※ 引述《dp2046 (Kevin)》之銘言： : 大家好 : 就我了解資訊安全的工作有分很多面向 : 例如：資安管理、滲透測試、弱點掃描、原始碼檢測、逆向工程 : 個人是比較傾向找前三者 : 其他像是逆向工程感覺職缺非常少 : 而且好像需要會組合語言 : 以前曾接觸組合語言這對我來說真的太難了 : 再來介紹一下自己 : 大學時有修過網路概論的課 : 程式語言方面有修過C和資料結構的課 : 只是C語言好像也跟資安的關聯性不大 : 自己C其實也學得不太好 : 現在則是比較常看網路上的教學用Kali Linux內的工具做些滲透測試、弱點掃描、社交工程的實作 : 和讀資訊安全概論與實務這本書(不過這本書幾乎都是純理論沒什麼實作) : 以現在的情況不知還需要加強哪方面的技能或學哪種程式語言？ 資安要考慮的面向還很多 1.風險控管-政策制定-控制措施-矯正預防 需要實務經驗輔以理論，你可以去看CISSP的原文教材 至少看完一遍重點章節看兩遍，考不考證照是其次，對資安整體面向會更清楚 2.滲透測試/弱點掃描/灰箱測試 這部分只算是控制措施的一環，模擬外部攻擊找出比較常見的漏洞與風險 大都透過檢測軟體輔以自動化腳本執行檢測，資安工程師再根據檢測報告提供矯正預防措施 3.資安工程師比較需要安全意識和清楚的邏輯，還有對系統與網路架構的瞭解 程式語言能力頂多就是讓你在看攻擊程式或軟體原始碼找漏洞時，比較清楚在做什麼 但如果你是負責挖掘漏洞的資安研究員，就很需要程式語言跟密碼學原理還有網路概論 比起C語言，網路世代用Python,GO,Ruby,Perl應該比較多吧? 至少門檻比較低 4.建議從網路概論著手，TCP/IP ARP基礎、各種網路服務的通訊原理(https,dns,vpn..等) 再來是作業系統概論跟Linux系統操作、服務架設與設定、系統防護措施(RBAC,ACL,SELinux,FW) 接著是網路設備的架構、設計、通訊協定(802.1,802.3)、防護安控措施 最後是整體網路架構的安全性設計(DMZ,IDS,IPS,LOG分析告警) 無線網路安全也是個議題，但台灣企業比較少在乎這塊，其實還很多無線設備還沒補KRACKS漏洞 5.原碼檢測會分網頁程式、SQL或企業自己開發的程式(Java/.Net/C)，是比較專業細部的資安工作 會偏資安研究員必備的技能 6.逆向工程就是屬於資安鑑識這塊，要分析惡意程式的特性、行為與追查來源 也是屬於進階的資安研究員技能 總結：懂得設定、操作跟管理網路與系統的資安防護算是資安工程師 　　　知道如何挖掘新漏洞、修補漏洞甚至分析與追蹤惡意程式來源，算進階資安研究員的技能 個人才疏學淺，還望其他高手補充 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.180.96.25 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1557327892.A.AAA.html