文/楊瑾瑜(中國文化大學資訊管理學系)
2019年8月22-27日將在俄國喀山舉辦的第45屆國際技能競賽日前公佈了青年組的競賽職類,除了2017年阿拉伯聯合大公國阿布達比第44屆國際技能競賽舉辦的49項正式職類以及3D數位遊戲藝術及船舶物流兩項示範賽職類之將成為編號50和51號的正式項目,更一口氣另外新增加了 5 個全新的職類:
| 編號 | 職類名稱 | 職類名稱中譯 |
| 50 | 3D Digital Game Art | 3D數位遊戲藝術 |
| 51 | Freight Forwarding | 船舶物流 |
| 52 | Chemical Laboratory Technology | 化學實驗室技術 |
| 53 | Cloud Computing | 雲端運算 |
| 54 | Cyber Security | 網路安全 |
| 55 | Water Technology | 水資源技術 |
| 56 | Hotel Reception | 旅館服務 |
示範賽跟正式賽最大的差別是,示範賽成績不計算進參賽國的團體成績,選手也不能參與大會最佳選手的比序。比較特別的是,這些職類並沒有先經過一屆的示範賽就直接成為正式職類,也顯示了主辦國俄羅斯的積極性與企圖心。
勞動部勞動力發展署技能檢定中心也在2019年3月5日正式公告徵選 02 職類 – 電訊布建,50 職類 – 3D數位遊戲藝術,53 職類 – 雲端運算,54 職類 – 網路安全以及 56 職類 – 旅館服務的全國裁判長,這五位新任裁判長將在今年俄國喀山的45屆國際技能競賽參與職類的評分,以便帶回最新的競賽資訊,並期待在第50屆全國技能競賽開始可以推動新職類的比賽。
今天筆者以2019國際技能競賽 54 職類-網路安全的 Technical Description,向各位介紹這個新職類,也期待業界能投入資源,支持台灣成立這個職類,以增加人才培育的能量,達到產官學三贏的局面。
網路安全職類描繪
近年來,我們目睹了線上商業交易的爆炸式增長,以及物聯網(IoT)和雲端運算的快速普及。再加上駭客的持續威脅,網路安全專業人員現在在全球都有很大的需求。
資訊安全分析師致力於保護組織的電腦系統網路,以防止駭客存取和/或竊取敏感資訊和資料。資訊安全分析師的工作通常涉及安裝防火牆和資料加密軟體以保護機密資訊。他們還監控組織的網路是否存在安全性弱點,並在發生違規時調查違規行為。資訊安全分析師還可以進行滲透測試,即在他們模擬攻擊以在其被利用之前找出網路中的弱點。
資訊安全分析師還經常參與設計和執行其組織的災難復原計畫,該計畫描述了在災難或攻擊後恢復組織的IT系統和網路的正常功能的步驟和程序。該計畫通常包括預防性措施,例如定期備份和將資料傳輸到站外地點。
資訊安全分析師必須保持自己的知識處於最新狀態,以便比潛在的網路攻擊者領先一步。他們需要及時瞭解攻擊者用於滲透電腦系統的最新方法,以及可以幫助他們的公司應對這些威脅的新安全技術。
參賽資格
本職類比賽,每會員國限選派一隊 (兩位) 未曾參加過國際技能競賽的青年選手參賽。由於這個職類的技能比較不容易在學校就學到,因此參賽選手的年齡上限是 25 足歲。
技能規範
網路安全這個職類的技能規範有八大項,這個行業需要的各面向技能都被羅列進來:
| 項目 | 重要性 | |
| 1 | 工作組織和管理 | 5% |
| 個人需要知道和了解:
•健康和安全法規,義務,法規和文件 •必須使用個人防護裝備(PPE)的時機,例如: 為了ESD(靜電放電) •處理使用者裝置和資訊時完整性和安全性的重要性 •安全處理要回收廢棄物和的重要性 •規劃,安排和優先排序的技巧 •在所有工作實作中,準確性,檢查和注重細節的重要性 •有條不紊的工作實作的重要性 |
||
| 個人應能夠:
•遵守健康和安全標準,規則和法規 •保持安全的工作環境 •確定並使用適當的ESD個人防護裝置 •安全可靠地選擇,使用,清潔,維護和存放工具和裝置 •規劃工作區域以最大限度地提高效率並保持定期整理的紀律 •有效地工作並定期檢查進度和結果 •保持 “執業許可” 更新要求並維持有效性 •採用全面有效的研究方法來支援知識增長 •主動嘗試新的方法,系統和擁抱變化 |
||
| 2 | 溝通和人際交往能力 | 10% |
| 個人需要知道和了解:
•傾聽作為有效溝通的一部分的重要性 •同事的角色和要求以及最有效的溝通方式 •與同事和經理建立和維持富有成效的工作關係的重要性 •有效團隊合作的技巧 •解決誤解和需求衝突的技術 •管理緊張和憤怒以解決困難局面的程序 |
||
| 個人應能夠:
•使用強大的聆聽和發問技巧,加深對複雜情況的理解 •與同事一起管理持續有效的口頭和書面溝通 •認識並適應同事不斷變化的需求 •積極為發展強大有效的團隊做出貢獻 •與同事分享知識和專業知識,並發展支援性的學習文化 •有效地管理緊張/憤怒,讓個人相信他們的問題可以得到解決 |
||
| 3 | 安全規定 | 15% |
| 個人需要知道和了解:
•IT風險管理標準,政策,要求和程序。 •網路防禦和弱點評量工具及其功能。 •作業系統。 •電腦程式設計概念,包括電腦語言,程式設計,測試,除錯和檔案類型。 •適用於軟體發展的網路安全和隱私原則和方法。 |
||
| 個人應能夠:
•在設計和記錄整個計畫測試和評估程序時,將網路安全和隱私原則應用於組織要求(與機密性,完整性,可用性,身份驗證,不可否認性相關)。 •對資訊技術(IT)系統內部或繼承的管理,操作和技術安全控制和控制增強進行獨立的綜合評量,以確定控制的整體有效性 •開發,新增和維護新的電腦應用程式,軟體或專用公用程式 •修改現有電腦應用程式,軟體或專用公用程式 •分析新的或現有的電腦應用程式,軟體或專用公用程式的安全性,以提供可行動的結果 •開發和維護業務,系統和資訊流程,以支援企業任務需求 •制定描述基線和目標架構的資訊技術(IT)規則和要求 •確保在企業架構的所有方面(包括參考模型,細分市場和解決方案架構以及支援這些任務和業務流程的最終系統)充分解決保護組織任務和業務流程所必需的利害關係人安全要求 •開展軟體和系統工程和軟體系統研究,以開發新功能,確保網路安全完全整合。 •開展全面的技術研究,以評估網路空間系統中的潛在弱點 •諮詢利害關係人以評量功能需求並將功能需求轉化為技術解決方案 •計畫,準備和執行系統測試 •根據規範和要求分析,評量和報告結果 •在整個系統開發生命週期中設計,開發,測試和評量資訊系統安全性 |
||
| 4 | 操作和維護以及監督和治理 | 15% |
| 個人需要知道和了解:
•查詢語言,如SQL(結構化查詢語言)和資料庫系統。 •資料備份和復原,管理和資料標準化政策。 •網路通訊協定,如TCP/IP,動態主機配置,網域名稱系統(DNS)和目錄服務。 •防火牆概念和功能(例如,單點驗證/稽核/政策強制,針對惡意內容的訊息掃描,針對PCI和PII合規性的資料匿名化,資料遺失保護掃描,加速加密操作,SSL安全性,REST/JSON處理)。 •網路安全架構概念,包括拓樸,協定,元件和原則(例如,縱深防禦的應用)。 •系統管理,網路和作業系統強化技術。 •組織資訊技術(IT)使用者安全政策(例如,帳戶新增,密碼規則,存取控制)。 •資訊技術(IT)安全原則和方法(例如,防火牆,非軍事區,加密)。 •驗證,授權和存取控制方法。 •網路安全,弱點和隱私原則。 •進行教育訓練和教育需求評量的選擇原則和流程。 •學習管理系統 (LMS) 和其在管理學習中的應用。 •透過在模擬的真實世界情境中提供實作經驗,讓網路競賽成為一種發展技能的方式。 •網路法律和法律考慮因素及其對網路規劃的影響 |
||
| 個人應能夠:
•開發和管理允許儲存,查詢,保護和利用資料的資料庫和/或資料管理系統。 •管理和管理流程和工具,使組織能夠識別,記錄和存取智慧資產和資訊內容。 •解決問題;安裝,配置,故障排除,並提供維護和教育訓練,以回應客戶的要求或查詢 •安裝,配置,測試,操作,維護和管理網路及其防火牆,包括允許共用和傳輸所有範圍資訊傳輸的硬體和軟體,以支援資訊和資訊系統的安全性。 •安裝,配置,故障排除和維護伺服器配置(硬體和軟體),以確保其機密性,完整性和可用性。 •管理帳戶,防火牆和修補程式。 •控制存取,密碼以及帳戶新增和管理。 •審查組織目前的電腦系統和程式,以便設計資訊系統解決方案,以幫助組織更安全,有效率和有效地營運。 •透過回應兩者的需求和限制,將業務和資訊技術(IT)結合在一起。 •在自己的專業領域內對人員進行教育訓練。 •在自己的專業領域內制定,計畫,協調,交付和/或評量教育訓練課程,方法和技術。 •協助監督資訊系統或網路的網路安全計畫,包括管理組織內的資訊安全影響,特定計劃或其他責任領域,包括戰略,人員,基礎設施,要求,政策執行,應急計畫,安全意識和其他資源。 •協助制定政策和計畫和/或宣導支援組織網路空間計畫或所需變更/改進的政策變更。 •監督,管理和/或領導執行網路和網路相關和/或網路營運工作的工作和工作人員。 |
||
| 5 | 保護和防衛 | 15% |
| 個人需要知道和了解:
•檔案系統實作(例如,新技術檔案系統[NTFS],檔案配置表[FAT],副檔名[EXT])。 •系統檔案(例如,日誌檔案,登錄檔案,設定檔)包含相關資訊以及在何處查詢這些系統檔案。 •網路安全架構概念,包括拓樸,協定,元件和原則(例如,縱深防禦的應用)。 •用來識別弱點的業界標準和有組織,被接受的分析原則,方法和工具。 •威脅調查,報告,調查工具和法律/法規。 •事件類別,回應和處理方法。 •網路防禦和弱點評量工具及其功能。 •識別安全風險的對策設計。 •驗證,授權和存取方法(例如基於角色的存取控制,強制存取控制和自主存取控制)。 |
||
| 個人應能夠:
•使用從各種來源蒐集的防禦措施和資訊來識別,分析和報告網路中發生或可能發生的事件,以保護資訊,資訊系統和網路免受威脅。 •測試,實作,部署,維護,審查和管理有效管理電腦網路防禦服務供應商網路和資源所需的基礎建設硬體和軟體。 •監控網路以主動糾正未經授權的活動。 •回應對自身專業領域內的危機或緊急情況,以緩解立即性和潛在的威脅。 •根據需要使用緩解,準備,回應和復原方法,以最大限度地提高生命存活,財產保全和資訊安全。 •調查和分析所有相關的回應行動。 •對威脅和弱點進行評量 •確定可接受配置,企業或本地政策的差異 •評量風險等級,並在營運和非營運情況下制定和/或推薦適當的緩解措施。 |
||
| 6 | 分析 | 10% |
| 個人需要知道和了解:
•網路威脅行動者,他們的優勢和方法。 •用於偵測各種開採活動的方法和技術。 •網路情報/資訊蒐集能力和貯藏處。 •網路威脅和弱點。 •網路安全基礎知識(例如,加密,防火牆,驗證,蜜罐,邊界防護)。 •弱點資訊傳播來源(例如,警報,建議,勘誤和公告)。 •那些系統檔案(例如,日誌檔案,登錄檔案,設定檔)包含相關資訊以及在那裡找到這些系統檔案。 •開採工具(例如,嗅探器,鍵盤記錄器)和技術(例如,獲取後門存取,蒐集/洩露資料,對網路中的其他系統進行弱點分析)的結構,方法和策略。 •預測和/或模擬威脅能力和行動的內部戰術。 •內部和外部合作夥伴網路營運能力和工具。 •目標發展(即概念,角色,職責,產品等) •系統小工具和鑑識使用案例 |
||
| 個人應能夠:
•確定並評量網路安全罪犯或外國情報實體的能力和活動 •制定調查結果以幫助預置或支援執法和反間諜調查或活動。 •分析蒐集的資訊,以識別弱點和潛在的利用。 •分析來自跨越整個情報界的多個來源,學科和機構的威脅資訊。 •綜合並將情報資訊置於環境中; 深入瞭解可能的影響。 •應用一個或多個地區,國家,非國家實體和/或技術之目前的知識。 •應用語言,文化和技術專業知識,以支援資訊蒐集,分析和其他網路安全活動。 •識別,儲存和使用系統小工具進行分析 |
||
| 7 | 蒐集和營運 | 15% |
| 個人需要知道和了解:
•蒐集政策,技術和工具。 •網路情報/資訊蒐集功能和儲存庫。 •在延伸企業中轉換,跟蹤和優先處理資訊需求和蒐集要求。 •與網路營運計畫相關的所需智慧規劃產品。 •網路營運規劃計畫,策略和資源。 •網路營運策略,資源和工具。 •網路營運概念,術語/詞典(即環境準備,網路攻擊,網路防禦),原則,能力,限制和影響。 |
||
| 個人應能夠:
•使用適當的策略並在透過蒐集管理流程建立的優先順序內執行蒐集。 •執行深入的聯合目標和網路安全規劃流程。 •蒐集資訊並制定詳細的營運計畫和命令支援要求。 •協助跨越所有業務的策略和營運層面的規劃以整合資訊和網路空間營運。 •支援蒐集犯罪或外國情報實體證據的活動,以減輕可能的或即時的威脅,防止間諜或內部威脅,外國破壞,國際恐怖主義活動或支援其他情報活動。 |
||
| 8 | 調查 | 15% |
| 個人需要知道和了解:
•威脅調查,報告,調查工具和法律/法規。 •惡意軟體分析概念和方法。 •在維護證據鏈的同時蒐集,包裝,運輸和儲存電子證據的流程。 •司法程序,包括呈現事實和證據。 •持久資料的類型和集合。 •處理數位鑑識資料的概念和實踐。 •數位鑑識資料的類型以及如何識別它們。 •作業系統結構和操作的鑑識含義。 •網路安全失效的具體營運影響。 |
||
| 個人應能夠:
•透過一系列調查工具和流程支援資深人員的工作,包括但不限於訪談和審訊技術,監視,反監視和監視偵測。 •蒐集,處理,儲存,分析和提供與電腦相關的證據,以支援網路漏洞緩解和/或犯罪,欺詐,反間諜或執法調查。 |
||
比賽試題形式
比賽試題會要求選手進行設定,安裝,配置和強化電腦,伺服器,防火牆,網路設備和相關的軟體安全,以符合網路和系統安全技術人員/顧問的典型工作。
比賽試題會被分開為三個區域,並分成四天來比賽:
- 基礎建設設定和安全強化
- 網路安全事件回應,數位鑑識調查和應用程式安全
- 奪旗 (CTF) 挑戰
計分及評分方式
網路安全這個職類的競賽試題由技能管理團隊 (SMT) 分配給由各國國際裁判組成的模組團隊開發。開發的時程:
| 時間 | 活動 |
| 賽前12個月 | SMT 連絡各國國際裁判邀請他們參與技能管理程序 |
| 賽前9個月 | SMT連絡各國國際裁判依個人喜好加入模組團隊,並選擇有經驗的國際裁判擔任模組團隊隊長 |
| 賽前6個月 | 各模組團隊隊長帶領團隊國際裁判開始設計大綱和蒐集適合該模組競賽試題的活動 |
| 賽前3個月 | 提出開發出的試題草案,交由國際裁判長及副國際裁判長確認品質,然後公佈於網站 |
| 賽前1個月 | 模組團隊完成試題的評分標準表 |
在各國國際裁判在比賽前四天進賽場後,會在原本模組團隊討論修改試題草案30% 後成為正式比賽試題。
比賽材料,工具及設備
選手及裁判不需帶材料,工具,設備。事實上,選手不能帶任何東西到比賽崗位,所有材料,設備都由大會提供。選手也不能在每天比賽後,把自己在崗位上做的筆記帶走。
因為國際技能競賽的賽場有很多觀眾,因此環境是吵雜的。一般職類是提供耳塞給選手使用。但網路安全這個職類比較有趣的一點是,選手可以在熟悉崗位日,繳交存有最多20首未修改音樂檔的隨身碟或提供三張原版音樂光碟,這些音樂檔會被匯集,讓所有的選手都可以在比賽時播放來聽。當然耳機也是由賽場提供,選手不能自備。
國際技能競賽對於環境永續的議題非常重視,各職類都被要求要針對這個方向努力。網路安全這個職類強調在比賽崗場不列印試題紙本,所有的試題都將以電子媒體型式提供給選手,並限制在崗位安裝的軟體數量,以及使用開源軟體。
台灣的展望
資安即國安,台灣各單位每年都遭受大量網路攻擊,相關人才需求也隨之上昇。但目前這個職類需要的技能,跟高中職的課程交集不大,現有的國家技術士認證沒有相關的職類,全國技能競賽也還沒有對應的職類,因此,2019年台灣很難選派出選手,去參加這個新職類。
台灣青年駭客選手近年在國際資安攻防賽都有不錯成績的前題下,要找出合適的選手組隊培訓並非難事,只是目標要由全國技能競賽傳統以高職學生或職訓中心學員,改向有參與教育部資訊安全人才培育計畫的校院同學招手,才能趕上2021年的國際技能競賽。期待在國際技能競賽網路安全職類的比賽上,可以看到勞動部跟教育部的跨部會合作,這才是國家之福。
在此呼籲國內對雲端運算和網路安全這兩個競賽職類的專業有專業,並且有熱情帶領年輕學子到國際舞台為國爭光的各方高手,不吝參與全國裁判長遴選,把業界的專業帶到校園,讓人才培育系統更加完整茁壯。
