给报网络安全专业的孩子几点建议

“没有网络安全就没有国家安全”引燃了网络（Cyber）安全专业，各个高校也纷纷开设网络安全学院或网络安全专业，从一个网络安全从业老人的角度，给想步入这个行业的孩子们一些建议。

首先，只要你踏入这个行业，不管在哪个学校，不管你学哪个专业，建议这几门课必须要学。《数据结构》《操作系统原理》《网络技术》《软件工程》

网络安全的本质是一个非常庞大的复合型学科领域，狭义的网络安全技术包含了所有的IT/OT学科知识和内容，广义的网络安全涵盖了几乎你可能触及的一切学科，比如：应用于社会工程学的心理学、使用在侧信道攻击中的物理电学、通信技术中的光学、咨询服务的管理学、审计过程中的会计学、事件分析中的统计学等等；但是从高校而言，先理解狭义的网络安全已经能够完全满足大学四年甚至研究生阶段的学习压力了。

为什么要去学习数据结构、操作系统原理、网络技术和软件工程。有些网络安全学院或专业不一定会把这些课逐一安排进学科课程里面，有很多原因，我们不去逐一分析，在这里是要跟大家聊聊为什么要学这些课程；

数据结构：研究数据的逻辑结构、存储结构及其操作算法。可能这样去理解数据结构过于狭隘，但是数据结构本质上是一门非常枯燥的课程，如果没有良好的数学基础，没有多少人有信心去看完一本数据结构的教材，哪怕他是所有专业书籍里面最薄的一本。当你真踏上工作岗位的时候你会因为没有数据结构的基础而发疯。从网络安全产品设计而言，我们要提高算力、算法优化、解决大并发、延迟，数据结构；我们要提高网络态势感知的聚合能力、分析能力、优化性能，数据结构；我们要做一个网络安全模型，要考虑分布式存储问题，数据结构；我们要用最优路径解决加解密问题、路由分配还是需要数据结构的思想和知识；

操作系统原理：离开了CPU和内存技术，计算机也就失去了灵魂。操作系统原理始终伴随着整个网络时代而不会终结。一切计算机问题的原点都可以从CPU和内存技术开始延伸，遍布每一个运算逻辑。即使到了现在泛云时代，我们始终是在最基础的CPU和内存技术上去延展虚拟CPU和虚拟内存，并扩展为更为广义的应用。OS（操作系统）是用友好的人机交互模式调度CPU和内存，以便完成人类交予网络化的任务和工作。而网络安全攻防技术最核心的能力也是集聚在这些环节。CPU环的优先级问题是恶意代码对抗的主阵地；内存保护决定了网络的最后一道防线；堆栈问题始终困扰着一代又一代的网络安全人员，这不是简单的软件或硬件问题，还需要通过数据结构的思想去解决协商问题；

网络技术：实际上我们一直把网络与通信技术混在一起；实际上如果你不涉及运营商或者工业控制系统以及卫星通信技术的前提下，我们更多的是理解网络（Network）技术，为什么要去理解网络技术，如果说没有了通信网络，我们可能只是保证每一台单机的安全运行；但是有了网络，我们就需要理解从物理层到应用层计算机如何形成有序的工作及传递；即使现在很多高校开设了网络技术课程，但是目前国内过多的去讲TCP/IP技术，我希望大家能从OSI/ISO的七层结构去学习和理解网络安全。网络安全保护的层次越细粒，我们可感知的节点就越丰富。网络技术是引导你如何在整个网络世界中游走的重要知识，Internet只是网络技术中很小的一个节点，浩如烟海的通信协议才是遨游网络世界的基础和核心。网络攻击对抗真正的途径就是利用这些协议的缺陷开始的博弈，而且任何协议都存在缺陷和可利用性，这也许就是网络安全最恐怖的一个问题。

软件工程：不管是芯片、计算机、数据、网络，真正调度产生工作活动的是软件，硬件（裸机）是载体，软件是指令集，数据是状态，最后，计算机在一系列的协调下做出最后的动作。软件是网络安全的显式表现。大多数的攻击都是在应用层展开，在应用层表现，而提供应用层人机接口的就是软件。工程化的软件开发思想可以对抗各种形态的攻击，了解软件开发不仅因为他是计算机网络世界的最直观表达，而是要从软件原理中获取攻防途径以及数据在形成调度过程中的表现。通过软件分析，你可以了解数据去了哪里、去过哪里、干了什么，同时你也可以知道如果解释器在解释不同代码段时产生的结果差异化会对程序带来什么样的影响，这就是攻击与防护之美。而要想获得这种美的体验，需要你真正去理解软件。

可能到了这里，有人要问，是不是我们要精通这些学科。很遗憾，不要轻易去说“精通”，大学四年甚至更多的时间下，精通这四门学科彷佛是一个传说。四年中至少我们能够看完这四门课程并且能够记住一些基本概念和思想，这对于很多大学生而言已经很奢侈了。真正这些知识的应用需要在未来工作中不断的总结、应用和思考。总之，这些内容在你未来工作中无时无刻会伴随你。

其次，在校期间不要看一切中文资料，除非你迷上了攻防渗透，这方面国内的基础材料是相当具有实用性。以美国NIST的标准作为辅助阅读材料，一方面能够提高英文阅读能力，另一方面可以非常系统的了解网络安全领域的深度和广度。在找到自己的短期定位的基础上，去读本领域的NIST标准，能够使你更直观的理解课程内容和不足；

国内最大的教育短板在每门课都可能很优秀，但是把所有课放一起，就和国足一样。每个队员都具有很高的技术素养，但放一起就成了亚洲三流。我们的课程缺乏系统化，导致很多毕业生就业后很难短时间适应工作。美国NIST这十几年的标准化建设已经超越了当年的英国和德国的标准体系。NIST的标准已经具备一个系统化的构架，每个标准理论都能够通过一种完善的体系和架构进行解读。通过对NIST的阅读，我们可以理解美国对网络安全技术域的宽度和广度的理解。现在这些标准越来越接近业务体系，因此在标准中对业务的分析也成为重要的一环。从技术架构而言，这套标准的每个用例都是通过实验室的结论获取，或者由厂商提供完整的产品用例和截图，这种思维方式也是我们可以学习的地方。通过阅读标准可以让我们系统的理解美国的网络安全标准框架、体系、技术应用与网络安全架构。

第三，两门基础课必须掌握《密码学》《访问控制》

从本质上而言，网络安全技术是密码学和访问控制的结合。任何网络安全技术都很难脱离开这两个领域。一般密码学在国内专业高校中普遍开设，但是访问控制各个学校开设情况不同。个人建议，除考试之外，本科应尽可能充分理解密码学中的应用密码技术部分，知其然；访问控制基础必须扎实；研究生阶段必须理解密码学理论及深入的算法与原理，知其所以然；访问控制应结合密码技术形成可创新课题进行深入研究。这两门课是整个网络安全专业的核心课程。不管是现代密码学还是后量子时代密码技术，在未来都是不可或缺的知识基础。

第四，稍微学习一下哲学，有助于拓宽思路

哲学为万科之祖，如果想让自己在未来的工作中能够将所有的知识融会贯通，哲学的思想是不可或缺的。在不同行业领域需要本行业本领域的专业知识，这是我们在学校中不可能学到的。一旦离开学校，持续学习能力也是这个行业最大的差距。别人比你强不是真比你强，而是别人的持续学习能力比你强。通过哲学能够使我们将专业知识足够宽泛和深入。这是我们大学生活中最重要的一点。

第五，学法，进校门第一件事是先学好《刑法》《网络安全法》《数据安全法》《反电信网络诈骗法》，保护好自己，保护好未来。

法与道德之间一线之隔，黑与白一线之隔。刑法是每一位网络安全学子和从业人员都应该学习的内容。网络安全技术是把双刃剑，技术没有信仰，但是当使用技术的人没有了信仰，面临他的必然是法律的利剑。网络安全与国家安全紧密相关，利用网络安全技术以及知识、获取的数据不仅面对的社会稳定，个人隐私保护等问题，更加被国际利益组织和政治势力所窥伺。掌握技术的同时应该了解在这个行业里面什么可以做，什么不可以做；什么可以说，什么不可以说。一个传统的话题，我们这个行业，能说的不一定能做，能做的不一定能说。

最后想说的是，不要急于追求新技术新课题和新领域。一切新技术都是传统基础技术的迭代和发展。甚至仅仅是一个概念而已。学好基础学科你会发现，一切新的技术领域都绕不开基础理论的束缚。祝每一位网络安全专业的学子学有所成。

原文始发于微信公众号（老烦的草根安全观）：给报网络安全专业的孩子几点建议