資訊安全工程師是什麼?新鮮人必看!資安領域必考的資安證照
資訊安全工程師的工作內容
資訊安全工程師相關的職稱有很多種,工作內容可能因個別職務有所差異,但資訊安全工程師需要具備的能力主要為維護企業的資訊安全系統,並針對系統進行分析、偵錯以提高資安防護性。 而什麼是資訊安全?資訊安全是一種概括數據資料的安全策略或手法,其中包含了網際網路、實體媒介、API、應用程式App、雲端空間甚至是最新的容器都可以納入資訊安全的概括範疇。資訊安全(Information Security)又簡稱資安,其基本精神與主要目的在於保障數據資料的C.I.A,也就是Confidentiality(機密性)、Integrity(完整性)、Availability(可用性)。
Confidentiality(機密性)
阻擋未經授權的使用者或存取意圖來保障數據資料的機密性,像是採用安全性協定(SSL/IPsec/VPN)。
Integrity(完整性)
避免非經授權的使用者或存取行為篡改或偽造資料,數據資料在傳送、使用、儲存的過程中都必須確保其內容未經篡改或偽造才能保有其效力,透過雜湊函數(Hash Function)可以檢驗數據資料是否維持完整原樣。。
Availability(可用性)
讓資料保持可用型態,必須確保其服務不被中斷而讓企業擁有高可靠度服務,像是購入具高可靠的HA架構(High Availability)以及附載平衡LB(Load Balance)的資通信設備。其他延伸安全性概念有不可否認(Non-repudiation)、身份鑑別(Authentication)、存取權限控制(Authority)等。
近期隨著肺炎疫情的延燒,遠端工作的便利性也讓資安議題伴隨而來。著名的遠端視訊工具Zoom被指出存在系統漏洞和個資隱私的資安問題,甚至是Google、Amazon、Cloudflare都在五月發生大規模的BGP劫持事件,台灣也發生因業者VPN設置錯誤導致政府公務機關的IP位址淪為攻擊跳板。
常見的5種資訊安全工程師類型
資訊安全工程師的工作內容多元且具挑戰性,依照企業規模與產業類型的不同,其職責也有所差異。以下為您介紹常見的5種資訊安全工程師類型:
1. 資訊安全工程師
資訊安全工程師的工作內容主要是保護企業的資訊系統與資料不受外部攻擊或內部威脅。他們負責建置與維護資安防護設備(如防火牆、入侵偵測系統)、監控異常行為,並進行系統漏洞掃描與風險評估;也會制定資安政策、執行內部稽核與教育訓練,確保企業遵循相關法規與標準。
2. 資訊安全分析師
資訊安全分析師負責監控資訊環境與網路系統,針對可疑或異常行為進行深入分析,並撰寫相關的分析報告與資訊防護計畫,以強化整體資安防護機制。
3. 滲透測試工程師
滲透測試工程師主要負責執行滲透測試、弱點掃描、紅隊演練及DDoS攻擊演練,涵蓋主機服務、應用程式與API等範疇。另外,也需要協助進行資訊安全教育訓練,以及進行攻擊與防禦技術的研究。
由於滲透測試通常每半年至一年進行一次,許多企業資安部門並不會設置專職人員,而是採用外包方式,委託專業外部團隊來執行相關工作。
4. DevSecPps程師
「DevSecOps」是一種將安全性與資料治理整合進DevOps生命週期的新型工作模式。DevSecOps工程師會與產品開發團隊及專案經理密切合作,參與專案過程,協助制定資安指導方針,確保在開發階段即落實安全控管,保障系統與資料安全。
5. AI工程師
資安領域的AI工程師負責建立、訓練及部署機器學習模型,並與產品經理及研發團隊密切合作,分析業務需求,提出創新的AI及機器學習應用方案。他們同時負責模型的維護與優化,建置 MLOps架構,並利用真實環境中的資料進行技術評估與最新技術的導入。
iThome 2024 資安問卷調查結果
2024年企業面臨的資安風險持續升高,社交工程與勒索軟體已連續兩年高居風險榜首!iThome調查顯示,不少企業也開始關注生成式AI與深偽技術帶來的新型威脅。以下整理出近兩年最需警戒的12大資安風險:
2024-2025 企業最需警戒的資安風險
|
| 1 |
社交工程手段 |
| 2 |
勒索軟體資安事件 |
| 3 |
駭客 |
| 4 |
釣魚網站 |
| 5 |
資安漏洞(如零時差漏洞攻擊)事件 |
| 6 |
商業郵件詐騙(BEC) |
| 7 |
網路犯罪者 |
| 8 |
國家級攻擊組織 |
| 9 |
資料外洩事件 |
| 10 |
被植入竊資軟體/後門木馬 |
| 11 |
ChatGPT/GAI成為輔助攻擊工具 |
| 12 |
以第三方為跳板的工具 |
資訊安全工程師可以考哪些證照?
行政院資通安全處於民國109年1月最新頒布的資安管理法內中,列出了資通安全領域各發證機構的
資安專業證照,分成管理和技術兩大類別,以下節錄部分發證單位所列證照:
| 序 |
發證單位 |
管理類 |
技術類 |
| 1 |
國際資訊系統安全核准聯盟 |
- |
CISSP |
| 2 |
CompTIA |
- |
Security+
CySA+
PenTest+ |
| 3 |
CREST |
- |
CPSA |
| 4 |
EC-Council |
- |
CEH |
| 5 |
ISACA |
CISM |
- |
| 6 |
ISFCE |
- |
CCE |
| 7 |
Offensive Security |
- |
OSCP |
| 8 |
Cisco |
- |
CCNA Security |
| 9 |
經濟部 |
- |
iPAS |
| 10 |
經TAF或國際認證機構認可之驗證機構 |
ISO/IEC 27001:2022 |
- |
若是想從事資訊安全工程師相關領域的工作,建議新鮮人求職者可以考取資安證照來強化個人的專業性,取得門檻進入企業後,再進一步累積解決問題的經驗。
各界急徵「資訊安全工程師」,內部資安意識亦是必需!
隨著近年相關資安法的頒布與實施,產官學術界紛紛開始尋求資安管理領域的專業人才,像是資安分析師、資安管理師、資訊安全工程師、資安網管師以及資安顧問等等,其皆相同地需要具備IT、網路、分析和開發的能力以及相關的資安專業證照,分析潛在風險與常見攻擊模式來針對其弱點漏洞進行研究、分析並開出與導入相關預防方法,並透過管理手法來提升企業內部資安意識,最後則是進一步提升系統的穩定性與可靠性來因應未知且新穎的資安攻擊。
資訊安全是個需要專業技術輔佐的資訊管理議題,再多的軟硬體技術或設定都很難保證百分之百的安全,必須時時刻刻體認到攻擊的發生是無所不在且無法預測的,除了聘雇資訊安全工程師長期維護企業的資訊安全系統及重要機密外,培養企業內部的資安意識和提高使用者的防禦警覺才能讓企業的資安風險以及受害可能性降到最低。
免費學習資源不漏接
