亡身不真
我毕业于国内某不知名高校信息对抗专业,对信息安全领域十分有兴趣,大三时也跟你一样犹豫过,是跟着我敬爱的导师做课题做研究,还是工作,最后还是决定先看看市场需求,于是现在在某金融企业做信息安全。算不上前辈,当作是你的前车,来答个题。选择倾向是压倒性的。除非你是ACM成员或有类似见闻,对安全算法也深有心得,我个人不建议你不知市场需求地搞安全研究。所谓的高起点,如你所猜,也如我所印证,在安全领域工作三年之后,你的水平、你的既得收入、你的身价,将远远超出在实验室或在研究所干三年之后的所得。故若非有缘,不必为求敲门砖去读研,安全市场本身缺口就很大。安全若要转行到其他领域,空间就更大了——本身搞安全的提升空间就已经很大了。事实一:工业界的安全缺口非常大。不管是对人才的需求,还是对产品的需求。事实二:相比起学历,安全还是更认可证书多一点。事实三:安全领域十分广泛而交叉。故而需要各方面的人,业内专家也就尤为难得,另外个人的机会也十分广泛。事实四:本科知识十分基础。这既代表它有些老旧,不与时俱进,对工业界安全一无所知,对学术界也浅尝辄止;同时也代表它十分重要,你的发展和进步完全依赖于你的基础是否牢固,原则是否清晰,能否在实践中不断学习,我认为在绩效的催动下个人的进步要比在实验室中快得多。比如我学CISSP,对公私钥系统的认知仅是比本科时清晰了一点,但仍不知为什么诞生了这样的算法、它有何变通、如何触摸底线,而在搞一个项目和乙方扯皮证书认证的过程中,不但吃透了这个原理理解性地记住了,更了解了工业上的数个成熟解决方案以及安全领域内对密钥交换机制的底线要求,我觉得,这个经历,是实验室里的“老板”很难带给你的,他们和乙方一样,更着眼于自己的技术。虽然你从大学毕业了,但你不妨每学期和你考研的小伙伴们互相分享,这半年学到了什么。1、安全技术员。相关资质:CISM,全球顶级的CISSP2、信息安全审计。相关资质:国内的CIA、国际的CISA3、信息安全规范。相关资质:ISO27000(这个没证,就是从业经验),(本科安全,在职深造个法学硕士就非常好,不一定要律师)4、信息安全顾问。相关资质:这个主要是你的工作经验了5、信息安全管理。相关资质:以上所有,但是金字塔的顶端是信息安全策略、规范,技术是基石。在安全岗位上,研发,市场,销售;内控,审计,监管。不一而足,需要的是不同类型的人。我们粗俗地讲讲卖东西而非做学问,做安全产品圈子小,竞争对手熟,需求刚,缺口大,很赚钱。要资质的话,以上都是有含金量、话语权的,那些从业资格证和初级证书就算了。