Run!PC第175期報導 [PDF觀看]

身為IT人員一定知道Cisco思科這家網路設備市佔率全球第一的公司，也應該知道Cisco最知名的網路管理證照：CCNA（Cisco Certified Network Associate），但是你可能還不知道什麼是CCNA Security資安證照。

在了解CCNA Security這張證照之前，我們先看幾項調查：

• NetworkWorld.com在2008年2月的最新調查顯示，有73%的IT主管認為資安專業技能是非常重要的，但是只有57%的IT主管認為其員工在資安專業技能合格，也就是資訊安全人才的需求與能力，至少有16%的gap。
• Cisco資深學習產品發展經理Christine Yoshida表示，根據思科針對全球1,500位IT經理人的調查顯示，「專業」的IT人員在全球皆處於短缺狀況，而Cisco更預估在2012年時，此「專業」人才供給與需求的落差全球將達到312萬人！此情形在 Cisco被稱為「Global IT Talent Gap」，而此專業領域以資訊安全Security的部份最為顯著。
• Cisco另外一項調查顯示，以新興市場（Emerging Market）為例，目前近5成的公司缺乏資安專業人才，而Cisco更預估5年內8成的公司將嚴重缺乏資安專業人才，因此資安專業人才培養的迫切性不可言喻！這也和過去思科與IDC共同調查的數據，全球有40%的企業找不到合格網管人員的「Skill Gap」的調查結果不謀而合。

Cisco最新公佈的認證
為解決此專業人才的「Global IT Talent Gap」，Cisco一口氣在2008/6/24全球公佈最新的三種CCNA Concentrations認證：CCNA Security、CCNA Voice、CCNA Wireless。事實上Cisco在2007年底CCNA改版同時，正式增加了CCENT（Cisco Certified Entry Level Technician）證照，也為這全球網路管理證照龍頭，即將在其學習地圖推陳出新的思維鋪下伏筆。在CCNA改版後半年的2008第二季末，Cisco即正式公佈：取得CCNA證照者，可依其工作需求、興趣、能力…等，繼續考取這三種CCNA Concentrations認證。

未來在取得CCNA之後，想往資安領域發展的人才，可繼續進修CCNA Security；考取者可驗證其在網路安全的紮實能力外，也為下一階段更進階的資安專家證照CCSP（Cisco Certified Security Professional）甚至最頂級的資安證照CCIE Security，鋪好準備之道！

同樣的，想往語音領域發展者，可繼續進修CCNA Voice，為更進階的語音專家證照CCVP（Cisco Certified Voice Professional）甚至最頂級的語音證照CCIE Voice準備。至於Wireless無線網路領域目前Cisco尚未規劃較CCNA Wireless更進階的證照。

最受囑目的CCNA Security
以上三張CCNA Concentrations認證中，以CCNA Security最受囑目，原因不外市場資安人材短缺的情形最為嚴重；報考CCNA Security的資格有二：一是先考640-822 ICND1取得CCENT證照，再考640-816 ICND2取得CCNA證照；二是直接考640-802 取得CCNA證照。以上資格其一到達後，再加考IINS # 640-453（Implementing Cisco IOS Network Security），即可取得CCNA Security證照。目前CCNA Security的報考費用為150美金，考試場地為全球Pearson VUE的考試中心，考試題型為多選題，考試時間為90分鐘。

至於CCNA Voice與CCNA Wireless的報考資格、報考費用、考試場地及考試時間與CCNA Security完全相同，CCNA Voice需加考的科目為IIUC #640-460（Implementing Cisco IOS Unified Communications），CCNA Wireless需加考的科目為IUWNE #640-721（Implementing Cisco Unified Wireless Networking Essentials）。

CCNA Security課程
CCNA Security課程內容銜接CCNA，大致內容如下：

• 網路安全原則介紹
  1. 網路安全基礎（Network security fundamentals）。
  2. 攻擊方式（Attack methodologies）。
  3. 作業安全（Operations security）。
  4. Cisco自我防衛網路（Cisco Self-Defending Networks）。
• 外緣(網路)安全（Perimeter Security）
  1. 路由器存取管理（Administrative access to Cisco router）。
  2. Cisco的安全設備管理(圖形管理介面)：SDM（Secure Device Management）。
  3. Cisco路由器上的AAA機制（Authentication, Authorization, Accounting）。
  4. 使用本地的資料庫還有安全存取控制伺服器（Access Control Server）。
  5. 安全管理/報告（secure management/reporting）。
  6. 路由器保護機制（Locking down the router）。
• 使用Cisco IOS防火牆的網路安全
  1. 防火牆的技術（Firewall technologies）。
  2. 使用存取控制清單(ACLs)過濾靜態封包。
  3. Cisco IOS zone-based政策型防火牆。
• 站對站的虛擬私人網路(VPN)
  1. 密碼(加解密)服務。
  2. 對稱加密（symmetric encryption）。
  3. 密碼上的雜湊及數位簽章的測驗。
  4. 非對稱加密以及公開金鑰基礎建設。
  5. IPsec的基礎。
  6. 基於IPsec的站對站虛擬私人網路。
  7. 使用Cisco SDM管理基於IPsec的站對站虛擬私人網路。
• 使用Cisco IOS入侵防護系統的網路安全
  1. 入侵防護系統的技術。
  2. 使用Cisco SDM管理Cisco IOS入侵防護系統。
• 區域網路、儲存區域網路(SAN)、語音及端點安全總覽
  1. 端點安全（Endpoint security）。
  2. 儲存區域網路安全（SAN security）。
  3. 語音安全（Voice security）。
  4. OSI 第二層的攻擊（Layer 2 attacks）。

結語
CCNA Security課程的適合對象包括所有已考取CCNA者，以及本身即為資訊安全主管、資訊安全工程師及資安支援工程師…等網路安全相關工作者，透過此課程可了解工作上所需的資安相關技術與知識，以期能迅速運用於資訊安全的工作實務，為企業網路安全環境規劃、建置及部署，以及為CCSP甚至CCIE Security更高階證照邁進！(文/圖．劉嘉隆｜責任編輯．洪羿漣)