Мэдээллийн аюулгүй байдлын мэргэжилтэн гэж юу болох талаар, болох хүсэлтэй байгаа залуучууддаа зориулан өөрийгөө хэрхэн бие даан хөгжүүлэх, ямар вэбүүд байдаг талаар блогдоо танилцуулж байх зорилго тавилаа. Мөн энэ чиглэлийн эх хэл дээрх мэдээлэл ч бас дутмаг талдаа байгаад байна. Гэтэл нэг үеэ бодвол бусад хэл дээр энэ чиглэлийн гарын авлага, ном сурах бичиг, блог, веб хуудаснууд нэлээдгүй бий боллоо.
Түүнчлэн дэлхийн ихэнх улс орнуудын компьютерын ухааны их дээд сургуулиудад энэ төрлийн мэргэжилтэн бэлтгэхээс гадна төрөл бүрийн тэмцээн, уралдаан зохиож улмаар тухайн улс орнуудын засгийн газар бодлогоор дэмжин, энэ салбарыг эрчимтэй хөгжүүлэх болсон байна.
Тухайлбал АНУ-д гэхэд л өнгөрсөн хагас жилийн туршид дараах тэмцээн уралдаанууд болж өнгөрлөө.
- http://www.appsecusa.org/, http://challenge.appsecusa.org/
- http://honeynet.org/challenges
- http://www.plaidctf.com/
- http://uscc.cyberquests.org/
За ингээд асуудлынхаа гол хэсэг үрүү орох хэрэгтэй болж. Энэ салбарын мэргэжилтнүүд өмнө нь Security engineer хэмээн нэрлэгддэг байсан бол одоо Security analyst, Computer forensic analyst, Malware analyst, Penetration tester, Ethical hacking, IT security auditor зэрэг олон янзын мэргэжлүүд шинээр үүсэж, энэ салбарын мэргэжилтнүүдийн ур чадварыг баталгаажуулах SANS GIAC, Infosec EC-Council зэрэг байгууллагуудын албан ёсны шалгалтууд гарч иржээ.
- http://www.giac.org/
- http://www.infosecinstitute.com/certifications/ec-council.html
Дээр дурдсан энэ мэргэжлүүдэд тухайн чиглэлийн мэдлэгээс гадна заавал ч үгүй хакингын зохих төвшний мэдлэгтэй байхыг шаардаж байна. Энэ талаар дараагийн бичлэгүүддээ бичих болно. Эхний мэргэжлийн талаар танилцуулъя.
IT Security auditor
Энэ мэргэжил нь аудит хийх стандартууд, тохиргооны гарын авлагад тулгуурлан шалгах жагсаалт болон аудит хийх төрөл бүрийн бэлэн програмуудыг ашиглан компьютерын системүүдэд шалгалт хийдэг болно. Тодруулбал шалгуулж буй системд байгаа цоорхойг олон улсын аргачлалаар үнэлж, эрсдэлийн төвшинг тогтоон, цоорхойг хаах болон засварлах зөвлөмжийг өгдөг.
Аудитын төрөл бүрийн стандартууд байдгаас дараах 2 үнэгүй стандартууд нь илүү чухал юм.
- OSSTMM (Open Source Security Testing Methodology Manual)
http://www.isecom.org/osstmm/ - OWASP Testing guide - Вэб програмын чиглэлийн хамгийн сайн аргачлал гэж хэлэгддэг болно
http://www.owasp.org/index.php/Category:OWASP_Testing_Project
Аудит хийх маш олон төрлийн програмууд байдгийг судлан, үнэлгээ өгч шалгаруулсан дараах судалгааны материалыг судлаад үзэхэд програмуудын талаар мэдээд авах болов уу.
http://www.security-database.com/toolswatch/Security-Database-Best-IT-Security.html
Үргэлжлэл бий ...
