文：唐任威恆逸教育訓練中心資深講師

在資安即國安時代，資安已然顯學，但想入門資安領域，卻不知如何下手嗎？資安入門課程之眾，其內容卻又大多重複；每一門課看來都厲害至極，可內容多元複雜，讓人暈頭轉向、目眩神迷。本文將剖析當今主流的資安入門課程，讓你清楚抉擇，順利邁入資安之路。

<資安入門課程比較>

課程	Security+	CCT	CND	SSCP	NSPA
難度	★	★☆	★★★	★★★☆	★★☆
特色	穩扎穩打的第一門資安課	紅隊入門起手式	豐富紮實的資安技術課程	以技術背景邁向資安管理大師的第一門課	貼近你我 IT 日常的網路安全實戰課程
時數	40	40	40	40	21

先說結論：

l 資安小白首選：CompTIA Security＋國際網路資安認證班

l 挑戰紅隊之路：EC-Council CCT 網路安全認證技師課程

l 習得紮實資安技術：EC-Council CND網路防禦專家認證課程

l 資安管理大師的求道之路：SSCP資安專業人員認證課程

l 資安叢林中的快速求生技能：NSPA網路安全封包分析認證課程

入門資安課程前，請先評估以下三個項目：

1. 是否具備IT基礎？

2. 是否有明確的需求或目標？

3. 自身的興趣或喜好在哪？

請記得資安是應用學科，不是基礎學科，因此資安技能的學習基本上都是建立在已經有一定程度的 IT 基礎之上。倘若缺乏實務IT經驗，例如學校剛畢業或才剛剛轉職，那麼 Security+必然會是首選。因為這門課沒有任何要求，一切由基礎教起，按部就班的學習資安相關技能。至於如 CND 或 SSCP，基本上都要求一到二年的IT經驗，若無相關經驗，恐有吸收不良的問題。就像不論如何有人多麽努力得解釋遊樂園中的雲霄飛車如何的好玩刺激，但對沒有親身體驗過的人而言，根本永遠無從想像。

有基礎經驗且想入門紅隊，CCT 課程是個不錯的選擇。EC-Council 的紅隊系列課程素來聞名，其中以 CEH 最為響亮。但 CEH 課程內容之多且涉及領域之雜，對於僅有基礎經驗的人其實不夠友善。若想要透過循序漸進的方式學習，CCT 是一堂不錯的起手式。議題層面涵蓋夠廣，課程內容理論與實作並行。考試方面尤其特色，選擇題與實作題同時進行，就像柏蒂全口味豆，你不會知道下一題是選擇題還是實作題？更不會知道是需要防守、分析？還是入侵攻擊？在完成 CCT 課程後，往後想要銜接其他紅隊課程都可以無縫接軌！

若具備 IT 實務，則入門資安時可以想想自身的需求或目標為何？倘若對習得紮實的資安技術有興趣，那麼 CND 會是首選。但倘若志向是資訊安全管理，或以 CISSP 為目標者，則推薦 SSCP 課程。

CND 課程是一門主打資安實務的技術課程。課程中介紹與演練各種資安技術，讓學員熟捻資安相關能力。其範圍涉及電腦安全、網路安全、物聯網裝置、應用程式安全、安全監控、事故應變、威脅情報、持續營運與鑑識調查等。這門課雖說是入門課程，但卻是以 IT 實務為前提入資安之門，在沒有任何 IT 基礎的情況下修課，通常只會消化不良，白白浪費資源和時間。所以倘若沒有任何 IT 實務經驗或基礎，較不建議貿然嘗試。

SSCP 課程切入的面向則是資訊安全管理，相當適合做為接軌 CISSP 證照的第一門課。管理與技術的切入面向不同，因此入門的要求也不一樣。管理著重於 WHY，技術則著重在 HOW。SSCP 課程有著最起碼的難度，因為這是一門需要以技術的角度切入，但仍需具備管理思維的課程。倘若沒有任何 IT 經驗就逕行修課，則將如鴨子聽雷，如墮五里霧中。

另外有人會問「倘若目標是 CISSP，何不直取就好？」如果你辦得到，當-然-可-以！但這種情況就像大學都還沒入學，就宣稱自己可以順利研究所畢業一般不切實際。通過 CISSP 考試後，在申請證照時，有五年資訊 / 資安工作經驗的要求，並且工作經驗必須涉及其規定八大領域中任二個領域。如果只具備基本能力與經驗就可以取得 CISSP 證照，那 CISSP 也不會成為業界的金字招牌。

對於不想按部就班，循序漸進學習的人而言，上述的學習也許過於冗長。畢竟每個人的學習方式不同，需求與條件也都不相同。若想單刀直入在實戰中學習，那 NSPA 就是最佳選擇。其實說 NSPA 是入門課或沒有任何修課要求其實並不正確，要上這門課起碼得會用電腦並且還要聽得懂 TCP/IP。如果這樣，那為何要由此入門呢？因為這是門百分百的實戰課程，學員可以藉由千奇百怪的封包案例，一窺網路安全第一線的真實情況。沒有太多理論，只有活生生的網路安全日常，從最基本的檔案分享與上網開始，到四處亂竄的網路病毒與勒索程式，每個案例皆來自於身旁。實戰就是適者生存，實戰後若能察覺己短，那也就是進步的開始了！

入門了，然後呢？

資安是應用學科因此非常目標導向。資安中的每個領域所需技能不同，側重與切入的角度也各不相同，這也是資安入門課程的議題為什麼都包山包海的主因。基本上在入門資安後可以想想自己想要朝哪個領域發展。例如管理面、技術面或稽核面，又或者對網路安全有興趣，還是應用程式安全、電腦安全、雲端安全、駭客攻防、威脅獵殺、資安監控、事故應變或鑑識調查等。

許多人都說資安是條不歸路，可實際上人生道路條條不歸。在資安的路上想要堅持，興趣會是重要關鍵。有趣的事，再苦再累都撐得住，撐過了就是你的；反之無趣的事，就算舉重若輕也會覺得箇中缺乏滋味。如果工作一定要做，選個讓自己開心的事來做，不是很好嗎？