信息安全專業的學生應該如何進入該行業？

來自： 知乎

導語

大一前零基礎，大一大二大三大四分別怎麼安排，及是否有考研需要。題主身在信安偏弱的院校，大一結束。看雪等地都是看不懂的東西。馬上大二，大學時間已經剩下不多了。怎樣跨入這一領域，怎麼尋找團隊?

匿名用戶

看了其他前輩的回答，簡單講一下我的非主流經歷吧。我比較好折騰，所以涉獵比較雜。

高考時報信息安全是覺得「信息安全工程師/網路安全工程師」是很牛逼的名字。

大一主要學數學與外語。數學當時學的是物理類的，比同濟那版還難一些。但是學的還可以，考過滿分。

大二一方面是數論，另一方面是數據結構與編程語言。

大三是編譯、演算法、密碼學、網路安全、理論計算機、資料庫、病毒等等。由於六級考的不太好，大三花了4個月左右過了上海的英語高級口譯考試。

大四找工作時拿了個支付寶的Offer，當時那個機構人不多啊……不過後面保上研了。拿到了上交與清華的Offer。但高考時是很想去交大的，交大的信安。但貴清太有誘惑力了啊……從了。

研究生第一年，原計劃是按密碼方向做的。所以讀了不少關於理論的論文，比如可證安全、橢圓曲線密碼體制、雙線性配對、基於屬性的密碼體制等等（我還想枚舉一些但是忘記的差不多了……%……）。也會去姚期智教授組裡蹭講座，都是我看的經典論文上的作者的講座，感覺神一般的人來到身邊了……也上了數學系的碩士代數數論課，印林生教授的。這個真的很高深。

後面機緣巧合去了MSRA實習，開始做新的課題。在兩位Fellow的指導下做了兩篇論文，關於多媒體計算方面的。畢業後，機緣巧合來到某央企信息部門。

回望每一步的抉擇，我發現了這麼個折騰規律吧。我喜歡在看上去快要確定的未來里，引入一些新變數，來擁抱一個新的變化，而這個變化能給我既定的軌道帶來一些新的生活元素。

大二大三時是不計劃讀研的，畢業後就找工作。但仍然努力學習專業課，考外語證來證明實力。後面發現，可以保研唉。於是就去唄。

讀研的時候密碼學的課題開題報告都寫好了，有機會去夢幻般的研究院實習做研究。去唄。

畢業的時候，在互聯網企業、外企都有實習經驗的前提下，有央企的Offer，那就去看看唄。於是我來了。當然每個選擇都有挑戰與風險的，這個要由自己來控制與把握。

回過頭說說你的問題。我理解你現在的心態，好像前面好遙遠，想好好計劃，感覺有很多事情想做，又希望有人能指路怎麼走。這個問題基本無解，即只能自己去探索。證明如下：如果題主是個有堅定追求的少年，那已經開始行動，不會來此提問；如果不是這個類型，那聽A、聽B、聽C說都是FYI，最後還是靠你自己的步步選擇。

我的總體建議就是，走好當下每一步，充分利用當前的教學資源。打鐵沒樣，邊打邊像。我大一時聽新東方高級口譯老師的講課，60秒的錄音複述沒幾句能記下來，到大三的時候，基本上1分鐘內的交傳已經沒什麼問題了。你把手頭的課學好，作業做好，要以全力以赴的態度，而不是低空掠過的態度。

具體幾點：

1、一定要利用好上課時間的效率。很多人上課會走神，跟不上老師的思路，然後下課去看書，考試前複習。這樣很低效。

我自己實踐發現，如果上課全部能跟上老師的講課思路，基本上你下課後的作業能直接完成，而且不用再多花時間複習。這樣課後的自習你就能有自主的學習時間了！而且你上課完全跟上老師的思路，你很快能發現老師講課有時也是有思路上不嚴謹的地方的，這個技能與口譯複述時的邊聽邊總結是相互輔助互相訓練的。我在口譯訓練後期，甚至用一個筆記本把老師上課所有說過的說記錄下來。邊上課邊練習口譯……

2、考試成績高與學好一門課無直接關係。即課程系統是有Bug的：你上課聽講了，課後寫了作業，考前複習，基本上就能拿到90+了。其他的時間你想學啥學啥。大學成績是硬道理，成績好一些以後會方便很多。我能拿到保研名額也與成績有關。

3、學好一門課要花的時間遠大於應付考試的時間。課程上一帶而過的東西很多是值得深挖的，這就是爭取出來的時間應該花在的地方。比如現在可以到國外大學找課程，找論文看，代碼驗證實驗。

4、關於信息安全。講一下我的理解吧。我覺得大體兩個分支，一個是密碼學，一個是網路或者信息系統的安全。密碼學我深切的體會是，數學要紮實，然後一定要有老師指點，不然很容易抓蝦。我認識王小雲教授的不少博士是數學系本科，但是他們的弱點是不會編程，但由於老師牛逼，所以走的彎路不會多。然後做密碼研究的一個方向是，根據某些應用場景，提出新的加解密演算法，並證明其安全強度。另一個是網路安全，就是攻防滲透漏洞等等，這些是代碼級別實幹的，所以重實踐。（BTW這方面我一知半解，專家們請指正。）

5、關於讀研。我個人的體會是，讀研收穫很大的。雖然支付寶工作三年後的收入很可觀的，但是我認為在研究生三年中最大的收穫不是什麼兩篇牛逼論文，而是經過系統性訓練獲得的研究能力。知道如何快速的切入一個領域，找到其關鍵問題並擬出解決計劃、驗證、最後整理成材料。兩位老闆都很有洞察力，有時候是視野決定出路的。學習的能力是可遷移的，這也是一種「很可怕」的能力。而且，還有一點是把自己做的工作恰當地表達的能力。我想看貼的產業界的朋友，如果做到管理崗位就面臨一個問題是，如何向自己的老闆簡單地說清楚自己部門/組做的工作的重要性，以及爭取更多的資源的問題。

6、關於團隊。這個不要著急。加入一個社團，組織一些活動。在專業上，自己能力強了，且不要被自己的能力被蒙蔽住雙眼，與人好相處的話，以後做事不愁沒有團隊。

7. 關於Coding。我現在不做專職Coding。但是這個也是個硬工夫。拿一本演算法導論從頭到尾做一遍裡面的實驗。或者拿本數據結構做一遍所有的實驗也行。做完後你會發現質變啊。（舉例，我在口譯時翻譯+背了一遍新概念四，從此以後寫/說英文就擋不住NCE那種略帶風騷的腔調啊=-=）我現在比較後悔的就是大一暑假好基友找我一起去學習ACM集訓，自己因為各種心理建設不到位的原因，沒有去。錯過了就是永遠錯過了。在合適的時間只能做合適的事情。C』est la vie!

8、成長最好的方法，就是按部就班。

Neeao,阿里雲高級安全專家，http://Neeao.com

題主現在的情況，比我當年要好的多，至少你還學的是安全專業，在大二的時候已經知道感覺到壓力了，說說我當年的情況吧，希望對題主有點幫助。

直接引用我之前寫的一篇文章的內容吧：

03年上大二的時候，才有屬於了自己的一台電腦；那會雖喜歡玩網路安全，但也僅僅是停留在玩玩的階段，看看《黑客X檔案》、《黑客防線》什麼的，從沒想過要將這個作為工作來做。

04年初，國內第一家商業安全培訓網站《黑客基地》開始商業化安全培訓運作，我花了小半個月的生活費買了個vip學員，並混了個vip學習區的小組長，很多道上朋友的認識可以說都源於此。期間也寫了一些亂七八糟的文章，這裡竟然還有：Neeao s Blog

05年上半年，大專畢業實習的時候，那個時候很迷茫，對於一個就讀師範院校的非師範類專業–電子信息的我來說（專業課自不用說，考試都是補考過的）感到了從未有過的壓力，是到了要考慮下將來的就業問題了。不過那個時候，憑藉自己在學校里的」戰績」，在學校網路編輯部謀得了一份兼職的工作，可以免費在那裡上網，工作么，就是幫他們維護下電腦，免得中病毒了。正式在這裡的工作，再加上自己的這個blog，給自己帶來了一份比較重要的在校外實習的工作。

第一家實習的公司的老闆，通過我blog的聯繫信息，知道我在我們校網路編輯部工作，於是就直接打電話找到了我們編輯部，剛好那天我也在，於是就接到了電話。對方說事一家網站開發公司，欲招聘網站開發人員，問有沒興趣，可以一談。正好我也發愁實習的時候，於是就過去談了下。結果是因為自己沒有一點腳本開發的能力，哪怕是asp，好在老闆給了我2個月的免費實習期，2個月內沒有工資，且根據2個月的學習情況，如果學習情況不錯，可以拿到一點工資，畢業後可留在公司。這2個月的asp開發語言的學習給我奠定了點語言的基礎，為後期學習其它語言打了點底子。

此後陰差陽錯的考上了專升本，繼續在校就讀2年，2年期間一個是閱讀了不少web程序的源碼，另外一個找點兼職幫別人開發程序，在兼職中學習了PHP開發、Jsp的開發，對於開發語言代碼閱讀無障礙了，為以後代碼安全審計打下了基礎。

在這裡不得不說下Bug.Center.Team，有幸加入了這個組織，主要是研究Web安全的一個安全組織，在裡面得到了一幫好朋友的指點，也使Web安全技術得以很快提升。在此感謝BCT。

06年專升本畢業實習，找的工作依然是程序開發，包括畢業到北京找的第一份工作，依然是程序開發，對於一個只懂點web腳本開發的，所謂的安全愛好者，想找一份安全相關工作，還是想都沒敢想的。

07年6月份畢業後，直接到了原來iceyes同學推薦的，北京兼職的一家公司報道上班，做Java程序開發，這個時候，收到了阿里巴巴的Web安全工程師的面試通知，風塵僕僕的從北京坐了十幾個小時的硬座跑到杭州面試了一把，最終結果自然是杯具了。不過也不是什麼壞事，因為面試被拒，刺總將我的簡歷轉給了另外一家公司，也就是我安全工作生涯的第一家公司:久游網。在這裡感謝刺總、iceyes。

詳細的文章：十年安全路，彈指一揮間

http://neeao.com/ten-years-security-way

我所在院校是我所在市的師範院校，專業是非師範類專業，我從事安全工作主要是自己的興趣使然。

如果題主將來要從事安全工作，我覺得你首先要對這個感興趣，下力氣鑽研，沒有什麼難的。我記得我以前老闆跟我說過一句話（原話記不清了，大概就是這個意思）：只要你不笨，技術這個東西，隨著時間的積累，沒有什麼你搞不定的。

當然，如果你對安全沒興趣，誤打誤撞進入選了這個專業，就像我一樣，你可以自己去努力往你自己的喜好的領域去發展，當然，你的專業課最好還是要拿下來，畢竟現在國內很多公司招聘還是對學歷有要求的。

至於考研這個問題，如果你的能力已經能在本科畢業後給自己一份糊口的工作了，社會這個大學3年能讓你學到比大學裡更多。而你即使研究生畢業後，依然要面對這個社會。

我是偏實踐類型的，^_^。

再補充點現在安全行業內現狀吧。

很多甲方公司，比如騰訊、百度、阿里巴巴等，都有自己獨立的信息安全部門，遊戲類公司基本都有自己的安全團隊，b2b類電商，比如京東、噹噹、1號店等也都相繼成立自己的安全部門，說明互聯網對於安全的重視已經越來越高了。安全人員缺口子不用說。

乙方公司，自不用說，像傳統的綠盟、天融信、啟明星辰等，新興安全公司360、安全寶、知道創宇等等。一直狂招安全人員。

現在移動互聯網的興起，對於移動設備安全的人員缺口很大。

安全工作形式一片大好，這個是官方的文章：信息安全問題頻發 安全主管年薪80萬仍供不應求

秋翎

--前言--

信息安全金字塔，最頂層的是制定適合企業的安全策略、安全標準，中間的有安全顧問、安全合規、安全審計，在前中後階段保證信息安全，基線的有操作安全、物理安全、網路安全等等，一切圍繞安全三性（完整性、可用性、保密性），目標是企業利潤持續增長。

提問者大一，計算機專業，想鑽研技術，那麼就僅講講這個範疇的信息安全——計算機安全和網路安全。

--正文--

1、大一大二大三大四分別怎麼安排？

這個時候我就很想貼導師那張網路對抗技能樹的圖了，可惜弄不到。

大一大二，打基礎，學好你們的專業基礎課：編程。

c，c++，java，你們應該都是會學的，還有計算機原理及彙編，再來資料庫，計算機網路，密碼學，信息對抗。課程設置由學校決定，但任何一門編程對於計算機的學生來說都是生存技能，不但要上課做作業考試過關，還要折騰一些團隊合作的小項目，做過模塊開發，你才是一個基本合格的計算機院學生。不要被網路上那些python什麼的迷花了眼，把c和c++兩種基礎學好，再要用任何一種語言學起來都很順利。編程基礎，是你的優勢，不要浪費優勢（當然python是一種非常好的語言，對那些非計算機專業想搞這一塊的我推薦去學一下《與孩子一起學編程》。小學生都能學會python，別再說你沒基礎）。

信息安全有許多分支，網路安全技能樹也有十幾條，任何一條要做到精深都能實踐上五年，你在學校里要做的，是主動去參加一些信息安全競賽、開發者大賽，結識老師、大牛，不要放過組團進行開發項目的機會。這樣你就能逐漸擴大視野，找到自己的點在哪裡。這個階段，一般發生在大二上至大三下。

資料庫和計算機網路的核心理論基礎一定要掌握。密碼學和信息對抗這兩樣關乎前沿科技的課程則有些脫離工業應用，基本上，學得紮實的人，工作後才會知道「好像課本上確實有這樣教過」，學的時候是不知道為什麼的。

大三，一定得有項目實踐經歷，不然太脫節了，院校招牌不響的時候尤為如此。

2、是否有考研需要？

對於任何學科，我們一般都會說，有興趣、想深造，想進國企、要文憑，可以考慮考研。

可是很遺憾，我不推薦提問者考研。

第一，信息安全從業缺口較大，對於稍有基礎的人，就業不難，計算機專業有項目開發經驗的人，就業更不難，讀研不具有必要性，信息安全對於學歷不那麼那麼強調（相比項目經驗和資質），讀研不具有重要性。

第二，讀研也是你的一種職業選擇，和工作一樣，是給你的boss打工的。而大部分信息安全研究與工業應用脫節嚴重，接的項目技術含量不高（知不知道為什麼不少國企的計算機網路應用實現都做得那麼扯？），還不如在社會大熔爐直接滾一滾。

第三，有一些情況是讀研不錯的，那就是瞄準了好的導師、好的研究所、好的項目，可以長期服務的。但是這種情況多發生在本科師資強大的學校，以提問者的現狀，很難發現這樣的機會，如果隨意報考外校，不提機會成本非常高昂，而且人生地不熟的，「二」提到的問題也相對較難避免。

3、看雪等地都是看不懂的東西，怎麼辦？

如果我們簡單粗暴地把信息安全劃分為「黑」「白」兩道，看雪暗組綠色兵團等等算作黑道，有一些組織提供的是中立的資訊，為企業服務則算是白道。那麼黑道的特點是，大量靠自學，大牛放工具，腳本小子用工具，注重直接效用，門檻在產業鏈和社會工程，提升點在以技術結識大牛，可能會以一些違法行為作為收入來源。白道的特點是，修道院，理論知識一大堆，本職工作是寫代碼、維護和預防，提升點和門檻都在技術。烏雲的出現是一個里程碑式的變化，不好定性。

所以，你看不懂的東西，看不懂就看不懂，那不是你的領域的。但是，在你計劃中的大三，應該能看懂其中跟你方向有關的東西了。到那個時候，你不需要實踐，僅憑案例就能獲取他人的教訓——哦這個地方不能這麼寫。如果這時候的你去另一面轉轉，你必須是自己為滲透測試寫定製腳本的大牛，而不能是只會用工具的腳本小子（但是當你有堅實的修道院基礎加實踐經驗時，估計你也懶得再去看雪看小白提問了）。如何進行滲透測試實踐可以單寫一本書，只想強調，想玩不是不可以，但是不要依賴別人的工具，工具是在釐清滲透思路以後解放自己的一個東西，你不能把第一步給跳過了，這樣的興趣培養沒有任何價值。

根本地說，信息安全與信息對抗不分家。知乎上曾有個人提問，如果國內100個頂級黑客去攻擊騰訊和阿里巴巴，需要多久才能攻陷？有位知友回答，攻陷自己系統又沒糖吃，老闆還不給發獎金。他頭銜是阿里巴巴員工。這個就挺有意思。

順便說一句，騰訊、阿里巴巴等每年做滲透測試，請的可能是網安或者是安全審計公司，眼光不要只停留在互聯網公司里，他們名氣最大，並不代表水平一定最高，基本上，看得是誰給錢最多。

4、馬上大二，大學時間已經剩下不多了。怎樣跨入這一領域，怎麼尋找團隊?

有些人大三才開始考慮職業規劃，更多人工作了都沒有個計劃。兄弟，你大一就開始留意這麼多了，不錯哦

intfre

2017本科畢業生路過，非985，211，剛拿到25+w年薪offer, 說下我的成長之路，大一：思科 CCNA CCNP ,C語言，前端的一些語言html,js，數據結構與演算法，同時在freebuf，烏雲等上學習,(剛入門可以看一下比較系統介紹了這個行業，可以讓你對這個行業有充分的認識，從而確定自己的方向)

大二：C++，加入學校信息安全實驗室，開始接觸完整項目—獨立完成較大項目並參加比賽，開始學習web後台編碼 php,sql等

大三：參加各種比賽，大三下找暑期實習

大四：基本9月中就開始拿offer，簽三方了

寫的比較亂，總結一下：

第一年：確定自己的方向，並且認真學習編碼基礎

第二年：在自己的方向上認真鑽研，並找到自己的圈子

第三年：競賽，實戰經驗，找實習

第四年：可以放鬆半年，出去旅遊

匿名

我就軟體安全這反面提建議吧。

既然題主有大四 那麼就學校這方面必然比我要好。

大一我建議題主學好c語言c++ 數據結構

c/c++分別實現坦克大戰 推箱子 迷宮之類的遊戲 累積代碼行數 怎麼著也得5000行吧

大二彙編 sdk編程 mfc編程 實現反彙編引擎 pe工具

大三 實現軟體調試器 殼 ark工具

大四熟練使用ida odb windb之類的調試工具 (這個從大二就可以入手 )

以上我只用六個月，因為沒時間 。而你有這麼多時間只要認真堅持下去我相信你可以比我做的更好。

期間可以可以研究一些像dll注入 緩衝區溢出 hook 白加黑 之類的技術 知道其中一倆點甚至是一點 只要探的足夠深 入行是極其簡單的 工作都是可以隨便找的 hr問你 你說:「我xxxx能玩出一朵花來」。 (非技術型面你當我沒說…)

那麼再說入行。

其實我也未入行 (別打我…) 但是 像 金山 卡巴斯基 360 等一些初創或不是耳熟目染的公司都有邀我投簡歷。

前幾天卡巴邀我 因為人就在北京 看到信息一天後 我就投了 (其它就年後再說 畢竟現在投也沒用)

公司自己也嚮往 半個小時不到收到回復 然後大概意思就是 你有時間告訴我下 然後我給了回復 十分鐘的樣子打電話過來 問了些技術性問題 過程我回答的不算太好 (電話打的太少的緣故 對方又是hr 更加感到… ) 勉強也行 然後再次確認我是是否年後就職 又說很急(意思是趕著招人 需想去卡巴的可以試試了 他郵箱我是不會說的 哈哈 自己去搜百度招聘信息吧 對了 他們要跟俄國那邊同事聯繫 需要熟悉英語) 然後閑聊幾句 你現在沒時間那下個月20號到時再說 便客套幾句掛電話

有人就說 不就是投個簡歷嗎？人家又不沒說要你 面試都沒過 也好意思說？

不不不 這無關好不好意思 因為就在幾個月前我是無論如何都不可能有這樣的機會的 別說邀請我了 我主動人家都不會搭理 。 說出來 也是為了給題主增加信心。

題主 只要你做完我說的那些並完成學業 入行極其簡單 你再跟

@Neeao

大牛說 到時內推你也不一定。 也許那會兒我也可以內推你了呢└(^o^)┘

你說你逛烏雲 看雪 那麼我告訴你 烏雲偏滲透安全 看雪軟體安全 嗯 我在看雪。

直接敲下來 沒有整理 將就看吧。

-----------------------------分割線-----

已找到.

本文編號2442，以後想閱讀這篇文章直接輸入2442即可。

輸入m獲取文章目錄

推薦

黑客技術與網路安全

更多推薦《18個技術類微信公眾號》

涵蓋：程序人生、演算法與數據結構、黑客技術與網路安全、大數據技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！