设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:SecYe > 安全中心 > 安全资讯 > 正文

信息安全专业的学生应该如何进入该行业?

时间:2016-08-16 15:55 来源:未知 作者:SecYe安全 阅读:

大一前零基础,大一大二大三大四分别怎么安排,及是否有考研需要。题主身在信安偏弱的院校,大一结束。乌云,看雪等地都是看不懂的东西。马上大二,大学时间已经剩下不多了。怎样跨入这一领域,怎么寻找团队?

看了其他前辈的回答,简单讲一下我的非主流经历吧。我比较好折腾,所以涉猎比较杂。

高考时报信息安全是觉得“信息安全工程师/网络安全工程师”是很牛逼的名字。

大一主要学数学与外语。数学当时学的是物理类的,比同济那版还难一些。但是学的还可以,考过满分。

大二一方面是数论,另一方面是数据结构与编程语言。

大三是编译、算法、密码学、网络安全、理论计算机、数据库、病毒等等。由于六级考的不太好,大三花了4个月左右过了上海的英语高级口译考试。

大四找工作时拿了个支付宝的Offer,当时那个机构人不多啊……不过后面保上研了。拿到了上交与清华的Offer。但高考时是很想去交大的,交大的信安。但贵清太有诱惑力了啊……从了。

研究生第一年,原计划是按密码方向做的。所以读了不少关于理论的论文,比如可证安全、椭圆曲线密码体制、双线性配对、基于属性的密码体制等等(我还想枚举一些但是忘记的差不多了……%……)。也会去姚期智教授组里蹭讲座,都是我看的经典论文上的作者的讲座,感觉神一般的人来到身边了……也上了数学系的硕士代数数论课,印林生教授的。这个真的很高深。

后面机缘巧合去了MSRA实习,开始做新的课题。在两位Fellow的指导下做了两篇论文,关于多媒体计算方面的。毕业后,机缘巧合来到某央企信息部门。

回望每一步的抉择,我发现了这么个折腾规律吧。我喜欢在看上去快要确定的未来里,引入一些新变量,来拥抱一个新的变化,而这个变化能给我既定的轨道带来一些新的生活元素。

大二大三时是不计划读研的,毕业后就找工作。但仍然努力学习专业课,考外语证来证明实力。后面发现,可以保研唉。于是就去呗。

读研的时候密码学的课题开题报告都写好了,有机会去梦幻般的研究院实习做研究。去呗。

毕业的时候,在互联网企业、外企都有实习经验的前提下,有央企的Offer,那就去看看呗。于是我来了。当然每个选择都有挑战与风险的,这个要由自己来控制与把握。

回过头说说你的问题。我理解你现在的心态,好像前面好遥远,想好好计划,感觉有很多事情想做,又希望有人能指路怎么走。这个问题基本无解,即只能自己去探索。证明如下:如果题主是个有坚定追求的少年,那已经开始行动,不会来此提问;如果不是这个类型,那听A、听B、听C说都是FYI,最后还是靠你自己的步步选择。

我的总体建议就是,走好当下每一步,充分利用当前的教学资源。打铁没样,边打边像。我大一时听新东方高级口译老师的讲课,60秒的录音复述没几句能记下来,到大三的时候,基本上1分钟内的交传已经没什么问题了。你把手头的课学好,作业做好,要以全力以赴的态度,而不是低空掠过的态度。

具体几点:

1. 一定要利用好上课时间的效率。很多人上课会走神,跟不上老师的思路,然后下课去看书,考试前复习。这样很低效。

我自己实践发现,如果上课全部能跟上老师的讲课思路,基本上你下课后的作业能直接完成,而且不用再多花时间复习。这样课后的自习你就能有自主的学习时间了!而且你上课完全跟上老师的思路,你很快能发现老师讲课有时也是有思路上不严谨的地方的,这个技能与口译复述时的边听边总结是相互辅助互相训练的。我在口译训练后期,甚至用一个笔记本把老师上课所有说过的说记录下来。边上课边练习口译……

2. 考试成绩高与学好一门课无直接关系。即课程系统是有Bug的:你上课听讲了,课后写了作业,考前复习,基本上就能拿到90+了。其他的时间你想学啥学啥。大学成绩是硬道理,成绩好一些以后会方便很多。我能拿到保研名额也与成绩有关。

3. 学好一门课要花的时间远大于应付考试的时间。课程上一带而过的东西很多是值得深挖的,这就是争取出来的时间应该花在的地方。比如现在可以到国外大学找课程,找论文看,代码验证实验。

4. 关于信息安全。讲一下我的理解吧。我觉得大体两个分支,一个是密码学,一个是网络或者信息系统的安全。密码学我深切的体会是,数学要扎实,然后一定要有老师指点,不然很容易抓虾。我认识王小云教授的不少博士是数学系本科,但是他们的弱点是不会编程,但由于老师牛逼,所以走的弯路不会多。然后做密码研究的一个方向是,根据某些应用场景,提出新的加解密算法,并证明其安全强度。另一个是网络安全,就是攻防渗透漏洞等等,这些是代码级别实干的,所以重实践。(BTW这方面我一知半解,专家们请指正。)

5. 关于读研。我个人的体会是,读研收获很大的。虽然支付宝工作三年后的收入很可观的,但是我认为在研究生三年中最大的收获不是什么两篇牛逼论文,而是经过系统性训练获得的研究能力。知道如何快速的切入一个领域,找到其关键问题并拟出解决计划、验证、最后整理成材料。两位老板都很有洞察力,有时候是视野决定出路的。学习的能力是可迁移的,这也是一种“很可怕”的能力。而且,还有一点是把自己做的工作恰当地表达的能力。我想看贴的产业界的朋友,如果做到管理岗位就面临一个问题是,如何向自己的老板简单地说清楚自己部门/组做的工作的重要性,以及争取更多的资源的问题。

6. 关于团队。这个不要着急。加入一个社团,组织一些活动。在专业上,自己能力强了,且不要被自己的能力被蒙蔽住双眼,与人好相处的话,以后做事不愁没有团队。

7. 关于Coding。我现在不做专职Coding。但是这个也是个硬工夫。拿一本算法导论从头到尾做一遍里面的实验。或者拿本数据结构做一遍所有的实验也行。做完后你会发现质变啊。(举例,我在口译时翻译+背了一遍新概念四,从此以后写/说英文就挡不住NCE那种略带风骚的腔调啊=-=)我现在比较后悔的就是大一暑假好基友找我一起去学习ACM集训,自己因为各种心理建设不到位的原因,没有去。错过了就是永远错过了。在合适的时间只能做合适的事情。C’est la vie!

8. 成长最好的方法,就是按部就班。

作者:秋翎
链接:http://www.zhihu.com/question/21367109/answer/18555879
来源:知乎
著作权归作者所有,转载请联系作者获得授权。

--前言--
信息安全金字塔,最顶层的是制定适合企业的安全策略、安全标准,中间的有安全顾问、安全合规、安全审计,在前中后阶段保证信息安全,基线的有操作安全、物理安全、网络安全等等,一切围绕安全三性(完整性、可用性、保密性),目标是企业利润持续增长。
提问者大一,计算机专业,想钻研技术,那么就仅讲讲这个范畴的信息安全——计算机安全和网络安全。
--正文--
1、大一大二大三大四分别怎么安排?
这个时候我就很想贴导师那张网络对抗技能树的图了,可惜弄不到。
大一大二,打基础,学好你们的专业基础课:编程。
c,c++,java,你们应该都是会学的,还有计算机原理及汇编,再来数据库,计算机网络,密码学,信息对抗。课程设置由学校决定,但任何一门编程对于计算机的学生来说都是生存技能,不但要上课做作业考试过关,还要折腾一些团队合作的小项目,做过模块开发,你才是一个基本合格的计算机院学生。不要被网络上那些python什么的迷花了眼,把c和c++两种基础学好,再要用任何一种语言学起来都很顺利。编程基础,是你的优势,不要浪费优势(当然python是一种非常好的语言,对那些非计算机专业想搞这一块的我推荐去学一下《与孩子一起学编程》。小学生都能学会python,别再说你没基础)。
信息安全有许多分支,网络安全技能树也有十几条,任何一条要做到精深都能实践上五年,你在学校里要做的,是主动去参加一些信息安全竞赛、开发者大赛,结识老师、大牛,不要放过组团进行开发项目的机会。这样你就能逐渐扩大视野,找到自己的点在哪里。这个阶段,一般发生在大二上至大三下。
数据库和计算机网络的核心理论基础一定要掌握。密码学和信息对抗这两样关乎前沿科技的课程则有些脱离工业应用,基本上,学得扎实的人,工作后才会知道“好像课本上确实有这样教过”,学的时候是不知道为什么的。
大三,一定得有项目实践经历,不然太脱节了,院校招牌不响的时候尤为如此。
2、是否有考研需要?
对于任何学科,我们一般都会说,有兴趣、想深造,想进国企、要文凭,可以考虑考研。
可是很遗憾,我不推荐提问者考研。
第一,信息安全从业缺口较大,对于稍有基础的人,就业不难,计算机专业有项目开发经验的人,就业更不难,读研不具有必要性,信息安全对于学历不那么那么强调(相比项目经验和资质),读研不具有重要性。
第二,读研也是你的一种职业选择,和工作一样,是给你的boss打工的。而大部分信息安全研究与工业应用脱节严重,接的项目技术含量不高(知不知道为什么不少国企的计算机网络应用实现都做得那么扯?),还不如在社会大熔炉直接滚一滚。
第三,有一些情况是读研不错的,那就是瞄准了好的导师、好的研究所、好的项目,可以长期服务的。但是这种情况多发生在本科师资强大的学校,以提问者的现状,很难发现这样的机会,如果随意报考外校,不提机会成本非常高昂,而且人生地不熟的,“二”提到的问题也相对较难避免。
3、乌云,看雪等地都是看不懂的东西,怎么办?
如果我们简单粗暴地把信息安全划分为“黑”“白”两道,看雪暗组绿色兵团等等算作黑道,有一些组织提供的是中立的资讯,为企业服务则算是白道。那么黑道的特点是,大量靠自学,大牛放工具,脚本小子用工具,注重直接效用,门槛在产业链和社会工程,提升点在以技术结识大牛,可能会以一些违法行为作为收入来源。白道的特点是,修道院,理论知识一大堆,本职工作是写代码、维护和预防,提升点和门槛都在技术。乌云的出现是一个里程碑式的变化,不好定性。
所以,你看不懂的东西,看不懂就看不懂,那不是你的领域的。但是,在你计划中的大三,应该能看懂其中跟你方向有关的东西了。到那个时候,你不需要实践,仅凭案例就能获取他人的教训——哦这个地方不能这么写。如果这时候的你去另一面转转,你必须是自己为渗透测试写定制脚本的大牛,而不能是只会用工具的脚本小子(但是当你有坚实的修道院基础加实践经验时,估计你也懒得再去看雪看小白提问了)。如何进行渗透测试实践可以单写一本书,只想强调,想玩不是不可以,但是不要依赖别人的工具,工具是在厘清渗透思路以后解放自己的一个东西,你不能把第一步给跳过了,这样的兴趣培养没有任何价值。
根本地说,信息安全与信息对抗不分家。知乎上曾有个人提问,如果国内100个顶级黑客去攻击腾讯和阿里巴巴,需要多久才能攻陷?有位知友回答,攻陷自己系统又没糖吃,老板还不给发奖金。他头衔是阿里巴巴员工。这个就挺有意思。
顺便说一句,腾讯、阿里巴巴等每年做渗透测试,请的可能是网安或者是安全审计公司,眼光不要只停留在互联网公司里,他们名气最大,并不代表水平一定最高,基本上,看得是谁给钱最多。
4、马上大二,大学时间已经剩下不多了。怎样跨入这一领域,怎么寻找团队?
有些人大三才开始考虑职业规划,更多人工作了都没有个计划。兄弟,你大一就开始留意这么多了,不错哦

 

 

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%