資安人，你要的是什麼？

隨著資安市場的熱絡，資安人也跟著大搬風，怎樣才能留住資安人的心

二年前，國內的資安人材幾乎都集中在幾家專門安全廠商，二年後，企業開始重視資安，SI廠商轉型資安服務，安全廠商也面臨合蹤連橫，資安人也跟著洗牌。

我們不禁想問，資安人要的是什麼？是更高的薪資，是更多的成就感，還是更好的工作環境。

資安人能做什麼？該值多少錢？
萬幼筠：「所有產業都遇到一個問題，人往高處爬，每個人都有不同的成就動機，包含薪資、個人成長及前程的要求，有很多社會新鮮人可能因為薪資較高而接受與興趣不符的工作，到底什麼樣的薪資結構是資安人值得被支付的呢？」既有的從業人員，可能會思考一個問題：「我未來能做什麼？」如果所做的事與MIS相同，或者只是解決問題，而沒有被培養技能，那一定不會想要待下去，所以我的同事會說：「你要說服我為什麼做這件事情是有意義的，要不然不做。」在討論的過程中，他可能會研究完一個理論或方法，然後潛移默化介紹給客戶，以另外一種方式來傳遞知識。

當然，也要許諾他們一個未來，公司經營狀況要好，萬幼筠以勤業為例，客戶都特別大、特別複雜、特別有趣，不然就是業界的典範，所以資安顧問就會覺得有前景，而且做久了之後，已經不是在做資訊安全，而是風險管理，即使有客戶要挖角，他們也會考慮是否學夠、產業是否適合等問題。勤業每年都會規畫出企業的藍圖，要做哪些事、要投入多少資源、有哪些訓練、能給員工什麼樣的未來。

經營風格是另一個因素，勤業的人力部門稱為「人材資本」，把人視為資產，尊重的文化比較特別，除此之外，他們也提供清楚的職涯規畫，每個人都有機會，不偏頗。萬幼筠：「我不能評論其他企業的好壞，但有些主管或員工心態都需要檢討。良性的流動是很好的，但不能盲目的跳動，必須想清楚『來的目的』與『走的目的』，眼光不能太短淺。」

寧可棄高薪，只為有好的工作環境與企業文化
資安人才是市場炙手可熱的明日之星，一般的企業會嚐試以高薪挖角網羅人才。林秉忠認為薪水固然是選擇工作的一項重要指標，但是對於高階人才而言，工作的未來性與挑戰性，以及公司文化的開放性才是重要因素。林秉忠推辭許多高薪工作而選擇威播，除了公司領導人具備領袖特質，更重要的是，公司的管理哲學能夠吸引他，並且給予舞台展現專長。

陳彥銘從兩方面來看忠誠度問題。首先是做這份工作時有無成就感，能否滿足求知與新事物的慾望，不然他去賣雞排賺錢就好，大可把資安拿來做副業，當成興趣就好，另外，工作畢竟是工作，薪水當然也是蠻重要的，如果能夠同時具備成就感與薪水，比較可以提高資安人的忠誠度。不過，每個人對成就感和薪資的要求也不一樣，有的人希望每天都有新挑戰，有的人希望把事情做到完美，當然也有人認為他值更多的錢。

許偉健：「IT人力的變動幅度本來就比較高，影響因素包括薪資、工作環境及健康因素。」雖然市場缺乏資安人材，但薪資是個大問題；有些公司的人力有限，但仍一直接案子，主管應該要給員工好的工作環境，包括福利、規畫未來及教育訓練等。他以資誠為例，當顧問遇到問題時，主管會支援他們，協助解決問題。在生涯規畫方面，每個人都有不同的興趣和發展潛能，所以資誠會考量每個人的能力，給予適當的工作量、教育訓練及彈性工時，內部並定期進行專案檢討與分享，大家共同解決問題，分擔員工的壓力。

各位資安主管們，資安人需要你們的支援與鼓勵！

能力是否被妥善使用？
如果愛因斯坦去賣漢堡，那麼是否還會有相對論；如果米尼克去賣雞排，那麼他是否會成為今日著名的駭客？工作環境重要，但能力與機運也是關鍵。

楊士逸：「忠誠度與能力是否有被妥善使用有很大的關係，公司如果沒有妥善運用他的能力，那就算是浪費了，不能怪資安人會跑。」在專業的資安公司中，雖然每個人的技術能力和專業素養都很好，都擁有CISSP，但仍存在差異，也許在這邊只是一般的工程師，在外面卻能夠當主管，讓他有更大的發揮空間。在美國有環境（薪資、工作、挑戰）養的起優秀的資安人材，但臺灣就比較缺乏這種環境，如果這些人材無法成長，出走也是必然會發生的，完全視他的職業規畫與市場需求而定。未來也許大陸可以提供這樣的環境。

游源濱認為，從事任何一個工作，資安人本身所具備的「專業」與主管對他的「授權」，都是很重要的影響因素，有的主管會信任部屬，給他足夠的空間去做事，但也有些主管並非如此。要留住員工的心，必須給他發揮的空間與職涯規畫（career phase），依照他的專業技能去培養各種知識，並提供下一階段的發展目標。

看的更多，學的更深，想的更廣
蘇志隆認為每個公司各有其專長的領域，有的屬於資安管理，有的是資安技術，各個公司需要的知識和技術也都有所差異，在資安人流動的過程中，他們能看到更多的東西。現在一般的資安公司大都以產品為導向，但隨著服務逐漸起步，這方面的人材需求也越來越多。

從資安人的角度來看，公司的環境是否可以讓他發揮所長？蘇志隆以精業資安技術處為例，它分成3個虛擬團隊，分別是產品部署、專案規畫及服務與顧問等，新進人員一開始是依照專長分組，可能從產品部署學起，但日後他們也有機會跨到其他小組，進行專案規畫等工作，學習其他的技能。

蒲樹盛認為要提高員工的忠誠度，公司必須提供學習成長的環境，組織文化（管理風格）是尊重員工的，讓員工有成長的感覺，不能讓資安人只在「燒（Output）」，而沒有學習充電的時間，這樣很難留的住人。目前各家公司能給的薪資和福利都差不多，很少能夠像高科技業發股票留住人材。

林佶駿之前的工作比較偏技術性，現在的工作能夠從網路佈建時，就開始考量整體的資訊安全架構，而非當網路佈建完成後，才建議企業該買哪種安全設備，思考層面更廣。由於他先前是擔任後勤支援的技術人員，經過業務人員轉手過的企業資安問題，難免會產生一定的落差，目前的工作能與客戶直接接觸，除了更了解企業所面臨的問題，也可接觸到更多的產品。另一方面，由於資安人掌握企業（廠商、客戶）的資訊安全與機密，所以在保密方面也要有一定的「忠誠度」，不能到另一個公司就洩露前公司的機密。

林泰瑋表示，一個人會留在一間公司，不外乎就是3個原因，一個是公司的風氣，包括主管特質、工作環境和工作型態；另一個原因就是薪資；最後就是未來性，未來有什麼樣的發展性，當然，工作是否與志向（興趣）符合也是很重要。另外，如果公司掌握較多的「資源」，也會促使員工留下，例如精誠代理許多產品，能夠直接由原廠獲得技術支援和教育訓練。

企業導入解決方案時，總會出現各種千奇百怪的問題，這也提供技術人員一個「練功」的環境。施孟甫表示，中華數位是以技術團隊來解決問題，有經驗帶沒經驗的人，就像師父帶徒弟，讓新人可以從中精進技術。另一方面，由於公司較小，所以分工比較沒那麼細，每個人除了練技術，還要懂產品測試和專案規畫，能夠培養出多種技能。中華數位還有一個「達摩院」，是由多位顧問（學界、業界）所組成，當員工遇到瓶頸或問題時，可以透過MSN或Skype進行諮詢。

培養資安領導者，而非資安破壞者
朱保全：「在暢銷書『A到A+』中有提到，好的人才是企業重要資產，更是永續經營的必勝關鍵，但不是每家公司都能夠像聯發科給千萬元的獎金來留住人材，大多只能重點式栽培。我們期望訓練出ㄧ位優秀的資安領導者，而非資安破壞者，所以選人先從心選起，再做技術訓練。」凌群是以留住對的人，以及產出好的資材（領域知識）為重點，因此他們會以忠誠度、QBQ精神及執行力（請參閱好書分享）等多面向來評選人材，挑定人選之後再重點栽培，讓他參與大型的專案；除了栽培之外，更重要的一點是，留下他所產出的資材，並將這些領域知識留在凌群裡面，供日後研究發展之用。

因為資安人材稀少，所以廠商挖角、個人生涯規畫，都會造成資安人材快速流動，不過，人材有在流動才是正常的，代表資安市場是熱的，這些人材是大家所需要的。張裕敏：「企業不要抱持著將資安人材留在身邊的想法，應該思考如何在人材流動的過程中，知識能夠傳承下來，降低對公司的影響。」雖然資訊安全有很多新的技術，但公司可能因為成本與政策考量，不讓資安人材從事一些新技術性的工作，反而重覆執行一些簡單的工作，這樣不僅沒有成就感，也很容易就會倦怠。由於鈺松提供業界較佳的薪資，所以一開始就投入較多的資源（薪水、工作環境、職位），之後可能就無法再提供更多的資源。

轉換跑道前，先進行風險評估
林育民認為在職場上，如果要轉換到新的工作環境，往往會考慮到幾個因素，分別為企業文化、工作環境與公司前景，個人未來發展的機會，以及合理的待遇。轉換到一個新的工作環境，除了要適應新的環境外，也會面臨許多新的問題與挑戰，通常要一段時間後才能上手，發揮原本應有的實力。而且，資安人通常比其他人更具風險意識，在轉換跑道前，大多會謹慎評估一下可能的風險與預期效益。所以，只要一個企業能提供良好的工作環境、個人未來發展的機會，以及合理待遇，留住資安行家的心並非難事。

對林松儀而言，薪資並不是最重要的考量，由於趨勢科技是一個很自由的環境，又可以到各國支援，當他完成一些大型專案後，會很有成就感。他認為要留住資安行家的心，除了找到合適的部門與主管，重點是公司要起的來，之前有許多小型系統整合廠商挖了不少資安人員，但由於企業還沒有資安方面的概念，產品和服務都很難賣，最後人又離開，部門也跟著跨了，此外，有些時候可能是因為資安部門快被裁了，人不走不行。

如果新公司一切都剛起步，那麼跳槽的風險可不小！

安全專家，你拿到哪幾張？
CertCities每年都會由網友及專家票選「十大IT證照」，可以反映出IT產業的人才需求。 與去年相同，今年在安全方面的證照佔3席，分別是MCSE Security、Security+及CISSP，Security+和CISSP的排名則與去年差不多，但去年第6位的CCSA則跌出榜外。

MCSE Security和MCSA Security是微軟新增的安全專業證照，而且MCSE Security一推出就勇奪第一，可見企業對安全的迫切需求，如果你已經擁有MCSA或MCSE，只要加考一些科目就可以獲得MCSE Security或MCSA Security；CISSP是國內當紅的資訊安全證照，強調的不是平臺或產品，而是對技術原理和資訊安全整體面的認知與掌握程度；CompTIA的Security+類似國內的NCSE，考試的範圍很廣，除了安全領域的知識，還要對作業系統和網路架構有一定的了解。

除了上面3項安全證照，還有SANS （SysAdmin Audit Network Security）、ISACA、微軟、Symantec、ISS等熱門的證照。文⊙陳世煌

資安行家給你好看張裕敏
鈺松國際研發處副總經理兼技術總監

學　　歷：清華大學資訊科學博士研究

經　　歷：鈺松國際專業服務處協理，鈺松國際研發處處長

專業證照：CISSP、CERT/CC、CEH

好書分享：
《Hacker’s Challenge 2》
本書以案例的方式，探討19個網路管理人員經常碰到的問題，並說明問題發生的原因、駭客當時的行為及事後的處置等。這本書能夠讓資安人員了解 當網路上有哪些徵兆、系統有哪些狀況出來時，就可能是駭客探測的開始。Hacker’s Challenge 2的案例都詳細描述每個細微的徵兆，然後說明資安人員的處置方式，最後並給予處置對錯的建議與評論。

《The Shellcoder’s Handbook》
本書從簡入深，一步步的說明緩衝區溢位問題、shellcode的產生、格式化字串發生的原理、堆積溢位的形成，說明如何在Windows及Solaris下寫出攻擊程式，並介紹程式碼檢測原理與防治，最後還介紹核心的漏洞問題。

對於攻擊程式的寫作，一直都有許多經典文章存在，但是，要將這些文章融會貫通，對於初學者來說，可是極其辛苦的一件事情，而本書由數位大師親筆架構、構思與寫作，就是希望初學者可以很快融入攻擊程式的寫作部分，而後續的每個章節，更會讓你對於寫作攻擊程式著迷，進而發現漏洞的發生與防治要點。

資安好站：
Securiteam
http://www.securiteam.com
這是一個專業的資安訊息網站，其中的資安訊息與資安工具常常是即時的資訊。另外對各平台的資安漏洞說明、資安產品介紹與攻擊程式收集等，也是大家常常造訪的區域。

Phrack
http://www.phrack.org
Phrack是一個古老的地下資安雜誌，以往只有在駭客手上流傳，不過近年來逐漸演變成一本專業的資安技術雜誌，裡面的文章以技術為主，大家都以可將自己發現的新技術發表在這本雜誌上為榮。目前最新一期為第62期，對於想吸收最新的尖端技術，應該來本網站拜訪拜訪。蘇志隆
精業資安技術處處長

經　　歷：證交所/櫃買中心/證券集保公司/財政部支付處資訊安全稽核、系統弱點評估與資安系統建置，行政院研考會暨全國鄉鎮市公所網路安全規畫與防火牆/防毒系統建置專案，中華電信eYP網路安全擴充建置專案

專業證照：CCNA、CCNP、CIW Security Analyst、CERT/CC Instructor

好書分享：
《生死關頭之網際網路防駭對策》《生死關頭之網站技術防駭秘笈》
該套書籍為原文翻譯書，共有兩本，內容涵蓋點與面的資安議題介紹與說明，適合中、高階資安技術人員與Web程式開發人員，做為資安知識累積的工具書。

「生死關頭之網際網路防駭對策」是從網路的基礎知識談起，直到因為網路與系統缺陷所導致的安全問題，這其中包括資訊環境不安全的因素與弱點所在，以及駭客所運用的攻擊手法原理。另外該書中也介紹到目前IT環境中，所需具備的基本防護技術、觀念與實際規畫的考量，包括IPSec VPN、PKI與加解密技術運用（數位憑證、SSL、SSH、PGP與S/MIME）、入侵偵測系統與市場上常見的防火牆設定及應用。

「生死關頭之網站技術防駭秘笈」則是從網站應用程式的安全問題與駭客入侵方法論介紹一般網站容易遭受的安全威脅，後續則說明各種Web應用程式常見的安全疑慮，包括CGI、Java、XML、ActiveX與ColdFusion，最後也對如何完成安全的Web程式開發，有全面且深入的討論。

資安好站：
SQLSecurity.com
http://www.sqlsecurity.com
該網站之內容除為針對MS SQL資料庫的安全應用與管理，提供相關之新聞與安全通報之外，同時也提供許多有關資料庫安全的文件，包括SQL Injection的說明與改善、SQL Server的安全性Check List、SQL Server的安全性設定及使用建議等。另外也提供許多與SQL有關的工具資訊與軟體，讓資料庫管理員可從該網站當中取得不少與資料庫安全性相關的免費工具。該網站提供討論區，對資料庫的各種疑問與想法，皆可在此與其他SQL同好進行問題討論與經驗交流。

從事資料庫維護或資安專業人員，可從該網站可獲得許多關於資料庫安全的寶貴經驗楊士逸
臺灣思科系統企業暨公眾事業群技術總監

學　　歷：雪黎科技大學工程管理碩士

經　　歷：TWAREN（TaiWan Advanced Research and Education Network），MICS（Military Information Communication System）

專業證照：CCNA、CCDA

好書分享：
《Network Auditing: A Control Assessment Approach》
由稽查和資訊系統角度，以深入淺出的方式來檢視企業內網路和網際網路。了解 Network Auditing 是網路安全很重要的一環，談及網路安全，許多應用工具固然重要，但淺顯易懂的安全稽查、評估是最基本的概念，有了網路安全稽查的概念，才能知道什麼是潛藏的網路安全漏洞，如何評估現有網路安全的情形，身為網路安全管理者，是一本很好的入門書。

《Network Security Architectures》
資訊安全牽涉的範疇非常廣泛，真要介紹，可要花上大半天才能說明白整體架構。若以最基本的的資訊通訊安全而言，網路安全是必備的知識，本書以如何規畫安全的網路架構來說明如何設計一個安全的網路，其中必須考慮到不僅是網路的服務，也需考慮到應用程式的整合。實乃基本入門書之一，對網路安全設計著墨諸多，有益初學者建立正確的觀念。

資安好站：
SecuriTeam
http://www.securiteam.com
SecuriTeam提供很豐富的網路安全資訊，包含了最近的網安資訊、駭客新聞及工具程式，像個資訊豐富的「Security Portal」。對網路安全有興趣的朋友們，許多的網安資訊、駭客新聞及工具程式都是不可或缺的常識，SecuriTeam 這個網站內的資訊提供了最新的且豐富的網路漏洞探討駭客資訊，有空上來研讀一下，有助功力增長。

The Happy Hacker
http://www.happyhacker.org/defend/index.shtml
網站提供許多駭客攻防的資訊，使初學者了解如何成為駭客，並明瞭其所使用的手法，同時也告訴你如何防堵這些攻擊。知己知彼對駭客攻防是很重要的一環，了解駭客如何攻，才知道如何防守，這個網站的內容提供了許多寶貴的資訊，讓你知道如何當駭客。游源濱
Juniper Networks臺灣/香港區技術總監

學　　歷：真理大學資管系

經　　歷：Unisphere Networks技術經理、Datacraft Networks企業網路顧問群經理

專業證照：JNCIS

好書分享：
《Firewalls and Internet Security: Repelling the Wily Hacker, 2nd ed》
讀者可以從本書得到有關網路安全的基本知識基礎與觀念，本書也非常深入的介紹防火牆，包括與防火牆相關的測試及監控軟體，作者並分享許多資訊，最後更從法律面進探討安全議題，是一般安全書籍比較少見的。

《Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems》
如果有聽過SANS這個安全組織及相關認證的話，本書的作者你就不會陌生，他是SANS組織裏的資深安全技術人員及講師，作者把他豐富的技術知識，透過簡易的說明，完整的介紹各種安全技術，例如IDS。相信本書可以帶給讀者在網路安全技術知識方面更進一步的認識與了解。

資安好站：
SecurityFocus
http://www.securityfocus.com
對於一個新手而言，一個豐富的知識網站是相當重要的，而Securityfocus就是一個大家都公認的安全網站，讀者可以從其中的Library看到相當多的資安技術文章，而一些相關的安全測試工具，也可以從中找到相關的連結。

Packet Storm
http://www.packetstormsecurity.com
在資安領域中，除了資安的觀念或技術理論外，讓人最感興趣的莫過於實際的攻擊與防禦，在一般的網站中，使用者不太有機會找到可以讓你去做測試攻擊的軟體，而在Packet Storm中，你就可以找到一些有用的工具，讓你進行安全的攻擊測試，不過使用者需要具備基本的Unix及編譯程式經驗，因為本站很多的安全測試軟體都是在Unix下使用。推薦這個網站，除了希望使用者了解資安技術之外，也能實際以工具驗證。