Re: [請益] 資安工程師在台灣的前景？

※ 引述《away1225 (空飛牙)》之銘言： : 小弟讀的是一個未來不知道幹嘛的文組科系 : 大概在去年我就發現了科系相關的工作沒前途的事實，於是在家人跟師長的建議下去巨匠 : 補了網路管理相關的課程但隨著接觸越深，開始對資訊安全有些興趣，也做了一些功課了 : 解資安工作與網管的差異，在104也發現普通網管的薪資其實跟其他產業的一般職位差別 : 不會太大，資安相對薪資待遇更好、能應徵的工作更廣 : 我知道資安需要的硬實力要求肯定比較高，想問資安這塊是不是真的值得我再多花一點時 : 間跟錢好好學，或是有沒有更好的路可以走？想知道版上各位大大的看法，謝謝! 這可以講很多面，簡單說解決資安問題最符合成本效益的方式，就是工作流程的改變。而不是靠什麼高科技技術。 以 身份驗證 Authentication 來說: 外行人：要學密碼學。 實際： 限制使用者密碼長度，複雜度，簡單有效。強制定期更改密碼，簡單省錢又有效。 還不夠安全，就上多因子驗證。 多次驗証只有你知道的機密，簡單便宜有效。 以 權限管理 Authorization 來說 : 外行人：要學很多 access control，zero-trust 實際：需要資訊安全的地方，先把所有權限都關了，慢慢申請。簡單有效。 以資料完整性來說 Integrity： 學術界：一堆新演算法，特殊場景的protocal 實際：你研發的演算法，不是國際標準，根本不合規，誰知道有沒有暗藏什麼黑箱或漏洞。所以直接用便宜免費的國際標準做法，反而是最好的做法。 以入侵恐嚇來說： 理想：找專家來解決根因 實際：報警請免費的人來調查。 以竊取企業資料來說： 理想：裝最先進的DLP，例如把公司所有檔案加密，監控員工電腦所有行為。 實際：zip檔，pdf檔加密，便宜有效。 以code security 來說： 教科書：一堆injection, buffer overflow 實際：這幾年新的開發工具，自動防範Injection 所以在資安領域，正確的流程，一直都比技術重要。而這些流程，經過幾十年來，都形成了固定的招式，甚至一堆國際標準，例如最基本的： ISO 27001，BS7799。 比較大的公司都會定期請"顧問"導入一堆資安流程。 因為政府的標案標案，以及政府的法律規定特殊產業，金融，軍事，公營，財團法人，都必須符合國際資安標準流程。且定"期驗"證。 所以在台灣唯一穩定賺錢，永遠被法律保護賺錢的產業，就是資安顧問業。專門導入資安流程與解決方案的顧問業。 專門賺這種錢的有： 國外顧問業，例如IBM，做金融產業比較多 國內資訊服務業：上市櫃那幾家，以及自己出來開公司的一些老人。最政府案子比較多。 顧問業：例如常說的四大會計師事務所。政府金融都做。 財團法人：財團法人的一些組，有時也會接案去做政府的資安政策技術制定。(也是偏向顧問，而非技術研發)，早期資策會那一票人，都做到當官了。 政府與金融業要導入流程， 可能需要要採購資安軟硬體設備，通常都是買國外大牌子，因此賺錢的是代理商，或原廠。 像趨勢就主要是賺這種To B客戶的錢。穩定，但吃不飽。 資安軟硬體國外品牌設備代理商或原廠雖然有工程師，但是只要熟自己產品就好，不用太懂技術底層，也不用開發資安產品。 台灣資安產業，穩定賺錢的剩下顧問業了。 而且其實餅還蠻大的，這幾年政府大灑錢，我認識的一堆人又升官了。 資安顧問要賺錢，有人要高薪聘你，考證照只是基本。到最後可能不是你技術要有多強，而是你"有經驗，有人脈，有關係"，能搞定政府流程與金融法規流程而已。 簡單說台灣資安產業，整體不是靠 "技術研發"賺錢，要走就走流程導入的顧問業，可以穩定吃飯一輩子。 比較知名那幾家，很挑學校名稱，吃績效分紅的，碩士畢業很快可破百，5年後年薪大概在150左右。但成長到200左右，要突破就要去混產官學關係了。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.73.200.125 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Tech_Job/M.1695827247.A.3C6.html