1. 对计算机的探索
小的时候看电视会想电视的原理究竟是怎样的,这个铁盒子为什么这么设计,为什么就会这么神奇地从很远的地方,把精彩的内容呈现出来。但我知道我没办法很清楚地弄明白电视机的原理。首先这很复杂,会消耗我大量的时间和精力。其次这世上前人研究出来的科技太多了,生活中还有太多我都觉得很神奇,想弄明白的事物,我不可能一一去亲自弄明白他们。但是,我这个人就是如果有没想明白的事情,脑子里会一直念着这事,觉得是个遗憾。
从高中开始接触编程的时候,那时候我对计算机还没什么兴趣,但是计算机的神奇之处显然比电视更吸引我,但是即使我进入大学后,读了一个计算机类专业,我也几乎对计算机没有多少深入的了解。最好奇的还是计算机的系统层面。但是我觉得自己没有时间,也没有这个能力。
读了硕士,接触了信息安全,我感受到了这门学科是能让我更全面地,更深入地了解计算机的。因为信息安全可以这么说,从整个计算机、互联网的每一个层面,都会涉及安全。所以要想学好信息安全,就需要对计算机的各个层面都有所涉猎,当然这其中还要对个别的方面比如网络安全、系统安全、硬件安全等等有自己深入的研究,才能成为一个专家。
我现在也是这么做的,先广泛涉猎,再挑几个兴趣点进行深入。这个过程中,我感受到了对计算机不断深入地了解,有一种一步步刨开一个谜团的外壳的感觉。我感受到了快感。
2. 越老越吃香的一行
关于对职业的选择。我的父母和我都认为,目光一定要放的长远。如果能在长久的工作中,不断锤炼自己的能力,用经验使自己的不可替代性越来越高的职业才是最佳的选择,当然待遇也是很重要的因素。而安全工程师,就好似计算机领域里的医生。门槛设立极高(对新手不友好),有很多的很有含金量的专业证书,如果安全方面技能非常高超,也会像医生一样被一些公司高薪请去做短暂的维护或者渗透。
因此,我们家很看好做信息安全工程师对职业的一个长远规划。
3. 挑战性高 吸引人的高强度高水平竞赛(CTF)
CTF起源于1996年DEFCON全球黑客大会,是安全技术人员之间的pk比赛。一般有web渗透、二进制漏洞利用、逆向工程、密码学、取证学、网络安全和安全编程类题目。截止2020年8月,我参加过一次CTF比赛,是UT-Austion举办的。虽然我的水平还远远不够解出足够的CTF题目,但是在参与比赛的过程中,我看到了很多的计算机天才,看到了很多奇思妙想的题目和解题方式,也遇到过很靠谱的队友,大家一起熬夜奋战,我感受到了快乐。这种全身投入进去,迎接挑战的快感吸引着我投入到信息安全行业中去,我也希望自己以后迟早会成为一名合格的CTFer, 希望能有和全世界的高手们同台竞技的机会。
4. 是真的有意思啊
信安好有意思,虽然我还是很多不懂的,但是我会主动地去研究,能感受到对其他方面的欲望都减轻了一点,有花在别的地方的时间不如多研究研究技术。不过是真难o(╥﹏╥)o
还好也有很多逐渐弄懂的,其实也不知道为什么就懂了,只是多重复地看了看,想了想,突然感觉理解的层面就不同了。
哦,多做做,一直做就好了,找找漏洞,可能有些基础掌握的不牢,基础牢了,路顺了很多。
5. 帮助人类进入下一阶层的智能化社会
物联网这个概念被“即将到来”好久了。但是我相信,如果人类想要踏入新的一个阶段的社会,应该是像很多科幻电影或者未来电影里的构思的整体社会智能化,生活中充满了智能设备,人类的生活更加地智能化、自动化。这必然最需要的是物联网的发展和普及。
物联网是一个需要很多很多方面都发展到位了,才能真正普及的大课题。
从开发角度,我们需要5G技术的普及,联网模式的不断改进,嵌入式开发的发展等等,太多了。
从商业化普及的角度,不同的物联网设备之间的兼容性太差,对于每种不同的物联网设备,恐怕都需要不同的芯片,不同的软硬件开发。但愿以后物联网开发的可用模块能越来越多,这样开发者只需要根据开发目标,像搭积木一样把这些模块拼接起来即可。另外,物联网设备的电源供给问题也是十分的棘手。
从安全的角度,无线网的不稳定性,物联网单个设备的安全资源不足,难以防范的物理级别安全问题等等都是很重要的安全研究问题。物联网安全如果没有得到保障,不仅仅是用户数据,用户资产被侵犯的问题,这会上升到生命安全的高度,这是十分严峻的。
我也有注意到很多公司的物联网相关岗位在逐渐增多,我相信这只是时间问题。
希望我能通过自身在信息安全领域的不断精进,多年之后,成为人类社会智能化的一份助力。一旦物联网发展起来,必然是颠覆性。这应该是工业革命级的。
6. 开发和安全相结合
刚接触信息安全的时候,主要研究三个大方向:网络安全,Web安全和系统安全。 网络方面我的基础还可以,在理解网络安全的时候进度就还可以,其实按照我的理解,网络安全最主要涉及的是逻辑思维能力。
而对于系统安全和Web安全,我基本就是学了忘,忘了学,很打击人。我也大概了解其中的原因。我的计算机系统基础并不扎实,而且我之前也没有Web开发经验。本科做的都是些课堂练习编程,实习也都是图像识别相关的。上一些安全编程类课程的时候还可以吃老本,写写代码。一般网上都有相关的资源,代码总是能花时间写出来的。但是一到系统和Web相关的安全研究类,渗透类作业,就很煎熬,没有思路的时候一点进度都没有。
不过硕士第三学期的时候,我通过一门课程练习了Web开发流程,同时也上网课补了点操作系统和一点组成原理的知识。又同时在安全课程上再次学习系统安全和Web安全。整个的理解就比之前好太多了,即使还是离自己主动寻找系统和Web安全漏洞有差距,但是我明显感觉到学习的速度不同了,因为我对其背后的机理了解的更深刻了。
这也再次让我明白了研究信息安全的必要手段——开发和安全相结合。只有对背后的开发机理理解地更深刻了,才能更顺畅地学习安全,真正把安全知识转化为自己的理解,从而不会又忘了学,学了忘。
7. 安全的管理岗发展
信息安全的管理性质很高。硕士项目的毕业要求就有十门课里面必修三门管理或政策课。也了解过国内安全类本科的课程安排,都需要学习几门管理课。从行业性质上看,使用再好的安全技术,如果管理不到位,一切都是白送。
希望我能按照规划在安全行业内走技术方向多年后,转向管理岗。但这方面的计划还比较模糊,大概需要工作几年后再将计划具体化。
