防火牆與企業安全實務 V     V  

▲表1:資安課程一覽表

     初階                                                                                 進階
資訊安全管理 SSCP   >>   CISSP
資安攻防與分析 ENSA >> CEH >> CHFI
資安事件回應與調查 ECIH   >>   CHFI
災難復原 ECIH   >>   EDRP
防火牆 CCSA   >>   CCSE

▲表2:資安認證學習路徑

  技術 管理
安全開發 ECSP .NET CSSLP

▲表3:安全系統開發認證比較
Share |
可在課程中了解更多技能…
相關學習資源︰

【SSCP】SSCP - 資安專業人員認證課程
【CISSP】CISSP-資安系統專家認證課程
【CSSLP】CSSLP-資安軟體開發專家認證課程
【CHFI】EC-Council CHFI資安鑑識調查專家認證課程
【CEH】EC-Council CEH駭客技術專家認證課程
【ECIH】EC-Council ECIH資安危機處理員認證課程
【ECSA】EC-Council ECSA資安分析專家認證課程
【EDRP】EC-Council EDRP資安災害復原專家認證課程
【ENSA】EC-Council ENSA網路安全管理師認證課程
【ECSPNet 】EC-Council ECSP .NET安全程式設計師認證課程
【SGSISF】ISO 27001資訊安全管理系統初階訓練課程
【SGSISRA】ISO 27001資訊安全管理系統風險評鑑課程
【SGSISLA】ISO 27001資訊安全管理系統主導稽核員訓練課程
【BS10012M】BS 10012 個人資訊管理系統實務課程
【BS10012F】BS 10012個人資訊管理系統初階訓練課程
【BS10012LA】BS 10012個人資訊管理系統主導稽核員訓練課程
【SGSBIA2】ISO 22301 營運衝擊分析-BIA-實作訓練課程
【SGSBCLA2】ISO 22301營運持續管理系統主導稽核員訓練課程
【SGSBCMF2】ISO 22301營運持續管理系統初階訓練課程
【CCSA】Check Point CCSA資訊安全與網路軟體課程
【CCSE】Check Point CCSE資訊安全與網路軟體課程
【UPISAP】個資安全與稽核實務
【ENS】Juniper防火牆與企業安全實務
【NSPA】網路安全封包分析認證課程
【SNORTW】免費入侵偵測解決方案–Snort for Windows之建置與管理