專家該具備哪些資安證照,哪些會是未來當紅的證照?

當你拿到一張名片,除了常見的公司、姓名、職稱及電話等資料,通常在姓名下面會列出對方所擁有的證照。如果他拿到的是MCSE,可能沒什麼感覺,因為太普遍了;如果是CISSP,國內不到200張,可能會感到佩服;如果是看到國內才只有3張的GIAC,肯定會想知道對方是何方神聖!

資安證照代表什麼?
證照代表他是行家嗎?行家一定要有證照嗎?有證照就能解決問題嗎?

林秉忠:「證照本身僅僅是證明持證者本身具有一定的知識及能力,一般認為資訊安全的專家一定要有證照,其實是一個本末倒置的看法,目前國內的網路管理者普遍的專業水準都很整齊,由於政府大力推廣資訊安全的觀念,他們也都有不錯的認知。」就長久的趨勢來看,網路管理者有資安證照會是趨勢,至於要挑選哪一種證照,則視工作性質與內容而定。

「雖然證照能夠強化個人的專業性,卻不表示能夠完美解決企業的資安問題,」萬幼筠說:「但是,證照對問題的了解程度和深度程度是很重要的,可以說是解決問題的入門磚。」

陳彥銘認為證照代表有一定的基礎知識,卻不代表經驗與臨場表現,即使你有了證照,還是需要累積實際的經驗,才能發揮證照的效果,考試環境模擬的再好,畢竟只是模擬而已。而且,證照不是評斷一個人技術能力的要件,大部分的證照都是紙上測驗,純粹是知識性的東西,不一定能與實際情況配合,所以他寧可選擇有實務經驗,但沒有專業證照的面試者。證照隨時都可以再考,但有些東西是考證照所學不到的。

林育民表示,在現今臺灣的資安產業中,資安證照似乎已經成為「資安專家」的基本配備,然而,擁有這些證照頭銜,並不意味著他有足夠經驗去處理複雜的資安問題。在過去,擁有CISSP證照頭銜的人,往往會被認為是最有價值且傑出的資訊安全專家,許多人更會以這樣的證照頭銜,做為衡量一個人是否具備足夠的資安知識、技術與能力,以及能否勝任資訊安全領域相關工作的重要指標。隨著各類資安證照的氾濫,有些證照早已不像以往那般有公信力了!

楊士逸:「時下許多工程師在追逐一些資訊安全證照,因為證照代表薪水與專業的保證,但從實際的工作層面來看,它卻不一定會有幫助。」駭客可以說是另一類的資訊安全專家,會寫病毒的人通常也會解毒,只是他們用在壞的地方。

游源濱認為,產品證照無法獲得安全政策與稽核方面的觀念,資安證照(例如CISSP)則可以協助建立這方面的觀念,讓你擁有整體的安全概念,但是,資安人也不能與現實脫勾,如果理論講得頭頭是道,卻不能實際落實,也是沒有用處,所以資安人必須了解產品能做到何種程度,甚至採用多套產品(雙層防火牆)去達成一項功能。

在我們這次專題中,施孟甫是唯一沒有證照的行家,他提出對證照的看法:「好學校也會有壞學生,壞學校也有好學生,有證照代表具有基礎的能力,但不代表他就是資安行家,我認為考證照比較偏理論面,但實務面的東西也是要有,不過,有些資安行家還是該去取得資安證照。」

哪些是當紅的證照?
蒲樹盛表示,大家總是把資訊安全想的很複雜,如果把資訊安全當做一個工程來看,其實它就像是在蓋房子,需要技術、管理及法令的配合。資訊安全證照可以分成資訊安全技術、資訊安全管理及資訊安全法令等三方面,在技術面的證照主要有3C(CISSP、CISA、CIA),還有許多產品面的證照,這些產品證照的知名度與產品市占率及證照數量有關;管理面的證照則以BS7799為主;法令就像智慧財產權、個人資料保護法及組識記錄保護法等,不過因為這一塊的層次比較高,目前沒有個人的資訊安全法令證照。

許偉健:「臺灣公認的資安證照當然是CISSP。」CISSP非常的廣,已經大到超過資安行家的領域,像實體安全裡面就提到CCTV攝影機要擺在哪裡、亮度多少、要有幾種,這些都不是資安人會考慮到的,所以考CISSP沒那麼容易,但也因為它不好考,才會有「價值」。此外,由於通過CISSP的人數眾多,(ISC)2希望從中選出更進階的專家,所以推出ISSAP等進階證照,前者偏技術面,後者偏管理面。目前政府單位的標案,都希望資安顧問具備CISSP及CISA,另外,管理面的CISM、技術面的CompTIA Security+、SANS GIAC,無線網路方面的CWSE與CWA ,未來幾年都會蠻紅的。

林佶駿表示,專業的資安證照比產品證照更重要,未來當紅的證照也會以專業證照為主,包括CISSP及進階的ISSAP與ISSNP。有人會覺得CISSP很廣但不深,不過它是從事資訊安全的基本門檻。如果要朝技術發展,那麼SANS的證照會蠻有幫助的。未來資訊安全會朝「服務」發展,有了這些證照之後,整體的安全構思能夠依照國際的標準與規範,而非自己憑空想像。

張裕敏:「CISSP是官方認可的證照,也是最普遍的資訊安全證照。技術方面有SANS與CEH(Certified Ethical Hacker),CISA、CISM和BS7799則偏管理面。」

林育民:「對於想跨入資安領域的專業人員,具備CISSP、CISA、BS 7799 LA Course及SANS等熱門資安證照中的一到兩項,仍是不可或缺的基本要求。」由於真正引進臺灣的證照考試或相關訓練課程仍相當有限,在可見的未來,CISSP、CISA、BS 7799 LA Course 及 SANS等資安證照,仍會是當紅的證照。

楊士逸也有相同的看法,目前有名的安全證照,在未來應該也不會改變,包括CISSP、BS7799等,因為他們不是在測驗技術,而是正確的資訊安全認知。Cisco本身有與安全相關的證照,例如CCIE Security,不過它比較偏向網路面,而且是以Cisco的解決方案為基礎。

游源濱表示,資安證照可分成兩種,一種是獨立的證照(與廠商無關),包括CISSP和BS7799LA,比較有公立性,不會隨著產品變化而改變,另一種則是產品證照,市場也需要這類證照,常見的有防毒和防火牆產品證照,取得這些證照後,對跨入資安業有一定的幫助。

林秉忠:「目前當紅的安全證照有CISSP、GSEC、BS7799 LA等等,未來Cisco CCSP、微軟MCSA/MCSE等關於系統安全的證照也是趨勢之一,此外,偏重技術的Ultimate Hacking等攻防課程將是熱門話題。」

林松儀:「CISSP是比較廣泛的證照,其他還有CCIE Security及Checkpoint的CCSA、CCSE。」CISSP的範圍很廣泛,雖然趨勢的領域是防毒,只佔其中的3%,但它對資安人有很大的幫助。

林泰瑋是從Checkpoint的工程師出身,對一個初學者而言,一開始會接觸入門等級的產品證照,如MCSE、RHCE等,但隨著時間與經驗的累積,如果一直把自己綁在產品上面,很可能在下一波產品改變時被淘汰,所以資安人必須跨出以產品為基礎的證照,取得國際認可且與產品無關的證照。

一張不夠多,二張不偏頗
萬幼筠表示,依照國外趨勢,美國911之後,CISSP是最當紅的證照,有40年歷史的CISA也很熱門,這兩個證照是GoCertify(www.gocertify.com)列名為資訊安全難度最高的兩個證照,除此之外,CISM及BS7799 LA也是大家耳熟能詳的證照。但光靠這些證照並不能完全解決問題,所以在法治面則有CFE(Certified Fraud Examiner)與CBCP(Certified Business Continuity Professional)。除了上述6大證照之外,還有一些資安產品的證照,如微軟、Symantec及Cisco等,可以依照專長取得這方面的證照。專業人員起碼應該具備1~2個證照,才能比較全面性,不偏頗某一方。

在精業資安團隊中,蘇志隆除了擁有CISSP、GIAC、CERT/CC、CIW Security Analyst等專業證照,也有Checkpoint、微軟、Cisco、ISS及趨勢等資安產品的證照,他認為在現今的IT環境中,不論是網路或作業系統都與資安脫離不了關係,要解決資安問題必須從根源做起,也就是說,資安人除了具備資安證照,還要擁有基礎的產品證照,在兩者互相搭配之下,證照才會發揮原本應有的效用。

朱保全認為,隨著資安產品的多樣化,未來的資安人需要比現在懂更多的東西,一張證照已經不夠,需要多重證照的專家,包括懂管理面的BS7799,技術面的GIAC及產品面的MCSE。雖然經濟部也有推出資安證照,但很可惜的,它無法與國際接軌,大陸也有類似CISSP的CISP證照。

評估自己適合的證照
陳彥銘認為資訊安全與法律、IT、管理是習習相關的,以駭客入侵的事件收集(鑑識)為例,它就橫越上述的3個領域。每個領域都有與安全相關的東西,這就好像從魚眼看世界,從不同的角度會有不同的看法,所以每個領域都應該有相關的證照,接下來就看你要成為那一方面的專家,再去選擇合適的證照。在國外,如果要做資安顧問,大部分的公司會要求具備CISSP,如果偏向稽核方面,會希望有CISA。通過CISSP考試並不難,比較難的是需具備3年以上的工作經驗,而且之後的工作最好與資訊安全相關。CISSP每年要繳交85美元會費。

管理證照的面比較廣,深度較淺,但技術證照的面較窄,深度較深。蒲樹盛建議先評估自己是否具備這方面的能力,再去選擇合適的證照,以BS7799為例,稽核員必須對資訊安全有全面性的認識,了解稽核的原則與軌跡。

蘇志隆表示,證照有容易取得,也有難取得的,在準備前最好先思考是否從事相關領域,以經驗與實務去取得證照。目前國內缺乏資安事故鑑識與犯罪調查的相關證照,但國外已經有單位提供這方面的證照,例如IACIS(www.cops.org)的CFCE、Guidance Software的EnCE (EnCase Certified Examiner)及SANS/GIAC的GCFA,要注意的是,必須具備相關的犯罪調查經驗,才能夠申請應試。

實務經驗讓你更快上手
張裕敏:「有實務經驗會比較容易取得這些證照,如果是自己看書,第一次考試可能都不會過,因為CISSP是以情境模擬考試,不是書背一背就可以過。考試時不是選出標準答案,而是從中選出最好的,也許四個答案都對,如果你沒有實務經驗,就會不知該選那個。」

朱保全認為「接觸式學習」是最佳的學習方法,也是準備的基本功。當你接觸到任何一項事物時,要能夠立即對應到所學的資安管理或技術,然後與你所要準備的科目相輔相成、複習創新,如此才能學的更好更快。

林秉忠當初在準備CISSP考試時,曾與一些朋友共組讀書會,每個禮拜會針對CISSP某個知識領域隨性的討論,累積半年之後,各方面的知識便相當可觀,準備起來也非常輕鬆。

林育民認為準備這些證照最有效的方式,當然還是研讀該證照相關的書籍與教材,此外,若能再練習一些模擬試題,可大幅提升通過的機率。林泰瑋是選擇CISSP All In One這本書來準備CISSP證照,書本所附的練習題可以用來測試對教材的吸收度、了解程度,但可不要以為考試會出這些題目,就他的經驗而言,考試時的題型和描述都完全不同。此外,語言能力也很重要,因為考題是英文,還有很長的敘述句和倒裝句,有足夠的英文閱讀能力,應付考試才不會那麼辛苦。

林佶駿也認為英文能力有助於準備證照,能協助你看懂題目、寫論文。文⊙陳世煌

資安行家給你好看萬幼筠
勤業眾信會計師事務所副總經理

學  歷:馬里蘭大學Ph.D Candidate(博士候選人)、科羅拉多大學資訊系統碩士

經  歷:勤業眾信會計師事務所企業風險服務副總經理,資誠會計師事務所資訊風險管理經理,資策會市場情報中心MIS經理

專業證照:ISA、CISSP、CISM、BS7799 Lead Auditor、TCSE

好書分享:
《祕密與謊言(Secrets & Lies)》
以淺顯易懂的手法,說明資訊系統面對的威脅,並提供對照性的思考,揭示系統安全的達成,其實是一個不斷提升的過程,而非面對技術至上的象牙塔,頗能切中目前企業面對資訊安全風險問題的實弊, 就如同作者所言:「了解系統真正的威脅,設計一個能構對付威脅的安全防衛,及從頭建立一個合適的安全對策,以達成系統風險的降低,此乃一不間斷過程」。這是建立資訊安全管理觀念正確性的一本書,又不顯枯燥,作者深厚的資訊安全理論與實務學養,以實例與理論交互參照,實為欲進入此領域的最佳入門書。

《Information Security Management Handbook,5th ed》
涵蓋目前資訊安全主要議題,並深入介紹的參考書籍,為期望了解資訊安全議題的最佳指引參考資料,在尚未有諸多CISSP認證教科書之前,本書幾乎成為所有應考人員或各機構欲切入資訊安全的百科全書,內容旁雜但涵蓋面廣。作為手邊的一個參考書籍或翻閱檢視,均為一個不錯的工具書

資安好站:
SecurityFocus
http://www.securityfocus.com

資訊安全入口網站,提供資安新聞、動態、弱點通報與攻擊防禦技術的資訊,包含資訊安全技術與產業動態相關資訊,是不錯的參考資源。

Phrack
http://www.phrack.org

最經典的系統弱點與入侵技術的網路化期刊,與傳頌一時的駭客地下雜誌2600齊名,綜合與嚴選現今各系統的安全弱點與攻防說明。此網站為系統安全的聖殿,自1999年開始,便在新聞群組傳誦的網路定期文章,對先進的系統安全弱點手法進行研究,有意系統攻防的從業人員必讀的資訊。許偉健
資誠會計師事務所價值管理服務部協理

學  歷:倫敦大學皇家哈洛威學院資訊安全碩士,英國Essex大學軟體工程碩士

經  歷:行政院衛生署中央健保局「健保IC卡系統資安管理制度」協同專案經理,財政部關稅總局「資訊安全管理系統ISMS」專案顧問,財政部臺北市國稅局「資訊安全管理系統風險管理委外服務案」專案顧問

專業證照:CISSP、CISM

好書分享:
《IEEE Security & Privacy(電機和電子工程師協會之資訊安全及保密雜誌)》
這本雜誌的主題包含無線網路的安全、企業實體安全、安全計畫、公共建設安全、隱私權的問題、法律上的問題、數位權利管理、Cybercrime(駭客)、智慧財產保護和侵權行為、安全專業知識及教育。除了一般的研究論文,它還包含各種資訊安全議題。

資安訊息:
Information Security Forum
http://www.securityforum.org/html/frameset.htm

ISF成立於1989年,組織總部位於倫敦,擁有超過250個的成員。ISF出版大量的報告和指南,內容涉及安全政策、風險評估、Windows和Unix的系統配置,我們可以從www.isfsecuritystandard.com免費下載各種安全範例標準。

Gibson Research Corporation
http://www.grc.com

GRC.COM包含大量的安全內容,而且作者持續不斷增加內容,網站提供線上指南協助使用者了解網頁內容,作者會從與使用者的互動之中,決定要更新或新增內容。作者提供依年代順序排列的安全專案計畫,有興趣的人可以參考。這個網站也提供實用的免費軟體,建議試試 GRC「Shield Up」這個小程式,它能夠查明你電腦的網路埠是否被保護。蒲樹盛
BSI大中國區訓練經理/ BS7799產品經理

學歷:美國西雅圖大學 MBA

經歷:BSI大中國區訓練主管、BS 7799產品經理、國際主導稽核員(BS 7799 /ISO 9000 /TL9000)、國際標準&管理課程資深講師、MIS主管/系統分析師/程式設計師

專業證照:IRCA BS 7799 Lead Auditor、IRCA ISO 9001 Lead Auditor、QuEST Forum TL 9000 Lead Auditor、IRCA Training Lead Tutor

資安好站:
BSI 英國標準協會
http://www.bsi-global.com

網站包含最新的國際標準與英國標準介紹(包括資訊安全及相關出版品),可幫助使用者了解最新國際標準發展趨勢,快速瀏覽BS7799資訊安全相關標準及出版品,獲知BS7799相關的訓練及研討會資訊.,並提供建置ISMS管理系統的步驟及指引。

ISMS
http://www.xisec.com

網站清楚公布全球通過BS7799驗證的組織及相關資訊,介紹BS7799使用及應用知識,並分享ISMS建置經驗,提供基礎且實用的ISMS Q&A。陳彥銘
Foundstone亞太區總監

學歷:美國卡內基美隆大學資訊網路碩士

經歷:卡內基美隆大學CyberSecurity中心研究員、Foundstone資深顧問

專業證照:CISSP、MCSE

好書分享:
《Writing Secure Code (2nd ed.)》
微軟公司將過去幾年從程式間找到的安全問題經驗累積後發表如何撰寫安全軟體的步驟與做法。內容具備實用性同時也不失過程的嚴謹性。

《Security Engineering》
闡述安全領域各項目的知識,內容並不具技術性,但有很多案例輔助與精闢的論點。作者是相當知名的安全領域研究專家 Ross J. Anderson,他的學術涵養與其豐富實務經驗讓人推薦此書。

《The Shellcoder’s handbook》
介紹如何找到軟體的弱點並且了解如何利用這些弱點。書中混合實例與技術細節算是今年不可多得的技術方面叢書。

資安好站:
Neohapsis Archives
http://archives.neohapsis.com

網站包含多個 mailing lists archive,可以一次讀到多個安全相關的mailing lists,不用浪費自己的信箱空間。

Security Protocols
http://security-protocols.com

安全方面的新聞,每天早上起床先看一下有沒有新的安全方面的消息。

Infosyssec
http://www.infosyssec.com

安全相關資源的大雜會,可以連到很多不同的資料。類似安全方面的入口網站,適合找到很多資安相關資料。

Microsoft Security Guidance Center
http://www.microsoft.com/security/guidance/default.mspx

與微軟產品有關的安全資源中心,只要是與微軟相關的安全問題,都應該先來這裡看看。

熱門新聞

Advertisement