與資安行家對談

MasterCard的信用卡廣告裡，入場券、衣服和機票都是可以用錢買的到，但也有一些事件是金錢所買不到的，包括友情、親情和愛情。在資訊安全領域中，企業花50萬元買防毒軟體、100萬元買防火牆、80萬元買IDS，甚至上百萬元導入國際標準……，這樣就有解決資訊安全問題嗎？或許不完全是，你該看看有沒有找到「無價」的資訊安全行家！

我們這次訪問了15位資訊安全業界的行家，雖然每個人都很謙虛的表明自己不是資安行家，但至少他們都是相關領域裡面的翹楚。

無庸至疑，資訊安全包括各種不同的領域，有人認為資安行家必須精通多個領域，也有人認為資安行家得是一個團隊才有辦法達到。沒有全面性的行家，也沒有永遠的資安行家

勤業眾信會計師事務所副總經理萬幼筠說：「資安行家存在的目的是因為有一些資安問題比較棘手，可能跨很多部門與領域，我們這些人可以協助企業解決問題。」

資誠會計師事務所價值管理服務部協理許偉健認為資訊安全的領域非常大，15年前資訊安全的範圍只在一臺電腦，現在卻包含網際網路、軟體、硬體、企業永續計畫（Business Continuity Planning，BCP）等各種領域。

Foundstone亞太區總監陳彥銘表示，資安這個行業是有分領域的，有人專精應用程式，有些人則專精於Windows或Unix平臺；你可以有兩種選擇，選擇專精某個領域，例如病毒，並努力成為病毒專家；另一種選擇是廣泛涉略各種領域，最後走向管理顧問或管理階層。

凌群電腦產品事業群資深安全顧問朱保全認為資訊安全分成網路安全、傳輸安全與應用安全等3個重要領域，每個領域又可分成技術面和管理面。以網路安全為例，如果要往技術面發展，可以參考SANS的課程，了解應該具備哪些知識；如果要涵蓋三大領域，那麼就只有廣度。

BSI大中國區訓練經理蒲樹盛說：「資安行家就是要專業，找到可以發揮的領域。」資安行家必須找到與自己背景、興趣相符的領域，專心的投入以累積經驗，以資安管理為例，必須要有機會接觸到管理活動（網路、人事、建置系統），累積3~5年的經驗。

臺灣思科系統企業暨公眾事業群技術總監楊士逸表示，由於資訊安全的範圍很廣，作業平臺、網路設備、安全設備及應用程式都有不同的安全議題，所以沒有全面性的資訊安全專家，也沒有永遠的資安行家，如果不即時充實自己，很容易就會被淘汰。也就是說，資安行家應該是一個多角化的組合，擁有各方面的專業人材，如此才能看到完整全貌。資安行家具備哪些能力與特質？

每個領域有每個領域的行家，自然他們所具備的能力與特質也都不同，我們就來聽聽行家們的看法。

萬幼筠認為，資安行家必須了解現代資訊系統的科技（不只是資訊科技），也就是牽涉到人與管理面，包括IT、人的互動、產業的領域知識，所以行家必須掌握這三個部分：了解資訊系統，擁有與人溝通的技巧，並熟悉各種產業的知識（法規、法令）。另外，由於做資訊安全這一行比較苦悶，要花費很長的時間來發掘一些證據，解決系統和人的問題，所以還要有耐心與觀察力，能夠見微知著，並且隨著新科技的出現，一直往前進。

許偉健表示，在國外資安行家的背景比較多元，有些歷史系畢業生，先從工程師做起，慢慢提升經驗，最後也能夠成為資安行家。但是在臺灣則是先看學歷，國立大學會有較好的機會，不過，之後仍要靠學習，因為資安行家的能力是靠經驗累積而來。

楊士逸說：「資安行家要有足夠的專業素養，能在問題發生時，嗅出問題點，從中找到答案與解法。」以前在少林寺練功要先挑水三年，然後再練基本功，因為高深的武功必須以良好的體力和基本功為根基，同樣的，資安行家也是，必須有一定的技術背景，對作業平臺、網路設備及封包傳輸過程要有相當程度的了解。資訊安全的技術難度較其他領域高，但擁有技術只是成為資安行家的入門階，通過CISSP或BS7799也只是名義上的資安行家，唯有同時了解資安流程與技術的人，才能夠算是真正的行家。

陳彥銘認為，最基本的計算機概論和網路通訊協定一定要懂，最好還要懂得一、兩種程式語言，能夠鑑別什麼東西是資訊安全，什麼不是資訊安全，哪些問題可能會演變成資安問題，並且有能力去了解事物運作的方式，舉例來說，要找出IIS的漏洞，就要從整個IIS的架構看起，了解IIS的運作原理，知道是透過哪些模組及DLL執行處理。

精業資安技術處處長蘇志隆表示，現在的資安是以IT環境為基礎，要解決資安問題，資安行家必需先了解網路與作業系統的基礎理論。資安問題是多變的，有紮實的理論基礎後，才能將理論與實務相結合，之後不論駭客用何種思維或手法進行攻擊，都能夠判斷問題點在哪裡。另外，有不少人會以「想當然爾」的思考模式來解釋問題，但這可能是不對的，甚至是誤判的，要避免這種狀況，同樣也是要具備紮實的理論基礎，結合經驗的累積，才能邏輯性的思考與分析。

賽門鐵克亞太區資訊安全技術顧問林育民認為行家必須具備6種能力：資訊科技的基礎知識與相關技術能力、溝通協調與簡報能力、專案執行與管理能力、發現問題與解決問題能力、掌握特定產業資安需求的能力、持續學習的能力。除此之外，資安行家更需具備持續學習與自我提升的能力，一個無法自我成長的資安人，即便已是行家，也很快就會被這個產業所淘汰。

除了本身的專業技能，鈺松國際研發處副總經理兼技術總監張裕敏認為資安行家還要具備「溝通能力」，假如你懂很多，卻無法向其他人解釋清楚，那只能算是技術人員。真正的行家不能僅是紙上談兵，必須接觸到真實的環境，了解駭客（攻擊）與IT人員（防禦）的想法，然後綜合兩邊的想法，取得一個平衡點，因為我們不可能消滅掉駭客，也無法做到百分百安全，唯有取得平衡點後，才能夠逐漸提升企業的安全等級。

Juniper Networks臺灣/香港區技術總監游源濱認為資安行家必須具備跨領域的知識，因為任何東西都跟安全有關，所以資安人需要很多的知識，包括滅火器、實體安全和法律規範。資安行家必須熟悉各領域的議題，當企業遇到問題時，才能從不同面向去考慮解決方案，例如禁止員工存取網際網路，可以從政策面或產品面提出不同的解決方案。

會寫防毒軟體就表示他就是資安專家嗎？趨勢科技亞太區技術顧問林松儀可不這麼認為，有些人很會用產品，但卻不知道運作原理，那麼他們不能算是行家。行家一定要懂網路的概念，對各種作業系統和裝置都要清楚，更重要的是，行家必須時時刻刻吸收新知，注意有哪些漏洞發生、可能運用的地方、可能的危害，懂的分辦漏洞的重要性。

威播科技國外業務部專案經理林秉忠認為一個資安行家不僅只是了解入侵攻防的相關技術，還要具備管理的概念，了解資訊安全在整體企業運作中所扮演的角色，並且提出有效的解決方案，而非僅處理技術層面的戰術問題。

英文能力是精誠公司資安技術經理林泰瑋最深刻的認知，如果英文不好，肯定會是一大障礙。資安世界的語言就是英文，英文能力好才能在第一時間吸收到資安訊息。另外，想像力和毅力也很重要，因為資安訊息是雜亂、片斷的，需要經過重組、分析才能找到頭緒，而且現實環境裡充滿各種千奇百怪的事件，往往無法順利找到結果，讓人感到挫折，必須靠毅力才能完成工作。

中華數位技術長施孟甫提出比較不一樣的看法，他認為資安行家除了跨平臺的本職學能，還要具備「野獸般的直覺」，舉例來說，在高手與駭客攻防之間，有時候可能突然間就會靈光一閃，感覺某個地方怪怪的，沒幾分鐘果然就有駭客從某個管道入侵。在資安這個領域，行家除了要有偵探般的推理與觀察力，還要具備各方面的領域知識，以及高度的經驗，並不是有高學歷就可以成為資安行家。該如何成為資安行家？

資訊安全不是很苦悶嗎？行家可不這麼想，他們可都是把資訊安全當作興趣呢！

陳彥銘說：「興趣、學校教育與機緣巧合都有可以趨使你走向資訊安全這條路，例如某一天你的電腦被入侵，引起你的興趣開始調查，跟著就踏入這條路。」

蘇志隆也抱持相同的看法。有很多資安行家並非相關科系出身，但要做資安行家，興趣是很重要的，因為資安的工作模式是多變的，必須花很多時間，從各種角度切入，才能夠找到問題點。

林松儀在網路剛起步時，當上臺大BBS椰林站站長，因為興趣的趨使，他學習如何登入工作站、如何顯示使用者資訊，以確認聊天者的身份是否正確。隨著資訊安全越來越被重視，這些資訊又逐漸被封鎖，他又會鑽研更深入的知識。

除了興趣，游源濱認為還需要熱情，資訊安全一直在變化，如果沒有興趣與熱情支持，很難持續走下去，此外，平時也要閱讀各種報章雜誌，養成從各個網站收集資訊的習慣。許多資安相關的資訊（漏洞、手法、工具）都可以在網路上找得到，如此能讓你與駭客有相同的思考邏輯，資安廠商或組織也會在網路上公布新的產品、安全標準、認證策略與防禦方式。

除了興趣，市場和環境也是造就資安行家的搖籃。

楊士逸認為市場造就人材，必須要有好的環境和經驗，才能培養出資安行家。為什麼美國有很多優秀的資安顧問？因為許多大型專案可能橫越整個美國，這是一個極佳的學習環境，能讓資安人從中學到許多經驗，但臺灣就比較少這樣的專案，而且顧問服務的概念也未成熟。

要成為每個領域的資安行家，朱保全認為參與大型專案是必要的條件，例如政府的SOC建置案，除了能發現本身能力不足之處，與其他高手合作更能互相成長。如何培養這些能力？

相信有很多人也想從專家變成行家，因此我們來聽聽行家們是如何培養出這些能力。

萬幼筠除了持續的研讀，還能夠「放空自己」，以學到新知識。有些人會做入侵攻擊或滲透測試，但光這樣並不夠，他不一定可以帶給企業或產業價值，因為安全包括兩個面向，除了知道黑暗面（攻擊），也要知道光明面（防衛）。

許偉健認為，資安人員可以透過學習、考認證、工作及留學等方式，培養成為資安行家的實力，最好能夠在國外待一陣子，因為西方的科技往往超越過東方，把他們的科技引進來也會有幫助。另外，有不少網站都可以找到資安方面的訊息，包括CERT、NIST（www.nist.gov）、防毒廠商及駭客網站，當收集到這些資訊後，可以自己架設測試環境，了解各種可能的影響與解決方式，以提升自己的Knowhow。

教育訓練和實際稽核是蒲樹盛的經驗來源，他認為教育訓練是很好的磨練方式，授課者必須思考如果將知識傳授出去，而且與學員的互動也可從中獲得許多啟發。

臺灣目前有23家通過BS7799認證的企業，蒲樹盛參與其中10餘家的稽核，有機會看到很多的資訊安全系統。顧問公司要花很長的時間才能建置完成一套系統，可能要10幾年才能建置完成10多套系統，但他在2、3年內就可以看到這些系統，並將這些經驗變成教育訓練的一環。

敦陽科技專業技術建置服務群資訊安全顧問林佶駿建議從興趣來培養技術能力，例如在國外有不少是由黑帽駭客轉型成為白帽駭客，他們從了解各種漏洞與弱點開始，當有了基本認識之後，再從攻擊與防禦的角度去思考。

林育民說：「許多資安工作者，往往著重於特定產品與應用層面的技術細節，而忽略相關基礎知識的培養，以致於常有『見樹不見林』及『知其然，不知其所以然』的感覺。」事實上，資訊安全及相關的基本概念並不複雜，只要能充分掌握基本原則與觀念，持續不斷累積經驗，便能夠應用在各類不同的領域與環境中。文⊙陳世煌