前景可觀!資訊安全工程師IT Security Engineer工作做啲咩?入行必備咩條件?

FacebookWhatsAppTelegramEmailCopy Link

IT的工作範疇很廣泛,除了我們常聽到的系統研發(即寫網頁/POS系統/手機App等),資訊安全(IT Security)也是一門大學問,近年來倍受重視,不少公司都相繼增加人手。如你即將畢業,或初出社會不久,甚至是心思思想轉行,不妨來聽聽以下兩位行內人的分享。原來入行並不困難,真正的困難也於不斷進修。

Kith:4年前畢業於城市大學電腦系,專注網絡安全的範籌,現時在銀行的電腦部門擔任資訊安全工程師。

Joe:投身資訊安全行業10多年,現時自行開設公司,為客戶提供提供資訊安全的顧問工作以及相關的產品。

In House VS Vendor

資訊安全是個很廣闊的概念,小至電腦裝的防火牆,或翻墻必備的VPN;大至入侵網絡的電腦病毒,或是黑客入侵。一個小小的安全漏洞,無論對於個人,還是對於一間公司,都能夠帶來嚴重的損失。Joe表示:「早10幾年,公眾對於資訊安全基乎是零概念,只少量大企業才會在這方面投放資源。但近年來,隨著雲端運算、大數據、移動支付等領域的發展,公眾的意識加強,政府部門、金融機構、銀行和其他行業也對資訊安全的要求提高。我入行時,坊間公司內部未必有資訊安全的團隊,相關工作多數由Vendor公司負責。時至今日,大公司內部都一定有負責資訊安全的部門。」

細數資訊安全工程師的工作內容,他將此細分為兩方面,直言:「投身Vendor公司和做in house,工作內容也有頗大的分別。前者要和很多不同公司合作,為別人提供自己的資安系統和股務,要求較強的自主研究和開發精神。後者多數維護和監管自己公司現有的各類資安系統,檢查安全漏洞,發佈保安政策/指引,要求較強的分析力,一切都按章工作。」

▪ 【技術移民】IT專才申請台灣工作簽證約30天 德國做滿21個月可申請PR

▪ 資訊科技相關職位加薪再嬴大市 JobsDB 整合過往五年薪酬數據反映IT人才渴市

問題每天都新奇

Kith進一步解釋,大公司的資訊安全部門通常分為Infrastructure (基礎設施)、Network(網絡)、Application(應用)三方面。Infrastructure是存在於現實公司之中,架構電腦世界的基礎設施和骨幹,例如數據中心、服務器機房。而所架構出來的虛擬電腦空間,就可以理解為network,將企業環境劃分為不同的「安全區」,不同的安全區會具備不同的安全防護等級。Application相當於是虛擬世界的室內設計及擺設,涉及使用者的系統層面,具體的程序編碼及平台上的漏動。

大公司分工明確,不同範疇的工程師只會接觸份內事,工作內容也絕對不是你想像中的畫面:只對著電腦打Code。他笑說:「Infrastructure部門裡的同事,除了編寫保安守則,日常工作更包括巡查機房,好像科幻電影般,機房不安全,一隻USB就能偷走機密資料。Network部門的同事,工作內容專注於設立不同安全區的權限和安全機制,最初的防護是防火牆,然後是IPS(入侵預防系统),緊接是防毒牆、內容檢查等等。至於Application,直接面對使用者,從不同層面預防電腦病毒入侵,防止資訊及數據外洩。無論哪一方面,隨著電子世界的發展,昨日還在使用的電腦的作業系統、資料庫的軟件和網絡的路由器等,今日可能突然發現安全漏洞,沒完沒了,沒有盡頭。」

捱夜工作是必然

Joe屬於早期投身資訊安全行業的人員之一,10多年前從北美回流返港就投入Vendor公司擔任資訊安全工程師。他的工作除了替客戶安裝及維合適的資訊安全系統,也為客戶提供資安顧問意見等。工作流程多數如此:

第一,了解個客戶的公司內部運作,檢查電腦系統及網絡的安全程度;
第二,自己默默編寫文件,幫客人制定資安流程,並做風險評估;
第三,就是無限開會,重覆一和二的步驟;
最後,成功完成要求,賣出資訊保安系統或者服務,甚至交出完整的安全審計。

資訊保安產品不是單純的產品,當中涉及整間公司的電腦系統中,需要深層整合、通行及存取,稍有不慎,影響現有電腦系統的運作。例如:安裝防火牆後導致內部網絡失效;安裝防毒軟件後導致現有程序都不能運行⋯⋯「為了避免問題,大部分產品測試、安裝、更新等動作都是客戶的非工作時間進行,那樣才不會影響他們公司的日常運作。所以呢,凌晨時分工作是必須的,長假期也例外喇!如果想投身Vendor公司,便做好心理準備吧。」

▪ 【IT界渴才】創科行業逆市更顯優勢 新增職位邊類最熱門?

 ▪ 人工10年前後對比:IT、會計、Marketing入門級職位 升幅最少係佢?

入行必備  3大證書

他們兩人深信這一行前景可觀。當價值高企的金融活動/行為/信息陸逐轉移至虛擬世界,「零日攻擊」(zero-day attack)自然與日俱增,黑客主動針對保安漏洞進行攻擊來賺取利益。香港在這方面的人才明顯落後於其他國家,大公司求才若渴。Joe認為:「入行並不困難,也不一定要求電腦系畢業,擁有基本認識即可,反而需要對資訊安全有深入的概念和相關技術。」

Kith建議入行者可以先了解CISSP(Certified Information Systems Security Professional)、CISA(Certified Information Security Auditor)及CISM (Certified Information Systems Manager)三個保安認證資格。三個證書中,CISSP的內容比較專注資訊保安技術層面,包含資訊安全的基本原理、網絡和密碼學的原理,適合初入行者。CISA的內容比較全面,包含資訊安全控制與管理,內容涉及審計原則、權責分工、監控分類等等基本審計知識。CISM就更上一層樓,初入行不需要考慮。他感嘆:「行業一直擴張,入行並不困難,真正的困難在於入行後技術需要一直與時並進,保安漏洞只會愈來愈多,不能一門手藝活到老,隨時會被淘汰。」

 

此文章由原作者及jobsDB HK撰寫/編輯。如欲刊登於其他網站或刊物,請電郵至[email protected]與我們聯絡。如有發現侵犯版權,原作者及jobsDB保留採取法律行動的權利。

想收到更多JobsDB最新職場資訊?

熱門文章
近年做工程嗰啲文件真係一日比一日多。聽講幾十年前嘅地盤,係由頭到尾都唔多文件,但而家閒閒哋一支樓仔都可以出幾千份文件。基本上,將啲文件攤開佢嘅話,面積好可能會大過總樓面面積。 主要建築文件的分類 首先,所有建築都先要有探土丶周邊環境/限制的文件、比設計師們做佢哋嘅設計圖、做各種計算(GFA力學風量排水量等等),以及其他對政府同埋發展商嘅文件。之後就到工料測量師們計返嗰樣嘢嘅工程量用嚟做合約。然後到承建商同埋分判入場,開始要入返啲進度計劃、施工方案、材料報批、風險評估、施工深化圖等等一系列嘅文件。再之後就係一系列嘅業主、設計、承建、分判相互間嘅信來信住,包括你話我慢、我又話你阻住我、我又話你增加咗嘢要加錢、你又話我整爛你啲嘢要扣錢等等,同埋仲有好多測試文件、做完嘅驗收文件。 文件的用處 呢個世界上,每樣嘢存在都有佢嘅意義。雖然好多地盤人覺得好多文件都好廢,但係佢哋(文件)都有佢嘅用處。由初期嘅建築大綱,到慢慢細化每樣嘢,先令到呢個建築物從大方向去到每一個細位都能夠合理地興建出嚟。 ▪ 地盤佬日誌—地盤最重視嘅節日 ▪ 地盤佬日誌—好判頭&好騙頭 冇實際作用的文件...
打工仔常說:「在辦公室裏做人比工作更難啊!」若不幸遇到職場欺凌,大部分打工仔也會選擇啞忍或辭職。香港教育專業人員協會在今年2月以電郵向超過一千名教師進行調查,發現過半受訪者在過去六個月內,也在學校遭遇過一次或以上的職場欺凌,例如言語的攻擊、冷嘲熱諷、在背後中傷、上司不停打壓,甚至給過量不合理的工作等等。 這些只是冰山一角,欺凌問題充斥在各行各業。作為打工仔的你該如何應對呢?直接與欺凌者對話,背後的說三道四者,就最怕光明正大的擺上枱面?記錄所有「罪證」,若將來要向公司投訴或訴諸法庭時,這些證據也會成為呈堂証供?與人傾訴和嘗試磨合後也解決不了,那就訴諸投訴機制:工會、勞工、勞工組織和法律援助,都是你的武器?千萬別採取極端招數報復,也不要怪責和否定自己?以下為你詳細解說面對職場欺凌的Dos & Don’ts! 遇到職場欺凌你要做的事 1. 直接與欺凌者對話 愈早發聲,就可避免自己成為「長期攻擊」的對象,這是最關鍵亦最難行的一步,但只要有勇氣踏出這一步,就好大機會可解決問題。要知道如果你愈是忍氣吞聲,欺凌者就會變本加厲。所以當你注意到你受到欺凌時,在情況許可下,可作出即時回應。 例如同事經常要你去幫忙做自己工作範圍以外的事,你可禮貌地說:「不」。幫得一次,他就會繼續找你麻煩;若果你的拒絕令到他說更多難聽的說話,甚至作出人身攻擊,你就要直接說出你的感受,例如:「我無法幫你處理你的工作,但亦請你停止你帶有侮辱性的說話。」很多時候欺凌者會以「開玩笑」作為藉口,或者笑你「唔玩得」,此時你亦可以直接說出你真實的感受:「對啊,我不認為可以這樣開玩笑,希望你能尊重我。」說話時亦要注意自己的姿體語言,挺起胸膛抬起頭地顯露自己的自信。 很多時候欺凌者就是看準被欺凌者的懦弱,透過打敗別人來獲取成功感。若你能自信地回應他的冷嘲熱諷,一來他不會預計到你「原來」懂得反抗,能殺他一個措手不及。二來,每次你也正面反擊,他不能獲得成功感,漸漸便會失去攻擊你的興趣。...
If you have attended job interviews, you would know that...

十大熱門搜尋

Scroll to Top

Processing, please wait…