移动办公对电子文件安全性影响 - 信息安全_CIO时代网 - CIO时代网,服务中国CIO
移动办公对电子文件安全性影响
移动办公对电子文件安全性影响
10:59:00&&来源：万方数据&&
10:59:00&&来源：万方数据&&
摘要：随着科技进步带来移动办公的迅猛发展，电子文件管理作为移动办公中的重要内容，实现其安全性保障不仅是电子文件管理的目标，而且还是提高移动办公效率的需要。
&&& 一、移动办公的特点
&&& （1）便捷性：支持笔记本电脑、POS机、PDA、手机等多种移动终端，且无线网络或有线网络的双重选择使得办公人员可以随时随地针对自身工作需求与现状进行相应的终端数据处理。
&&& （2）灵活性：移动办公系统的设计可以针对不同行业的具体隋况而量身定制，而不拘泥于传统OA网络的设定。
&&& （3）高效性：移动办公便捷、灵活性不仅使得出差在外业务繁忙的领导和有关人员可以随时随地地进行电子公文的审批，而且有针对性的系统功能的设计不易造成成本浪费，大大提高了工作效率和质量。
&&& （4）功能强：移动终端功能强大：如手机能实现公文短信/彩信提醒与传递，通过一定软件还可以进行电子公文、邮件的审批和收发；而随着智能科技的发展，PDA也基本上涵盖了PC机的所有办公功能。（5）互动性：笔记本电脑、手机、PDA等移动终端不仅可以作为信息提供者传递公文信息，而且还可以作为信息利用者接收或反馈信息，实现信息的双向交流互动。
&&& 二、移动办公对电子文件安全的威胁
&&& 1.电子文件的保密性。电子文件移动办公管理的实现是基于无线网络信息传送和有线网络信息传递两种形式。由于处在完全依赖网络传递信息的办公环境下，无论是哪种信息传递方式其网络自身都存在诸多不安全因素，电子文件本身也具有一定的信息保密性，而在信息交换和人员沟通复杂的移动办公系统中电子文件的业务往往需要经历外网和内网Oh的信息交互来办理，这就使得处于开放的网络状态下移动办公系统中的电子文件信息面临网络带来的各种风险，如计算机木马、手机病毒的入侵，非法用户对电子文件的窃取、篡改等。
&&& 2.电子文件的完整性。移动办公中的电子文件管理面临的安全风险还影响了电子文件构成要素的完整性。木马、病毒的入侵会改变电子文件包括字体、数字签名、时间戳等内容的物理格式以及包括文本、图像、注释等文件表示类型的智能格式；非法用户对电子文件的窃取和篡改也会使得包括电子文件内容、活动、档案链、背景等电子文件的基本构成要素缺失或失真，这些都影响了电子文件自身要素的完整，与电子文件管理中安全保障原则相悖。
&&& 3.电子文件的信息认证。电子文件的信息认证即确保电子文件的发送者和接收利用者身份的真实性以及验证文件信息的完整性。处在多种移动终端的办公环境下，信息的发送者身份复杂，如手机和PDA办公中往往较难核实信息发送人员的身份；办公人员在移动终端系统进行电子文件业务办理一般是基于系统给予的访问权限操作来完成的，但现在较为普遍的&用户名+密码&的身份验证往往容易被第三方破译或截获密码，访问权限操作安全系数不高；此外对电子文件信息的完整性验证是移动办公的难题，目前对电子文件构成要素的完整性检测普遍只存在于传统的各个机构的内部办公网络当中，对于拓展到移动办公模式当中则需要攻克技术、管理等难题。
&&& 4.电子文件管理漏洞。对处于移动办公系统中的电子文件进行管理必然会面对来自人员操作、管理制度、管理技术等方面的漏洞威胁。在人员操作方面，对电子文件传输和接收的管理不慎会造成电子文件的泄密，如对电子文件网络传输网关、OA服务器的管理者若是没有及时更新网络安全软件，或是在传送电子文件时对传输操作不熟悉，就会使得电子文件在移动传输过程中被第三方窃取；又如移动终端的使用者（电子文件的接收者）在终端设备处于开放状态时没有及时将接收到的电子文件进行妥善的保存处理，或者其保存后不慎丢失移动终端，这也会带来极大的泄密风险。在管理制度方面，对机构内的移动办公中履行电子文件管理的职责分工明确与否，是否有一套较成熟的管理方案也对电子文件安全管理起着极为重要的作用。在管理技术方面，这主要体现在电子文件网络传输网关、OA服务器的管理者的技术水平的高低上，其是否具备较好的移动通讯和电子文件安全管理技术水平很大程度上决定了电子文件在移动办公管理中能否顺畅进行；另外移动办公的终端使用者也必须具备一定安全和操作仪器的知识，否则无法进行正常的电子文件移动办公。
&&& 5.电子文件法律安全漏洞。移动办公中电子文件管理目前还存在较大的法律安全漏洞，这主要体现在以下三方面。一是移动办公安全法律法规不健全。虽然我国已经出台了一些与移动办公相关的计算机网络信息传播保护法规，但现有的法规和政策仍难以适应日益发展壮大的移动办公的需求。二是电子文件安全规范有待完善。我国现有的电子文件安全规范主要有《电子文件归档及管理规范》、《电子签名法》、《建设电子文件与电子档案管理规范》等相关法规和标准，但当中还是有一些法规界定较笼统、不清晰，这也使得电子文件在自身安全管理上就有较大的漏洞。三是对相关法律的执行力有待加强。移动办公中的电子文件传递和保存等操作往往只需要短短的几分钟甚至几十秒钟，而且对其安全传输的管理又必须经过多层面的把关，这就增加了信息安全的风险，而随着科学技术的进步，即使有专门针对网络通讯犯罪和电子文件管理的法律法规，其执行力也还有待加强。
&&& 三、移动办公对电子文件的安全策略
&&& 1.建立安全的系统防范。建立安全可靠的移动办公系统是能进行电子文件安全利用的先决条件。电子文件移动办公安全系统是建立在移动办公网络架构上的，结合电子文件安全管理的特点，系统对电子文件安全|生保障体现为以下两点：
&&& （1）电子文件移动处理终端安全陛保障。移动处理终端对电子文件移动办公安全性保障体现为移动终端的技术性保障和人为的保护。
&&& （2）电子文件网络传输安全性保障。网络安全性是保障移动办公中电子文件数据传输安全的重要环节，主要包括电子文件接人网关安全和电子文件网络信息安全两方面。在电子文件接入网关安全中，应主要防范第三方的非法接入以及防止传输中的电子文件被第三方窃取。另外，网络隔离还可采用专用通信安全协议、数据鉴别认证等技术对存在安全级别差异的网络进行数据转换保障，如进行电子文件相关背景信息的过滤、信息授权者的身份认证、安全审计等安全防护。再者为防止其他用户的非法访问，在访问权限上还可通过增加如手机号码验证、移动IP登录等形式与电子文件PKI技术以及传统的&用户名+密码&方式组合，综合保障文件传输的有效性和安全性。
&&& 2.建立电子文件在移动办公系统的安全规范。建立电子文件在移动办公系统中的安全规范是从制度上进行安全保障的重要手段。这些规范的建立应该具备以下特点：机密性保障，电子文件代表了形成机构的机密，确保机构机密不外泄是安全规范中的首要前提；有效性保障，电子文件的利用最终目标是服务于本机构各项工作，其有效性直接关系到机构的各项利益；完整性保障，即保障电子文件在生成、网络传输、终端修改等各环节中的信息完整性；可监控保障，即要确保移动终端、移动网络和办公内网对电子文件的信息传输、利用等行为的全方位监察和控制。另外，安全规范的建立还应结合移动办公系统的技术环境特点来进行其他特殊情况的考虑。除进行对相关操作人员的安全培训、信息登记、保密条款的制定等，还应结合电子文档管理制度制定对手机、笔记本电脑、PDA等移动办公设备运行电子文件程序的安全规范要求。
&&& 3.制定、完善移动办公和电子文件相关法律法规。
&&& （1）构建电子文件移动办公相关法律法规安全体系。信息技术的快速发展是保障电子文件安全的首要因素，而与移动办公发展相关的电子文件安全相关法律法规的完善也应跟上信息技术发展的步伐。还应该注重政策的指导和激励以及制定相关的技术规范，创建一个法规、政策、技术规范三者相结合的利于电子文件移动办公的安全环境。
&&& （2）借鉴国外电子文件法规发展经验。由于移动办公技术的发展正处于上升时期，电子文件生命周期中的各环节相关技术也在不断被挖掘，因此，对于移动办公中电子文件安全管理的相关法律法规的建立或完善须遵循法律在提供现有保护的基础上还要留有空间促进相关移动办公和电子文件相关技术发展的原则。目前这方面国际上相关立法模式主要是&明示型&、&准则型&和&开放型&三种，基于电子文件立法的国际主流思想&技术中立&的考虑，我们可以参照&准则型&的立法模式，在法律法规提供保护的基础上，明确鼓励技术创新和保护知识产权，以此来调节移动技术和电子文件管理技术的发展和相关法律规范滞后的矛盾，进一步提高移动办公和电子文件安全管理的法律规范效力。
&&& （3）与国际标准接轨。在制定和完善电子文件移动办公相关法律法规时要注意与国际相关标准、规则接轨。结合具体国情，创造符合自身发展情况的电子文件移动办公法律法规标准环境。
责编：chenjian移动办公解决方案提供商哪个好？_百度知道信息安全专业的学生应该如何进入该行业？
大一前零基础，大一大二大三大四分别怎么安排，及是否有考研需要。题主身在信安偏弱的院校，大一结束。乌云，看雪等地都是看不懂的东西。马上大二，大学时间已经剩下不多了。怎样跨入这一领域，怎么寻找团队?
看了其他前辈的回答，简单讲一下我的非主流经历吧。我比较好折腾，所以涉猎比较杂。高考时报信息安全是觉得“信息安全工程师/网络安全工程师”是很牛逼的名字。大一主要学数学与外语。数学当时学的是物理类的，比同济那版还难一些。但是学的还可以，考过满分。大二一方面是数论，另一方面是数据结构与编程语言。大三是编译、算法、密码学、网络安全、理论计算机、数据库、病毒等等。由于六级考的不太好，大三花了4个月左右过了上海的英语高级口译考试。大四找工作时拿了个支付宝的Offer，当时那个机构人不多啊……不过后面保上研了。拿到了上交与清华的Offer。但高考时是很想去交大的，交大的信安。但贵清太有诱惑力了啊……从了。研究生第一年，原计划是按密码方向做的。所以读了不少关于理论的论文，比如可证安全、椭圆曲线密码体制、双线性配对、基于属性的密码体制等等（我还想枚举一些但是忘记的差不多了……%……）。也会去姚期智教授组里蹭讲座，都是我看的经典论文上的作者的讲座，感觉神一般的人来到身边了……也上了数学系的硕士代数数论课，印林生教授的。这个真的很高深。 后面机缘巧合去了MSRA实习，开始做新的课题。在两位Fellow的指导下做了两篇论文，关于多媒体计算方面的。毕业后，机缘巧合来到某央企信息部门。回望每一步的抉择，我发现了这么个折腾规律吧。我喜欢在看上去快要确定的未来里，引入一些新变量，来拥抱一个新的变化，而这个变化能给我既定的轨道带来一些新的生活元素。大二大三时是不计划读研的，毕业后就找工作。但仍然努力学习专业课，考外语证来证明实力。后面发现，可以保研唉。于是就去呗。读研的时候密码学的课题开题报告都写好了，有机会去梦幻般的研究院实习做研究。去呗。毕业的时候，在互联网企业、外企都有实习经验的前提下，有央企的Offer，那就去看看呗。于是我来了。当然每个选择都有挑战与风险的，这个要由自己来控制与把握。回过头说说你的问题。我理解你现在的心态，好像前面好遥远，想好好计划，感觉有很多事情想做，又希望有人能指路怎么走。这个问题基本无解，即只能自己去探索。证明如下：如果题主是个有坚定追求的少年，那已经开始行动，不会来此提问；如果不是这个类型，那听A、听B、听C说都是FYI，最后还是靠你自己的步步选择。我的总体建议就是，走好当下每一步，充分利用当前的教学资源。打铁没样，边打边像。我大一时听新东方高级口译老师的讲课，60秒的录音复述没几句能记下来，到大三的时候，基本上1分钟内的交传已经没什么问题了。你把手头的课学好，作业做好，要以全力以赴的态度，而不是低空掠过的态度。具体几点：1.
一定要利用好上课时间的效率。很多人上课会走神，跟不上老师的思路，然后下课去看书，考试前复习。这样很低效。我自己实践发现，如果上课全部能跟上老师的讲课思路，基本上你下课后的作业能直接完成，而且不用再多花时间复习。这样课后的自习你就能有自主的学习时间了！而且你上课完全跟上老师的思路，你很快能发现老师讲课有时也是有思路上不严谨的地方的，这个技能与口译复述时的边听边总结是相互辅助互相训练的。我在口译训练后期，甚至用一个笔记本把老师上课所有说过的说记录下来。边上课边练习口译……2.
考试成绩高与学好一门课无直接关系。即课程系统是有Bug的：你上课听讲了，课后写了作业，考前复习，基本上就能拿到90+了。其他的时间你想学啥学啥。大学成绩是硬道理，成绩好一些以后会方便很多。我能拿到保研名额也与成绩有关。3.
学好一门课要花的时间远大于应付考试的时间。课程上一带而过的东西很多是值得深挖的，这就是争取出来的时间应该花在的地方。比如现在可以到国外大学找课程，找论文看，代码验证实验。4.
关于信息安全。讲一下我的理解吧。我觉得大体两个分支，一个是密码学，一个是网络或者信息系统的安全。密码学我深切的体会是，数学要扎实，然后一定要有老师指点，不然很容易抓虾。我认识王小云教授的不少博士是数学系本科，但是他们的弱点是不会编程，但由于老师牛逼，所以走的弯路不会多。然后做密码研究的一个方向是，根据某些应用场景，提出新的加解密算法，并证明其安全强度。另一个是网络安全，就是攻防渗透漏洞等等，这些是代码级别实干的，所以重实践。（BTW这方面我一知半解，专家们请指正。）5.
关于读研。我个人的体会是，读研收获很大的。虽然支付宝工作三年后的收入很可观的，但是我认为在研究生三年中最大的收获不是什么两篇牛逼论文，而是经过系统性训练获得的研究能力。知道如何快速的切入一个领域，找到其关键问题并拟出解决计划、验证、最后整理成材料。两位老板都很有洞察力，有时候是视野决定出路的。学习的能力是可迁移的，这也是一种“很可怕”的能力。而且，还有一点是把自己做的工作恰当地表达的能力。我想看贴的产业界的朋友，如果做到管理岗位就面临一个问题是，如何向自己的老板简单地说清楚自己部门/组做的工作的重要性，以及争取更多的资源的问题。6.
关于团队。这个不要着急。加入一个社团，组织一些活动。在专业上，自己能力强了，且不要被自己的能力被蒙蔽住双眼，与人好相处的话，以后做事不愁没有团队。7.
关于Coding。我现在不做专职Coding。但是这个也是个硬工夫。拿一本算法导论从头到尾做一遍里面的实验。或者拿本数据结构做一遍所有的实验也行。做完后你会发现质变啊。（举例，我在口译时翻译+背了一遍新概念四，从此以后写/说英文就挡不住NCE那种略带风骚的腔调啊=-=）我现在比较后悔的就是大一暑假好基友找我一起去学习ACM集训，自己因为各种心理建设不到位的原因，没有去。错过了就是永远错过了。在合适的时间只能做合适的事情。C’est la vie!8.
成长最好的方法，就是按部就班。
信安专业毕业五年，从安全产品公司做到某制造业民企的安全部门，接触行业不算少，希望对题主有帮助。1.大学怎么安排。
1.1 学好每一门课程。学好的定义是，书本上的东西得弄懂，不是简单的混及格。不要天真的认为某门课以后会用不到。比如，各类编程语言、数据结构、编译原理对以后写代码或做代码审计是非常有用的；计算机网络、网络设备配置是你理解互联网基础的门槛；数论、密码学是跨入密码这一学科的敲门砖。
信安专业的课程设置基本上交叉了计算机科学与技术、网络工程、软件工程、应用数学几个专业的内容，所以，这个专业的方向会很多，楼上有朋友已经提到了。简单说几点：
方向一：打好编程基础，找到自己的兴趣以后做一个不错的coder。我身边很多同学都是走的这条路，他们没有选择安全作为职业，而是当了程序员，从就业的角度，无可厚非。
方向二：打好编程基础，学好了安全基本理论（比如攻防技术、病毒原理），进入安全公司做研发。绿盟、启明等等安全产品公司每年校招都会招研发，反病毒公司也会有此计划。或者进入互联网公司的安全部门，这需要较高的编程水平。
方向三：学好网络，以及路由交换的东西，如有空闲时间考思科的认证，以此作为敲门砖进入网络安全产品公司做技术支持。有人认为研发比技术支持牛逼，我不这么看。好的东西总是要应用在客户环境里才会发挥作用，好的安全解决方案也不是研发人员能胜任的。
方向四：课程成绩都很好的话，对信息安全标准（、等保）和安全管理有兴趣的话，考虑抓住校招的机会进入国内垄断行业的信息安全部门。注意，一定是国内垄断行业，比如金融、通信、证券、能源。传统行业的民企就不要考虑了，受限于业务形态，本来对互联网的依赖就不高，信息化程度也不高，信息安全的建设水平也落后的多。
看到这里，是不是感觉咱这专业毕业以后的就业路子还算挺宽的？前提是，大学的课程要学好，基本功要打牢固。
1.2 尽可能多的应用你学到的东西除了学好书本知识以外，尽可能多的应用它们。不要指望学校安排的那几个课程设计，量太小。实在想不出来怎么应用，就去找一个和你关系好的老师让他给你开小灶指导，我大三时候就遇到了这样一位良师。比如，尝试用学到的语言和数据结构写小软件、小游戏；尝试根据ccna的教程在模拟器上配置路由交换设备；尝试自己搭建一个asp+access的网站，然后应用sql注入和xss；尝试在虚拟机环境里研究一个病毒样本。可以尝试和应用知识的手段有很多，养成这种边学边应用的习惯很重要。1.3 多读书多泡图书馆
书本上的东西还是简单了一些，基础了一些。为了掌握更深层次的东西，为了开阔眼界，这个行业的书一定要趁着大学四年的闲散时间多看一些。感兴趣的、觉得内容不错的书可以精读，其他的大可以泛读，确实喜欢的一定要买下来。当当和亚马逊买书方便又便宜，好书值得反复读。1.4 如有空闲时间，多接触行业内从业者。
当你有了一定的知识储备和应用它们的经验之后，你再来看乌云、看雪这些安全论坛时，应该不会再那么茫然了。尝试着在论坛里和人交流，不要怕丢人，总会有人愿意交流，这就是学习的机会。如果你想了解安全设备、安全标准，
这个论坛非去不可。在这里你也可以接触到更多的从业者。接触的多了，思路也就打开了，要学习的东西会越来越多，那时候你会没时间泡妞，没时间打游戏。2.要不要考研。我曾经尝试考研，失败了。也有不错的朋友考上了研究生。但工作这几年之后的感觉是，研究生的身份除了能让你在找工作时起薪高一些，似乎没什么其他作用。关于国内研究生、博士生的内幕或经历，题主可在知乎搜索相关内容阅读，研究生绝非想象中的象牙塔。以我的经验看，信息安全更倾向于实践型的学科，新技术大多不是实验室里研究出来的，而是实际工作中逼出来的。从这个角度来说，研究生没什么帮助。因为就业压力大而选择考研的朋友，我都会送他们一句话：读研了又能如何？你只不过是单纯的老了几岁，还是要面对这个一模一样的社会。----摘自小说《思科九年》3. 现状高手还是聚集在北上广深以及杭州。刚毕业时还是可以考虑去这种环境历练几年积累资本的。二线城市的成长也很迅速，比如成都、西安、大连，因为是在成都读书工作，所以对成都蛮熟悉，多说两句。各大安全公司在成都都有分支机构，新蛋也在成都，政府原来还筹建了一个信息安全基地，大环境还是不错的。
感谢邀请。题主现在的情况，比我当年要好的多，至少你还学的是安全专业，在大二的时候已经知道感觉到压力了，说说我当年的情况吧，希望对题主有点帮助。直接引用我之前写的一篇文章的内容吧：03年上大二的时候，才有属于了自己的一台电脑；那会虽喜欢玩网络安全，但也仅仅是停留在玩玩的阶段，看看《黑客X档案》、《黑客防线》什么的，从没想过要将这个作为工作来做。04年初，国内第一家商业安全培训网站《黑客基地》开始商业化安全培训运作，我花了小半个月的生活费买了个vip学员，并混了个vip学习区的小组长，很多道上朋友的认识可以说都源于此。期间也写了一些乱七八糟的文章，这里竟然还有：05年上半年，大专毕业实习的时候，那个时候很迷茫，对于一个就读师范院校的非师范类专业–电子信息的我来说（专业课自不用说，考试都是补考过的）感到了从未有过的压力，是到了要考虑下将来的就业问题了。不过那个时候，凭借自己在学校里的”战绩”，在学校网络编辑部谋得了一份兼职的工作，可以免费在那里上网，工作么，就是帮他们维护下电脑，免得中病毒了。正式在这里的工作，再加上自己的这个blog，给自己带来了一份比较重要的在校外实习的工作。第一家实习的公司的老板，通过我blog的联系信息，知道我在我们校网络编辑部工作，于是就直接打电话找到了我们编辑部，刚好那天我也在，于是就接到了电话。对方说事一家网站开发公司，欲招聘网站开发人员，问有没兴趣，可以一谈。正好我也发愁实习的时候，于是就过去谈了下。结果是因为自己没有一点脚本开发的能力，哪怕是asp，好在老板给了我2个月的免费实习期，2个月内没有工资，且根据2个月的学习情况，如果学习情况不错，可以拿到一点工资，毕业后可留在公司。这2个月的asp开发语言的学习给我奠定了点语言的基础，为后期学习其它语言打了点底子。此后阴差阳错的考上了专升本，继续在校就读2年，2年期间一个是阅读了不少web程序的源码，另外一个找点兼职帮别人开发程序，在兼职中学习了PHP开发、Jsp的开发，对于开发语言代码阅读无障碍了，为以后代码安全审计打下了基础。在这里不得不说下Bug.Center.Team，有幸加入了这个组织，主要是研究Web安全的一个安全组织，在里面得到了一帮好朋友的指点，也使Web安全技术得以很快提升。在此感谢BCT。06年专升本毕业实习，找的工作依然是程序开发，包括毕业到北京找的第一份工作，依然是程序开发，对于一个只懂点web脚本开发的，所谓的安全爱好者，想找一份安全相关工作，还是想都没敢想的。07年6月份毕业后，直接到了原来iceyes同学推荐的，北京兼职的一家公司报道上班，做Java程序开发，这个时候，收到了阿里巴巴的Web安全工程师的面试通知，风尘仆仆的从北京坐了十几个小时的硬座跑到杭州面试了一把，最终结果自然是杯具了。不过也不是什么坏事，因为面试被拒，刺总将我的简历转给了另外一家公司，也就是我安全工作生涯的第一家公司:久游网。在这里感谢刺总、iceyes。详细的文章：我所在院校是我所在市的师范院校，专业是非师范类专业，我从事安全工作主要是自己的兴趣使然。如果题主将来要从事安全工作，我觉得你首先要对这个感兴趣，下力气钻研，没有什么难的。我记得我以前老板跟我说过一句话（原话记不清了，大概就是这个意思）：只要你不笨，技术这个东西，随着时间的积累，没有什么你搞不定的。当然，如果你对安全没兴趣，误打误撞进入选了这个专业，就像我一样，你可以自己去努力往你自己的喜好的领域去发展，当然，你的专业课最好还是要拿下来，毕竟现在国内很多公司招聘还是对学历有要求的。至于考研这个问题，如果你的能力已经能在本科毕业后给自己一份糊口的工作了，社会这个大学3年能让你学到比大学里更多。而你即使研究生毕业后，依然要面对这个社会。我是偏实践类型的，^_^。再补充点现在安全行业内现状吧。很多甲方公司，比如腾讯、百度、阿里巴巴等，都有自己独立的信息安全部门，游戏类公司基本都有自己的安全团队，b2b类电商，比如京东、当当、1号店等也都相继成立自己的安全部门，说明互联网对于安全的重视已经越来越高了。安全人员缺口子不用说。乙方公司，自不用说，像传统的绿盟、天融信、启明星辰等，新兴安全公司360、安全宝、知道创宇等等。一直狂招安全人员。现在移动互联网的兴起，对于移动设备安全的人员缺口很大。安全工作形式一片大好，这个是官方的文章：
怎么看题主都像是我所在的大传媒计算机学院学生呢？哦，不，现在院系调整了，改为理工学部计算机系信息安全专业了。言归正传，先贴几个我在知乎回答过的相关问题，供题主参考：信息安全专业，追根溯源是离不开计算机专业的，所以这篇回答你也可以参考：楼上
的经历是目前信息安全行业里非常有代表性的一批大牛的成长经历：兴趣和好奇心驱动。驱动力来自哪儿，有多强，是决定是否可以成事的内部源动力。要想进入信安行业未必需要很纯、很强的内部驱动力，但要想学好信安技术，必须有强大的内在精神驱动力和长期坚持不懈的努力付出。零基础开始要学好任何东西，都更需要坚持！题主既然多次提问信安相关的问题，说明兴趣和好奇心想必已经是满满的了。但题主这一年来，具体做了些什么具体的努力和尝试了呢？在我看来，年轻就不必害怕走弯路，哪怕不知道该用什么最佳方法去达成目标，先上路再说。学习信安？先从动手编程，哪怕是编写一个网页、一个网站、一个游戏、一个工具、一个APP开始。之前北邮人论坛，flyingkisser牛05年的时候也写过一个信安学习指导，我贴出链接，供你参考：如果单纯只是为了跨入【信安领域】，那么现在只要有信息化的地方，就可以说是信安领域了。君不见，连手表都智能化，有OS了吗？甭管你是开发，还是使用，都得求个安全不是吗？所以，管它什么技术，只要你继续坚持IT技术，那么，甭管成长路径如何，就算误打误撞，你都会有机会跨入【信安领域】的。从看似与信安无关的【技术】开始，赶紧动手吧，加油！
--前言--信息安全金字塔，最顶层的是制定适合企业的安全策略、安全标准，中间的有安全顾问、安全合规、安全审计，在前中后阶段保证信息安全，基线的有操作安全、物理安全、网络安全等等，一切围绕安全三性（完整性、可用性、保密性），目标是企业利润持续增长。提问者大一，计算机专业，想钻研技术，那么就仅讲讲这个范畴的信息安全——计算机安全和网络安全。--正文--1、大一大二大三大四分别怎么安排？这个时候我就很想贴导师那张网络对抗技能树的图了，可惜弄不到。大一大二，打基础，学好你们的专业基础课：编程。c，c++，java，你们应该都是会学的，还有计算机原理及汇编，再来数据库，计算机网络，密码学，信息对抗。课程设置由学校决定，但任何一门编程对于计算机的学生来说都是生存技能，不但要上课做作业考试过关，还要折腾一些团队合作的小项目，做过模块开发，你才是一个基本合格的计算机院学生。不要被网络上那些python什么的迷花了眼，把c和c++两种基础学好，再要用任何一种语言学起来都很顺利。编程基础，是你的优势，不要浪费优势（当然python是一种非常好的语言，对那些非计算机专业想搞这一块的我推荐去学一下《与孩子一起学编程》。小学生都能学会python，别再说你没基础）。信息安全有许多分支，网络安全技能树也有十几条，任何一条要做到精深都能实践上五年，你在学校里要做的，是主动去参加一些信息安全竞赛、开发者大赛，结识老师、大牛，不要放过组团进行开发项目的机会。这样你就能逐渐扩大视野，找到自己的点在哪里。这个阶段，一般发生在大二上至大三下。数据库和计算机网络的核心理论基础一定要掌握。密码学和信息对抗这两样关乎前沿科技的课程则有些脱离工业应用，基本上，学得扎实的人，工作后才会知道“好像课本上确实有这样教过”，学的时候是不知道为什么的。大三，一定得有项目实践经历，不然太脱节了，院校招牌不响的时候尤为如此。2、是否有考研需要？对于任何学科，我们一般都会说，有兴趣、想深造，想进国企、要文凭，可以考虑考研。可是很遗憾，我不推荐提问者考研。第一，信息安全从业缺口较大，对于稍有基础的人，就业不难，计算机专业有项目开发经验的人，就业更不难，读研不具有必要性，信息安全对于学历不那么那么强调（相比项目经验和资质），读研不具有重要性。第二，读研也是你的一种职业选择，和工作一样，是给你的boss打工的。而大部分信息安全研究与工业应用脱节严重，接的项目技术含量不高（知不知道为什么不少国企的计算机网络应用实现都做得那么扯？），还不如在社会大熔炉直接滚一滚。第三，有一些情况是读研不错的，那就是瞄准了好的导师、好的研究所、好的项目，可以长期服务的。但是这种情况多发生在本科师资强大的学校，以提问者的现状，很难发现这样的机会，如果随意报考外校，不提机会成本非常高昂，而且人生地不熟的，“二”提到的问题也相对较难避免。3、乌云，看雪等地都是看不懂的东西，怎么办？如果我们简单粗暴地把信息安全划分为“黑”“白”两道，看雪暗组绿色兵团等等算作黑道，有一些组织提供的是中立的资讯，为企业服务则算是白道。那么黑道的特点是，大量靠自学，大牛放工具，脚本小子用工具，注重直接效用，门槛在产业链和社会工程，提升点在以技术结识大牛，可能会以一些违法行为作为收入来源。白道的特点是，修道院，理论知识一大堆，本职工作是写代码、维护和预防，提升点和门槛都在技术。乌云的出现是一个里程碑式的变化，不好定性。所以，你看不懂的东西，看不懂就看不懂，那不是你的领域的。但是，在你计划中的大三，应该能看懂其中跟你方向有关的东西了。到那个时候，你不需要实践，仅凭案例就能获取他人的教训——哦这个地方不能这么写。如果这时候的你去另一面转转，你必须是自己为渗透测试写定制脚本的大牛，而不能是只会用工具的脚本小子（但是当你有坚实的修道院基础加实践经验时，估计你也懒得再去看雪看小白提问了）。如何进行渗透测试实践可以单写一本书，只想强调，想玩不是不可以，但是不要依赖别人的工具，工具是在厘清渗透思路以后解放自己的一个东西，你不能把第一步给跳过了，这样的兴趣培养没有任何价值。根本地说，信息安全与信息对抗不分家。知乎上曾有个人提问，如果国内100个顶级黑客去攻击腾讯和阿里巴巴，需要多久才能攻陷？有位知友回答，攻陷自己系统又没糖吃，老板还不给发奖金。他头衔是阿里巴巴员工。这个就挺有意思。顺便说一句，腾讯、阿里巴巴等每年做渗透测试，请的可能是网安或者是安全审计公司，眼光不要只停留在互联网公司里，他们名气最大，并不代表水平一定最高，基本上，看得是谁给钱最多。4、马上大二，大学时间已经剩下不多了。怎样跨入这一领域，怎么寻找团队?有些人大三才开始考虑职业规划，更多人工作了都没有个计划。兄弟，你大一就开始留意这么多了，不错哦
密码学，forensics, network什么的自是不必说；在CMU，安全专业里面还有各种经济，统计，政策相关的课程。反正技术对于安全来说只是一个方面。
看不懂说明你的需求没有明确。看文章 要看套路
像我这种本科通信工程专业，研究生情报学专业，是不是会成为LZ的同事or同行？
本周与朋友讨论一个问题，怎么样子才能成为一名信息安全方面的专家。朋友不假思索地回答一句“这很简单，有一个定叫做一万小时定律。说的就是只要你在这个行业里坚持钻研一万小时，解决你遇到过的问题并沉淀下来，差不多满一万小时那么你就会发现你自然而然就成了专家。”后来我觉得这个说法有些意思，想要扩展多说几句。一万个小时定律的首次提出是在格拉德威尔的《异数》这本书中。其中提到"人们眼中的天才之所以卓越非凡，并非天资超人一等，而是付出了持续不断的努力。1万小时的是任何人从平凡变成超凡的"。主要意思是要成为某个领域专家，需要10000小时。如果平摊算每天在一个感兴趣的方向专研10小时，那么大概就是需要3年时间的坚持就够了。如果每天只花3个小时，那么需要坚持10年。Anyway，看怎么理解。每个人最珍贵且又最公平的资源都是时间。不管你是国家领导人还是刚毕业小菜鸟，你都公平地只有24小时。时间又是很短暂的资源，在时间的账本上很多人都还是脑袋糊涂没有算清关于自己"时间去哪儿"的事实，以至于当大多数20多岁的人知道自己一生中只剩下不到720个月的时候会幡然醒悟，细思极恐。知道并且理解了自己时间是有限之后，下一个需要搞清楚的两个问题是“自己想要的是什么”，以及“接下来要先做什么”。大多数企业与个人在年初没有规划，周末是没有周报，并且年末是没有年度总结的。这就意味着他们搞不清楚今年比去年进步在哪里，方向上对不对。无法衡量就没法改进，这样的公司和个人终会难逃“失败”的结局。一旦局势恶化，也就差不多会最先被淘汰掉。现在很多"时间管理"理念教程，譬如"番茄时间法"都有一个误区，那就是鼓励人们在短时间内多做事情。但是实际上时间管理目的应该是帮助人们甄别哪些事情并没有必要做的，可以想得更清楚一些，去平衡工作与生活。文章的最后，想问一个读者问题：“你是否清晰地思考清楚，你想成为什么方面的专家?”
我就软件安全这反面提建议吧。既然题主有大四
那么就学校这方面必然比我要好。大一我建议题主学好c语言c++ 数据结构
c/c++分别实现坦克大战
迷宫之类的游戏
累积代码行数 怎么着也得5000行吧
sdk编程 mfc编程
实现反汇编引擎
实现软件调试器
大四熟练使用ida odb windb之类的调试工具 (这个从大二就可以入手 )以上我只用六个月，因为没时间 。而你有这么多时间只要认真坚持下去我相信你可以比我做的更好。期间可以可以研究一些像dll注入
缓冲区溢出
hook 白加黑 之类的技术
知道其中一俩点甚至是一点
只要探的足够深
入行是极其简单的 工作都是可以随便找的
你说:“我xxxx能玩出一朵花来”。 (非技术型面你当我没说…)那么再说入行。其实我也未入行 (别打我…) 但是
像 金山 卡巴斯基 360 等一些初创或不是耳熟目染的公司都有邀我投简历。前几天卡巴邀我 因为人就在北京 看到信息一天后 我就投了
(其它就年后再说
毕竟现在投也没用) 公司自己也向往 半个小时不到收到回复
然后大概意思就是
你有时间告诉我下 然后我给了回复
十分钟的样子打电话过来
问了些技术性问题
过程我回答的不算太好 (电话打的太少的缘故 对方又是hr 更加感到… )
勉强也行 然后再次确认我是是否年后就职
又说很急(意思是赶着招人 需想去卡巴的可以试试了 他邮箱我是不会说的 哈哈 自己去搜百度招聘信息吧
对了 他们要跟俄国那边同事联系 需要熟悉英语)
然后闲聊几句
你现在没时间那下个月20号到时再说
便客套几句挂电话有人就说
不就是投个简历吗？人家又不没说要你 面试都没过 也好意思说？ 不不不 这无关好不好意思
因为就在几个月前我是无论如何都不可能有这样的机会的
别说邀请我了
我主动人家都不会搭理 。 说出来 也是为了给题主增加信心。题主 只要你做完我说的那些并完成学业
入行极其简单 你再跟
到时内推你也不一定。 也许那会儿我也可以内推你了呢└(^o^)┘你说你逛乌云 看雪 那么我告诉你 乌云偏渗透安全
看雪软件安全
嗯 我在看雪。
直接敲下来
没有整理 将就看吧。-----------------------------分割线-----已找到.
已有帐号？
无法登录？
社交帐号登录