資訊保安專才 捍衞商界機密 發展前景優厚
18 Sep 2009
香港電腦保安事故協調中心於上月公布,今年首7個月共接獲532宗電腦入侵報告,較去年同期上升15%,可見資訊保安(IT Security)的問題日益嚴重,情況令人關注。
不過,危機卻帶來機遇,正因為近年本港接二連三發生電腦資料外泄事故,喚起政府及私人機構關注資訊保安,並設法研究各種新科技及防範技術,避免黑客入侵電腦,令資訊保安業急促發展,具備國際認可資格及富經驗的資訊保安專才,更成為工商界炙手可熱的招攬對象。
Informatics HK資訊保安課程首席導師楊和生及凱達環球有限公司董事總經理施家殷,今次將為大家剖析資訊保安的前景、對企業發展的重要性,以及投身該行業應注意的事項。
資訊保安業發展趨專業
國際認證 入行必備
電腦科技發展一日千里,自個人電腦普及化後,大家由從前不相信互聯網有助做生意,演變至今天電腦系統應用已成為各大企業於營運上不可缺少的工具。
商界對保安專才有需求
Informatics HK資訊保安課程首席導師楊和生(Sang)表示,互聯網無疑使商業運作日趨電子化。現時有不少機構的電腦系統都存有大量個人資料及機密文件,為防止這些資料被盜竊,商界紛紛尋求全面的資訊保安及監控措施,聘請資訊保安專才在電腦系統架設保安設備,以鞏固企業的資訊系統安全,令市場對資訊保安專才的需求日漸殷切。
「一些經常接觸敏感資料的行業,如人事顧問公司、銀行及金融機構等,對擁有資訊保安專業知識的人才更為渴求,因為這類公司須符合法例及金融管理局方面的要求,確保所有客戶的個人資料受到充分的保障。若果企業稍一不慎,被黑客入侵電腦系統,並成功盜取資料,不單造成資料遺失或金錢上的損失,更會影響公司的信譽。」Sang說。
具備專業認證最吃香
事實上,本港的資訊保安專才仍未足以應付市場的需求。Sang分析:「以擁有國際認可的『資訊安全管理專業認證』(Certified Information Systems Security Professional,簡稱CISSP)的人為例,本港目前僅得千餘人,加上內地及澳門市場亦相當缺乏資訊保安從業員,當地不少企業都會跨境招攬本地的專才,以保護其網絡系統,導致行內出現人才荒。因此粗略估計,未來1至2年,市場至少還需要100至200名,考獲CISSP資格的資訊保安專才。」
據Sang透露,內地人較少考取CISSP這類專業的保安認證,因為相關資料在當地還未流通,但由於內地企業向來着重國際性的資歷認證。由此,本港具備CISSP或「資訊系統審計專業認證」(Certified Information Systems Auditor,簡稱CISA)等國際認可資格的資訊保安專才非常吃香。可以預想,在內地互聯網發展愈趨成熟的情況下,未來將有極大機會北移發展。
進修保安知識成趨勢
「資訊保安將會是現今資訊科技(IT)從業員的必備知識。」Sang強調,以往IT從業員所具備的電腦系統及網絡管理技術已不能滿足急速變化的市場需要,因為現時除了大企業有個別獨立的電腦保安部門或團隊外,大部分的企業都會要求本身負責IT的同事兼任資訊保安工作。其實,電腦罪案日漸猖獗,IT人員若能自我增值,進修與資訊保安有關的知識,對他們的工作和發展必然有莫大幫助。
Sang續說,各行業均着重資歷認證,企業招聘人才時,多半會考慮求職者是否具備相關的國際專業資格,所以他建議有意從事資訊保安的人士,可先考取較為入門的「道德駭客專業認證」(Certified Ethical Hacker)及「電腦駭客法證專業認證」(Computer Hacking Forensic Investigator)等資格,一來鞏固基礎,二來亦方便向僱主證明自己的專業能力。待累積一定的相關工作經驗之後,可再向較專門的技術鑽研,如考取CISSP及CISA等備受業界推祟的國際認可資格,進一步提升專業水平。
從業員必須持續增值
在科技發展日新月異的當下,Sang提醒,從事資訊保安者必須有隨時學習新事物的心理準備,因為現時平均每星期便出現2至3個新的入侵技術,約莫個多月便有電腦資料外泄的事故發生。所以,從業員一定要與時並進,持續更新保安方面的知識,才能應付行業不斷發展的新趨勢。
資訊保安涉獵範疇廣泛
Sang表示:「資訊保安的工作,目前可籠統劃分為幾個大層面,分別是網絡保安(Network Security)、系統保安(System Security)、互聯網應用程式保安(Web Application Security),以及專責資料保護(Data Security)和處理事故(Incident Response)等。另外,電腦法證(Computer Forensic)亦是其中一個範疇,不過目前比較少人從事。」他補充,電腦法證的工作主要是當電腦系統受到黑客入侵及破壞之後,負責搜集證據、追尋罪犯及發生原因,從而找出種種蛛絲馬迹,破解罪案。他認為,隨着電腦被入侵的個案日增,將會有更多人投入電腦法證的工作。
要晉身成為資訊保安專才,考取專業資格及認證十分重要,香港提供相關的培訓課程不算很多,要知道更多入行資訊,可瀏覽以下網頁:
www.informatics.edu.hk
電腦網絡罪行猖獗
解決保安問題刻不容緩
作為全球第二大建築師事務所,凱達環球有限公司董事總經理施家殷(Kyran)表示,由於他們有不少大型項目都是由跨國團隊合作設計,經常需要透過網絡存取高敏感度的資料,甚至是未公開的設計圖則,所以他們十分重視資訊保安的應用。
黑客入侵途徑層出不窮
「在IT發展迅速的同時,與電腦有關的科技罪行亦正同步增加。」Kyran認為,現時黑客入侵電腦的手法層出不窮,常以迂迴、隱蔽的途徑,攻擊不同網站,甚至拖垮整個企業的電腦系統,令人防不勝防。」
Kyran就以上月美國剛破獲歷年來最大宗的信用卡資料盜竊案為例:「數名黑客闖入《財富》雜誌500大企業的網站,並安裝間諜程式,在網上盜取超過1.3億個信用卡和提款卡的資料,然後將資料送往位於美國、荷蘭等地的伺服器,意圖把資料轉售他人、透過假卡購物圖利。」由此可見,黑客入侵電腦的途徑可謂層出不窮。
入侵後果相當嚴重
根據政府統計處於2008年發表的《資訊科技在工商業的使用情況和普及程度按年統計調查報告》顯示,有20.6%的受訪機構在過去1年內曾發生資訊保安事故,證明黑客問題日趨嚴重。
Kyran透露,幾年前其公司亦成為黑客的目標。「當時,有黑客嘗試利用大量郵件進行阻絕服務(Denial of Service)的手法攻擊我們的網絡系統,藉此令電腦癱瘓。幸而IT同事及時收到防火牆及偵測系統的警報,即時封鎖入侵來源的所有攻擊,成功阻截黑客的入侵,令高度機密的資料得以保護。」他坦言,若果未有及時阻止黑客攻擊,後果將會非常嚴重,不僅被迫中斷與外界的資訊聯繫,屆時更可能因而錯失數以億元計的生意機會,影響公司的營業及商譽。
設立完善的保安設施
這次黑客入侵的經歷,的確加強了Kyran對資訊保安的重視。「為提高應付電腦事故的能力,我們的IT部門早已架設多重防禦措施,包括制定相對的預防措施來保護公司的電腦系統及資訊、不定期發送最新的保安資訊給所有員工、讓員工參與軟硬件供應商的技術發佈會及研討會,深入了解最新技術,以及密切留意國際上有關資訊保安的最新發展等。」
為確保有足夠的資源及人力防範黑客,保障公司的機密資料及客戶資料的安全,Kyran透露其公司每年也會購買一些最新的軟件及硬件,加強電腦網絡系統的保護,而目前IT部門的大部分開支,亦主要是投放在IT專才的招聘,以及員工培訓方面。
對專才要求非常嚴謹
關於IT專才的要求,Kyran認為從業員須認識的科技資訊一定要比以往相應增強,所以應徵者除了有一定的資訊保安經驗外,亦要求他們曾修讀一些IT課程,或考取專業資格。
「例如應徵系統管理員,應徵者就必須具備『微軟認證系統工程師』(Microsoft Certified Systems Engineer)。網絡管理員則要求應徵者起碼持有『思科認證網路工程師』(Cisco Certified Network Associate),以確保他們有足夠的知識,可應變在網絡上遇到的一切突發事情。」
為免人才流失,施家殷透露,凱達環球提供良好的內部晉升機會給員工。「一般來說,系統管理員或網絡管理員的能力和經驗被認定後,將可晉升為高級系統/網絡管理員;當高級系統/網絡管理員掌握了一定的管理能力和技巧後,則有機會晉升為經理。」 |
|
|
|
 |
|
| 1 - 8 of 86 Pages |
|
|
|
|
職趣事
