要確保國家網路安全,除了仰賴資安相關技術的發展,背後更重要關鍵,是要有實踐這些技術的人,也就是資安人才。

但是,要推動資安人才,或許我們先要了解的是,資安工作所需的任務與知識技能,而國際上已有這方面的發展,例如,美國國家標準暨技術研究院(NIST)推出的 NICE 網路安全人才框架,就是一例。

事實上,早在十多年前,美國政府已經意識到聯邦資安人才培育的重要性,因此在2010年,啟動國家網路安全教育倡議計畫,名為National Initiative of Cybersecurity Education(NICE),由美國NIST帶頭,當地多個單位共同合作推動,主要聚焦在網路安全人力框架(Cybersecurity Workforce Framework,CWF)的設計,其用意是制定網路安全相關的知識技能體系。

而這樣的計畫,2012 年有初步的成果。當時,就已發布了第一版的NICE Framework,後續,再經歷了七年多的持續改進與發展,現在這項框架已經變得更為先進,並於2020年發展至第四版本。

特別的是,這期間還有一個重要的進展,在2017年時,美國NIST將此框架發布為NIST SP 800-181標準文件,當中強調公私組織都能廣泛運用,此舉為網路安全人才的培育,提供了具體的指導和參考。

值得我們關注的是,近年來,隨著全球資訊安全威脅不斷增加,各國對於資訊安全人才不足議題,逐漸成為討論重點。為此,資安人才職能框架成為國際間重要的議題。

例如,我們在去年2022年注意到,歐洲網路安全局 ENISA 發布網路安全技能框架(ECSF),這也顯示,國際間的確在思考資安人力培育的問題,並設法提出對應之道。

對於臺灣而言,這份NICE網路安全人才框架的內容,等於也是提供我們在規畫相關策略時的重要參考,可幫助從政策面與執行面去通盤考量,以促進國家整體資安人才的發展。

畫分7大類別、33大專業領域,以及52個工作角色

為何NICE框架具參考性 ? 簡單來說,NICE 這個框架是由美國政府、學術界與產業夥伴共同合作發展,主要是為了建立完善的網路安全教育、培訓與人才發展生態系。

以 2017 年而言,美國 NIST 將此框架第三版發布為NIST SP 800-181標準文件來看,目的是全面統整出網路安全需求人力的資訊,成為這方面的基礎參考資源,因此制訂一個分類詳盡的框架的內容,希望建立共同的詞彙,有利於識別、招募與發展網路安全人才。

這樣的框架能夠帶來哪些好處?以企業組織而言,雇主能使用一致的語言,設計出內部資安人員專業發展計畫,並選擇適當的培訓機會或相關產業認證與學術證書,以提升其員工的技能水準;對於學術機構來說,也能藉此發展網路安全課程,以滿足當前與未來的資訊安全人才需求。

當時的NICE框架共建立了7大類別、33 大專業領域,以及 52 個工作角色,並針對每個資安工作角色,皆提供了面對的任務,以及勝任該職責所需具備的知識、技術與能力(KSAs)。

這 7 大類別包括:安全架構供應、操作與維護、監督與治理、保護與防禦、分析、收集與行動,以及調查。

而這些類別涵蓋的 33 大專業領域,分別是:

● 安全架構供應,包括:風險管理、軟體開發、系統架構、技術研發人員、系統需求計畫、測試與評估,以及系統開發;

● 操作與維護,包括:資料管理、知識管理、客戶服務與技術支援、網路服務、系統管理,以及系統分析;「監督與治理」的法律諮詢與倡導、培訓教育與意識、網路安全管理、戰略規畫與政策、高階網路領導力,以及計畫/專案管理與收購;

● 保護與防禦,包括:網路防禦分析、網路防禦基礎架構支援、事件回應、弱點評估與管理;

● 分析,包括:威脅分析、漏洞利用分析、全方位情報分析、目標對象分析、語言分析;

● 收集與行動,包括情報收集作戰、網路作戰規畫(深層聯合目標制定與網路安全規畫)、網路作戰(防範犯罪與外國情報實體);

● 調查,包括:網路調查、數位鑑識。

上述這些類別與專業領域,除了顯現出資訊安全工作範疇的細膩畫分,同時,此框架還對應發展出52種資安工作角色。

簡單而言,有些領域對應單一工作角色,像是系統需求計畫領域所對應的工作角色,就是系統需求規畫師;也有些領域是對應多個工作角色,例如,在風險管理領域之下,有兩個角色,包括授權官/指定代表,以及安全控制評估專家;在資料管理領域之下有兩個角色,包括資料庫管理員,以及資料分析師。

更重要的是,這個框架還非常詳盡的歸納出,網路安全人才所需的具體條件,包含:任務(Task)、技能(Skill)、知識(Knowledge)、能力(Ability)。

這部分的內容有多細膩?我們看到總共區分出1,007種任務(T0001至T1007),以及630種所需知識(K0001至K0630)、374種所需技能(S0001至0374),以及176種所需的能力(A0001至A0176)。

同時,每個工作角色也都對應出各自面對的任務,以及所需具備的知識、技術與能力。

剖析細膩的人才需求是NICE最大價值,持續改進是重點

整體而言,如此細膩地進行分類與描繪敘述的框架內容,對於資安人才職能的整體檢視有極大幫助,也是這份框架的價值所在,基本上,它能協助產業更具體討論與理解資安專業人員的工作,以及技能要求,甚至能夠直接當成一個詳盡的檢核表使用。

不過,接下來NICE框架該如何改進,可以使其更適用呢?

後續我們看到,NIST 在完成細緻的盤點統整後,已轉向簡化框架結構。

例如,在2020年11月發布的第一版修訂 SP 800-181 r1,開始有了不同於以往的明顯變化,其調整重點在於,簡化、優化框架的組織結構與術語,也就是說,希望提供一個更靈活且易於使用的方法,來開發管理網路安全風險的人才。下一篇我們將繼續介紹新版所做出的改變

 

NICE框架的任務、技能、知識與能力簡覽

在2017年發布SP 800-181,畫分出多達52種資安工作角色,也同時定義4種與工作角色相關元件,包括任務、 技能、知識、能力。而且,在每個工作角色的職能一覽項目當中,都包含4項描述,說明該職能對應所需。我們可從下列個別列舉的前20個項目,看出NICE對於資安人才職能描繪的細膩程度。(完整NIST SP 800-181內容

一、NICE框架「任務」簡介

這部分說明所有已被確定為網路安全工作角色的任務,當中共定 義出1,007種的任務(T0001至T1007)。 以T0001為例,當中說明其任務是要獲得並且管理必要的資源, 這包括領導層的支持,財務資源與關鍵資安人員,以幫助達到IT 安全的目標,並減少組織整體風險。

二、NICE框架KSA的「知識」簡介

這部分說明履行各種資安職能的各種資訊,共包含630種知識 (K0001至K0630),前6項是所有網路安全工作角色都需具備的 知識,以K0001為例,是要熟悉電腦網路概念協議,以及網路安 全方法,以K630為例,是具備了解最新入侵技術、方法與已有文件紀錄針對組織外部的入侵案例。

三、NICE框架KSA的「技能」簡介

這部分的內容是歸納出網路安全技能的清單,共有374種。 具體而言,每一種技能是指能夠展現出已經學會的動作或行為的能力,而這種能力是可以被觀察到的,也就是說,只有當你能夠 實際展現出這些行為時,才能被稱為具有這些技能。 以S0001為例,當中說明其技能是要具備漏洞掃描與識別安全系統中漏洞。

四、NICE框架的KSA「能力」簡介

這裡提供的是關於網路安全能力的清單,其能力指的是英文的Ability,共176種能力(A0001~A0177)。 以A0001為例,是指能夠根據漏洞與資料設定配置的分析,識別系統性安全問題的能力。 以A0176而言,是指具備維護資料庫的能力,包含備份、復原、 資料刪除、日誌檔案交換等。


 

本文出自《CYBER TALENT 臺灣資安人才專刊》

 

繼續閱讀:2020年版NICE框架新變革!模組化與便於彈性使用是重點

熱門新聞

Advertisement