前言
網路安全是指網路系統的硬體、軟體及其系統中的資料受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷,具有保密性、完整性、可用性、可控性、可審查性的特性,
對于現在的網路安全技術人才總體感受是匱乏的,因為網路安全這個領域太大了,大到什么程度呢?大到做這個領域的人可能需要把幾乎計算機科學的所有領域全理解(注意,不是了解,是理解)以后,才能集大成,然后把這個領域做好,
技術要求
1. 數學和計算機理論基礎要求
資訊安全中最理論的基礎是密碼學,密碼學誰提出來的?圖靈提出來的,為什么是他提出的密碼學?因為密碼學的實作基礎是圖靈機,或者說是有限自動機原理,密碼學的理論基礎是抽象代數和資訊論,想要比較深入的學習密碼學里面的知識,至少要明白計算機領域的歸約(Reduction),計算復雜性理論;至少要明白抽象代數里面的群(Group)、環(Ring)、域(Field);至少要了解資訊論中資訊熵的概念;這些如果不理解的話,安全證明估計就過不去了…
要是追新,看看密碼學界的發展,起碼說提出一個名字能明白是什么意思,估計得了解了解橢圓曲線(Elliptic Curve),雙線性對(Bilinear Pairing)或者多線性對(Multilinear Pairing),格(Lattice)等等,
2. 編程能力要求
有人說了,我不用學密碼學理論,我能看懂論文,把方案實作了就行了啊,因為實作的方案從理論上是否安全,要考察引數的選擇,引數選擇的話,就得看懂安全性證明了,我個人只是做了Java Pairing-Based Cryptography Library(jPBC)的一些實作,幾乎時常會收到很多郵件,詢問這個庫怎么用,為什么自己實作的不對,多數情況都是因為對根上的東西沒理解,導致用起來不對,
有人說了,我也不用看懂論文,我能寫最經典的密碼學演算法,能正確呼叫就好了,很遺憾,就算是最經典的密碼學演算法,即使是有經驗的開發人員,絕大多數都不能正確實作,
3. 計算機相關技術能力要求
有人說了,我不用寫密碼學演算法,我能正確用就行了,提到網路通信,就有計算機網路的相關知識了,我個人感覺計算機網路知識的復雜度現在和作業系統都差不多了,尤其是現在分布式系統,比如分布式計算和分布式存盤技術的普及,分布式計算機網路本身就構成了一個比作業系統還要復雜的總系統,做安全的話,沒有計算機網路和作業系統的知識幾乎只能做點皮毛作業,
提到網路和作業系統,就會想到這本身就需要比較強的編程能力,
4. 網路安全技術要求
有人說了,我也不用懂這些,我是做技術的,了解網路知識以后,找漏洞挖漏洞,直接走向人生巔峰!怎么說呢,漏洞這個東西雖然知識本身要求的不深入,但是非常考驗廣度,比如資料庫的了解,網路得了解,各種Web語言得了解,里面有什么坑得了解,而且,很多時候漏洞檢測和網路滲透會涉及到語言本身上去,
5. 檔案能力和與人交流的能力
網路安全領域,不光是技術層面的,還有人員層面的,軟體開發程序中出現的漏洞,絕大多數都是開發人員沒有遵守安全軟體開發要求而導致的,同時,各個公司、各個產品的安全架構,安全技術都不太一樣,這種時候,為了保證產品的安全特性,就需要檔案撰寫和閱讀能力,以及交流能力了,我和某位領域內人士交流的時候,總聽到一種抱怨:我靠,這安全機制不是瞎搞么,這怎么評估,怎么實作?
很遺憾,互聯網發展太快了,很多東西都沒有模塊化體系化,現實就是這樣,想要解決這個問題,就需要一群在計算機各個領域內都精通,或者退一步,都了解的人,將各種安全技術和產品抽象,從而提出并設計架構,這樣才能提出一種比較通用的方法,從架構上去解決大部分的安全問題,不過這對一個人的要求可是有點高啊,
6. 其他能力
網路安全和通信技術是密不可分的,通信技術的發展必然會導致資訊安全技術的發展,舉例來說,列舉法是最沒創意的攻擊方法了,但是現在有了高性能計算機,分布式計算機系統,對于幾年前的資料,用列舉法可能反而比其他方法更快,另一個例子,量子計算領域現在蓬勃發展,沒準幾年,十幾年或者幾十年后量子計算機就普及了,這并不是不可能,想想計算機從剛出現到現在人手幾臺一共花費了多長時間?那個時候,現有的體制全部推翻重來,作為安全人員就要更新自己的知識庫了,當然了,這個例子有點極端,量子計算機真的來了,所有計算機科學相關的從業人員就要洗牌了,
總的來說,網路安全領域要求從業人員隨時學習,隨時更新知識庫,而且這種更新速度是依賴于計算機科學這門學科的發展而來的,2008年DDoS攻擊還沒影子呢,現在DDoS幾乎就是家常便飯了,網路的迅速發展,特別是后面云計算云存盤的發展,給安全從業人員又帶來了更多的問題,這必須要求從業人員隨時更新自己的知識,持之以恒的站在最前沿思考問題,
7. 有人能做到嗎?
密碼學精通,可以到安全研究院,比如很多著名密碼學家,Gentry,Shoup什么的就在IBM,進行全同態加密的理論研究和具體實作,而且,理解密碼學的人學其他方面也比較快,但是需要到領域內快速積累,
編程能力強,計算機相關技術強,就可以不光做安全了,但安全領域絕對歡迎這樣的人才,
網路安全技術能力強,可以到任何一家互聯網公司做安全,知乎上的幾位技術派大牛們,大多是這方面的佼佼者,
檔案能力和與人交流的能力強,可以做安全咨詢,這是個比較有意思的領域,這個領域更需要廣泛了解安全的相關知識,不僅從技術角度,也要從管理角度,
所以,資訊安全領域是一個集大成的領域,而且幾乎任何一個分領域對于領域內知識的要求,都高于本身的要求,因為基礎不夠的話,想做安全就有點癡人說夢了,
網路安全技術人才會飽和嗎?
回到問題上面來,安全人才會達到飽和嗎?我認為有生之年能把上面說的起碼都做過一遍,幾乎都是不可能的,網路安全的人才要求很高,能力強,哪怕是一方面能力強,都可以從茫茫人海中脫穎而出,一個直接的體現就是資訊安全周圍配套內容的普及,我在做Black Hat,包括密碼學一些視頻的聽譯時,就嘗試過讓別人幫忙聽寫,我來翻譯,結果,即使是專業聽譯人員,拿到這些視頻也都瞎了,因為專業詞匯太多,幾乎是中文都不知道什么意思,Black Hat系列這么好,為什么一直以來沒人做字幕,聽寫翻譯?因為確實對聽譯人員要求很高,我自己水平有限,只能聽譯密碼學、Java、以及部分資料庫、網路通信相關主題的Black Hat,而且也會遇到各種問題,遇到從來沒聽說過的技術、開源代碼、工具、或者思想,當然這個程序也是識訓的程序,
所以,網路安全人才應該一直會保持匱乏的狀態,等待新鮮血液的注入,
另一方面,由于門檻太高,不少人會在門外徘徊,門外的人多了,飽和一詞也就來了,
只有網路安全領域是這樣
就如同事物都是螺旋向上發展的一樣,正像其他回答說的那樣,任何領域都是:水平不高,哪里都飽和;水平高了,哪里都會要,什么叫水平高,高到什么程度就夠了?我認為沒有盡頭,一個領域,越是鉆研,越是往深了看,就越發現自己的渺小和無能,這會反過來導致更強的求知欲和更強的動力,等覺得自己小到只是一個沙子的時候,抬頭一看,可能就會明白,絕大多數人,可能連分子大小都沒到,但他們認為自己內部的原子和電子,就是整個世界,
希望我們都能成為一粒沙子,看著大海的波濤洶涌,而毫無意識的,為這個世界的組成貢獻自己的一份力量,
標題答案:不會出現飽和
關注我,獲取2021最新【網路安全學習資料·攻略】
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/320990.html
標籤:其他