網絡安全專家「文武兼備」

網絡安全是組織抵禦黑客和其他網絡威脅的第一道防線。早前已有預計,到二○二一年底,網絡犯罪將在全球造成價值六萬億美元的損失,因此我們可以理解,為何網絡安全愈來愈受到重視。

正因如此,網絡安全是招聘市場上最熱門的範疇之一,已是不爭的事實。各大專院校和專業辦學團體,也推出更多網絡安全的專業訓練和課程,反應也相當熱烈,愈來愈多人希望加入網絡安全專業大軍。

美國馬里蘭州貝塞斯達的安全研究和培訓公司SANS Institute,曾對二百八十四家不同公司的五百多名網絡安全從業人員,進行了一項調查,了解他們認為那一項專業技能,對求職者最為有用。該調查要求受訪者對從「關鍵」到「不需要」的各種技能進行排名。八成五的受訪者將網絡列為一項關鍵或「非常重要」的技能,其次是精通Linux操作系統(七成七)、Windows(七成三)、規探安全漏洞技術(七成三)、計算機架構和虛擬化(六成七)及數據和密碼學(五成八);只有三成九的人將編程列為一項關鍵或非常重要的技能。

要在網絡安全領域上獲取較高的薪酬前,你需要學習工具和技能,這就是網絡安全培訓的用武之地。網絡安全認證課程,不僅為你提供職位的基本知識,而且還提供有價值的證書,向潛在僱主證明你具有所需的資格。雖然絕大多數剛畢業並獲得學位的人,缺乏實踐經驗,但通過專業培訓和指導,人們可以通過基礎理論和模擬攻防等方式,有效地掌握網絡安全的一些基概念和知識。

可是,入行者需要面對另一問題:「坊間有各式各樣的課程和專業認證,到底應該選哪一個?」又或者「是否考獲的認證愈多,獲取錄的機會就愈大?或是可賺取的工資就愈多?」

就像許多不同形式的網絡攻擊一樣,有一系列令人眼花繚亂的網絡安全認證,可供選擇。儘管選擇多不是壞事,但數量和種類太多,也為有意投身網絡安全的人士,帶來了困惑甚至不知所措。到底哪種網絡安全認證,對有意投身網絡安全的你最有價值?

古時科舉有文科狀元和武舉狀元考試,筆者認為在網絡安全的領域上,也有「文」、「武」之分。

「文」者乃着重網絡安全管理框架和理念,讓學員對網絡安全管理架構和布局、職責分工、安全審計、風險管理及評估,有一定了解。此等認證是具有企業級安全管理職責的IT專業人員的重要資源,對往後管理、開發和監督安全系統,並制定組織最佳實踐,具有相當價值的理論根柢。在市場上較熱門和受僱主所認可的專業認證,包括認可資訊安全系統審計師(Certified Information System Auditor簡稱CISA)、認可資訊安全經理(Certified Information System Manager簡稱CISM)、資訊安全系統專家(Certified Information System Security Professional簡稱CISSP)等。

「武」者則着重具體網絡安全技術和實戰操作,為被培訓對象具備網絡攻防相關的運作和處理,提供技術知識和透過模擬平台增加「實戰」經驗。此類專業認證愈來愈受業界所重視。當中較被認同的,包括認可道德黑客(Certified Ethical Hacker 簡稱CEH)、認可安全分析師(EC-Council Certified Security Analyst簡稱ECSA)、認可法證分析師(GIAC Certified Forensic Analyst簡稱GIAC)等。

能夠做到能文能武,就能成為炙手可熱的網絡安全專家,受各大企業爭相聘用的專業人才。所以,專業認證的多寡不是重點,是否能覆蓋文武,即管治和實戰技術的範疇,而非側重其中一方,才是關鍵所在;對往後在網絡安全的專業領域上的發展,會有更大幫助。

胡志偉
香港電腦學會新興數碼技術總監及網絡安全專家小組召集人

Click here to read the full article on 星島日報 (Chinese only).