※ 引述《dp2046 (Kevin)》之铭言:
: 大家好
: 就我了解资讯安全的工作有分很多面向
: 例如:资安管理、渗透测试、弱点扫描、原始码检测、逆向工程
: 个人是比较倾向找前三者
: 其他像是逆向工程感觉职缺非常少
: 而且好像需要会组合语言
: 以前曾接触组合语言这对我来说真的太难了
: 再来介绍一下自己
: 大学时有修过网络概论的课
: 程式语言方面有修过C和资料结构的课
: 只是C语言好像也跟资安的关联性不大
: 自己C其实也学得不太好
: 现在则是比较常看网络上的教学用Kali Linux内的工具做些渗透测试、弱点扫描、社交工程的实作
: 和读资讯安全概论与实务这本书(不过这本书几乎都是纯理论没什么实作)
: 以现在的情况不知还需要加强哪方面的技能或学哪种程式语言?
资安要考虑的面向还很多
1.风险控管-政策制定-控制措施-矫正预防
需要实务经验辅以理论,你可以去看CISSP的原文教材
至少看完一遍重点章节看两遍,考不考证照是其次,对资安整体面向会更清楚
2.渗透测试/弱点扫描/灰箱测试
这部分只算是控制措施的一环,模拟外部攻击找出比较常见的漏洞与风险
大都透过检测软件辅以自动化脚本执行检测,资安工程师再根据检测报告提供矫正预防措施
3.资安工程师比较需要安全意识和清楚的逻辑,还有对系统与网络架构的了解
程式语言能力顶多就是让你在看攻击程式或软件原始码找漏洞时,比较清楚在做什么
但如果你是负责挖掘漏洞的资安研究员,就很需要程式语言跟密码学原理还有网络概论
比起C语言,网络世代用Python,GO,Ruby,Perl应该比较多吧? 至少门槛比较低
4.建议从网络概论著手,TCP/IP ARP基础、各种网络服务的通讯原理(https,dns,vpn..等)
再来是作业系统概论跟Linux系统操作、服务架设与设定、系统防护措施(RBAC,ACL,SELinux,FW)
接着是网络设备的架构、设计、通讯协定(802.1,802.3)、防护安控措施
最后是整体网络架构的安全性设计(DMZ,IDS,IPS,LOG分析告警)
无线网络安全也是个议题,但台湾企业比较少在乎这块,其实还很多无线设备还没补KRACKS漏洞
5.原码检测会分网页程式、SQL或企业自己开发的程式(Java/.Net/C),是比较专业细部的资安工作
会偏资安研究员必备的技能
6.逆向工程就是属于资安鉴识这块,要分析恶意程式的特性、行为与追查来源
也是属于进阶的资安研究员技能
总结:懂得设定、操作跟管理网络与系统的资安防护算是资安工程师
知道如何挖掘新漏洞、修补漏洞甚至分析与追踪恶意程式来源,算进阶资安研究员的技能
个人才疏学浅,还望其他高手补充