資訊安全認證-資安行家的身分證

應該沒有人會否認今年是企業資訊安全年，從防毒、防火牆、VPN、弱點評估、入侵偵測與防禦，到內容過濾，甚至是風險評估，整個資安市場強強滾，但企業卻沒警覺到資安人才不足，往往建置資安系統之後，才發現找不到合適的管理人員，選擇委外服務又怕機密資料外洩，只能讓系統閒置，無法發揮防護功效。

Gartner的報告也指出，到2004年，全球2000多家多家大型企業中，有一半以上會聘用專業主管來負責資訊安全，並預測在兩年內，大多數的企業將要求資訊安全長（CISO）及資訊安全人員必須具備資訊安全認證。
不變的定律：產品紅，認證就紅

根據CertCities.com所做的調查和分析，我們整理出2002年和2003年十大熱門認證和所屬類別，在2003年的排名中，有3項是屬於資訊安全認證，有人認為時候到了，因為網路快速發展之後，衍生出病毒防護、駭客入侵等安全問題，自然這方面的人才也是炙手可熱，而且資訊安全認證也是最簡單容易的能力評定標準。

Training Partners臺灣區訓練經理李桂枝表示，去年網路產品紅，網路相關認證也跟著走紅，今年反而是資安產品成為熱門產品，許多SI廠商都新增資安產品線，但要獲得產品的代理權，原廠大都要求需具備相關的產品證照，因此廠商積極需要培訓專業人員。李桂枝同時指出，資安認證仍在起步當中，而且目前並沒有出現像CCIE（Cisco Certified Internetwork Expert）這種頂級認證，應該要到明年才會發燙。

今年金融業和政府機關全面e化，除了採購資安產品，也需要資安人才。精誠資訊網路軟體技術處iPlanet技術工程師李永和認為，CISSP、CCIA及BS7799是今年最熱門的資安認證。鈺松國際專業服務處經理盛盟權於今年1月考取SANS/GIAC的GICH，在資安技術方面，他推薦CISSP及SANS/GIAC的相關認證，管理和稽核方面則是BS7799和CISA/CISM。

雖然這些認證與產品沒有太直接的相關，卻都是資訊安全的熱門認證，因為這些認證的鑑別度都不錯。盛盟權以GIAC的認證為例，除了要經過論文審核，還要通過兩次線上考試，而且只有兩次重考機會；另外，GIAC認證有極高的嚴謹度，在2003年初的GCIA考試，當GIAC發現大陸人士盜用GCIA的考題和課程內容，調查屬實後，GIAC不僅取消該人士的GCIA認證資格，同時也暫停GCIA挑戰型認證，直到整個考試題庫更新完成後才開放。

有一些認證考試雖然是終身有效，但要企業主管相信它具有鑑別度，應該是蠻難的，所以熱門的證照都有「有效期限」，必須重新上課、通過考試或進修訓練後，才能再次取得認證資格，例如取得CISSP的專業人員持續進修，並在3年內累積120點進修點數，才能保有認證資格。唯有如此，專業的認證才能受到重視與信任。選擇你最需要的資安認證

當經濟不景氣時，有人選擇休養生息、減少開支，卻也有人準備考一張認證，期待景氣復甦時能再次衝刺，那麼該如何選擇合適的認證呢？盛盟權認為，一般MIS人員必須具備相當的資安知識，如果沒有資安產品或CISSP認證，至少也要受過產品的教育訓練。至於IT主管則可以選擇BS7799或CISM認證，但他也強調，個人特質與領導力更形重要，認證只是配套。資安顧問除了熟悉所負責的產品線，CISSP也是不可或缺的一張認證。

在選擇認證時，盛盟權建議選擇與工作相關的認識，例如想要從事資訊系統稽核的人可以考慮CISA和GSNA，在防火牆和入侵偵測領域可以考慮GCIA和GCFW，若認證是與工作領域無關，那證書可能就像是一張廢紙。以他自已為例，未來會朝技術方面發展，考取GCIH主要是學習駭客手法、攻擊入侵與事故處理，因而往後也不見得會選擇管理或稽核型資安認證。

在認證選擇上，李桂枝從三方面來看，第一是設備操作的難易度，第二是在資安產品的比重，第三則是技術廣度。以防毒產品和防火牆兩相比較，很明顯的防火牆需具備較高的技術能力，花費的成本也較高，而且防火牆的應用更廣泛，自然就優先選擇防火牆認證。

李桂枝認為今年最當紅的資訊安全認證一樣是CISSP，不論是MIS、IT主管或產品經理都想獲得這張認證。她同時表示，如果認證沒有跟著產品走，就不容易變熱門，建議MIS以產品市佔率及技術為導向，選擇合適的認證。不過有趣的是，之前到教育中心受訓的人員，是以代理商的技術人員和資安顧問居多，一般企業的MIS人員直到最近才逐漸增加。

許多廠商販售產品時，常會搭配教育訓練課程，由教育中心訓練產品操作、設定及管理，而且這些課程的教材和設備大都由原廠提供，除了能在最短的時間內學習到精華，課程結束後還可參考認證考試，可以說是一舉兩得。李永和表示，MIS人員必須對產品有一定的了解，原廠所規畫的訓練課程，不但有合格的講師，也有最佳的學習環境；至於IT主管，他們不必了解產品如何操作，但要知道產品的功能，以及產業動向，並讓企業符合稽核要求。我們歸納3位專家的看法，建議MIS選擇資安產品認證，IT主管適合資安管理和稽核認證，而資安顧問則必須兩者兼具。靠資安認證找熱門工作？

想拿MCSE或CCNA找到好工作，那只能靠運氣，而不是靠實力，因為這兩張證照太普遍，也許可以幫你加分，但不能成為錄取的必要條件。那麼拿CISSP或CCIE Security就能找到好工作嗎？根據我們訪問的結果，還是只能靠運氣，主要的原因是因為景氣差，大部分的企業早已凍結人事，即使你有再好的條件也無法被錄用；另外則視企業對認證的重視度，不可否認的，中國人太會考試了，一般企業主管以為只要靠考試就拿得到認證，所以即使考上最難拿的認證，也無法獲得重視；最後則是企業挖角問題，不少企業喜歡用挖角解決人力不足的問題，也許能夠在短時間內解決問題，但惡性循環下，改天別人也會來挖你的人。

盛盟權表示，在面試新人時，認證只能當作參考，他會更深入了解面試者的工作經歷，以及選擇該工作的理想，主要的取捨條件是經驗的多寡，最好是有2年的相關工作經驗。在SANS網站上可以看到薪資建議表，說明拿到該認證的平均薪資，目前國內有3張認證，但是薪資無法與國外比，平均大約只有1/3左右。李桂枝表示，以最熱門的CCIE為例，目前國內約有102張認證，大約只有1/3的人年薪超過5萬美元，而且越後面考上的人，薪資水準也越低。

另一個令人好奇的問題，就是拿到資安認證能否加薪？我們得到一個有趣的答案：看默契。曾經有公司規定考上CISSP就加薪1萬元，但每年需增加12萬元的人事成本，最後也就中止這項規定，卻也締造一家公司擁有超過20張CISSP的記錄。但這畢竟是少數，一般SI廠商的加薪行情是2000元到5000元，大多數的狀況是視與主管的默契而定。李永和表示，如果是高難度的資安認證，也許可以加薪上萬元也說不定。

假如你對高難度資安認證產生興趣，我們可能要先澆你一桶冷水，因為高難度的資安認證不但難考，費用也不是一般人負擔得起，考取一張CCIE約需要準備50萬元。盛盟權以準備GCIH為例，包括線上教育課程及認證費用，大約花費18萬元。所以當你還沒享受到加薪、升遷等福利之前，就必須先付上一筆不小的開支，除非已經下定決心，不然建議從基礎的認證開始。

但也不要就此灰心，因為準備一張認證能帶來不少好處。盛盟權認為拿到認證是知識的累積，並能夠加強英文能力；李桂枝說：「認證是不景氣時的護身符，並將所學應用到工作上。」；李永和認為認證是給人評分的標準。產品種類繁多，名牌仍未出現

雖然今年是資安年，資安產品也熱賣，但成熟的資安產品卻不多，只有防毒和防火牆算是比較成熟的產品，至於入侵偵測、內容過濾和弱點評估都仍有發展空間，而且廠商所使用的技術和標準都不一，你花費大量心力所考取的產品認證，或許只有2年的效用。防火牆和防毒軟體的產品線從大型企業到中小企業一應俱全，市場需求大，自然認證也越受重視；至於其他資安廠品則都大多針對大型企業，整個認證體系也有待加強。

另外一個原因是品牌，提到防火牆，知名的廠商大概3家，防毒2家，但是入侵偵測、弱點評估及內容過濾仍未出現「名牌」產品，廠商各自坐擁山頭，代理商也在「賭」產品，希望代理的產品能成為明星產品，教育中心更希望取得獨家代理。因此，除非是有特別的需求（代理商、SI、政府），不然我們建議選擇資安技術或管理認證，會比選擇資安產品認證來的實在。文⊙陳世煌