最近有一位從事開發資安產品多年的前國立大學資工系教授問我說,考上CISSP對工作上有甚麼幫助?我的回答是『目前沒有直接的幫助。但是就像以前學數學一樣,雖然大部分的時候沒有直接的幫助,但是會讓你的對某些事的觀念更加清楚,處理這些事情會更加好。』從對方的表情,很顯然這是不及格的答案。工程講究的應用,不能加以應用就是沒有用的東西。CISSP本就是一個全面性的資安認證,雖然這往往也是被詬病的地方(不夠專精在某部分),但就像每個科目都有其不同的屬性,我個人認為CISSP並沒有必要放棄這樣的特性。
如果他繼續問我數學對我有甚麼用?我的回答應該會是『讓我買東西時不會算錯錢。』什麼,又錯了?不但錯了,可能還會氣死一堆數學老師跟數學家。但是,當初學數學不就是希望能夠有效運用。而每個人每天都會進行數次的買賣,如果因為學好了數學讓每次買賣都能雙方不吃虧,這不就是最好的運用了嗎?或許我不用學好數學也可以進行買賣,但是學好數學可以讓我對買賣這件事更有把握。
所以,在學習到CISSP的內容前,雖然我知道技術不是資安的一切,但是卻無法全面性的提出說明。但是學了CISSP之後我了解資安的組成要素,也因此能夠知道要做好資安除了技術還有哪些也是不可或缺的。換句話說,學了CISSP之後讓我對資安的概念更加清晰,也改變了我的一些想法。這點有沒有價值?我個人認為資安最困難的部分在於觀念的建立,而不是技術的養成。會正確的設定PIX(Cisco的防火牆)很有價值,但是如果不知道為什麼,離開了PIX還剩下些什麼?甚至設定好了PIX,卻因為沒有正確的觀念而偷懶開了一個後門,這樣不但沒有價值,反而造成單位的危機。
雖然我從9年多前就開始使用了SSH、Tripwire、TCPWrapper、PortSentry、IPChains來保護公司的Linux系統,但是你問我學了CISSP有甚麼用,我不會告訴你因為念了CISSP所以我知道SSH用甚麼方式加密,又曾經有那些漏洞被攻擊(老實說,這種東西我也背不起來)。我會告訴你我知道要用SSH,而不使用SSH還在繼續使用Telent的人該打屁股。除此之外,我還會告訴你打死我也不會相信什麼『提供全面性的防護』這種謊言。而這些就是我所知道的資安。
後記:我當然知道資安相當廣泛,牽扯到許多高深的技術以及複雜且嚴謹的管理機制,不過資安的基本精神其實並不複雜。就像每家公司雖然規模與業務內容皆不相同,不過精神(目標)都是差不多的。而一直圍繞在高深的技術,卻忽略了最原始的目的與需求,甚至造成使用者的困惑,對資安推廣來說並不是一個正面的事情。不過千萬別誤會我,觀念與技術彼此是相輔相成,缺一不可,只是千萬別被技術給綁住了自己的想法與做法。
沒有留言:
張貼留言