在知乎看到一题,《怎么跨入信安领域,信安本科的路怎么走》 趁着今天上午有空,答了一下。这也是我在知乎第一次长篇大论,自我感觉是对自己大学四年、工作五年的简单总结,希望对信息安全专业的师弟师妹们有点用。
我的答案如下:
信安专业毕业五年,从安全产品公司做到某制造业民企的安全部门,接触行业不算少,希望对题主有帮助。
1.大学怎么安排。
1.1 学好每一门课程。学好的定义是,书本上的东西得弄懂,不是简单的混及格。不要天真的认为某门课以后会用不到。比如,各类编程语言、数据结构、编译原理对以后写代码或做代码审计是非常有用的;计算机网络、网络设备配置是你理解互联网基础的门槛;数论、密码学是跨入密码这一学科的敲门砖。
信安专业的课程设置基本上交叉了计算机科学与技术、网络工程、软件工程、应用数学几个专业的内容,所以,这个专业的方向会很多,楼上有朋友已经提到了。简单说几点:
方向一:打好编程基础,找到自己的兴趣以后做一个不错的coder。我身边很多同学都是走的这条路,他们没有选择安全作为职业,而是当了程序员,从就业的角度,无可厚非。
方向二:打好编程基础,学好了安全基本理论(比如攻防技术、病毒原理),进入安全公司做研发。绿盟、启明等等安全产品公司每年校招都会招研发,反病毒公司也会有此计划。或者进入互联网公司的安全部门,这需要较高的编程水平。
方向三:学好网络,以及路由交换的东西,如有空闲时间考思科的认证,以此作为敲门砖进入网络安全产品公司做技术支持。有人认为研发比技术支持牛逼,我不这么看。好的东西总是要应用在客户环境里才会发挥作用,好的安全解决方案也不是研发人员能胜任的。
方向四:课程成绩都很好的话,对信息安全标准(7799、13335、等保)和安全管理有兴趣的话,考虑抓住校招的机会进入国内垄断行业的信息安全部门。注意,一定是国内垄断行业,比如金融、通信、证券、能源。传统行业的民企就不要考虑了,受限于业务形态,本来对互联网的依赖就不高,信息化程度也不高,信息安全的建设水平也落后的多。
看到这里,是不是感觉咱这专业毕业以后的就业路子还算挺宽的?前提是,大学的课程要学好,基本功要打牢固。
1.2 尽可能多的应用你学到的东西
除了学好书本知识以外,尽可能多的应用它们。不要指望学校安排的那几个课程设计,量太小。实在想不出来怎么应用,就去找一个和你关系好的老师让他给你开小灶指导,我大三时候就遇到了这样一位良师。比如,尝试用学到的语言和数据结构写小软件、小游戏;尝试根据ccna的教程在模拟器上配置路由交换设备;尝试自己搭建一个asp+access的网站,然后应用sql注入和xss;尝试在虚拟机环境里研究一个病毒样本。可以尝试和应用知识的手段有很多,养成这种边学边应用的习惯很重要。
1.3 多读书多泡图书馆
书本上的东西还是简单了一些,基础了一些。为了掌握更深层次的东西,为了开阔眼界,这个行业的书一定要趁着大学四年的闲散时间多看一些。感兴趣的、觉得内容不错的书可以精读,其他的大可以泛读,确实喜欢的一定要买下来。当当和亚马逊买书方便又便宜,好书值得反复读。
1.4 如有空闲时间,多接触行业内从业者。
当你有了一定的知识储备和应用它们的经验之后,你再来看乌云、看雪这些安全论坛时,应该不会再那么茫然了。尝试着在论坛里和人交流,不要怕丢人,总会有人愿意交流,这就是学习的机会。如果你想了解安全设备、安全标准,华安信达(CISPS.org)信息安全论坛 • 首页 这个论坛非去不可。在这里你也可以接触到更多的从业者。接触的多了,思路也就打开了,要学习的东西会越来越多,那时候你会没时间泡妞,没时间打游戏。
2.要不要考研。
我曾经尝试考研,失败了。也有不错的朋友考上了研究生。但工作这几年之后的感觉是,研究生的身份除了能让你在找工作时起薪高一些,似乎没什么其他作用。
关于国内研究生、博士生的内幕或经历,题主可在知乎搜索相关内容阅读,研究生绝非想象中的象牙塔。
以我的经验看,信息安全更倾向于实践型的学科,新技术大多不是实验室里研究出来的,而是实际工作中逼出来的。从这个角度来说,研究生没什么帮助。
因为就业压力大而选择考研的朋友,我都会送他们一句话:读研了又能如何?你只不过是单纯的老了几岁,还是要面对这个一模一样的社会。—-摘自小说《思科九年》
- 现状
高手还是聚集在北上广深以及杭州。刚毕业时还是可以考虑去这种环境历练几年积累资本的。
二线城市的成长也很迅速,比如成都、西安、大连,因为是在成都读书工作,所以对成都蛮熟悉,多说两句。各大安全公司在成都都有分支机构,新蛋也在成都,政府原来还筹建了一个信息安全基地,大环境还是不错的。
