※ 引述《away1225 (空飛牙)》之銘言:
: 小弟讀的是一個未來不知道幹嘛的文組科系
: 大概在去年我就發現了科系相關的工作沒前途的事實,於是在家人跟師長的建議下去巨匠
: 補了網路管理相關的課程但隨著接觸越深,開始對資訊安全有些興趣,也做了一些功課了
: 解資安工作與網管的差異,在104也發現普通網管的薪資其實跟其他產業的一般職位差別
: 不會太大,資安相對薪資待遇更好、能應徵的工作更廣
: 我知道資安需要的硬實力要求肯定比較高,想問資安這塊是不是真的值得我再多花一點時
: 間跟錢好好學,或是有沒有更好的路可以走?想知道版上各位大大的看法,謝謝!
這可以講很多面,簡單說解決資安問題最符合成本效益的方式,就是工作流程的改變。而不是靠什麼高科技技術。
以 身份驗證 Authentication 來說:
外行人:要學密碼學。
實際: 限制使用者密碼長度,複雜度,簡單有效。強制定期更改密碼,簡單省錢又有效。
還不夠安全,就上多因子驗證。
多次驗証只有你知道的機密,簡單便宜有效。
以 權限管理 Authorization 來說 :
外行人:要學很多 access control,zero-trust
實際:需要資訊安全的地方,先把所有權限都關了,慢慢申請。簡單有效。
以資料完整性來說 Integrity:
學術界:一堆新演算法,特殊場景的protocal
實際:你研發的演算法,不是國際標準,根本不合規,誰知道有沒有暗藏什麼黑箱或漏洞。所以直接用便宜免費的國際標準做法,反而是最好的做法。
以入侵恐嚇來說:
理想:找專家來解決根因
實際:報警請免費的人來調查。
以竊取企業資料來說:
理想:裝最先進的DLP,例如把公司所有檔案加密,監控員工電腦所有行為。
實際:zip檔,pdf檔加密,便宜有效。
以code security 來說:
教科書:一堆injection, buffer overflow
實際:這幾年新的開發工具,自動防範Injection
所以在資安領域,正確的流程,一直都比技術重要。而這些流程,經過幾十年來,都形成了固定的招式,甚至一堆國際標準,例如最基本的:
ISO 27001,BS7799。 比較大的公司都會定期請"顧問"導入一堆資安流程。
因為政府的標案標案,以及政府的法律規定特殊產業,金融,軍事,公營,財團法人,都必須符合國際資安標準流程。且定"期驗"證。
所以在台灣唯一穩定賺錢,永遠被法律保護賺錢的產業,就是資安顧問業。專門導入資安流程與解決方案的顧問業。
專門賺這種錢的有:
國外顧問業,例如IBM,做金融產業比較多
國內資訊服務業:上市櫃那幾家,以及自己出來開公司的一些老人。最政府案子比較多。
顧問業:例如常說的四大會計師事務所。政府金融都做。
財團法人:財團法人的一些組,有時也會接案去做政府的資安政策技術制定。(也是偏向顧問,而非技術研發),早期資策會那一票人,都做到當官了。
政府與金融業要導入流程,
可能需要要採購資安軟硬體設備,通常都是買國外大牌子,因此賺錢的是代理商,或原廠。
像趨勢就主要是賺這種To B客戶的錢。穩定,但吃不飽。
資安軟硬體國外品牌設備代理商或原廠雖然有工程師,但是只要熟自己產品就好,不用太懂技術底層,也不用開發資安產品。
台灣資安產業,穩定賺錢的剩下顧問業了。
而且其實餅還蠻大的,這幾年政府大灑錢,我認識的一堆人又升官了。
資安顧問要賺錢,有人要高薪聘你,考證照只是基本。到最後可能不是你技術要有多強,而是你"有經驗,有人脈,有關係",能搞定政府流程與金融法規流程而已。
簡單說台灣資安產業,整體不是靠 "技術研發"賺錢,要走就走流程導入的顧問業,可以穩定吃飯一輩子。
比較知名那幾家,很挑學校名稱,吃績效分紅的,碩士畢業很快可破百,5年後年薪大概在150左右。但成長到200左右,要突破就要去混產官學關係了。