資安工作很酷嗎？

在"萬能的資訊安全工程師"這篇文章中，我提到有些公司似乎把所有的資安相關工作都歸納到一個人或是一小組人身上。最近看到一篇問券的報告分析，題目是最酷的資安工作，裡面把各式各樣的資安相關工作列出，並請受訪者勾選覺得最酷(Coolest)的工作。以下是結果的摘要：

• 針對政府機關人員

1. Information security crime investigator/forensics expert
2. System, network and/or Web penetration tester
3. Forensics analyst
4. (Tie) Incident response, incident handler
4. (Tie) Security architect
6. Vulnerability researcher
7. (Tie) Network security engineer
7. (Tie) Security analyst
7. (Tie) Sworn law enforcement officer specializing in information security crime
10. (Tie) CISO/ISO or director of security
10. (Tie) Application penetration tester

• 非政府機關員工

1. (Tie) System, Network, and/or Web penetration tester
1. (Tie) Information security crime investigator/forensics expert
3. Forensics analyst
4. Vulnerability researcher
5. Application penetration tester
6. Security architect
7. CISO/ISO or director of security
8. (Tie) Incident response, incident handler
8. (Tie) Sworn law enforcement officer specializing in information security crime
10. Security evangelist

除了名單上的職務外，還有一些沒有進入前10名排行的工作。所以，資安其實也是一個分工很細的專業領域，有點像是醫療一樣。除了有各式各樣的科別，還有作設備的、作材料的，乃至於作健康檢查的。當然，健康保險以及身後規畫，也是屬於醫療的相關產業。

至於我自己的選擇，滲透測試相關(不管是網路、系統還是應用程式)的職務我覺得最酷，因為一般人這樣做可是要坐牢的，所以只有少數的人有這樣的機會。你的選擇會是什麼？

相關連結：

• IT Pros List Coolest Security Jobs

資安一定要很高深嗎？

最近有一位從事開發資安產品多年的前國立大學資工系教授問我說，考上CISSP對工作上有甚麼幫助？我的回答是『目前沒有直接的幫助。但是就像以前學數學一樣，雖然大部分的時候沒有直接的幫助，但是會讓你的對某些事的觀念更加清楚，處理這些事情會更加好。』從對方的表情，很顯然這是不及格的答案。工程講究的應用，不能加以應用就是沒有用的東西。CISSP本就是一個全面性的資安認證，雖然這往往也是被詬病的地方(不夠專精在某部分)，但就像每個科目都有其不同的屬性，我個人認為CISSP並沒有必要放棄這樣的特性。

如果他繼續問我數學對我有甚麼用？我的回答應該會是『讓我買東西時不會算錯錢。』什麼，又錯了？不但錯了，可能還會氣死一堆數學老師跟數學家。但是，當初學數學不就是希望能夠有效運用。而每個人每天都會進行數次的買賣，如果因為學好了數學讓每次買賣都能雙方不吃虧，這不就是最好的運用了嗎？或許我不用學好數學也可以進行買賣，但是學好數學可以讓我對買賣這件事更有把握。

所以，在學習到CISSP的內容前，雖然我知道技術不是資安的一切，但是卻無法全面性的提出說明。但是學了CISSP之後我了解資安的組成要素，也因此能夠知道要做好資安除了技術還有哪些也是不可或缺的。換句話說，學了CISSP之後讓我對資安的概念更加清晰，也改變了我的一些想法。這點有沒有價值？我個人認為資安最困難的部分在於觀念的建立，而不是技術的養成。會正確的設定PIX(Cisco的防火牆)很有價值，但是如果不知道為什麼，離開了PIX還剩下些什麼？甚至設定好了PIX，卻因為沒有正確的觀念而偷懶開了一個後門，這樣不但沒有價值，反而造成單位的危機。

雖然我從9年多前就開始使用了SSH、Tripwire、TCPWrapper、PortSentry、IPChains來保護公司的Linux系統，但是你問我學了CISSP有甚麼用，我不會告訴你因為念了CISSP所以我知道SSH用甚麼方式加密，又曾經有那些漏洞被攻擊(老實說，這種東西我也背不起來)。我會告訴你我知道要用SSH，而不使用SSH還在繼續使用Telent的人該打屁股。除此之外，我還會告訴你打死我也不會相信什麼『提供全面性的防護』這種謊言。而這些就是我所知道的資安。

後記：我當然知道資安相當廣泛，牽扯到許多高深的技術以及複雜且嚴謹的管理機制，不過資安的基本精神其實並不複雜。就像每家公司雖然規模與業務內容皆不相同，不過精神(目標)都是差不多的。而一直圍繞在高深的技術，卻忽略了最原始的目的與需求，甚至造成使用者的困惑，對資安推廣來說並不是一個正面的事情。不過千萬別誤會我，觀念與技術彼此是相輔相成，缺一不可，只是千萬別被技術給綁住了自己的想法與做法。

萬能的資訊安全工程師

最近在看104有關資訊安全的工作需求時，看到幾家公司有所謂的資訊安全工程師的職務，內容有些部分似乎是有些奇怪了。

其中一個就是資訊安全"工程師"必須訂定安全政策。安全政策的制定基本上不是一個工程師應該負責的，也不是一個工程師有權力負責的。政策算是比較高層的描述，不但會影響到整個公司，甚至必須貼近管理階層的想法。根據權責相符的原則，工程師沒有這麼大的權利，所以這樣的責任也不應該落到工程師的身上。有些人會再將政策細分，由上而下分為三種：Global、Topic-specific與Application-specific。而這些政策的負責人，都是該業務的負責人，也就是經營階層、單位主管與資訊資產的擁有者(資訊的擁有者並非所謂的系統管理者)。當然，經營階層沒有時間，也通常沒有足夠的專業去制定安全政策，所以通常是委由資訊安全長(CISO)制定後，交由經營階層或所謂的資訊安全指導委員會(Information Security Steering Committee)決議後才能公佈。即使是最底層的政策(Application-specific)，負責制定的人也是該資訊資產的擁有者，而不是資訊系統的管理者或工程師。

會出現這個現象，或許還有一個原因，就是"政策"這兩個字被濫用了。我們常常看到作業系統或是其他資訊系統出現"政策設定"的功能，所以誤以為這些設定的項目就代表了政策。從前段的說明，這部分可以算是Application-specific的政策。所以為了有效區分，我們會將這些設定的規範稱之為標準(Standards)。當然，這些標準必須符合高層次政策的需求，或者是高於高層次政策的需求。政策與標準的分法，除了有所謂的層次高低之分，政策應該跟特定的系統或技術無關，而是跟公司的經營政策有關，而標準就是跟特定的系統與技術相關。因此，政策應該是不易變動的，而標準會隨著系統或技術的變更而變動。

另外一個現象就是資訊安全工程師必須監測資訊安全的執行狀況。嗯，這個就好像請倉管自己兼門口警衛一樣，東西不被偷光才怪。當然，有些系統具有稽核的功能，理論上可以避免這樣的問題的發生。但是從單一的系統著手，可以鑽的漏洞還是很多。像公司如果有一個規定是禁止使用MSN，但是通常誰可以使用MSN...大老闆，還有管理防火牆的那個人(可能還有一些他的麻吉)。出違規使用的報表？別忘了很多時候報表是可以修改的。事實上，我們也遇過客戶要求我們產品出的報表必須可以修改。要求的人可想而知，正是當然是所謂的MIS。

所以，我們需要透過獨立的稽核去確保政策或規定被有效落實。如果公司真的沒有足夠的資源，而且規模也沒那麼大，老闆就應該表現出關心的樣子，千萬別一付默不關心的樣子。如果真是這樣子，那就只好多巴結負責資訊/資安的工程師了，免得他把公司給出賣了。我相信人性本善適用於大部分的人身上，但是現今的資訊安全往往是禁不起任何一個惡人的破壞，所以完整的內控+內稽(必要時需加上外稽)將是越來越形重要的需求。重點是內控跟內稽必須由不同的單位所負責，這也就是所謂的責任分割(Separation of Duty)的安全原則。

從這些職務的需求可以看出，大部分的公司對於資訊安全這個議題還有很長的一段路要摸索。而從業人員呢，我想也必須自己摸索出屬於自己的路程。

最後，我要說MIS工程師不是萬能的，資安工程師更不是。千萬不要有資安兩個字就是資安工程師的負責範圍，就像不是有電這個字就是MIS負責的範圍。

你的備份準備好了嗎?

雖然這一兩年大家在談所謂的 Business Continuity Plan (BCP，如BS 25599)，但是不論從哪個角度看，資料的備份依舊是最為基本且不可或缺的一環。所以，大大小小的組織，都有自己的備份方法。從透過手動的方式將重要檔案複製到另一個硬碟，到全自動的線上即時備份，都是備份方式的一種。但是備份可不只是這樣子，備份的頻率、測試的方法與頻率、備份資料的保存期限、備份資料的保護都是必須一併加以考慮的。其中，備份資料的保存期限，除了考慮到資料本身保存時限需求(不管是企業本身或是法規的要求)外，儲存媒體的保存期限，也是大家所熟知的考量要素之一。另一個大家比較不常考量的，則是備份設備的本身的年限問題。這個問題在採用磁帶備份的方式時，是比較有可能的發生的。而光碟的部分，基本上目前還是向下相容，所以 DVD-DL 的設備可以讀 DVD、CD 等各種之前的格式。因為設備本身的改良而造成儲存媒體失效的風險相對來說是少了許多。

不過，現在開始問題又有了一些變化，原因在於 Cloud Computing 這項技術(或行銷術語)的引進。不管 Cloud Computing 這個名詞是如何的被濫用，這樣的風潮似乎並沒有稍退的跡象。一個層面的影響就是企業將資料(甚至是作業流程)放置於服務供應商，此時資料的備份就成了另外一個必須嚴肅考量的安全議題。而有些服務，甚至就是讓你將企業的資料備份到"雲端"裡。這類技術的應用，使得資料備份的問題必須重新加以審視與規劃。

其中將資料備份在"雲端"的應用，因為此時我們依靠的不再是可見的設備，而是服務供應商，所以服務供應商的服務年限，就是我們必須加以考量的。另外，資料在必要時是否可以匯出，而其匯出的資料格式是否能為其他系統或服務供應商所引用，都是必須加以確認的。以目前來看，這些問題的不確定性都相當高，也代表了其風險性是相對較高的。也難怪 Richard Stallman 會多次對想要採用 Cloud Computing 服務的用戶提出警告了。

相關連結：

• Gartner: Seven cloud-computing security risks
  
• What Does 'Cloud Computing' Mean, Exactly?
• Cloud computing is a trap, warns GNU founder Richard Stallman