自從去年成立了資安公司，這一年多來經歷了許許多多的挑戰，從產品的研發到商務模式的規劃，以及如何開拓市場，不斷的修正產品的功能，以符合市場上的需求，當然也與許多的商務夥伴共同合作，執行了許多的專案，服務了許多重視資訊安全的客戶，不過也遇到了少部份只想應付應付的客戶，在這幾年來資訊安全的議題成為政府、企業、學校到個人都關心的項目，國內相關的研討會不勝枚舉，有每年固定辦理的大型展會，也有許多資安產品或解決方案廠商辦理的主題式研討會，當然也有許多社群辦理的活動，這些大大小小的會議與活動，再加上近來網路詐諞與駭侵事件頻傳，令人對於資訊安全越來越重視，但尚存僥倖心態的人還是大有人在，總覺得資安事件不會發生在自己的單位或與自己相關。

從投入資訊安全這個領域已近 30 年，這一路走來看著資訊科技的發展，但也印證了資安技術的轉型，以及駭客攻擊手法的創新，雖然近幾年興起了一股資安風，從大專院校大量的開辦資安學程、開設資安相關的研究所等，都希望能夠讓學生在學校就知道投入資安領域所需要具備的素養與技能，不過這幾年因 CTF 等競賽的興起，也讓資安學習這件事有了不一樣的發展，許多人學習資安卻是為了參加競賽，當然不可否認在學習的過程，仍然會學習到許多的資安技術，但居限在以競賽為主的學習目標，與企業所需要的資安人才卻是不同的，也許主因就在於學術機構畢竟不是來自產業的第一線，無法掌握實際的需求，也許相較之下而有如此的發展就是正常的情況了，前者是資安產業所需要的資安人，但是企業中的資訊人員所應具備的資安技能，兩者的思維並不相同。

這幾天前往澎湖科大分享「如何進入資訊安全領域」一題，在課堂上與對資安有興趣的同學們互動，提供一些進入這個領域的方法，而隔天在當地好友的帶領下，除了品嘗道地的美食外，當然也走訪了幾個著名的景點，在發呆亭看了海面，聽著海浪的聲音以及耳邊呼嘯而過的風聲，內心除了感受大自然的神奇外，腦海中不自覺得想著資安的未來，在風平浪靜的海面下，可能是暗潮洶湧而無法查覺，若非熟悉海相的達人，可能在大海之中隨時可能被無情的吞嗜，一個不小心就可能失去了寶貴的生命；而這就如同我們面對虛擬的網路世界時，駭侵的威脅隨時可能出現，雖然我們都投入了許多的資安防禦機制，但卻不見得能夠看透整個網路所面對的資安風險，一個不小心導致了資安事件的發生，所遭受的損失就不可計數了。

在「奎壁山摩西分海」探尋著潮間帶豐富的生態時，看到了前人所留下來的石堆，由大到小的豎立在暫時露出的步道上，看著這座石堆不免想起人生的經歷，正所謂守成不易，一場組織內的鬥爭就可以讓耕耘十餘年的成果毀於一旦，從原本有能力自行研發建置平台的團隊，變得大大小小的事只能專案委外，看著發生的這一切，在事隔一年多來而感到不勝唏噓，但也只能祝福，所有的小人也是貴人，帶給我們的就是改變的力量；資安領域的養成須具備基礎的能力，例如：系統營運管理、網路安全架構、應用程式安全開發、資安數據的關聯分析、有效的資訊安全事件應變等，這些都是建構一個完整的資安團隊不可或缺的要素，而不是只說著一嘴好資安，可惜的是許多的主事者或是當權者並不一定有正確的認知，這也是考驗著自身的能力是否可以帶領團隊的角色，在人生的經歷中參與了許多國際資安組織，其中最受到影響的就是如何建立領導者(Leadership)的能力，因為這將會直接關係到事件執行過程的成與敗。

如何進入資訊安全的領域，除了本身的專業能力養成外，也需要有明確的目標以及找出最佳的學習途徑，許多對資安有興趣的人，需要思考一下自己的喜好，因為資訊安全是一門綜合科學，一個人是無法單打獨鬥的，需要能夠參與團隊的運作，各司所職再一起發揮綜效，這也是在處理資訊安全事件時，如果只看到一、兩個人忙裏忙外，其它的人只關心「到底是什麼原因？」、「什麼時候可以恢復？」等，就知道這個資安事件能夠找出根因的機率就不高了，因為只出張嘴的比做事的人多，當然就需要外援的資安團隊了，才有機會對於目前的事件進行仔細的調查。

學習資訊安全超過八成的人是由資安工具開始著手，這是一個好的方式，但也需要對於這些不同類型的資安工具，至少能夠熟悉絕大多數的功能與用法，像有時候在教網路封包的課程時，有的學員口口聲聲說教 Wireshark 太過簡單了，一直想要學別的工具，但在練習解析網路封包時，居然連過濾規則怎麼下以及如何找出 TCP Flow 都不知道，真的打從心裏佩服他，自我感覺有夠良好，但這樣的心態對於進入資安的領域，就成了最大的障礙，無法虛心的體認自己的不足，而失去了學習的契機。

資訊安全是門緊密扣合與細密分工的行業，但需要具備的專業領域各有擅長，從近年來興起的一股 DevSecOps 就不難看出，以前應用程式的開發團隊，只需要滿足使用者期待的功能開發，上線後就交給維運的團隊，隨著近年來駭客攻擊手法的進展，每隔三到六個月就可以發現一個全新的駭侵手法出現在我們週遭，基礎能力的建立在資訊安全的領域中是相當重要的，很多人問我說，在學期間要學習什麼，將來才能夠投入資訊安全的行業，其實這個答案並不困難，只需要問自己對資訊安全的那個項目是有興趣的，然後結合自己擅長的技術，就能夠在資安領域中有著一席之地。

聽見海的聲音，在風和日麗時，是令人感動的，但在狂風暴雨時，卻是令人感到畏懼的，資訊安全也是如此，當天下太平時，大家都會覺得資安是只會花錢的事，但是出了資安事件，這些平時辛苦保護數位邊界的人，就成了代罪羔羊，這是不合理的，最近有個協會喊出了「No Money, No Security」，這句話真的道出了許多資安人的心裏話，每次提需要資安預算時，總是被主管問遍所有的理由，最後還不一定獲得同意，不然就是七折八扣拿不到原本心目中的預算，但發生資安事件時，主管就像得了失憶症一樣，總覺得已經給了預算居然還出事，那就是管理人的問題了，早已置身事外，只等著開事件的檢討會議。

接近年末，感恩今年邀請演講的單位，也讓我有機會介紹公司的產品，幫助有需要的人進入資訊安全的領域。

日期	講題	地點	主辦單位/活動
2023/12/22	提昇製造業資安韌性的八個關鍵	沙崙資安暨智慧科技研發大樓	數位發展部數位產業署沙崙資安服務基地
2023/12/2	網站應用程式安全與分析	國立虎尾科技大學	國立虎尾科技大學
2023/11/30	資安威脅與趨勢分析	沙崙資安暨智慧科技研發大樓	國家實驗研究院/112年度產業高階人才培訓課程
2023/11/30	物聯網安全與因應對策	沙崙資安暨智慧科技研發大樓	國家實驗研究院/112年度產業高階人才培訓課程
2023/11/29	網路封包與事件解析	中華民國軟體協會	CISA數位轉型大學
2023/11/25	TRE面臨的資安風險	張榮發基金會國際會議中心	國家衛生研究院/2023台灣健康大數據整合服務平台年會 建構信任研究環境
2023/11/22	資安五四三 - 主動與被動真的不一樣	Virtual	台灣數位安全聯盟/資安五四三
2023/11/21	以沉浸式學習打造資安人才試鍊場	中華民國電腦學會忠孝會館	中華民國電腦學會/幸福下午茶
2023/11/14	OWASP與網站應用程式安全	臺北市立大同高中	教育部國民及學前教育署學科中心
2023/11/9	如何進入資訊安全的領域	國立澎湖科技大學	國立澎湖科技大學
2023/11/8	地緣政治下的資安威脅與因應之道	國立成功大學政治學系	國立成功大學政治學系
2023/11/2	從全球欺敵網路部署看威脅情資應用	集思北科大會議中心	中山科學研究院/神盾盃
2023/11/1	利用零信任架構和資料合規性來保護現代高科技製造環境	新竹豐邑喜來登大飯店	THALES/零信任時代資料安全防護最佳實踐製造業座談會
2023/10/27	Cybersecurity Threats and Industry-Related Information Security Management Risk	台灣經濟研究院	台灣經濟研究院/ICITI 2023 國際研討會
2023/10/26	我們與駭客的距離	國立臺南大學	國立臺南大學
2023/10/25	數位轉型後的資安世代	Virtual	國立臺南女中
2023/10/24	學術網路常見的資安威脅	基隆市教育網路中心	基隆市教育網路中心
2023/10/24	以資安數據驅動防禦策略	基隆市教育網路中心	基隆市教育網路中心
2023/10/12	資安五四三 - 我真是猜不透你呀，談跨域人才	Virtual	台灣數位安全聯盟/資安五四三
2023/10/6	從攻防演訓探究駭客思維	中華電信學院台中所	台中市政府機關資安人員滲透攻防及訓練
2023/9/21	資安就從你我做起	Virtual	中華電視公司
2023/9/20	面對雲端世代的資安思維	Virtual	總統府
2023/9/19	從駭客思維看 DevOps 的安全風險	經濟部工業局	經濟部工業局
2023/9/16	AI於雲端誘捕系統之實作經驗分享	國立臺灣大學共同教學館	Artificial Intelligence Information Security Day/GDG Taipei
2023/9/14	零信任安全模型：重塑企業網絡安全的未來	Virtual	國際金融科技論壇
2023/9/8	資安事件調查與實務分析	資安暨智慧科技研發大樓	資策會/數位發展部數位產業署
2023/9/5	駭客威脅與資安發展趨勢	交通部公路總局公路人員訓練所	交通部公路總局
2023/8/29	網站應用程式安全與分析實務	經濟部工業局	經濟部工業局
2023/8/23	打造良好的 DevSecOps 團隊文化	國家高速網路與計算中心	國家高速網路與計算中心
2023/8/9	資安數據分析實務	國立陽明交通大學	國立陽明交通大學/竹苗區域網路中心
2023/8/8	資訊安全監控中心 SOC 維運機制與實務流	恆逸資訊教育訓練中心	恆逸資訊教育訓練中心
2023/8/7	駭侵手法與資安威脅分析	國立政治大學	區域網路中心研討會
2023/8/5	資訊安全概論與法規研析	國立東吳大學	資安跨域聯防暨物聯網場域推動計畫/數位發展部數位產業署
2023/8/4	從Infosec Taiwan 2023看全球資安產業發展趨勢	資安暨智慧科技研發大樓	2023沙崙資安國際研討會/數位發展部數位產業署
2023/7/29	駭客攻防戰最新方法	大同大學	大同大學/資安與鑑識研習營
2023/7/27	資訊作業委外安全管理	Virtual	國立陽明交通大學/竹苗區域網路中心
2023/7/26	資安多元意識課程	Virtual	財團法人資訊工業策進會資安科技研究所
2023/7/18-19	資安情資蒐集與分析實務	工研院產業學院	財團法人工業技術研究院
2023/7/6	教戰守則：資安威脅的因應之道	Virtual	台東縣新生國中未來教室
2023/6/20	從全球資安事件案例談駭客攻擊技術與趨勢	經濟部工業局	經濟部工業局
2023/6/18	從資安檢測聊程式開發	淡江大學臺北校區	軟體測試實務：業界成功案例與高效實踐-新書分享會
2023/6/15	資安風險管理	台灣金融研訓院 Fin & Tech 芬恩特	金融資安高階主管儲訓(CISE 2023)
2023/6/14	工業控制系統資通安全概論	交通部公路總局	交通部公路總局
2023/6/13	資安威脅與駭侵手法分析	國立台南大學	國立台南大學通識中心/博雅教育講座
2023/6/1	Cyber Security Threat and Challenge	資安暨智慧科技研發大樓	財團法人國際合作發展基金會/資安政策研習班
2023/5/31	從孫子兵法談資訊安全	考試院	考試院
2023/5/25	資安五四三 - 談資安證照的武林秘笈	Virtual	台灣數位安全聯盟/資安五四三
2023/5/24	網站應用程式安全與分析實務	中華民國軟體協會	CISA數位轉型大學
2023/5/12	如何保護使用者資料和隱私	國立中山大學	國立中山大學公共事務管理研究所/數位人權研討會
2023/5/12	工控系統安全與事件分析	國立高雄科技大學電資學院	國立高雄科技大學電資學院
2023/5/11	建立資安管理與全球駭侵威脅防禦思維	矽格聯測股份有限公司	矽格聯測股份有限公司
2023/5/10	從孫子兵法談資訊安全	交通部公路總局	交通部公路總局
2023/5/3	從資工到資安的距離-職涯探索經驗分享	沙崙資安服務基地	長榮大學資訊工程學系
2023/4/21	打造次世代資安人才試煉場	空軍航空技術學院	航空科技與飛航安全暨航空與社會聯合學術研討會
2023/4/19-20	資安情資蒐集與分析實務	工研院產業學院	財團法人工業技術研究院
2023/4/18	資安五四三 - 談量子安全與先進資安發展趨勢	Virtual	台灣數位安全聯盟/資安五四三
2023/4/17	重大資安事件根因分析與處理	資安暨智慧科技研發大樓	沙崙資安產業實戰工作坊
2023/4/13	弱點掃描與檢測實務	桃園區網中心	桃園區網中心
2023/4/11	Google Hacking 與事件分析	Virutal	教育部國民及學前教育署學科中心
2023/3/24	資安數據與分析實務	辛耘企業股份有限公司	辛耘企業股份有限公司
2023/3/23	如何看懂弱掃報告	桃園區網中心	桃園區網中心
2023/3/21	雲端架構下的資安防禦	Virutal	國家實驗研究院台灣儀器科技研究中心/發展智慧製造及半導體先進製程資安實測場域專案計畫
2023/3/16	如何成為資安數據的魔法師	國立嘉義大學資訊管理系	國立嘉義大學資訊管理系
2023/3/15	工業控制系統資通安全概論	交通部公路總局	交通部公路總局
2023/3/9	資安工具101	桃園區網中心	桃園區網中心
2023/3/4	數位轉型下的雲端應用與資安威脅	世新大學	中華民國數位金融交易暨資料保護協會/數位沙龍講座
2023/2/21	從孫子兵法談資訊安全	Virutal	國家實驗研究院台灣儀器科技研究中心/發展智慧製造及半導體先進製程資安實測場域專案計畫
2023/2/16	從全球資安事件談製造業資安技術與趨勢	高雄軟體園區會議中心	資安人/國立中山大學資訊安全研究中心
2023/1/17	當IT與OT邊界消失下的資安防禦	Virutal	國家實驗研究院台灣儀器科技研究中心/發展智慧製造及半導體先進製程資安實測場域專案計畫
2023/1/4	資安事件處理與調查實務	友達光電股份有限公司	友達光電股份有限公司