一入安全深似海

所以，你想在安全行业工作？

时不时的，我就接到一封来自一个野心勃勃的陌生人的来信，问我如何在安全行业做出一番事业，这非常好，我们很需要一些有激情，有创意，努力工作的人来让技术的使用更加的安全,这也催生了一种收入稳定的谋生方式。

在安全这个领域确实有很多岗位，不过我会结合我只身的经验提供一些专业的看法。

工作在安全领域并不像好莱坞电影描述的那样，我爱看令人振奋的黑客电影和节目是因为我喜欢奇幻和逃脱，不过每天的工作并不像荧幕上那么快节奏和有吸引力。

对于大多数这个行业的人，甚至是我，也很少花一天的时间在地下室的基地里破解流代码，我仍然认为这是一个令人兴奋，至关重要，具有挑战且富有回报的行业。

这没有统一的标准和完整的课程

安全工程是非常广，跨学科和应用的领域，这行业需要设计和建造系统的人，尝试破坏系统的人，和侦测入侵的人，这里面学问多着呢。就好像我要学习所有的东西，学习的东西并不是独立的，有标准的，现成的，也许，随着这个领域的成熟，这种情况会有所改变，不过我对这点表示怀疑，毕竟这行并不像其他专业领域一样需要权威认证，它既可以是自由的，也可以是恐吓的。

取决与你如何运用它，如果你对应用计算机科学有很深的理解和了解计算机和软件是如何工作的，那么你将很有优势，很多应用计算机科学是在抽象层上解决问题的，而安全工程就是要在这些抽象层中找出一些有缺陷的假设，然后找出最好的解决方案。

我从一个公立大学那获得了一个计算机科学的工程学位，一些对我最有用的课程就是操作系统，互联网，计算机构造，和编译原理，除此之外，我还选了一些我很感兴趣的课程（例如：数字符号处理，生物医学工程，和人工智能），通过在学生俱乐部里做一些项目的和到外边实习，我了解很很多关于互联网，加密技术（其实可能是隐私加强技术），和应用安全的东西。

你也会因为了解人们是如何使用技术去工作而受益，如果我能回到我那自由的大学时光，我将会再选一些社会学，心理学，和人为因素的课程

文化方面，我推荐阅读Hacker Manifesto 和 How to Become a Hacker,这对很多安全专家来说都是启示录和道德指南，即使你不喜欢你自己成为一名黑客，这对一些工作在边缘地带的人有树立正确心态的作用。

除此之外，这么多年来我听到见到的很多奇闻异事很多都都来自传送门（自备楼梯）

停止阅读，开始实践

少看多做，这适用与很多行业领域，就好像你在现实工作那获得经验那样这么快（我想作者想说的可能是：平时自己私下多实践，获得的经验不亚于实习的时候把），这是最好的办法去缩小你兴趣范围和找到你的长处和未来的发展道路，你可以更好的体验到日常的工作和环境，包括你喜欢的和不喜欢的，对我而言，最有价值的工作经验就是实习，同时我很讨厌它，因为它非常强势的将我带到了其他方向。

对于如何开始获取经验，我没有一个简单的回答，看一下招聘会和行业会议，参加一些俱乐部或组织，大胆去实习或者找一份兼职，在我去谷歌之前，我辞掉了一份兼职，那些工作经验还帮我获得了一份学校的管理宿舍系统的巩固总，这和我后来进入一家大型的制药公司有很大的联系，在大学俱乐部里我获得了一些软件经验，我还在学校的新闻组那发现了一个网络安全实习的工作，这可能给了我足够多的工作经验，以至于谷歌最终决定录用我为实习生。

勤写代码

我所知道的最好的安全工程师平时也经常写代码，写软件给了他们第一手的经验，包括介绍一些无意发现但很有必要公布的安全漏洞，总的来说，编写安全的代码一直比找出不有漏洞的代码难得多。

如果你困于不知道从哪开始一个做一个大项目，你可以去尝试找出一些开源项目的漏洞并修复它，每个人都喜欢修复漏洞的人，项目的负责人感谢你的，这是一个获得真是工作经验和朝你未来工作方向前进的好办法。

打破代码

花时间去找出软件的bug，学习如何使用bug侦测软件，网络扫描器，网络调试代理工具，模糊器软件，花点时间在黑客平台上，这适合任何水平的人，在我大学的时候我刚开始上的是点我!点我!这个网站，而传送门就列出了很多黑客自学指南，这有非常多的渗透挑战和比赛传送门，

分享知识 

     分享知识是很重要的：

          1.分享只是一种在大型组织和项目中延伸安全知识或避免陷阱的必要和有效的方法

          2.我总是能在做教程和写文档中学到很多东西，在一个领域发现一些隐藏的东西对我有很好的推动作用

          3.我总能从观众那学到一些东西，或者是从问题，注释，和参加讨论。

          4.能获得报酬

提高你的的沟通能力

在安全领域工作意味着你需要频繁的解释复杂的东西，技术问题对于不同的听众会用不同名词，不同的专业知识，得到的报酬也是不一样的，当你描述一些严重的漏洞时，你很少会有普遍的指标去依赖，当你在练习最好的安全技能时你也很少有可以炫耀的东西，在面临恐惧，不确定性，和怀疑的事件的时候你还需要让人们保持镇定，并采取有效的行动解决危机。

所有的这些都是沟通艺术，特别是解释和谈判，有不可能单单的从纯粹的技术掌握这些，所以你必须去练习，在公共场合多发言，和永远致力于提升自己的能力。

尽管努力工作，但有时还是失败了

这是很明显的，不过还是要值得明确的拿出来说一下的

安全工程是项有挑战的工作，你需要不断的去学习新的东西，因为安全行业的更新速度远比旧知识的死亡速度快，那些拥有大量时间和资源的不良的黑客也会快速采取行动来对付现有的防御系统。

安全行业的压力也很大，你面临的是模糊的问题，不完善的解决方案，有限的数据，和其他人为的威胁。

在安全行业很难有评判成功的准则，以我的经验来看，你们更关注的是失败，这行业没有什么灵丹妙药

乐观点

从前面我列出的一些东西可能会让一些人感到沮丧，似乎很难跟上技术变更和探索的脚步。不过你看，内存泄漏问题已经存在十几年了，但是今天我们仍然能看到借助它发动的一些威力巨大的攻击

现实很严峻，不过如果我们乐观点看待事情，现在还是有很多有保证的技术服务的嘛，我们可以用他们来做一些很酷的事情，尽管它不太完美，也永远不可能完美，但是安全技术确实比十年前有了很大的提高了

（这篇文章我实在是翻译不下去了...竟然弄了半天，实在是不行了，而且我觉得这作者还是挺多废话的，虽然有些观点还是不错了）