※ 引述《away1225 (空飞牙)》之铭言:
: 小弟读的是一个未来不知道干嘛的文组科系
: 大概在去年我就发现了科系相关的工作没前途的事实,于是在家人跟师长的建议下去巨匠
: 补了网络管理相关的课程但随着接触越深,开始对资讯安全有些兴趣,也做了一些功课了
: 解资安工作与网管的差异,在104也发现普通网管的薪资其实跟其他产业的一般职位差别
: 不会太大,资安相对薪资待遇更好、能应征的工作更广
: 我知道资安需要的硬实力要求肯定比较高,想问资安这块是不是真的值得我再多花一点时
: 间跟钱好好学,或是有没有更好的路可以走?想知道版上各位大大的看法,谢谢!
这可以讲很多面,简单说解决资安问题最符合成本效益的方式,就是工作流程的改变。而不是靠什么高科技技术。
以 身份验证 Authentication 来说:
外行人:要学密码学。
实际: 限制使用者密码长度,复杂度,简单有效。强制定期更改密码,简单省钱又有效。
还不够安全,就上多因子验证。
多次验証只有你知道的机密,简单便宜有效。
以 权限管理 Authorization 来说 :
外行人:要学很多 access control,zero-trust
实际:需要资讯安全的地方,先把所有权限都关了,慢慢申请。简单有效。
以资料完整性来说 Integrity:
学术界:一堆新算法,特殊场景的protocal
实际:你研发的算法,不是国际标准,根本不合规,谁知道有没有暗藏什么黑箱或漏洞。所以直接用便宜免费的国际标准做法,反而是最好的做法。
以入侵恐吓来说:
理想:找专家来解决根因
实际:报警请免费的人来调查。
以窃取企业资料来说:
理想:装最先进的DLP,例如把公司所有档案加密,监控员工电脑所有行为。
实际:zip档,pdf档加密,便宜有效。
以code security 来说:
教科书:一堆injection, buffer overflow
实际:这几年新的开发工具,自动防范Injection
所以在资安领域,正确的流程,一直都比技术重要。而这些流程,经过几十年来,都形成了固定的招式,甚至一堆国际标准,例如最基本的:
ISO 27001,BS7799。 比较大的公司都会定期请"顾问"导入一堆资安流程。
因为政府的标案标案,以及政府的法律规定特殊产业,金融,军事,公营,财团法人,都必须符合国际资安标准流程。且定"期验"证。
所以在台湾唯一稳定赚钱,永远被法律保护赚钱的产业,就是资安顾问业。专门导入资安流程与解决方案的顾问业。
专门赚这种钱的有:
国外顾问业,例如IBM,做金融产业比较多
国内资讯服务业:上市柜那几家,以及自己出来开公司的一些老人。最政府案子比较多。
顾问业:例如常说的四大会计师事务所。政府金融都做。
财团法人:财团法人的一些组,有时也会接案去做政府的资安政策技术制定。(也是偏向顾问,而非技术研发),早期资策会那一票人,都做到当官了。
政府与金融业要导入流程,
可能需要要采购资安软硬件设备,通常都是买国外大牌子,因此赚钱的是代理商,或原厂。
像趋势就主要是赚这种To B客户的钱。稳定,但吃不饱。
资安软硬件国外品牌设备代理商或原厂虽然有工程师,但是只要熟自己产品就好,不用太懂技术底层,也不用开发资安产品。
台湾资安产业,稳定赚钱的剩下顾问业了。
而且其实饼还蛮大的,这几年政府大洒钱,我认识的一堆人又升官了。
资安顾问要赚钱,有人要高薪聘你,考证照只是基本。到最后可能不是你技术要有多强,而是你"有经验,有人脉,有关系",能搞定政府流程与金融法规流程而已。
简单说台湾资安产业,整体不是靠 "技术研发"赚钱,要走就走流程导入的顾问业,可以稳定吃饭一辈子。
比较知名那几家,很挑学校名称,吃绩效分红的,硕士毕业很快可破百,5年后年薪大概在150左右。但成长到200左右,要突破就要去混产官学关系了。