如何规划你的信息安全职业道路:回复〈网络协议本质论〉和〈蜕变〉读者的一封信...
(热卖地址: http://www.amazon.cn/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE%E6%9C%AC%E8%B4%A8%E8%AE%BA-%E6%9D%8E%E6%B4%8B/dp/B005GW81FS/ref=sr_1_1?s=books&ie=UTF8&qid=1323325916&sr=1-1)
(热卖地址: http://www.amazon.cn/gp/product/B005NAVGXM/ref=s9_simh_gw_p14_d0_g14_i1?pf_rd_m=A1AJ19PSB66TGU&pf_rd_s=center-2&pf_rd_r=1B9XS8MFNGM641D2Y997&pf_rd_t=101&pf_rd_p=58223152&pf_rd_i=899254051)
最近,陆续收到了很多〈网络协议本质论〉和〈蜕变:从菜鸟到Linux安全专家〉两本书很多读者的来信,有的提出了相关的问题,有的则提出了非常宝贵的意见和建议,在此表示诚挚的谢意!
我挑选了其中一封非常有代表意义的邮件,进行回复,希望对大家的信息安全职业道路规划能够提供参考。
以下是读者的邮件原文:
**************************************************************************
李博士您好,您好,期望百忙之中能浪费您一些时间,关于追求技术的矛盾:
很早就关注了您的blog,您发表的很多文章都值得借鉴,令我钦佩。正在研读您的《网络协议本质论》,巩固知识体系!开门见山,首先介绍下我自己,我是一个执着于追求技术的人,两年前,因为信息安全专业而去了一所大专院校学习。现在,两年过去了,也学了些基础知识,不多还没形成体系,而且偏向网络这一块,下来把这两年我所自学的东西列出来:
1.网络方向:网络基础、TCP/IP[仅原理,代码实现未研究]、思科的CCNA、部分NP+模拟器实践,考取了软考的网络工程师中级职称证书,考这个证书的主要目的是为了把网络的整个知识体系打下一个框架性的认识,力争融会贯通
2.操作系统方向:熟悉Linux、RHCE、各类服务搭建、Linux下ShellScript的编写[服务器运维]、操作系统原理、server2003、数据库等
3.Web安全方向:asp/php/jsp及一些脚本编写、网站***、***测试等 (这一块还没开始)
4.编程方向:C/C++/汇编等(停留在皮毛阶段,主要精力花在了网络技术和服务器[Linux]应用技术这一块)
学习定位:
1.主攻Linux,掌握常用命令的用法,熟悉Shell脚本的编写,能高效搭建各种常用服务及安全. [60%精力]
2.掌握汇编语言/C/C++的基础,有时间+数据结构. [20%精力.上半年]
3.完成任务2后开始学习Web安全、***等***技术,部分可归纳在Linux学习范围内. [30%精力.下半年]
4.熟悉网络设备的配置及技术原理,至少有个感性的认识,如多区域OSPF、***、MPLS、防火墙.[10%精力]
大概就是这些,路几乎都是自己摸索出来的,与任晓辉的那张***分类进阶图的网络***方向差不多,这条路似乎有些偏离安全技术的核心方向,如逆向、反汇编调试、脱克、破解、外挂、反病毒、***、内核编写等等底层的东西,但真正要把这些东西学通,又需要相当长的时间去掌握,而我要面对现实问题,半年后差不多就要去相关的工作岗位应聘,做一些偏向网络应用方面的技术,必须先站稳脚跟,找到谋生的手段,大概出校门后先做一些Linux服务器的运维相关工作来作为过渡职位,可能偏向网站安全,先以Linux为主攻方向,然后利用空闲时间学习安全技术,包括Linux内核,并把安全这个知识面打好,比如学习 CISP的课程体系,虽然广而不精,重理论、概念性知识,缺少实践,但我觉得形成一个比较广的安全知识体系并深入研究技术会更好些,然后转而做一些信息安全的相关工作,(应该是涉及面比较广的,而不是纯做某一项技术的大牛,比如内核、逆向、软件安全、反病毒软件编写等)也许技术涉及的不深,但这样的方向也是出于我自身的各种因素及发展而理性判断而决定的,***这些核心技术,我想作为一种业余爱好去研究(也许能在工作中作为辅助甚至转为优势)。事实如此,不过心有不甘,我也想做到技术的巅峰,以致经常产生矛盾心理,不知道前辈是如何衡量这些现实因素的?
我渴望***、安全技术的最高境界,只因起步较晚,能力有限,马上要面临现实生存问题,所以必须想个办法,两年来,我主要精力花在网络这一块(虽然本质上都是相通的,但也需有所侧重嘛),所以我的方向是先以网络安全为主,具体点,应该是Linux系统管理员,一个服务器架设与确保服务安全的管理员,然后倾向Web安全,以这个作为成为“大牛”的一个跳板,一个暂时的安身之地,算一个比较折中的方向吧,我觉得做这一块,既要懂操作系统、要懂网络、要懂数据库、要懂C、要懂汇编、要懂计算机组成原理、脚本语言、算法、逻辑思维等,才能把Linux学得比较好,我想,花几年时间,等Linux做到一定程度,编程基础也相应上来了,那么就可以深入它的内核,读它的内核源代码,深入底层的学习,不代表未来就不往***的核心技术发展,包括软件安全,但我必须先花几年时间把“网络安全”这一块做好,做得比较“精通”(业余时间学软件安全技术)。
我就把应用性技术比作“外功”,而把底层技术,比如汇编,比作“内功”
只剩半年多时间,我需要先把“外功”练好,毕业后找个容身之地,然后利用运维工作较多的空闲时间,去修炼“内功”。
近期目标:力争做一个优秀的Linux系统管理员,服务器安全、架设这一块,先以Web安全为主
但我会先花时间掌握编写高效的运维脚本能力,即Linux下的ShellScripts,进一步了解Linux的工作原理,以致节省工作时间,然后利用这些空闲时间去学习***所需要的技术知识,比如C、汇编、数据结构与算法等重要的基础知识
Web安全要做好,又要懂数据库,比如Oracle
具体岗位:比如维护百度、淘宝等门户网站的安全
期望李前辈能在百忙之中花一些时间来帮我理清下思路与矛盾,从内心感激您,谢谢!
********以下是我对这位读者的回复!******************************************
这位朋友,你好!
看了你的信,我非常高兴,你能够在信息安全的这条道路上默默探索,慢慢前进,非常不容易,值得肯定!
下面我帮你理清一下思路,其实你的情况非常典型,很多号称在信息安全领域搞了多年的人,也没想的你这么多,这么透彻,我非常高兴,中国的信息安全人才还是不缺乏的。建议你从如下几个方面着手学习和发展:
(1)打牢基础,注重积累
信息安全方面牵涉的领域非常广,本质上是一个交叉性学科,涵盖的内容包括操作系统、计算机网络、数据通信、数据库、密码学、程序语言与设计、编译原理、计算机体系结构等等,而且对每一门的要求都不低,至少要理解原理,并能够举一反三。所谓安全,主要的就是敏锐的洞察力和判断力,使用这些基础知识去对系统、软件、网络、应用等进行安全与否的判断以及提出解决办法,是一个非常综合性的工作。因此,基础打得牢不牢,知识面广不广,直接决定了你以后的发展。可以多买一些基础性的结合应用的书籍来看,这样既不会枯燥乏味,也能迅速提高自己,我写的一些书籍大多都是两者结合,你可以参考使用。
(2)勤于实践,多多动手
信息安全同时又是一门实践性和操作性非常强的学科,从你所用的一些工具软件、反汇编技术等等,都需要实践。当然,这个实践不能盲目的,网上下载一些工具,拿来就用。需要理解他们的原理、特性和用途,才能有的放矢,也能迅速提高。这就需要以自己牢固的基础知识为后盾,切忌盲目、好高鹜远,一心只想使用工具,而忽略了自己在各方面的沉淀和积累。现在的工具非常多,但是切忌不要进行恶意的***行为,可以采用虚拟机等在虚拟的环境中进行,这是一个前提,也是一个信息安全工作人员的职业操守。
(3)善于总结,醍醐灌顶
工作这么多年,从数十个国家几千万项目的信息安全研发工作到近年来大型企业的信息安全管理工作,我最大的收获就是要善于总结,阶段性的总结。各类应用不断出现,其漏洞和风险也越来越多,所暴露的安全问题也越来越多,是“头痛医头,脚痛医脚”,还是总结得出一些好的方法,对一类问题的解决办法或者解决方案效率高呢?显然是后者。但是做起来不是那么容易的,需要有前面基础学习和实践经验甚至教训的总结。现在中国信息安全的格局比较混乱,很多所谓的信息安全工作人员只注重一朝一夕的工具的使用、一次两次的所谓“***实战”,而从不注重方法,注重总结,这是非常低效的。可以看到,国外的信息安全从业人员,都有非常深厚的基础功底和实践经验,这值得我们好好借鉴。这样,经过一段时间,你就会有醍醐灌顶、豁然开朗的感觉,这样,你就慢慢进步了,慢慢的朝着正规的、良性的方向发展。
因此,根据上面几个原则,相信不难规划你的信息安全之路,并实现真正的蜕变!
祝你学业有成!
***********************************************************************