網絡安全是組織抵禦黑客和其他網絡威脅的第一道防線。早前已有預計，到二○二一年底，網絡犯罪將在全球造成價值六萬億美元的損失，因此我們可以理解，為何網絡安全愈來愈受到重視。

正因如此，網絡安全是招聘市場上最熱門的範疇之一，已是不爭的事實。各大專院校和專業辦學團體，也推出更多網絡安全的專業訓練和課程，反應也相當熱烈，愈來愈多人希望加入網絡安全專業大軍。

美國馬里蘭州貝塞斯達的安全研究和培訓公司SANS Institute，曾對二百八十四家不同公司的五百多名網絡安全從業人員，進行了一項調查，了解他們認為那一項專業技能，對求職者最為有用。該調查要求受訪者對從「關鍵」到「不需要」的各種技能進行排名。八成五的受訪者將網絡列為一項關鍵或「非常重要」的技能，其次是精通Linux操作系統（七成七）、Windows（七成三）、規探安全漏洞技術（七成三）、計算機架構和虛擬化（六成七）及數據和密碼學（五成八）；只有三成九的人將編程列為一項關鍵或非常重要的技能。

要在網絡安全領域上獲取較高的薪酬前，你需要學習工具和技能，這就是網絡安全培訓的用武之地。網絡安全認證課程，不僅為你提供職位的基本知識，而且還提供有價值的證書，向潛在僱主證明你具有所需的資格。雖然絕大多數剛畢業並獲得學位的人，缺乏實踐經驗，但通過專業培訓和指導，人們可以通過基礎理論和模擬攻防等方式，有效地掌握網絡安全的一些基概念和知識。

可是，入行者需要面對另一問題：「坊間有各式各樣的課程和專業認證，到底應該選哪一個？」又或者「是否考獲的認證愈多，獲取錄的機會就愈大？或是可賺取的工資就愈多？」

就像許多不同形式的網絡攻擊一樣，有一系列令人眼花繚亂的網絡安全認證，可供選擇。儘管選擇多不是壞事，但數量和種類太多，也為有意投身網絡安全的人士，帶來了困惑甚至不知所措。到底哪種網絡安全認證，對有意投身網絡安全的你最有價值？

古時科舉有文科狀元和武舉狀元考試，筆者認為在網絡安全的領域上，也有「文」、「武」之分。

「文」者乃着重網絡安全管理框架和理念，讓學員對網絡安全管理架構和布局、職責分工、安全審計、風險管理及評估，有一定了解。此等認證是具有企業級安全管理職責的IT專業人員的重要資源，對往後管理、開發和監督安全系統，並制定組織最佳實踐，具有相當價值的理論根柢。在市場上較熱門和受僱主所認可的專業認證，包括認可資訊安全系統審計師（Certified Information System Auditor簡稱CISA）、認可資訊安全經理（Certified Information System Manager簡稱CISM）、資訊安全系統專家（Certified Information System Security Professional簡稱CISSP）等。

「武」者則着重具體網絡安全技術和實戰操作，為被培訓對象具備網絡攻防相關的運作和處理，提供技術知識和透過模擬平台增加「實戰」經驗。此類專業認證愈來愈受業界所重視。當中較被認同的，包括認可道德黑客（Certified Ethical Hacker 簡稱CEH）、認可安全分析師（EC-Council Certified Security Analyst簡稱ECSA）、認可法證分析師（GIAC Certified Forensic Analyst簡稱GIAC）等。

能夠做到能文能武，就能成為炙手可熱的網絡安全專家，受各大企業爭相聘用的專業人才。所以，專業認證的多寡不是重點，是否能覆蓋文武，即管治和實戰技術的範疇，而非側重其中一方，才是關鍵所在；對往後在網絡安全的專業領域上的發展，會有更大幫助。

胡志偉
香港電腦學會新興數碼技術總監及網絡安全專家小組召集人

Click here to read the full article on 星島日報 (Chinese only).