大学生网络安全学习及其就业展望
摘要:网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。但技术是一把双刃剑,信息网络中有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。在此次讲座后,我认识到对于计算机专业的大学生而言,网络安全的深入了解与学习符合时代发展大趋势和社会需求,正确的运用知识,使用双刃剑正向的一侧来维护国家、集体与个人的合法权益,在承担社会责任的同时也能满足自身未来的职业发展需求。
关键词:计算机网络;大数据;学习方法;就业
随着计算机网络技术在各行各业的广泛应用,产生了巨大的经济效益和社会效益,计算机网络在为人们提供便利、优质的共享信息服务。同时,网络中的信息泛滥、非法用户的访问、病毒的肆意入侵为网络的信息安全带来极大的隐患。在大势所趋下,本专业的学生对网络安全的了解与学习显得重要与有效。本文对讲座中的知识进行梳理扩展,对从事网络安全方向的知识作大致了解,并对目前就业形势进行分析,浅谈对网安的学习规划。
一、网络安全与信息安全的概念
网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。安全的基本含义:客观上不存在威胁,主观上不存在恐惧。即客体不担心其正常状态受到影响。可以把网络安全定义为:一个网络系统不受任何威胁与侵害,能正常地实现资源共享功能。要使网络能正常地实现资源共享功能,首先要保证网络的硬件、软件能正常运行,然后要保证数据信息交换的安全。
广义的网络安全是指网络系统的硬件、软件及其系统中的信息受到保护。它包括系统连续、可靠、正常地运行,网络服务不中断,系统中的信息不因偶然的或恶意的行为而遭到破坏、更改或泄露。其中的信息安全需求,是指通信网络给人们提供信息查询、网络服务时,保证服务对象的信息不受监听、窃取和篡改等威胁,以满足人们最基本的安全需要(如隐秘性、可用性等)的特性。网络安全侧重于网络传输的安全,信息安全侧重于信息自身的安全,可见,这与其所保护的对象有关,对于用户(企业与个人),网络运行和管理者,安全保密部门,文化安全等不同角度来说,其对于信息安全的定义各有不同侧重。
讲座中提到网络安全即安全领域的自主可控,网络安全既指计算机网络安全,又指计算机通信网络安全。信息安全的本质是对数字资产处置权的争夺,那么信息安全技术是关于数字资产处置权的技术,其中包括攻击技术,攫取数字资产的处置权与防御技术,保护数字资产的处置权。
二、信息安全技术方向
1.物理安全
(1)边信道攻击(side channel attack 简称SCA),又称侧信道攻击:针对加密电子设备在运行过程中的时间消耗、功率消耗或电磁辐射之类的侧信道信息泄露而对加密设备进行攻击的方法被称为边信道攻击。
(2)硬件木马,指的是在芯片或者电子系统中故意植入的特殊模块或者设计者无意留下的缺陷模块,在特殊条件触法下,该模块能够被攻击者利用而实现具有破坏性的功能。
(3)信任基准,主要包括身份认证、授权管理、责任认定,涉及数字签名、CA认证、网络伦理等问题。
2.系统安全
(1)应用软件(Application)是和系统软件相对应的,是用户可以使用的各种程序设计语言,以及用各种程序设计语言编制的应用程序的集合,分为应用软件包和用户程序。
(2)操作系统(Operation System,简称OS)是管理计算机硬件与软件资源的计算机程序。操作系统需要处理如管理与配置内存、决定系统资源供需的优先次序、控制输入设备与输出设备、操作网络与管理文件系统等基本事务。
(3)Web(World Wide Web)即全球广域网,也称为万维网,它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统。
3.网络安全
(1)DDoS,分布式拒绝服务攻击(Distributed Denial of Service)可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。
(2)DNS/BGP:DNS域名系统(Domain Name System)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。BGP边界网关协议(Border Gateway Protocol)是运行于 TCP 上的一种自治系统的路由协议。 BGP 是唯一一个用来处理像因特网大小的网络的协议,也是唯一能够妥善处理好不相关路由域间的多路连接的协议。
(3)网络蠕虫(network worm)是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点。
4.数据安全
(1)安全大数据
大数据时代来临,各行业数据规模呈TB级增长,拥有高价值数据源的企业在大数据产业链中占有至关重要的核心地位。
人工智能应用大数据在场景下统计规律,该行业的热门充分显现了大数据的应用狂热,但是在实现大数据集中后,如何确保网络数据的完整性、可用性和保密性,不受到信息泄漏和非法篡改的安全威胁影响,已成为应用继续良性发展的核心问题。
(3)隐私保护
对个人与企业来说,数据信息包含了其不愿被知道的个人隐私与涉及商业利益的信息,对安全保密部门来讲更是重要,泄密可能造成社会危害和国家巨大的损失。在大数据下,个人、集体只要与外界产生交互联系,则信息就会不可避免地被采集,如何对隐私做到有效完善的保护,是一个亘古不变的难题。
(4)密码学
研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。
三、守护信息安全
在生活学习中,人们无不体验到技术的进步与便利。新技术有新用处,也会带来新问题。例如人工智能等技术可以检测攻击、自动定位恶源黑库,挖掘漏洞,即在安全监测和防御上实现某种程度的自动化。然而攻击者也同样可以借助这些技术提高攻击能力。技术是一把双刃剑,可做矛,也可做盾,重要在对学生的培养要兼顾政治文化素养和品德教育的培养,引导树立科学三观,培育新时代人才。从事信息安全职业有以下五种方向参考:
1.安全架构
(1)安全开发
(2)体系构建
(3)身份管理
(4)网络设计
2.安全运营
(1)事件响应
(2)数据恢复
(3)脆弱管理
(4)积极防御
3.风险评估
(1)渗透测试
(2)漏洞扫描
(3)源码审计
(4)数据资产
4.安全治理
(1)法律法规
(2)企业规范
(3)安全审计
(4)行政管理
5.职业发展
(1)培训认证
(2)安全认证
(3)安全社区
(4)安全会议
信息安全攻防对抗的本质是技术对抗和人才对抗,信息攻防是高科技战争,同时也是人民战争。信息安全不仅是高端专业人才守护的一隅,也需要安全技能和知识的普及。
四、就业形势
行业需求:政府、军队、公安、司法等国家重要部门;银行、IT、金融、证券、通信、电商等公司企业;学校、研究所、培训机构等教育咨询行业。
岗位需求:Web安全工程师、渗透测试工程师、安全测评工程师、安全架构师、战略规划、安全运维工程师、技术支持、安全信息法律相关从业人员等等。
目前网安方向就业前景较好,学习难度相应较大,目前我国网络安全行业非常缺少高技术性人才。总之,与其他IT行业相较,网络安全领域竞争低,薪资高,难度大。
五、学习建议
1.技术能力:软件安全,硬件安全,网络安全,无线安全,运维安全,业务安全,安全开发,情报分析等。
2.非技术能力:极客精神,解决一个事情需要方法知识点通过B站百度论坛博客追寻清楚,利用网络资源解决问题。写write up,能想清楚,能写清楚,能讲清楚。
3.安全人才的个人成长
(1)确立个人方向,结合主攻方向,找出个人短板,向大牛学习,从同年龄段的“学霸”,借鉴他们的学习之路;
(2)阅读知识学习过程的起点,不能止于阅读,观察分析与实践修正;
(3)讲究细节,对每一个参数、菜单和漏洞刨根问底,与时俱进,了解最新技术与工具;
(4)学习的通用要点:效率。