今天一个学弟要转到信息安全专业,我个人做了如下建议,希望对以后的学弟也有帮助。
水煮信息安全
常涛
先谈谈大学的信息安全专业。信息安全专业开始的相当的晚,谁要咱们的信息系统也晚呢。我们用来沟通的信息系统有多少是国产的呢。操作系统是美国微软公司的,CPU也是美国的,网络传输过程中又有多少个路由器交换机是思科的呢。这样必然导致大学里面没有多少老师是信息安全起家的,就是有也轮不上杭电使用。同时我们信息的信息安全和大学老师心中的信息安全是大不相同的。对大多数信息安全的学生而言,信息安全及时黑客的。这个不奇怪,这就如同提起“门事件”不得不想起陈冠希同志,提起“物理学”自然会想到牛师傅——牛顿,但是牛顿不是整个物理学,同样黑客不是整个信息安全。
信息安全,在学习的时候就要学习“信息学”和“安全学”,但是我了解的大学信息安全专业主要学习“信息学”,如杭电和北邮就是以通信“信息学”为主,如果是挂在计算机学院下的“信息安全”则以“计算机网络通信”为主。首先要学习“信息系统”,信息系统包括网络节点,如个人终端电脑,服务器,路由器,防火墙,等相关设备;还有网络运行本身的只是,如“网络拓扑部署”、“网络通信协议”等;上面两个都是信息系统的基础架构,如同信息高速公路,然后再高的高速公路也不是交通的主体,交通的主体是交通工具,同样信息系统基础设施,都是为信息交换做服务器。如我现在输入的这段文字信息,要经过编码传输到你的计算,然后你的计算机解码显示出来,你的得到了信息。信息交换过程才是我们的目的,自然信息系统中还要有“信息”本身的研究科目,如密码学,数据库,数据压缩,数据编码等等;以上都是大学或者研究生乃至博士要学习和研究的东西。
以上的一切都是“信息本身”不是安全。“安全”是独立的话题如“数据备份和设备冗余”就是老早的安全措施。黑客能得手,一方面是本身技术的高明,同时还有他们了解“安全”这个事物。往往安全是一个连锁的系统事件,大学老师,大都因为没有实际安全事件处理的经验他们无法完成这方面的授课,所以这样的课程没有开起来,同时“安全”方面的书虽然多如“煤矿安全”,“飞行安全”但是关于信息系统的“安全”还不是很多。这方面的知识主要通过进入社会实际学习或者通过培训来获得的。(当然一般的培训都比较“水”大都是为了买个证书)
最后就是信息安全管理了,信息安全管理其实主要是“管理学”的问题,如ISO27001信息安全管理体系,就是使用了一个管理学上的“戴明环”。然后使用一大堆信息安全最佳实例(就是好的操作实例为指导,如密码要够长,要有验证码)。这些都是管理学的问题和,主要知识体系是ITIL。
信息安全行业。这个我还没有资格说,我刚刚进入公司,对行业只能说行业是商业的行为,这个信息安全行业就像“安防行业”如“防盗门”虽然家家需要,但是不见得市场就有多大,或者越有技术含量,就越成功。再者进市场就是商业为主导了,这个和技术为主导的研究领域还是由区别的。市场以前不光要考虑“供需问题”还要考虑“金融炒作”的问题。在我国还要考虑“人情世故”。这个你如果准备走市场,只有进入市场才能有体会,同时你进入市场还有一段时间,市场上的经验保质期不太长。如果你不进入市场,那不了解也罢。
考研的问题。据说是“上海交大”的信息安全不错。考研看你的目的了,主要是导师,研究生就是跟着导师走几年,所以决定你的关键因素是导师。
书籍问题。CISSP的知识体系囊括了信息安全的大部分,咱们图书馆是有这个书的
题名 责任者 出版信息 索书号 文献类型
1 CISSP认证考试指南 (美)Shon Harris编著 科学出版社 2009 TP393.08/664.2 中文图书
2 信息安全基础 (美)克鲁兹(Ronald L.Krutz),维恩丝(Russell Dean Vines)著 机械工业出版社 2005.2 TP309/428 中文图书
3 CISSP认证考试指南 (美)布拉格(Bragg,R.)著 人民邮电出版社 2003.10 TP393.08/4543 中文图书
入门问题。信息安全也就是一门科学技术又不是“神学”或者ET、UFO之类的,所以没啥问题。
关于转专业问题。我多说两句,本科本来就是通识教育,尤其你是计算机专业的,其实如果你不是去做通信安全的话,技术专业其实学习的知识更多。不要被“黑客”笼罩下的信息安全吸引。没有那个黑客是信息安全毕业的。同时,美国的良好社会福利,和对黑客的帮助才能早就这么多的黑客。我国的情况不太乐观,我们把时间都用在了安身立命上,没有那样的时间去做,就是进入安全公司,公司也是跟着市场在用作,不见得能给出很长的时间来做研究。
就到这了。一边就写好了,有错误,自己捉摸这看。