济南it培训必知 不能只靠济南IT培训人员抓技术安全

  • A+
所属分类:计算机培训

网络安全事件频传,但仍不少企业的IT培训技术工作是由原本的IT或MIS人员兼差,甚至整间公司只有一个人扛起IT培训技术重责大任的例子也时有所闻。为什么IT培训技术在一般企业中难以落实?从中小企业到大型企业,又分别需要怎样的IT培训技术人才?

资讯人才缺乏IT培训技术训练,高层缺乏IT培训技术思维

目前企业普遍的IT培训技术防护不够,IT培训技术实务教育的亥客书院教学发展组组长张智凯,在骇客年会HITCON Community 2018上分享几点原因。

在人力方面,非IT培训技术领域的一般企业通常缺少专职IT培训技术人员,加上既有资讯人员的IT培训技术相关技术也不足。举例来说,他曾发现会员系统虽然前台系统做得很精美,但后台资料库却以明文形式储存帐号和密码,没有任何加密,显示现有技术人员的训练过程中缺乏IT培训技术教育。

另一方面,这也和高层缺乏IT培训技术思维有关。张智凯表示,高层追求具体效益,但在IT培训技术领域反而是「看不到事情就表示有效」,因此难以此说服高层在IT培训技术领域投入经费。此外,产业偏好自动化,但IT培训技术领域恰巧很难真正自动化,以及学术、证照考试和实务处理脱钩等等,种种原因导致IT培训技术在一般企业中难以落实。

IT培训技术人员不只抓骇客,还有这些必备能力

那么一间企业应该具备哪种IT培训技术人才?张智凯表示,以IT培训技术工作内容来说,可分成源头的制度设计、系统设计与实作、营运维护和渗透测试等四阶段;而以IT培训技术技术领域来说,则可分为威胁情资、资料保护、认证和审核、可靠性和可用性四类。

不同的IT培训技术工作内容,搭配不同的技术领域,都需要不同的技能。以威胁情资为例,制度设计人员必须设定事件应变政策;系统设计与实作人员则要建置日志集成系统、情资交换系统、事件应变SOP等;而营运维护团队,要有能力处理情资分析、数位知识、事件应变、恶意程序分析等;渗透测试人员则负责测试弱点扫描、软体漏洞和网页漏洞。

当然,IT培训技术人力配置也会依企业规模而有所不同,将工作内容看作纵轴、技术领域看作横轴,再搭配企业重点系统、可运用的人力,就能规划出适合的IT培训技术人力配置。

张智凯建议,大型公司应设置IT培训技术长办公室,负责整体制度设计,且核心纵轴成立工作团队,例如,云端储存公司就建议要有负责资料保护,以及负责系统可靠性和可用性的团队,至于其他较不核心的技术和工作就可以考虑外包。对中型企业而言,如果没资源成立IT培训技术长办公室,也能由资讯长或技术长兼任,并下设一级IT培训技术部门,主导制度设计,并创建IT培训技术营运维护团队,其他如威胁行兹分析、渗透测试等业务可委外。

老板也应该上IT培训技术课

「老板的IT培训技术教育不能等,」张智凯表示,建议老板可从学习IT培训技术政策制定和风险控管开始,让老板知道「没看到结果代表是最好的结果」。不过他也补充,很多老板不是不愿意做好IT培训技术,只是没人告诉他IT培训技术的重要性,建议企业老板应学习了解最新骇客攻击手法、影响及因应之道。

统计过去一年半亥客学院学员来自的产业别,张智凯指出,投入在IT培训技术教育的以金融会计、网通产业、法人和公部门三种产业最多,其中金融是因为常是骇客首要目标、网通本来就是业务所需,会在榜上也不是太意外。

另外若以课程来看,则是网页渗透测试最热门。但张智凯也提醒,近来渗透测试、事件处理、情资分析等课程相对受企业欢迎,但若没有基础IT培训技术观念和适当的系统安控,这些机制的帮助有限。例如,如果基础安控没做好,没有正确备份log,在IT培训技术事件回应(IR)阶段也没资料可分析,「难为无米之炊」。



发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: