前景可觀！資訊安全工程師IT Security Engineer工作做啲咩？入行必備咩條件？

Jobsdb content team – updated on 13 July, 2020

IT的工作範疇很廣泛，除了我們常聽到的系統研發（即寫網頁/POS系統/手機App等），資訊安全（IT Security）也是一門大學問，近年來倍受重視，不少公司都相繼增加人手。如你即將畢業，或初出社會不久，甚至是心思思想轉行，不妨來聽聽以下兩位行內人的分享。原來入行並不困難，真正的困難也於不斷進修。

Kith：4年前畢業於城市大學電腦系，專注網絡安全的範籌，現時在銀行的電腦部門擔任資訊安全工程師。

Joe：投身資訊安全行業10多年，現時自行開設公司，為客戶提供提供資訊安全的顧問工作以及相關的產品。

In House VS Vendor

資訊安全是個很廣闊的概念，小至電腦裝的防火牆，或翻墻必備的VPN；大至入侵網絡的電腦病毒，或是黑客入侵。一個小小的安全漏洞，無論對於個人，還是對於一間公司，都能夠帶來嚴重的損失。Joe表示：「早10幾年，公眾對於資訊安全基乎是零概念，只少量大企業才會在這方面投放資源。但近年來，隨著雲端運算、大數據、移動支付等領域的發展，公眾的意識加強，政府部門、金融機構、銀行和其他行業也對資訊安全的要求提高。我入行時，坊間公司內部未必有資訊安全的團隊，相關工作多數由Vendor公司負責。時至今日，大公司內部都一定有負責資訊安全的部門。」

細數資訊安全工程師的工作內容，他將此細分為兩方面，直言：「投身Vendor公司和做in house，工作內容也有頗大的分別。前者要和很多不同公司合作，為別人提供自己的資安系統和股務，要求較強的自主研究和開發精神。後者多數維護和監管自己公司現有的各類資安系統，檢查安全漏洞，發佈保安政策/指引，要求較強的分析力，一切都按章工作。」

▪ 【技術移民】IT專才申請台灣工作簽證約30天德國做滿21個月可申請PR

問題每天都新奇

Kith進一步解釋，大公司的資訊安全部門通常分為Infrastructure （基礎設施）、Network（網絡）、Application（應用）三方面。Infrastructure是存在於現實公司之中，架構電腦世界的基礎設施和骨幹，例如數據中心、服務器機房。而所架構出來的虛擬電腦空間，就可以理解為network，將企業環境劃分為不同的「安全區」，不同的安全區會具備不同的安全防護等級。Application相當於是虛擬世界的室內設計及擺設，涉及使用者的系統層面，具體的程序編碼及平台上的漏動。

大公司分工明確，不同範疇的工程師只會接觸份內事，工作內容也絕對不是你想像中的畫面：只對著電腦打Code。他笑說：「Infrastructure部門裡的同事，除了編寫保安守則，日常工作更包括巡查機房，好像科幻電影般，機房不安全，一隻USB就能偷走機密資料。Network部門的同事，工作內容專注於設立不同安全區的權限和安全機制，最初的防護是防火牆，然後是IPS（入侵預防系统），緊接是防毒牆、內容檢查等等。至於Application，直接面對使用者，從不同層面預防電腦病毒入侵，防止資訊及數據外洩。無論哪一方面，隨著電子世界的發展，昨日還在使用的電腦的作業系統、資料庫的軟件和網絡的路由器等，今日可能突然發現安全漏洞，沒完沒了，沒有盡頭。」

捱夜工作是必然

Joe屬於早期投身資訊安全行業的人員之一，10多年前從北美回流返港就投入Vendor公司擔任資訊安全工程師。他的工作除了替客戶安裝及維合適的資訊安全系統，也為客戶提供資安顧問意見等。工作流程多數如此：

第一，了解個客戶的公司內部運作，檢查電腦系統及網絡的安全程度；

第二，自己默默編寫文件，幫客人制定資安流程，並做風險評估；

第三，就是無限開會，重覆一和二的步驟；

最後，成功完成要求，賣出資訊保安系統或者服務，甚至交出完整的安全審計。

資訊保安產品不是單純的產品，當中涉及整間公司的電腦系統中，需要深層整合、通行及存取，稍有不慎，影響現有電腦系統的運作。例如：安裝防火牆後導致內部網絡失效；安裝防毒軟件後導致現有程序都不能運行⋯⋯「為了避免問題，大部分產品測試、安裝、更新等動作都是客戶的非工作時間進行，那樣才不會影響他們公司的日常運作。所以呢，凌晨時分工作是必須的，長假期也例外喇！如果想投身Vendor公司，便做好心理準備吧。」

▪ 【IT界渴才】創科行業逆市更顯優勢新增職位邊類最熱門？

▪ 人工10年前後對比：IT、會計、Marketing入門級職位升幅最少係佢？

入行必備 3大證書

他們兩人深信這一行前景可觀。當價值高企的金融活動/行為/信息陸逐轉移至虛擬世界，「零日攻擊」（zero-day attack）自然與日俱增，黑客主動針對保安漏洞進行攻擊來賺取利益。香港在這方面的人才明顯落後於其他國家，大公司求才若渴。Joe認為：「入行並不困難，也不一定要求電腦系畢業，擁有基本認識即可，反而需要對資訊安全有深入的概念和相關技術。」

Kith建議入行者可以先了解CISSP（Certified Information Systems Security Professional）、CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格。三個證書中，CISSP的內容比較專注資訊保安技術層面，包含資訊安全的基本原理、網絡和密碼學的原理，適合初入行者。CISA的內容比較全面，包含資訊安全控制與管理，內容涉及審計原則、權責分工、監控分類等等基本審計知識。CISM就更上一層樓，初入行不需要考慮。他感嘆：「行業一直擴張，入行並不困難，真正的困難在於入行後技術需要一直與時並進，保安漏洞只會愈來愈多，不能一門手藝活到老，隨時會被淘汰。」

此文章由原作者及Jobsdb HK撰寫／編輯。如欲刊登於其他網站或刊物，請電郵至[email protected]與我們聯絡。如有發現侵犯版權，原作者及Jobsdb保留採取法律行動的權利。

More from this category: Industry stories