近年來資通科技蓬勃發展,但隨之而來的風險也大幅增加,經歷幾次公私部門的個資外洩事件,政府單位對資安議題越來越重視。
承接經濟部產業發展署委託相關資訊計畫管理系統,填寫資安檢核表時需由具資安證照資格人員填寫,而資通安全署認可的資通安全專業證照清單中,其中國內且為中文證照為iPAS中級資訊安全工程師認證,於是尋找相關資訊準備參加認證考試。
由於iPAS考試並無一定範圍,該如何準備?首先當然要了解考試範圍,找考古題就對了;初級與中級檢定部分考題會有重疊,所以練習初級及中級考古題來了解考什麼、該準備什麼;初級考題建立較全面的資安基礎概念,中級考題則較為深入與實作,並依相關答案衍生更多主題,更廣更深入的學習資安相關知識與技術。
整個學習歷程如下:
一、歷年考古題研讀
與同事分工依年度初級與中級各自研讀考古題,並依主題分門別類並整理內容,再依據各種答案找到相關主題網路參考位置,除了擴大相關知識的範圍,也能更系統性的針對各種主題深入學習,對考證有相當大的幫助。
二、首先到圖書館借了幾本網路基礎相關書籍:
- TCP/IP網路通訊協定—博碩。
- 資訊安全管理實務—文魁資訊。
- Kali Linux滲透測試工具—碁峰。
了解基礎網路通訊架構,公司如何運用網路硬體電腦、hub、switch與防火牆架構一套安全網路系統;並學習滲透與滲透測試,利用與模擬駭客的思維進行企業網站、系統程式或網路設備的攻擊與入侵,分析測試目標的風險層級,評估與如何修補漏洞,提升整體的資訊安全。這方面是每年必考的項目,基礎的網路架構知識是資安工程師必備的職能。
三、相關法規與國際標準學習
找尋資通安全法與公司有關規定,尤其是與上市櫃公司相關議題,及資安檢核表項目有關的政府規定。
資通安全國際標準ISO 27001認證是必要的要求且臨近改版,是最近比較熱門話題,改版期限、改版內容變化必須研讀。除了IOS 27001 之外,其他與資通訊相關國際標準也要大略知道內涵。
四、滲透測試相關技術學習
由於現今的應用程式多為網路應用程式,並連接至雲端,造成抵禦安全性威脅與漏洞的能力為之減弱,因此,應用程式安全性已成為刻不容緩的議題。在網路層級安全性之外,還要顧及應用程式安全性,面臨的壓力與日俱增,所以在開發時就必須將安全列入規劃,確保資料的機密性、完整性與可用性。
說到資通訊安全當然離不開加密、解密與滲透、防禦;這方面的議題相當多也學不完,就從考古題歸納出來的項目到網路上搜尋,學習其方法與相關語法。從日常運作中較可能會與到的如資料隱碼、社交工程等更要熟知其內容與手法。
檢測相關軟體的語法如最基本的NMAP,是眾多IT人員用於NMAP來進行網路管理,同時也用於網路探測及安全稽核目的,包括監控運行服務的主機、解析IP位址的主機、網路、運行的作業系統版本、封包過濾等作業、運行的服務(應用程式名稱及版本),相關基本指令要熟悉。
五、OWASP 標準與指引
開放式Web應用程式安全專案(OWASP)是一個線上社群,在Web應用安全領域提供免費的文章,方法,文件,工具和技術,一般會把OWASP Top 10 當作程式設計或是驗證測試的一個標準。我們在系統規劃開發時可先參考其指引,避免資通安全風險。Top 10的排序與內容是認證考試每年必考項目,所以也要深入學習與了解。
以上是整個學習過程中主要的項目,雖iPAS認證沒有範圍,但最近一年考題與政府最近要求或較常被提及的議題,如「零信任」(Zero Trust,簡稱ZT),任何交易、個體與身分在獲得信任並持續維持信任之前,全都不可信任。
平時多關注資通安全重要新聞,這類型議題是準備過程中要多關注的。最後的準備當然是以考古題不斷測試自己,有錯的題型作筆記再強化,循環練習每份試題,確實釐清不懂的地方,錯誤的選項與猜對的題目都要弄清楚為什麼對或錯。
經過上述的準備,報考今年第二梯次iPAS中級資訊安全工程師認證,資訊安全規劃實務:87.5,資訊安全防護實務:72.5,通過了授證標準,實務方面因主要工作是寫程式,較少接觸實務方面的作業,但在一年多的努力準備下也通過了認證標準;以上經驗提供大家參考,希望對準備參加認證的人有所幫助。
【參考網站】
- 數位發展部資通安全署,112年修正資通安全專業證照認可審查作業流程及更新資通安全專業證照清單。
- 經濟部產業人才能力鑑定推動網,資訊安全工程師。