‘壹’ 网络安全就业难度大不大
未邀自答。本来我都关机、躺下、准备睡觉了,结果手贱点了知乎,看到了这么一个问题,又看到好朋友 @scalers回答了这个问题,忍不住又把电脑打开,准备花一点时间认真回答一下这个问题。这可能不仅是对问题本身的回答,也是差不多这一年来我对信息安全这个领域的理解和体会吧。=============================利益相关:信息安全方向博士生,主攻Public Key Encryption,主要方向是Predicate Encryption。1-2年之内就要就业,方向应该就是数据安全了。这一年认识了不少领域内的前辈和朋友,了解到不少现状。=============================0. 总体感受:人才既饱和,又匮乏现在安全行业的现状基本是:上层人才极度匮乏,下层人才极度饱和。大概半年多前和一位领域内的人士聊天,对方说了这么一句话:我们招人要求真的不高啊,只要领域相关,7年以上工作经验就好了。当时,幼稚的我心想,我靠你逗我呢,这还要求不高?哪儿找安全领域干7年以上的人去?经过半年的折腾,我现在的感觉是:这个要求真的不高,一点都不高,可能太低了…为什么?因为信息安全这个领域太大了,大到什么程度呢?大到做这个领域的人可能需要把几乎计算机科学的所有领域全理解(注意,不是了解,是理解)以后,才能集大成,然后把这个领域做好。=============================1. 数学和计算机理论基础要求信息安全中最理论的基础是密码学。密码学谁提出来的?图灵提出来的。为什么是他提出的密码学?因为密码学的实现基础是图灵机,或者说是有限自动机原理。密码学的理论基础是抽象代数和信息论。想要比较深入的学习密码学里面的知识,至少要明白计算机领域的归约(Rection),计算复杂性理论;至少要明白抽象代数里面的群(Group)、环(Ring)、域(Field);至少要了解信息论中信息熵的概念;这些如果不理解的话,安全证明估计就过不去了…要是追新,看看密码学界的发展,起码说提出一个名字能明白是什么意思,估计得了解了解椭圆曲线(Elliptic Curve),双线性对(Bilinear Pairing)或者多线性对(Multilinear Pairing),格(Lattice)等等。=============================2. 编程能力要求有人说了,我不用学密码学理论,我能看懂论文,把方案实现了就行了啊。因为实现的方案从理论上是否安全,要考察参数的选择。参数选择的话,就得看懂安全性证明了。我个人只是做了Java Pairing-Based Cryptography Library(jPBC)的一些实现,几乎时常会收到很多邮件,询问这个库怎么用,为什么自己实现的不对。多数情况都是因为对根上的东西没理解,导致用起来不对。有人说了,我也不用看懂论文,我能写最经典的密码学算法,能正确调用就好了。很遗憾,就算是最经典的密码学算法,即使是有经验的开发人员,绝大多数都不能正确实现。仅以RSA为例,请移步我的专栏文章:RSA有多安全,有多不安全?Black Hat 2014 - The Matasano Crypto Challenges解析 - 第一部分 - 刘学酥的密码学与信息安全专栏 - 知乎专栏看看里面有多少坑吧。=============================3. 计算机相关技术能力要求有人说了,我不用写密码学算法,我能正确用就行了。提到网络通信,就有计算机网络的相关知识了。我个人感觉计算机网络知识的复杂度现在和操作系统都差不多了。尤其是现在分布式系统,比如分布式计算和分布式存储技术的普及,分布式计算机网络本身就构成了一个比操作系统还要复杂的总系统。做安全的话,没有计算机网络和操作系统的知识几乎只能做点皮毛工作。提到网络和操作系统,就会想到这本身就需要比较强的编程能力。举个简单的例子,Java优秀的网络通信框架Netty和MINA(感谢 @Edsger Lin 的指正,这里打错了),是不是需要了解一下?HDFS,MapRece是不是了解一下?要不要看看源代码… 来吧,这相关的资料、书籍,可以放满一个书柜了。=============================4. 网络安全技术要求有人说了,我也不用懂这些,我是做技术的,了解网络知识以后,找漏洞挖漏洞,直接走向人生巅峰!怎么说呢,漏洞这个东西虽然知识本身要求的不深入,但是非常考验广度。比如数据库的了解,网络得了解,各种Web语言得了解,里面有什么坑得了解。而且,很多时候漏洞检测和网络渗透会涉及到语言本身上去。举个例子,Black Hat 2014中有个视频,所在的公司开发了一套漏洞检测工具Ravage(为什么我知道,我听译的…逆天漏洞检测及渗透生成工具——RAVAGE课程详情)。这个工具的制作已经深入到JVM的汇编层了。=============================5. 文档能力和与人交流的能力信息安全领域,不光是技术层面的,还有人员层面的。软件开发过程中出现的漏洞,绝大多数都是开发人员没有遵守安全软件开发要求而导致的。同时,各个公司、各个产品的安全架构,安全技术都不太一样。这种时候,为了保证产品的安全特性,就需要文档撰写和阅读能力,以及交流能力了。我和某位领域内人士交流的时候,总听到一种抱怨:我靠,这安全机制不是瞎搞么,这怎么评估,怎么实现?很遗憾,互联网发展太快了,很多东西都没有模块化体系化,现实就是这样。想要解决这个问题,就需要一群在计算机各个领域内都精通,或者退一步,都了解的人,将各种安全技术和产品抽象,从而提出并设计架构。这样才能提出一种比较通用的方法,从架构上去解决大部分的安全问题。不过这对一个人的要求可是有点高啊。安全又仅仅是技术问题吗?非也。信息安全中,技术占3成,管理占7成。技术再好,密钥管理不成熟,开发流程不成熟,访问控制机制设计的不成熟,甚至私下交易,从内部泄露用户隐私,也会导致严重的安全问题。这并不是耸人听闻。CSDN密码数据库泄露可能仅仅是冰山一角。要我看,用户的密码早就被泄露光了… 当然现在已经好了很多。这就意味着,管理也是个很困难的问题。说到管理,交流能力也是必不可少的。=============================6. 其他能力信息安全和通信技术是密不可分的。通信技术的发展必然会导致信息安全技术的发展。举例来说,枚举法是最没创意的攻击方法了。但是现在有了高性能计算机,分布式计算机系统,对于几年前的数据,用枚举法可能反而比其他方法更快。另一个例子,量子计算领域现在蓬勃发展,没准几年,十几年或者几十年后量子计算机就普及了。这并不是不可能,想想计算机从刚出现到现在人手几台一共花费了多长时间?那个时候,现有的体制全部推翻重来,作为安全人员就要更新自己的知识库了。当然了,这个例子有点极端,量子计算机真的来了,所有计算机科学相关的从业人员就要洗牌了。总的来说,信息安全领域要求从业人员随时学习,随时更新知识库。而且这种更新速度是依赖于计算机科学这门学科的发展而来的。2008年DDoS攻击还没影子呢,现在DDoS几乎就是家常便饭了。网络的迅速发展,特别是后面云计算云存储的发展,给安全从业人员又带来了更多的问题。这必须要求从业人员随时更新自己的知识,持之以恒的站在最前沿思考问题。=============================7. 有人能做到吗?密码学精通,可以到安全研究院。比如很多着名密码学家,Gentry,Shoup什么的就在IBM,进行全同态加密的理论研究和具体实现。而且,理解密码学的人学其他方面也比较快。但是需要到领域内快速积累。编程能力强,计算机相关技术强,就可以不光做安全了。但安全领域绝对欢迎这样的人才。网络安全技术能力强,可以到任何一家互联网公司做安全。知乎上的几位技术派大牛们,大多是这方面的佼佼者。文档能力和与人交流的能力强,可以做安全咨询。这是个比较有意思的领域。这个领域更需要广泛了解安全的相关知识。不仅从技术角度,也要从管理角度。我自己只是在公钥密码学中的一个很小的领域有一点点很小的成绩。因为计算机基础知识不足,接下来的一年我估计要各种补基础知识了,而且估计还补不完。上面说的这些对人才的需求,基本上只要精通一点,就是领域内的佼佼者了。所以,信息安全领域是一个集大成的领域。而且几乎任何一个分领域对于领域内知识的要求,都高于本身的要求。因为基础不够的话,想做安全就有点痴人说梦了。=============================8. 回到主题:会饱和吗?回到问题上面来,安全人才会达到饱和吗?我认为有生之年能把上面说的起码都做过一遍,几乎都是不可能的。信息安全的人才要求很高。能力强,哪怕是一方面能力强,都可以从茫茫人海中脱颖而出。一个直接的体现就是信息安全周围配套内容的普及。我在做Black Hat,包括密码学一些视频的听译时,就尝试过让别人帮忙听写,我来翻译。结果,即使是专业听译人员,拿到这些视频也都瞎了。因为专业词汇太多,几乎是中文都不知道什么意思。Black Hat系列这么好,为什么一直以来没人做字幕,听写翻译?因为确实对听译人员要求很高。我自己水平有限,只能听译密码学、Java、以及部分数据库、网络通信相关主题的Black Hat,而且也会遇到各种问题,遇到从来没听说过的技术、开源代码、工具、或者思想。当然这个过程也是收获的过程。所以,从高层看,信息安全人才应该一直会保持匮乏的状态,等待新鲜血液的注入。另一方面,由于门槛太高,不少人会在门外徘徊。门外的人多了,饱和一词也就来了。对于我自己,虽然得到了领域内人士的部分认可。但是,越往里面走,越发现里面的坑有多深。唯一的办法就是不停的学习和更新知识。毕竟,学习要比提出新方法简单多了,大家说对吗?=============================9. 只有信息安全领域是这样?就如同事物都是螺旋向上发展的一样,正像其他回答说的那样,任何领域都是:水平不高,哪里都饱和;水平高了,哪里都会要。什么叫水平高,高到什么程度就够了?我认为没有尽头。一个领域,越是钻研,越是往深了看,就越发现自己的渺小和无能。这会反过来导致更强的求知欲和更强的动力。等觉得自己小到只是一个沙子的时候,抬头一看,可能就会明白,绝大多数人,可能连分子大小都没到,但他们认为自己内部的原子和电子,就是整个世界。希望我们都能成为一粒沙子,看着大海的波涛汹涌,而毫无意识的,为这个世界的组成贡献自己的一份力量。以上。
‘贰’ 网络空间安全学科包含哪几个研究方向
网络空间安全学科包含3个研究方向:
1、数据库技术理论的研究。随着信息高速公路、互联网络、多媒体等新技术的迅猛发展,数据库已成为信息产业中不可缺少的技术领域。数据库技术与多学科技术的有机结合.是当前数据库技术理论研究的盆点,包括数据模型、规范化理论、并发控制理论等。演绎数据库和知识库系统的研制已成为新的研究方向.特别是数据库的知识发现方法问题,已成为数据库技术理论研究中的新热点。另外,关于数据库新理论、新方法、新技术的研究,关于数据库仓库、OLAP及数据挖掘的研究;关于与Web相关的数据库技术理论的研究.如异构数字资源管理、移动数据库、网络环境下的数据库安全、电子商务、数字图书馆的知识产权、知识管理等.也成为数据库研究的方向。
2、数据库应用系统的研究。数据库应用系统的研究主要包括两大方面:一是数据库应用系统设计与开发研究.它包括数据库设计方法、自动化设计工具、设计理念的研究;包括数据模型和数据建模的研究;包括计算机辅助致据库设计方法及其软件系统的研究;包括数据库设计规范和设计标准的研究等。二是数据库专用领城里的研究。为了适应数据库应用多元化的需求.裕要研究、设计和开发适合各种专用领城里的数据库技术,如Web数据库、科学数据库、统计数据库、工程数据库、空间数据库、地理数据库、图像数据库等。总之,为任何行业和学科、为任何组织和个人.设计和开发一个功能强大、使用便捷、效率高、费用低、结构优良、设备配套的数据库应用系统,则是数据库应用系统研究的重大课题。
3、数据库管理系统软件的研究。由于DBMS是盆据库系统的基创‘它共有时数据库中的数据进行存储、组织、检索、管理等功能.因此,研究功能全、效率高、可靠性好的DBMS.始终是数据库技术研究的重要领域。此外.研制以DBMS为核心的一组相互关联的软件系统或工具软件,其中包括数据通信软件、报表书写系统、表格系统、图形系统、图像系统、声音系统,也是当前数据库软件产品的发展方向。总之.DBMS软件的研究目标是用户界面友好(包括具有可徽性、易用性、多样性)、功能完备、效率高、结构淆晰、开放型等。
‘叁’ 能授予网络安全与执法博士学位的学校
摘要 1. 清华大学 15 武汉大学
‘肆’ 网络空间安全一级学科博士学位点有多少
网络空间安全是新开设的一级学科,截至目前已有29所高校建立该学科的一级学科博士点,名单如下:
1,清华大学
2,北京交通大学
3,北京航空航天大学
4,北京理工大学
5,北京邮电大学
6,哈尔滨工业大学
7,上海交通大学
8,南京大学
9,东南大学
10,南京航空航天大学
11,南京理工大学
12,浙江大学
13,中国科学技术大学
14,山东大学
15,武汉大学
16,华中科技大学
17,中山大学
18,华南理工大学
19,四川大学
20,电子科技大学
21,西安交通大学
22,西北工业大学
23,西安电子科技大学
24,中国科学院大学
25,国防科学技术大学
26,解放军信息工程大学
27,解放军理工大学
28,解放军电子工程大学
29,空军工程大学
‘伍’ 如何跨专业考博,我的本科和研究生都是学纺织的,现在想跨专业考计算机网络安全博士,大家给点建议吧!
你原先的专业是纺织,想跨专业考计算机网络安全,我觉得这差别太大了。据我所知,计算机网络安全有两大块,一块是安全策略与政策,另一块是网络与信息技术安全,前者策略与政策性的理论可能会容易攻读些,但后者,不仅需要娴熟的技术和工作经历,还得熟悉多方面的编程理论和操作系统。这个你有这个经历和思想准备吗。
‘陆’ 网络安全适合什么类型的人学
首先,你作为一个文科生,能够想到想学习网络安全专业,首先能够证明你对信息技术,尤其是对网络安全是比较感兴趣的。俗话说,兴趣是最好的老师,不管你是否专科生,起点高低与否,都不是学习某一专业的障碍。这一点从历史上很多名人的身上就可以看到,比如比尔盖茨,比如乔布斯,都是在起点不高的情况下自学成才的。历史上跨界成功的人士也有很多,最典型的比如爱因斯坦,大学毕业后,仅仅是一个初级专利审查员,工作枯燥无趣,但他不满足于现状,更不局限于自己专业和学历,潜心科学 研究,终于成为一代伟人。这些都充分说明,学历和专业不是阻挡自己兴趣爱好的绊脚石,更不是影响自己成功的因素,只要自己感兴趣,爱钻研,都有成功的可能。所以,不论自己是专科生还是本科生、甚至研究生、博士,也不论自己之前学习的是什么专业,只要自己有兴趣爱好,就可以去尝试。尝试不一定成功,不尝试则不可能成功,既然如此,为何不一试呢?
其次,很欣赏你对网络安全感兴趣。在信息化社会,随着信息化的发展,网络安全会随着信息化的发展越来越重要。网络安全专业前景光明,网络安全领域的市场只会越来越大,前景会越来越好。因为世界上没有十全十美的事物,信息化也是一样。一方面,信息化的发展为人们的工作生活和社会发展提供了更加便捷的手段,带来了更高的效率。另一方面,各项业务对信息化的依赖程度越来越高,伴随而来的是安全风险也越来越大。2013年的斯诺登事件带来的信息安全警钟仍在耳边回响,2017年肆虐全球的勒索病毒袭击事件再次把网络安全推到了信息化的风口浪尖,让人们对网络世界的安全感到不寒而栗。网络安全是信息化的保底工程,习近平总书记提出“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施,做到协调一致、齐头并进;切实防范、控制和化解信息化进程中可能产生的风险,以安全保发展,以发展促安全,努力建久安之势、成长治之业。”为了推动网络安全发展,国家层面的网络安全也已立法,2016年11月7日,我国网络空间安全领域的基础性法律——《中华人民共和国网络安全法》在十二届全国人大常委会第二十四次会议上高票通过,已于2017年6月1日正式实施。所以说,国家对网络安全越来越重视,社会对网络安全越来越依赖,网络安全只会越来越前景广阔,前途光明,选择网络安全专业绝对是最明智的选择。
再次,学习网络安全专业,其实起点并不高,每个人都可以尝试,每个人都有成功的可能,关键是要找对成功的路径。
学习网络安全,我认为要做好以下三点:
一是认真学习计算机基础知识和网络知识。这是前提,因为信息化专业其实是相通的,学好这两项知识是前提。二是学好网络安全理论知识。理论知识是学好一门学科的基础,可以参加一些专门的培训班,或者到某个高校去学习深造都可以。最重要的是第三点:要不断实践,丰富实战经验。信息技术不断发展,网络安全也呈现出越来越复杂的局面,当然也变得越来越重要。一方面,基本的网络安全防护能力是保证自己适应信息化社会,为自己赢得一席之地的基本保证,另一方面,网络安全发展变化很快,要不断适应新形势,学习新思维,掌握新方法。这些技能,都只能在实践中去锻炼、总结。只有不断实践,才能保证自己不掉队,更上信息化社会的发展步伐。
希望对您的选择能有所帮助。
‘柒’ 有一个外国人是否有机会担任网络安全工程师,博士生,熟练掌握python,linux下的C ,并
网络安全工程师,保障的可不只是网络层面的安全,而是整体层面的安全,需要接触到核心服务器核心网络设备核心系统,这里就有一个数据保密以及你的责任心能否有保障的考量,出现大事故你可以拍拍屁股走人的,所以想要进入大公司担任到核心岗位估计不现实。 来自职Q用户:吴先生
国企不会要你,私企雇不起你,只能混外企。 来自职Q用户:付先生
‘捌’ 郑州大学计算机网络信息安全招在职博士研究生吗
建议直接咨询郑州大学招生办,登录该校官网查询联系方式即可。
郑州大学在职博士报考条件
1、拥护中国共产党的领导,愿意为社会主义现代化建设服务,品德良好,遵纪守法。
2、已获硕士学位人员;应届硕士毕业生;获得学士学位6年以上并达到与硕士毕业生同等学力的人员。
3、身体健康状况符合国家规定的体检要求;
4、报考博士生的考生年龄不超过45周岁,报考委托培养研究生年龄不限;
5、有两名与报考学科有关的副教授以上的专家推荐; 时代硕博教育咨询中心
6、以硕士毕业生同等学力身份报考的人员,一般应具有副高以上职称,初试中须加试政治理论课及相关专业课,并在核心期刊公开发表所报考专业学术论文2篇;
7、现役军人考生,执行解放军总政治部的相关规定。
8、提前攻博、硕博连读方式的报考条件除满足上述第1、3、4、5条规定外,还必须是品学兼优,具有创新精神和创新能力,出类拔萃的我校在读优秀硕士生。
‘玖’ 网络安全就业前景怎么样
由于我国网络安全起步晚,所以现在网络安全工程师十分紧缺。
根据职友集的数据显示,当前市场上需求量较大的几类网络安全岗位,如安全运维、渗透测试、等保测评等,平均薪资水平都在10k左右。
随着经验和水平的不断增长,网络安全工程师可以胜任更高阶的安全架构、安全管理岗位,薪资更是可达30k。
网络安全工程师的工作还有以下几个优点:
1、职业寿命长:网络工程师工作的重点在于对企业信息化建设和维护,其中包含技术及管理等方面的工作,工作相对稳定,随着项目经验的不断增长和对行业背景的深入了解,会越老越吃香。
2、发展空间大:在企业内部,网络工程师基本处于“双高”地位,即地位高、待遇高。就业面广,一专多能,实践经验适用于各个领域。
3、增值潜力大:掌握企业核心网络架构、安全技术,具有不可替代的竞争优势。职业价值随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨。
‘拾’ 准备申请澳大利亚网络安全专业博士学位,请问哪个大学最好,每年的费用多少毕业后在澳洲好找工作吗
计算机比较好的学校有:国立大学,新南威尔士大学,悉尼大学,博士的申请需要先和导师套磁,到官网查找导师的联系方式,沟通下研究方向是否一致,以及导师是否愿意接受学生的申请等等,得到导师允许后方可申请offer,一般博士都是有奖学金的,而且计算机在澳洲是移民专业,可以通过独立技术移民,博士学位也有额外的加分。
希望有帮到您~