IT的工作範疇很廣泛,除了我們常聽到的系統研發(即寫網頁/POS系統/手機App等),資訊安全(IT Security)也是一門大學問,近年來倍受重視,不少公司都相繼增加人手。如你即將畢業,或初出社會不久,甚至是心思思想轉行,不妨來聽聽以下兩位行內人的分享。原來入行並不困難,真正的困難也於不斷進修。
Kith:4年前畢業於城市大學電腦系,專注網絡安全的範籌,現時在銀行的電腦部門擔任資訊安全工程師。
Joe:投身資訊安全行業10多年,現時自行開設公司,為客戶提供提供資訊安全的顧問工作以及相關的產品。
In House VS Vendor
資訊安全是個很廣闊的概念,小至電腦裝的防火牆,或翻墻必備的VPN;大至入侵網絡的電腦病毒,或是黑客入侵。一個小小的安全漏洞,無論對於個人,還是對於一間公司,都能夠帶來嚴重的損失。Joe表示:「早10幾年,公眾對於資訊安全基乎是零概念,只少量大企業才會在這方面投放資源。但近年來,隨著雲端運算、大數據、移動支付等領域的發展,公眾的意識加強,政府部門、金融機構、銀行和其他行業也對資訊安全的要求提高。我入行時,坊間公司內部未必有資訊安全的團隊,相關工作多數由Vendor公司負責。時至今日,大公司內部都一定有負責資訊安全的部門。」
細數資訊安全工程師的工作內容,他將此細分為兩方面,直言:「投身Vendor公司和做in house,工作內容也有頗大的分別。前者要和很多不同公司合作,為別人提供自己的資安系統和股務,要求較強的自主研究和開發精神。後者多數維護和監管自己公司現有的各類資安系統,檢查安全漏洞,發佈保安政策/指引,要求較強的分析力,一切都按章工作。」
▪ 【技術移民】IT專才申請台灣工作簽證約30天 德國做滿21個月可申請PR
▪ 資訊科技相關職位加薪再嬴大市 JobsDB 整合過往五年薪酬數據反映IT人才渴市
問題每天都新奇
Kith進一步解釋,大公司的資訊安全部門通常分為Infrastructure (基礎設施)、Network(網絡)、Application(應用)三方面。Infrastructure是存在於現實公司之中,架構電腦世界的基礎設施和骨幹,例如數據中心、服務器機房。而所架構出來的虛擬電腦空間,就可以理解為network,將企業環境劃分為不同的「安全區」,不同的安全區會具備不同的安全防護等級。Application相當於是虛擬世界的室內設計及擺設,涉及使用者的系統層面,具體的程序編碼及平台上的漏動。
大公司分工明確,不同範疇的工程師只會接觸份內事,工作內容也絕對不是你想像中的畫面:只對著電腦打Code。他笑說:「Infrastructure部門裡的同事,除了編寫保安守則,日常工作更包括巡查機房,好像科幻電影般,機房不安全,一隻USB就能偷走機密資料。Network部門的同事,工作內容專注於設立不同安全區的權限和安全機制,最初的防護是防火牆,然後是IPS(入侵預防系统),緊接是防毒牆、內容檢查等等。至於Application,直接面對使用者,從不同層面預防電腦病毒入侵,防止資訊及數據外洩。無論哪一方面,隨著電子世界的發展,昨日還在使用的電腦的作業系統、資料庫的軟件和網絡的路由器等,今日可能突然發現安全漏洞,沒完沒了,沒有盡頭。」
捱夜工作是必然
Joe屬於早期投身資訊安全行業的人員之一,10多年前從北美回流返港就投入Vendor公司擔任資訊安全工程師。他的工作除了替客戶安裝及維合適的資訊安全系統,也為客戶提供資安顧問意見等。工作流程多數如此:
第一,了解個客戶的公司內部運作,檢查電腦系統及網絡的安全程度;
第二,自己默默編寫文件,幫客人制定資安流程,並做風險評估;
第三,就是無限開會,重覆一和二的步驟;
最後,成功完成要求,賣出資訊保安系統或者服務,甚至交出完整的安全審計。
資訊保安產品不是單純的產品,當中涉及整間公司的電腦系統中,需要深層整合、通行及存取,稍有不慎,影響現有電腦系統的運作。例如:安裝防火牆後導致內部網絡失效;安裝防毒軟件後導致現有程序都不能運行⋯⋯「為了避免問題,大部分產品測試、安裝、更新等動作都是客戶的非工作時間進行,那樣才不會影響他們公司的日常運作。所以呢,凌晨時分工作是必須的,長假期也例外喇!如果想投身Vendor公司,便做好心理準備吧。」
▪ 【IT界渴才】創科行業逆市更顯優勢 新增職位邊類最熱門?
▪ 人工10年前後對比:IT、會計、Marketing入門級職位 升幅最少係佢?
入行必備 3大證書
他們兩人深信這一行前景可觀。當價值高企的金融活動/行為/信息陸逐轉移至虛擬世界,「零日攻擊」(zero-day attack)自然與日俱增,黑客主動針對保安漏洞進行攻擊來賺取利益。香港在這方面的人才明顯落後於其他國家,大公司求才若渴。Joe認為:「入行並不困難,也不一定要求電腦系畢業,擁有基本認識即可,反而需要對資訊安全有深入的概念和相關技術。」
Kith建議入行者可以先了解CISSP(Certified Information Systems Security Professional)、CISA(Certified Information Security Auditor)及CISM (Certified Information Systems Manager)三個保安認證資格。三個證書中,CISSP的內容比較專注資訊保安技術層面,包含資訊安全的基本原理、網絡和密碼學的原理,適合初入行者。CISA的內容比較全面,包含資訊安全控制與管理,內容涉及審計原則、權責分工、監控分類等等基本審計知識。CISM就更上一層樓,初入行不需要考慮。他感嘆:「行業一直擴張,入行並不困難,真正的困難在於入行後技術需要一直與時並進,保安漏洞只會愈來愈多,不能一門手藝活到老,隨時會被淘汰。」
此文章由原作者及jobsDB HK撰寫/編輯。如欲刊登於其他網站或刊物,請電郵至[email protected]與我們聯絡。如有發現侵犯版權,原作者及jobsDB保留採取法律行動的權利。
