早前電腦勒索程式WannaCry 席捲全球,香港電腦保安事故協調中心共收到 33 宗 (截至 5 月 20 日) 受到相關攻擊的報告。隨着通訊技術和互聯網的普及,很多行業對資訊科技的應用日增,同時開始注重資訊及網絡安全,帶動相關人才的需求。有業界人士表示,隨着本港在金融科技及移動支付等方面的發展,未來資訊和網絡保安人員角色更形重要。從業員要具備專而廣的知識,才能在業界穩步發展。
除了 WannaCry 事件,香港電腦保安事故協調中心去年亦處理了 6,000 多宗保安事故,較 2015 年增加 23%。香港電腦學會會長梁建文,現職中信銀行 (國際) 資訊科技及營運總監,談及本港資訊保安行業的發展。「自有電腦出現開始,便有資訊保安,當中分不同層面,如密碼設定、檔案加密、防止電腦病毒入侵等。」
他不諱言,雖然本港的資訊保安發展起步較慢,但近十年在業界致力發展和急起直追下,漸見後進入的優勢,如香港金融管理局為提高銀行業抵禦網絡攻擊,去年宣布推出「網絡防衛計劃」,其中包括開辦和引入英國網絡安全核證機構 CREST 的培訓課程和專業資格,以提升業界的專業水平和競爭力,及提供更多行業指引給從業員。
財富與健康行業 資訊保安管理要求高
「其中管理 Wealth (財富) 和 Health (健康) 的有關行業,如金融機構和醫療機構,及一些政府部門 (如稅務局),由於存放大量客戶和市民的敏感資料,對資訊保安管理人手的要求亦較高。」
現時一般企業的IT人員佔整體人手的 10 至 20%,梁建文以其工作的銀行為例,資訊保安人員佔當中的 3 至 5%。「本地對資訊保安人員求才若渴,很難覓得合適人手,有時不得不向外求。我們會透過聘請海外畢業生、尋求服務供應商,或以項目形式招攬人才,以解決人手問題。如從業員具備 CREST 專業資格更是一大優勢。」
梁建文強調,無論從事任何機構的資訊保安工作,首要任務是防止資料外泄,另外亦要防範黑客,定期更新相關的技術和軟件。技術以外,從業員的個人操守尤其重要,特別是投身金融界人士,面試官十分着重申請人的誠信,以保障機構和客戶利益。
三大層面的資訊保安工作
- 第一層是負責恆常保安工作的管理員,負責基本的數據安全、審查工作、開設新人的登入帳戶、設定密碼、系統變動、數據保安設定。 (月薪約 $15,000 至 30,000 元)
- 第二層是關於資訊保安設計及安裝人員,當實行新系統或新網絡時,他們要確保企業的網絡運作安全,無論是軟件或硬件方面。 (月薪約 $30,000 至 50,000 元)
- 第三層是目前市場最搶手的資訊保安調查及研究人員,主要工作是對電腦系統進行不同方面的檢查和風險評估,包括建立防火牆、防毒軟件、保護資料等,工作中要進行分析、調查和研究,跟蹤黑客變化,及制定攻擊策略等。其中 CREST 專業資格正是培訓這類人才。 (月薪約 $50,000 至 60,000 元)
從業員考取專業資格 業界長久發展
Global Technology Integrator Ltd. 資訊保安首席顧問鄺文迪表示,作為Solutions Provider的公司,其部門主要負責資訊保安、提供方案和服務、控制中心運作等,團隊有約 20 名員工 (佔公司整體 10% 人手),當中包括資訊保安工程師、顧問、技術員。客戶當中有跨國企業、政府部門、大專院校、金融機構、中港貿易公司等。
他指,資訊科技發展一日千里,行業對人才的要求亦愈見專業,他們要能掌握新科技,以應付不同的網絡攻擊事故。從事此行持續進修十分重要,除了可考取相關的專業資格如 CISSP、CISA 外,也要定期更新研發科技供應商,及業界最新和最快的資訊,一來擴闊行業知識、鞏固資訊保安的概念、二來專業資格能給予客戶更大的信心。
新人初級工程師起步
為配合公司業務的發展,鄺文迪任職的機構每年都會聘請新人,一般要求投身者具備相關學歷,如曾修讀香港專業教育學院 (IVE)「資訊及網絡安全高級文憑」課程,以其公司為例,新人可由初級工程師起步,起薪約 12,000 元以上,工作包括安裝和設計網絡保安服務。公司另會提供培訓課程予員工,讓他們循序漸進地掌握工作技能。
鄺文迪相信,對大部分公司來說,資訊保安佔着一個重要角色,如這方面出現問題,將會影響公司的整體運作,甚至是行業的地位。「一般大企業會自己承擔其資訊保安方面的工作和責任,維持人手和規格。如從業員想在業界長久發展,需具備廣闊的知識範疇,對不同行業的運作有認知,才可給客戶提供適切的資訊保安服務。」
資訊及系統保安 業界首選培訓項目
根據職業訓練局屬下資訊科技訓練發展委員會的「2016 年資訊科技業人力調查報告」資料,業界整體僱員人數約 88,000 人,較 2014 年人力調查報告的 83,000 人,上升約 6%,其中從事資訊保安工作的約 770 人。在 2012 至 2016 年,業內機構把「資訊及系統保安」列為首選的培訓項目,同時「網絡/數據通訊」亦列於三甲之內。
IVE (柴灣) 資訊科技系高級講師梁洪表示,現時業界一般對資訊保安人員的要求是知識要夠廣,「他們毋須是所有IT範疇的專家,但要擁有相關的基礎知識。舉例:用戶登入時最常遇到的黑客攻擊手法、有何防禦方法等。」對於近期的 WannaCry 勒索軟件事件,他認為資訊保安人員在設計系統管理時,如一早做好防止黑客入侵的措施,便可避免問題發生。
增值方向 資訊保安知識要廣泛
此外,為配合本港在金融科技及移動支付等方面發展,未來資訊和網絡保安人員的角色更形重要。有志投身者應如何把握機會呢?「本港及外地的大學和大專院校均有開辦涵蓋資訊保安內容的 IT 課程,但大部分只集中所屬範疇的保安知識,有關資訊保安的內容或不夠全面。」
其中 IVE 開辦的「資訊及網絡安全高級文憑」課程,涵蓋資訊和網絡兩大範疇的保安工作,學習多元角度的資訊保安內容。舉例:在「高級網絡保安」一科,會介紹網絡、路由器、防火牆的操作、網絡安全運作的配置等。而在「電子商務保安」一科,則主要講解商業運作、網絡保安應用、相關法例和國際標準等。
適合有好奇心、喜歡解難人士修讀
梁洪說,課程主要訓練學生將資訊安全知識應用於分析、設計及處理網絡及電腦系統的安全問題,學員要擁有好奇心,喜歡解難和接受挑戰。為實踐所學,校方亦安排學員到機構實習至少 90 小時,如電訊公司、網絡公司等,學員曾參與的工作包括測試網上證券買賣的安全、藉引領黑客攻擊虛假網絡而調查他們等。
畢業生可從事資訊保安系統設計或審核方面的工作,如網絡安全工程師、資訊保安評核員。「僱主一般對審核人員的要求較高,他們要對不同範疇的資訊保安有了解,入行後可因應不同範疇而考取專業資格,如 Cisco 推出的 CCNA 和 CCNA (Security) 等網絡保安營運認證,此為一般從事網絡工作的人員會考取的,符合很多大企業的入行門檻。」
文:王安娜
圖:受訪者提供