iT邦幫忙

0

資安歸資安,程式歸程式,兩者可以混為一談嗎?

資訊安全,是一門很深且很廣的學問,真正搞資安的專家,鐵定是程式高手。

但是一般定義的寫程式,都是針對用戶需求,寫出用戶需要的軟體。範圍不一定要廣,舉個例
UltraEditor 就是一個很成功的程式,但是處理的都是跟編輯文件有關。

我必非貶低程式,我自己是寫程式的,也會反組譯修改一些軟體,也會掃描 WiFi,解 WEB,我沒而抬高資安的意思,但是我必須承認,我不懂資安。

光是看看,台灣政府的網站,有多少被駭客入侵,就知道資安要搞好,不簡單。

這是我一家之言,歡迎拍磚。說出來的理由,讓我認同,我就給你分數。

另外,搞 IT,資安是一個好出路,如果你同時懂 Windows 及 Linux 你就已經有很好的基礎了。剩下的,就是要搞清楚,搞資安至少要懂哪些技術。

ayu iT邦好手 5 級 ‧ 2010-02-11 05:35:03 檢舉
台灣政府機關/機構長年以來太過度倚賴委外,
人事精簡後常把熟悉內情的老員工洗掉, 改換派遣人力接手,
總之留下的多是純粹的行政人員, 出狀況只能找外援,
即使負責了資安業務, 會寫一些程式, 但如果不熟悉網路運作(概念),
不要說抵禦外侵了, 就連日常基本運作都會搞得七葷八素.
而要熟悉網路運作, 就一定得熟悉許多作業系統與應用程式的
安裝/操作/特性, 這絕不是純粹行政人員能夠理解領略的.

很多人常犯的一個錯誤觀念, 以為把OS/AP更新到最新版就是最佳方法,
但很多漏洞或弱點, 根本就不是最新版本能夠涵蓋的,
如果只會使用預設值安裝, 大概就不必期待能有多強的資安功力了.
17
IvanLin
iT邦研究生 1 級 ‧ 2010-02-11 11:20:53
最佳解答

搞資安的就一定是程式高手??
實在很不認同這句話~~

資訊安全~~不管是ISO27001還是PCIDSS幾個目前在台灣業界較有名的資安領域
還是認證體系中的CISA、CISM、CISP、CCSA、CompTIA Security+(太多了 @@)
都沒看到成為一家資安專家一定要是程式高手的前提
並非貶低程式設計師,而是二者的工作領域和專業真的有很大差異

我反而比較認同的觀念是
資安專家是具備了IT領域通才型的能力,並且以不偏不倚的中立角度看待每件資安事件並解決它,同時也具有企業流程知識領域與軟性溝通技能的專業人才
這樣的人才能以全觀的角度去看待企業裡資訊安全的問題,並且將專業的術語轉成白話文轉述給企業裡的使用者

個人經驗:看過所謂太多的高手了,無法說服使用者接受資訊安全的規範,再厲害也沒用,都是廢話

我個人認為,資訊安全的精神在於『針對資訊安全領域目標中的每個流程,去檢視流程、改善流程、控管流程、稽核流程,避免流程中的暇絲造成企業的損失或是危害』

以ISO27001來看資訊安全,有太多的規範及Paperwork要去遵守,我個人來看,ISO27001是資訊安全領域,也是一種企業流程改善,簡單說,從事ISO27001比較像在搞流程管理,不像從事資訊領域的專業人員;因為大多數人被文字上的意義搞迷糊了,以為『資訊』安全就一定是和資訊人員有關係,不否認,企業裡能大量碰到敏感性資料的人,除了高階主管外,就屬資訊人員是首當其衝了
但是就是因為如此,我認同資訊專業領域需要有一位資安人員,但是不應該由這位資訊人員去 leader 資訊安全專案(以 ISO27001 來說,由於需要每半年稽核一次,往往做完 ISO27001 後,由原執行人員來執行稽核動作,所以PS.我有2年沒做ISO27001了,如果有誤請見諒),這樣反而出現所謂的球員兼裁判的謎思,
在企業裡,所謂的資安專家可能就是意指這些稽核人員了,至於是不是資訊高手,就見仁見智了,通常企業裡做資安的,往往都是企業裡的黑臉(笑)

個人想法:
所謂的資安專家,真正有當過PG、SD、SA的高手,不敢說沒有沒有這樣的人才,只是麟毛鳳角
當然這樣的人,如果不是太混或是太爛,在資安界應該都有不錯的發展,畢竟現在資安的很多問題,是出現在SA、SD系統開發時就沒有考慮資訊安全這個領域,這方面的人才,真的有他的優勢

marshuang iT邦新手 1 級 ‧ 2010-02-11 12:08:50 檢舉

贊同~

shunyuan iT邦研究生 1 級 ‧ 2010-02-11 12:38:41 檢舉

就是你了,最佳答案。

14
marshuang
iT邦新手 1 級 ‧ 2010-02-11 08:48:37

shunyuan提到:
資訊安全,是一門很深且很廣的學問,真正搞資安的專家,鐵定是程式高手。

資安是否是程式高手,這我不以為然,且高手的定義為何? 精通一種還是十種? 精通程式設計漏洞? ...
資訊安全包含很多層面,政策.策略.程式碼.系統.設備.應用軟體.平台....您應該只是說明了其中的一小項而已(程式碼的安全性)
都要面面俱到精通的資訊安全領域高手,與工作背景與學習背景有所關聯,你想,寫程式的人各種領域都有,然有多少人是資訊領域出身的? 有些人連外文文件都看不懂,連封包剖析.網路行為.社交行為.甚至連基本指定及判斷的邏輯都不是很清楚,甚至工作規模不大,考了幾張認證,這就是專家?
資安歸資安, 程式歸程式~ 只是程式考量的周嚴度會影響應用層的資訊安全疑慮層度.

shunyuan iT邦研究生 1 級 ‧ 2010-02-11 10:53:16 檢舉

懂資安的專家,常常可以找出安全漏洞,同時可以用工具(通常是他們自己寫的)證明安全漏洞的存在。不是程式高手,這種事幹不來。常常看 buffer overflow 的 code,說實在話,還真的看不懂,如果旁邊沒有註解的話。

木馬、釣魚網站、病毒,那些也是程式功力很高的人搞出來的,能夠對付這些問題,沒有三兩下,還真的搞不定。

至於一眼就可以看出資訊架構哪裡出問題,更要懂得各種的程式設計語言,與各式各樣目前常用的系統。

當然也有所謂資安專家只會動口,但那又另外一段故事了。

12
pantc328
iT邦研究生 1 級 ‧ 2010-02-11 08:51:50

我不知你在陳述什麼?
雖然資安是非常重要的一件事.
但看使用者需求,專案要件..因素而定.
我不是什麼資安專家.但我可以看出系統的安全問題.
在我開發8年程式經驗.換過多家公司,主管.參加很多專案.
坦白說.沒人重視安全.
我只能說,功能面是立即可看到的功效,也就是你的績效,你的獎金.
資安是遇到時才會痛.
每當我參與專安初都很熱血,提出很多建議和一些系統的疑慮.
但~最後大家都會說,誰提的誰負責..
反正官大學問大,學歷高的說的算.
所以何必在意!反正總有人要扛.

shunyuan iT邦研究生 1 級 ‧ 2010-02-11 11:10:42 檢舉

我想說的是:
(1)資安這塊很有商機,目前沒幾家厲害的,趨勢或許算一家
(2)門檻頗高,要懂系統,還要是程式高手
(3)台灣政府的放在網路上的機器,都不太安全
(4)懂程式的人,大多不太懂資安
(5)之前有很多人,問 IT 工作者何去何從,這個不個好方向嗎

加上你補充的
(6) 台灣寫程式的,沒人重視資安(OMG)
(7) 官大學問大,學歷高說了算(OMG)
(5)

12
filibusterer
iT邦新手 4 級 ‧ 2010-02-11 09:53:42

資訊安全是屬於後續維護的工作,
網站上線後總是面對的廣大的網際網路,
基於公司、使用者隱私,
資安當然會重到重視。
沒有必要將資安和程式分開談,
也沒必要兩者結合,
只是能夠顧慮到安全寫出來的程式,當然最佳。
不過您似乎在尋求某種道理呢,會提出很多不同的論點向大家尋求解答。

shunyuan iT邦研究生 1 級 ‧ 2010-02-11 11:12:26 檢舉

filibusterer( IT邦初學者9級 )
時間:2010-02-11 09:53:42
資訊安全是屬於後續維護的工作

一開始就沒考量,後續的問題修不完。

只是我認為 ... 安全這個問題本來就算是程式本身的一部份,不可或缺的要素,一定是販售程式設計時就要規劃進去的功能之一。
所以小弟才說是屬於維護的工作。
在這個年代,假如一開始還需要"考量"要不要新增此項目,這個程式應該也不值得去維護以及販售吧 ..

4
外獅佬
iT邦大師 1 級 ‧ 2010-02-11 12:31:30

通常資安問題都是程式高手搞出來的...那些寫病毒、木馬的 ...肯定都是程式高手,也是搞(亂)資安的...

shunyuan iT邦研究生 1 級 ‧ 2010-02-11 12:41:11 檢舉

你是說台灣之光,寫 CIH 病毒的那位?

我的看法,那位真的有天份。

外獅佬 iT邦大師 1 級 ‧ 2010-02-11 12:55:33 檢舉

我沒有特定指誰,這只是普遍的現象~~再說,小弟是來搞笑的~~

michelle iT邦新手 4 級 ‧ 2010-02-11 18:34:11 檢舉

雖然很努力的在看各位大哥的發表, 但是看得很吃力 = =
能不能順便問一下喔, 一般防火牆或 server 使用 Winroute 管理時.
哪些 port UDP/TCP 必須一定要擋掉,
還有比如不讓使用 P2P 軟體 (BT, foxy, 迅雷..)

我要發表回答

立即登入回答