金融领域的数字游戏,资产和财富的转瞬即逝;金融诈骗的此起彼伏,愈演愈烈,影响愈来愈大;这个世界是否还有安全感?实际上,所谓的安全都是相对的。此前介绍了数据仓库(Data Warehouse)和数据库(Database)管理(DBA)与运行数据库的操作系统UNIX平台。Unix系统管理是IT就业的重要职位,而信息安全是任何计算机系统非常重要的方面,并且在把数据库向Internet开放后,这已经成为日益严重的问题。随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点。
现代企业越来越依赖Internet技术来支持在全球市场中的迅速成长和扩大,信息网络安全人才需求骤增。无论是职业前景、受重视程度、提升空间还是薪酬基数、薪酬增长等,信息网络安全职业较其它职业都更为优越。调查结果再次说明了信息网络安全重要性的日益增强,整个企业领域逐渐认识到信息安全的重要性。据统计,目前北美高级信息网络安全人才缺口很大,高级人才的匮乏引发了公司之间的人才争夺战,同时也为高级信息网络安全从业人员带来高薪收入。
互联网和局域网等技术使公司以未曾想象过的方式与人和市场建立联系。越来越多的承包商、咨询师、客户及远程工作人员得以接触企业网络资源。伴随着这些技术所带来的好处,脆弱性和威胁也越来越多。开放式环境的本质会提高收益的风险性、造成信息丢失。因而网络系统安全问题已变得越来越重要,网络安全分析和系统设计显得非常必要。随着技术变得更为复杂、先进,那些到网络系统进行肆虐的黑客也变得越来越狡猾。
在这一背景下,对单一架构下的多种终端设备及用户进行网络访问与安全控制的必要性日益凸显。一般来讲,信息网络安全主要包括系统安全及数据安全两方面的内容。系统安全一般采用防火墙、VPN、病毒查杀、防范等被动措施;而数据安全则主要是指采用现代密码技术对数据进行主动保护,如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。而端点设备的广泛应用,对设备管理不足或管理不当而给企业带来的潜在安全隐患,网络管理员们有着长期而深刻的认识。
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
VPN即虚拟专用网(Virtual Private Network),是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别,如果接入方式为拨号方式,则称之为VPDN。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、分公司、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
密码技术是保障信息安全的核心技术。它是集数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。密码技术不仅能够保证机密性信息的加密,而且完成数字签名、身份验证、系统安全等功能。所以,使用密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性和确证性,防止信息被篡改、伪造和假冒。IT工作职位中,每一个职业方向都有自己的风格和特点,如果我们用少量的时间来分析IT高薪方向的本来面目,就会发现IT高薪职位的内在的价值。
网络和信息安全在IT 高薪工作职位中能够表现得如此普及和成熟,自然在日常生活和工作中愈来愈得到社会的重视。在现代生活里,比如密码就成了无处不在的精灵,任何帐号,都需要一个密码伴随着。遍布在生活中各个角落的网络系统,在给人们生活带来极大方便的同时,也带来了无尽的烦恼。就是这个密码,将你拥入怀中,有时候也把你拒之门外。密码给我们带来的不是安全,而似乎是风险。而IT行业的信息网络安全管理员职位之所以成为高薪的代名词,就是在帮助社会在网络世界降低这种安全中存在的风险。
所有互联网络上主机系统和网络安全的管理者,都要非常正视网络安全事件的重要性。千万不可认为自己所管的主机系统上并没有存放重要资料,就认为无所谓,殊不知本身虽无重要信息外流的危险或损失,但是却可能造成有心者攻击其他网络上重要服务主机的一个跳板。而这种情形对互联网络上整体安全性来说,是一个非常大的威胁。互联网路创造了一个地球村(Global Community),为了整体网络路的安全,地球村的每一位公民都应当要善尽维护网络安全的一份心力与责任。
举例来说,世界上一些著名的商业网站曾遭受骇客攻击,但攻击事件并没有网站遭到入侵,资料也没有遭到窜改或是破坏。只是在瞬间产生大量的网络封包,瘫痪了网络及主机,使得正常的使用者无法获得主机及时的服务。这种分散式(DDoS) 攻击方式就像是某家公司的电话总机同一时间被同一个人(或是同一批人)不停的拨进电话,占据有限的电话线路,导致其他正常使用者没办法接通的道理一样。
这种大规模的、有组织、有系统的攻击方式受到了各大公司和政府部门的高度重视,因为现在许多公司高度倚赖电子商务以及网络服务,这些攻击来自世界各地的假造IP 位址,造成追查幕後真正凶手的难度极高。一般的网络攻击事件,骇客通常会假造封包的来源位址(source IP) ,以增加追查的难度,然而要防止假造的 source IP 却需要各局域网的配合,尤其是具有高速网络连结的学校、政府机关或大型公司及ISP。
信息网络安全专家从Router 上滤掉不应该出现在该局域网的source IP,则可以防止局域网内的人员送出假造 source IP 的封包。此外,如果局域网 Router 禁止送出非局域网内的 source IP,则此局域网也比较不会成为骇客入侵当作跳板的机会,这样也相对的增进局域网的安全性。当然在 Router 上设限会影响 Router 的效能,所以如果要在每一个子网内都做这些设定可能要看硬件是否能负荷,但是至少在各局域网的总出口Router 上应该要做这些设定。
防止假造source IP 是所有信息和网络安全管理员的责任,并不是一己之力可轻易达成的。在防止网络攻击方面,局域网内部可以安装具有网路入侵侦测功能的软件如 IDS(Intrusion Detection System),并定期更新其资料档,如此可侦测已知的DDoS攻击程式是否已入侵局域网中的机器,或是否有其他的攻击正在进行。另外,由於目前的 DDoS 是以 SYN/ICMP flooding 的方式攻击,如果能利用 Router 上的流量限制功能来限制 SYN/ICMP 封包所能占有的最高频宽,则可以减轻遭受类似攻击的影响程度。
信息网络安全作为处于IT就业金字塔的顶端工作职位,一直是众多IT新移民的职业梦想。那么,对于怀抱高薪理想的IT人来说,如何在北美实现他们的IT职业梦想呢?我们的目标不是只要有一份简简单单的IT工作,而是希望有一份适合于自己并更趋于完美的IT高薪工作。如果IT高薪职位代表着成功,就不能容总是在IT的低端市场上默默无闻。因此,IT职业方向选择上的一点小小的缺陷,可能就无缘IT高薪职位的就业机会,有时候短暂渴望一份专业工作的短视可能会遮被住审视IT高薪职业方向的长远眼光。
在如今竞争越来越激烈的职场上,只有具备了别人缺少的能力,才能体现自身的价值,从而赢得高薪,实现自己的抱负。回炉镀金有时候并不能解决所有问题,挑战者还要能将IT培训和高薪再就业实现全面对接。IT培训注重真才实学,每个新移民心目中都有自己的职业梦想,通往梦想的道路有很多。我们所要选择的是两点之间的那条直线。只有选对了那条直线,才能够笑傲职场,无往不利。
作为择业者,要着眼于未来,为自己选一个未来几年内都很热门甚至可以工作到退休的职位。这样才可以保证自己在金字塔的顶端而不被取代。身在北美IT业职场的新移民通常大都过了35岁,选择未来的IT职业之路会面对很多危险。想要冲破职业发展的瓶颈,选择一种周期短、见效快的职业培训,会为自己再就业和将来的职业道路更上一层楼奠定基础。求职者在选择培训机构的时候,一定要确保自己在经过一段时间的培训后,是真正意义上的掌握一种新的就业能力,而不仅仅是技术。(待续)