各位好
目前我任职于某甲方公司的资安人员没多久
在逛MIS版时
常听到很多人说实战经验才是最重要的
即使课本都读很熟了
也有拿到国际证照
像是CEH, ISO 27001
甚至是更高阶的CISSP证照(需要有5年相关工作经验)
也是被有的人嫌没用
那想请问所谓的实战经验
是有什么东西是从教科书和考证照学不到的
还是说在学校从课本所学的都只是皮毛而已?

挂掉的经验 , 从删库到跑路

唬烂

从 default route 到 null资安的话 DDoS Service ,频宽,设备等hacker 藏在内部网络等太多了

太多了教科书的环境都很标准/完美，现实往往很复杂(乱七八糟)..教科书上一切都很合理, 现实常常一切都很不合理很神奇..特别是新接手的旧环境 xDa教科书网网一套厂牌方案到底, 现实往往万国军团凑合用..往往不过教科书上往往有一项和现实环境一样: Default Password课本常常是基本功, 但是实战场域是千变万化的..

官方文件的内容永远都是在最干净的环境下动作你觉得实务上能在干净环境下下手的机会有多少?

如果心脏够力的话 屁股戳下去 就会拿到干净的环境了 xDa

一般OP问这个就算了..资安人员问这个有点危险啊...

不管什么工作都是要经验的啦,人生也一样

甲方资安人员我认为很重要的是挑选/看清适当的乙方..这不也是需要经验吗?

光VLAN跟Routing就能放倒一堆人了...

你你可以去网络板找一个问nmap的文章，原po也是资安人员

楼上，那篇记得已经自删了冏

亏我还去认真找 QQ~

企业政治/官僚/传产文化

简单说，你所遭遇不合理的一切，就是实战经验

课本知识和实务落差太大 你实务不太可能有和课本一样的环境问题通常是复合性问题 课本通常只讲单一情境 混一起怎办

上课老师教的建置你也很熟，真的上工要落实才知道真正难度是预算不足

实务经验=炸过几个环境

我有2个rm -rf /

情境与解法千万种，书上才写100种

资安跟网络范围这么广这么大书上没有的一大堆吧...一辈子学不完

书都是讲单一故障，实际可能三个故障加五个相依的假故障等着你去除错～

搞挂环境又救回来的经验或是机房搬迁等都是你讲的那些学不到

机房电力问题，机房温度问题，防火墙，别人要你在全封，连ping都不允许的环境下，一一开放他们需要的port。厂牌和厂牌的互冲，型号与型号，旧版和新版的指令差距

基本功跟逻辑才是重要的，不然…至于经验，实际操作跟理论是差异非常多的你觉得理所当然的事情，往往就会是瓶颈这时候只有经验或好的前辈能告诉你里面有什么地雷

通常我觉得踩到也不会有太大状况的地雷会故意不说放给新人踩=3=...

那些都是骗人的，只有拿证照取得工作且加薪才是重要的经验学到满，薪水没加等，都是空谈除非你有远大的志向要为人类发展尽心力…

你没能力解决问题，要怎么谈加薪

拔条线就可以体验了

想请问下CISSP报考资格五年经验，楼主是提供什么证明文件呢？公司开立的证明吗？谢谢

经验换不到钱只有两种可能 1.那个经验不值钱2.你不会谈

虚拟环境与实体机还是有差别，太多东西是学校没有的更重要的有很多设备要具财力的公司才有，一般玩家根本没有机会可以接触到

学高级应用 结果进了没财力的公司 只剩观念可用

谈薪水的功力

就经验 每次出问题 你的直觉会告诉你往哪边查

官场文化 职场斗争之类的

大腿抱的好再废也可以爽爽拿薪水

user愚蠢的极限

真的拿到CISSP却问这种问题, 是洗文章和帐号经验值? 真正见多识广的, 反而特别谦虚, 因为知道哪里还不够深入。说xxx不熟, 可是一出手就能接近问题核心。说不熟只是他不是主要钻研xxx或是指令不清楚, 但是东西摸多了, 有的理论、架构是可以抽象出来跨产品甚至跨领域理解和应用

推楼上

慢慢做主管后，上中下的关系在学校、补习班也没有教上：老板、大头目　中：跨部门协调需当Leader时下：感情问题的属下、准备跳槽的属下、需要资遣的下属