蓄積資安能量，全面重裝上陣

作　　者：唐任威 精誠資訊 恆逸教育訓練中心 資深講師
技術分類：資訊安全

隨著資訊化環境的愈加成熟、人們對於資訊環境的依賴也愈來愈重。在高度成熟化的背後，一些人們以往所不曾重視的問題，也因其影響力開始加大，而慢慢成為人們關注的焦點，只是面對這樣的改變，你的企業準備好了嗎？

還記得2007年終極警探4.0上映當時，人們對於劇中駭客差點竊國成功的劇情而不斷津津樂道的景象？其想像力之豐富，為此商業電影增色不少。然而時至今日，當電腦病毒已經儼然成為網路戰爭的工具時，你還認為駭客竊國只是電影劇情嗎？如果不確定我們在講什麼，你可以試著google「Duqu」或「Stuxnet」了解看看相關的細節。雖然以電腦病毒作為戰爭工具還不是最糟的景況，但是在駭客主義(Hacktivism)盛行的今日，難保你的企業不是駭客們拿來作為宣示的目標。因此企業早在平時就該蓄積資安能量，以期防患未然。

為協助企業蓄積資安能量，恆逸特別打造出業界中最為完整的資安課程產品線，讓企業可以依其所需，培養資安能量。 恆逸的資安課程產品線可分為五大主軸，分別是資安管理、駭客攻防、安全開發、防護技術及國際標準，各科目簡述如下：

資安管理類

• CISSP – 資安系統專家認證課程：
  此課程為CISSP認證之培訓課程。藉由課程的介紹，學員將了解CISSP認證所訴求之資訊安全通識十大體系(CISSP CBK 10 Domains)。CISSP為針對資深且專業的資安從業人員所設立的高階證照。其對證照持有者的要求為五年資訊／資安相關的工作經驗，並且訴求為以管理的方式解決資安問題，是專業資安人士所必備的證照之一。
  
  
• SSCP – 資安專業人員認證課程：
  此課程為SSCP認證之培訓課程。藉由課程的介紹，學員將了解SSCP認證所訴求之資訊安全通識七大體系(SSCP CBK 7 Domains)。SSCP是針對資訊／資安相關從業人員所設立的資安證照。藉由此證照可突顯從業人員在資安領域的能力表現，並且作為進軍CISSP認證的準備。

駭客攻防類

• CHFI – EC-Council資安鑑識調查專家認證課程：
  此課程為CHFI認證之培訓課程。藉由課程的介紹，學員將了解如何在電腦犯罪調查中進行電腦鑑識，包括證據的搜索、採證與分析，及如何保存證據與記錄。
  
  
• CEH – EC-Council駭客技術專家認證課程：
  此課程為CEH認證之培訓課程。藉由課程的介紹，學員將了解常見之駭客攻擊手法，如資料情蒐、網路掃描、系統入侵、網路攻擊、惡意程式及網站入侵等。透過了解攻擊者的作為，將可協助企業擬定更完整的防護策略。此課程同時也做為參加CHFI課程的前置準備課程。
  
  
• ENSA – EC-Council 網路安全管理師認證課程：
  此課程為ENSA認證之培訓課程。藉由課程的介紹，學員將了解網路安全管理所需的相關知識，如防火牆、入侵偵測、系統安全強化、修補管理、惡意程式及VPN等。透過對於網路安全知識通盤的了解，協助企業建構安全的網路環境。此課程同時也做為參加CEH課程的前置準備課程。

安全開發類

• CSSLP – 資安軟體開發專家認證課程：
  此課程為CSSLP認證之培訓課程。藉由課程的介紹，學員將了解如何透過管理的角度切入軟體開發生命周期，並在每一個環節中導入安全開發流程，藉此以協助企業開發出具安全性之資訊系統。CSSLP為針對資深的軟體開發／資安人員所設立的高階證照。其對證照持有者的要求為四年軟體開發／資安相關的工作經驗。
  
  
• ECSP – EC-Council 安全程式設計師認證課程：
  此課程為ECSP認證之培訓課程。藉由課程的介紹，學員將了解在使用不同的開發技術時該如何開發安全的程式，如C/C++/C#/ASP/PHP/.NET/SQL等。此為程式開發人員不可錯過的技術課程。

在防護技術類的課程中，企業可以依需要挑選自己需求的資安防護課程，如微軟、思科、Oracle、Linux、Check Point或者網路安全課程中的網路封包分析及Snort。

國際標準類

在國際標準類則區分了ISMS（資訊安全管理系統）及PIMS（個人資料管理系統）兩大主軸。對於需求建置或維護企業資訊安全管理系統的人而言，可以選擇ISMS系列課程，其順序是由初階的訓練課程開始，到實務應用上的風險評鑑課程及最終的主導稽核員課程。而對於需求個資管理的人而言，則可以參考PIMS系列課程，課程一樣是由初階開始，依序進展到實務課程，乃至於最終的主導稽核員課程。

而針對個資防護的部分，恆逸也特定開辦了「個資安全與稽核實務」課程。透過本課程，讓學員可以了解在個資防護周期中，每個環節該有的措施與作為。