【来论】网络安全专家「文武兼备」

网络安全是组织抵御黑客和其他网络威胁的第一道防线。早前已有预计，到二○二一年底，网络犯罪将在全球造成价值六万亿美元的损失，因此我们可以理解，为何网络安全愈来愈受到重视。

正因如此，网络安全是招聘市场上最热门的范畴之一，已是不争的事实。各大专院校和专业办学团体，也推出更多网络安全的专业训练和课程，反应也相当热烈，愈来愈多人希望加入网络安全专业大军。

美国马里兰州贝塞斯达的安全研究和培训公司SANS Institute，曾对二百八十四家不同公司的五百多名网络安全从业人员，进行了一项调查，了解他们认为那一项专业技能，对求职者最为有用。该调查要求受访者对从「关键」到「不需要」的各种技能进行排名。八成五的受访者将网络列为一项关键或「非常重要」的技能，其次是精通Linux操作系统（七成七）、Windows（七成三）、规探安全漏洞技术（七成三）、计算机架构和虚拟化（六成七）及数据和密码学（五成八）；只有三成九的人将编程列为一项关键或非常重要的技能。

要在网络安全领域上获取较高的薪酬前，你需要学习工具和技能，这就是网络安全培训的用武之地。网络安全认证课程，不仅为你提供职位的基本知识，而且还提供有价值的证书，向潜在雇主证明你具有所需的资格。虽然绝大多数刚毕业并获得学位的人，缺乏实践经验，但通过专业培训和指导，人们可以通过基础理论和模拟攻防等方式，有效地掌握网络安全的一些基概念和知识。

可是，入行者需要面对另一问题：「坊间有各式各样的课程和专业认证，到底应该选哪一个？」又或者「是否考获的认证愈多，获取录的机会就愈大？或是可赚取的工资就愈多？」

就像许多不同形式的网络攻击一样，有一系列令人眼花缭乱的网络安全认证，可供选择。尽管选择多不是坏事，但数量和种类太多，也为有意投身网络安全的人士，带来了困惑甚至不知所措。到底哪种网络安全认证，对有意投身网络安全的你最有价值？

古时科举有文科状元和武举状元考试，笔者认为在网络安全的领域上，也有「文」、「武」之分。

「文」者乃着重网络安全管理框架和理念，让学员对网络安全管理架构和布局、职责分工、安全审计、风险管理及评估，有一定了解。此等认证是具有企业级安全管理职责的IT专业人员的重要资源，对往后管理、开发和监督安全系统，并制定组织最佳实践，具有相当价值的理论根柢。在市场上较热门和受雇主所认可的专业认证，包括认可资讯安全系统审计师（Certified Information System Auditor简称CISA）、认可资讯安全经理（Certified Information System Manager简称CISM）、资讯安全系统专家（Certified Information System Security Professional简称CISSP）等。

「武」者则着重具体网络安全技术和实战操作，为被培训对象具备网络攻防相关的运作和处理，提供技术知识和透过模拟平台增加「实战」经验。此类专业认证愈来愈受业界所重视。当中较被认同的，包括认可道德黑客（Certified Ethical Hacker 简称CEH）、认可安全分析师（EC-Council Certified Security Analyst简称ECSA）、认可法证分析师（GIAC Certified Forensic Analyst简称GIAC）等。

能够做到能文能武，就能成为炙手可热的网络安全专家，受各大企业争相聘用的专业人才。所以，专业认证的多寡不是重点，是否能覆盖文武，即管治和实战技术的范畴，而非侧重其中一方，才是关键所在；对往后在网络安全的专业领域上的发展，会有更大帮助。

胡志伟

香港电脑学会新兴数码技术总监及网络安全专家小组召集人