信息安全專業的發展會受到文憑的限制嗎？

01-03

謝謝你點開我的問題:)
主要問題：
1 信息安全就業有文憑歧視嗎？研究生長遠發展是否比本科生有壓制性的優勢，比如，有一些機會什麼的研究生默認強於本科生。
2 如果讀信息安全研究生，能學到什麼？

個人情況：
1 985本科，本科專業物理，目前大三，可以保送華東五校級別的計算機。
2 自己大二開始自學計算機，自學習慣自認為良好，且比較push
3 接下來的暑假有某安全公司的實習。
4 主要猶豫來自於家庭，小縣城中產，家裡人一致認為讀研究生很有必要，保本。
5 個人問過一些已經工作的信安的人，三個人都認為讀研可有可無，工作後學的比學校快，他們都沒有讀過研。
6 自己目前的判斷是工作更能促進我自己，希望選工作。
謝謝你看完，一個字的意見也感激不盡:)

我們部門有名校博士，也有本科肆業的。企業招人的目標肯定是能力而不是文憑。有些大一大二的同學已經比碩士畢業生的平均水平高出很多。至少我個人會寧可要這些大一大二的同學，而不是招一個文憑漂亮但做不了事的人。

文憑是對能力的一種背書。就像我們只看標籤無需品嘗，就可以認為「勃艮第葡萄酒」很大概率上會比「門頭溝葡萄酒」要強。然而，雖然文憑是獲得入場資格的一種主流方式，但不是唯一方式。而且信息安全行業遠比葡萄酒行業有更多更簡單的方式讓自己的能力為人所知。全真七子是一種發展路線，楊過也是一種發展路線。具體路怎麼走，還得你自己根據自己的具體情況來判斷。

被@z.t.z黑了一波...

文憑在一定程度上證明你的能力，但如果你有其他更好的證明方式也是可以的，我之前招人見過一流學府但是技術平平的庸才，也見過一流學府能力突出的傑出選手，但是很少見到野雞大學能力突出的天才，由此可見一個好平台培養傑出能力人才的機率遠大於平庸環境下出天才的機率，雖然並不一定好平台出來的人就很強

至於你的第二個問題...沒讀過研，學歷低...不清楚

作為一隻研究安全問題的博士生，回顧一下發現我應該是個寫tool的…

安全是基於實踐的學科是不錯的。同時安全是有一些理論的，比如信息安全裡面問題歸類的話有CIA模型，更進一步的還有Parkerian Hexad模型。

簡單概述一下這個領域研究者的工作，接著上述那個歸類模型的例子。就研究而言，安全領域所有的solution都是基於某種類型的攻擊（threat model），這些攻擊通過對應的模型來找到解決方案。進一步的，一個全新的攻擊方法也會給模型帶來更新，更多的研究者會開始研究解決這一問題。比如目前比較火的研究包括通過neural network來發動一些攻擊生成木馬，通過注入錯誤的training樣本來攻擊等等。再比如隨著SoC的大規模使用，物聯網安全的火熱產生了一系列對硬體安全的需求。這都是企業在等待研究者去找解決方案的。

安全領域的研究和企業實踐之間的聯繫可以說是非常密切然而又是有其分工。這個倒是可以參照應用領域學術圈和工業界的分工。不在這裡說了。

@介磊所說的學術圈和工業界脫節的問題確實存在。國內情況了解那麼一丟丟…美國這邊產學研還可以。比如在安全領域的會議中企業的角色很活躍，會有單獨的section來介紹他們的需求和問題，然後我們去寫proposal申請錢去解決，感覺有點像賞金獵人。然後不少的工作就是在寫tool咯。Orz

——有更新——

1.就個人了解到的，有一定的第一文憑歧視，沒有學歷歧視。也就是第一個拿到的文憑（本科專科）以及學校的好壞會在一定程度上影響他人的看法，另外也主要是自身自信的來源，這對以後個人的發展其實重要程度大於外部的因素。沒有學歷歧視的很大一部分原因還是市場供不應求，缺口太大，所以暫時沒有到那種優勝劣汰需要看學歷的地步。

2.信息安全也是一個大的行業，你如果讀研能學到什麼取決於導師研究什麼方向，以及坑不坑的程度。有的老師只會吹牛逼，不要懷疑，哪怕Top 2的老師，真正牛逼的也是鳳毛菱角——所以會帶來一些浮躁的氣氛，具體體現在把研究生當廉價勞力來使，不能（也沒有能力）給學生帶來真正的提高。在這種情況下，放養都是一種極大的運氣了。

但是也有大牛導師，或者很負責任的老師。這個具體情況得你自己做調研。問題在於，你是保研，而不是考研——在一個非科班畢業的情況下，錯失了最佳的補充基礎知識的機會，這點不是幸運，甚至可以說是一種遺憾。如果在未來不能補充足夠的理論知識話，那可以預見你在這一行走不太遠。

其實，學術界的信息安全和工業界的信息安全是存在一定脫節的，工業界更專註的應該是所謂的「網路空間安全」，學術界學習到的不能說沒用，畢竟理論指導實踐，然而真正能把科研成果落地實施的太少了，大多空中樓閣，對，我是在群嘲，相關人士自行對號入座，專業勸退。

所以總結起來就是，如果確定導師靠譜，方向感興趣，確定自己能把基礎知識在讀研階段補起來（因為工作以後能靜心看書的機會著實不多），那可以考慮讀研。如果抱著所謂「拿到敲門磚」、「多過兩年學生生活」的心態和期望值，那麼，勸退。

3.你想多了，升職加薪首先取決於所在的公司，即國企還是私企，創業公司還是成熟公司，業務對外還是對內；其次取決於機遇，即你剛來不久上司跳槽走了，或者自己跳槽做了某xx公司的CxO，或者有一個靠譜的項目正好缺人手等等；再次取決於你自身的水平，畢竟打鐵還需自身硬；最後取決於你同事的水平。。除了在國企里，這一點問題和學歷沒有半毛錢關係。

個人拙見，祝好

我只熟悉互聯網行業，以下說的都是互聯網公司和相關網路安全公司，政企等我不了解。

目前階段，信息安全基本還是實踐工程，因此沒有什麼明顯的學歷歧視。

我大學是經濟學，而且沒有畢業，所以不知道信安研究生能學到什麼。

信安找工作，整虛的沒用。明明白白的告訴企業，你挖過什麼漏洞，分析過什麼漏洞，研發過什麼工具，思考過什麼問題，一目了然。對於混子而言，這很悲劇，對於有能力的人而言，還有比這更贊的么？

1.不會有，搞安全只看是不是能入門，有培養價值。

2.就目前而言，讀研究生其實就是給老闆打工，而且老闆的水平參差不齊，如果能跟個好老闆的話倒也無妨，但是好老闆畢竟還是鳳毛麟角。

3.實習一定要去，沒什麼好猶豫的。

4.信息技術方面確實受地域影響很大，父母的期望可能是讓你去一些企事業單位，就題主情況來說，很明顯是去能學到真東西的地方，我個人建議但凡涉及到專業的東西，父母的建議只聽聽就好。

5.去一個好的安全公司肯定要比讀研要學的東西多而且快，並且能夠見識到實際落地的安全模型和安全制度，還有原因見2

6.你都知道自己想去工作了還猶豫個啥

補充，企業不會有太多的時間讓你去從學校過渡到企業，對於應屆生，企業的要求往往是基礎知識紮實的同時有較強的動手能力，同時要善於總結方法，改進優化流程。至於文憑啥的，如TK教主所說真是次要的。

我覺得公司不養閑人，一個公司肯招你肯定是希望你有所產出的。安全行業其實屬於技術類工作，個人能力與產出是直接掛鉤的，因此能力可能比學歷更被看重。

但是同時我覺得學歷是對未來不確定性的一種保險，安全技術其實是前輩們摸著石頭過來的河。長遠來看未來肯定是存在不確定性的，這一點個人也比較糾結。

在絕對的實力面前，任何文憑都是扯淡。

我是信息安全的研究生，以下僅以我的個人經歷說明一下我看到的和認識到的信息安全研究生的生活。這個專業在錄取時是通信工程下面的小專業，後來可能是政策變化被分到了計算機學科下面還是什麼也不太清楚。專業還細分了更小的就是網路與信息安全。研究方向和老師的項目方向以及老師的科研方向有著莫大的關係。我的研究期間主要研究的是物理層安全，但是，這個物理層安全不是我們網路物理層的那種而是通信物理層安全的問題，基於資訊理論的，所以基本看的東西還是物理層安全的問題。同學有研究雲計算的，有研究群密鑰生成的，還有研究信任管理的，但是對於找工作的時候技術水平如果不是自己學過，僅憑科研是難以通過篩選的。但是有些導師的項目是安全類的，所以比較有優勢，如果需要念注意下導師的研究項目。

任何行業入職或者短期可能會參照一點文憑，長期都看工作履歷。每個人的需求到後期都不同，關於文憑後期的作用，也許老闆更願意聽到,「×××牛人是我同學，××是我校友，我可以幫忙引薦，你們聊一下......」。而不是「我是985畢業，我是985畢業，我是985畢業......老闆我很牛的」。

只在民營企業里呆過，沒有做過國企。你的問題是「信息安全專業的發展會受到文憑的限制嗎？」，作為一個某A廠校招面試官，直接告訴你答案是「不會受到限制」。信息安全是高度依賴實踐的行業，很多知識與資料在學校及書本中是無法獲取到的，因此更關鍵的並不在文憑和學歷。

那麼什麼是更重要的呢？是對問題的分析和解決思路，這個恰恰是需要實踐理解的。

先不管學歷不學歷的事情，題目下兩個搞信息安全的大牛你們這麼說會誤導小朋友的好不好。我知道你們想表達一個只要技術好，學歷不重要的觀點，但你們沒說的是要做成你們能看得上的技術，比在985拿個碩士學歷難多了。用一個不具有代表實例來取代普遍情況，對題主並沒有太大幫助。

我們再來說學歷的事兒。你想搞信息安全明顯是該讀研究生的。倒不是讀研一定會讓你學到比在公司更多的東西，而是它開闊了你的眼界。讓你知道信息安全不光是找漏洞，補漏洞，放木馬，防木馬。信息安全還有同態加密，居然可以讓你搜索一堆亂碼；可信安全協議，用了它哪怕你不相信的人也可以交易；蠕蟲傳播理論，居然和熱力學能扯上關係；差分隱私，連蘋果都用了一下的技術…你也許想試試如果我們把可信安全協議放在最火熱的blockchain里是不是能解決新的問題，或許也可以試試把同態加密用在銀行徵信系統里是不是能解決隱私保護問題…你想玩這些，只上過本科是不是會有些力不從心呢。

學歷給你帶來更多選擇和更多自由。

推薦你認識大學沒畢業的@redrain root師傅

信息安全里，技術僅是一部分，還有很多是政策向的。如果用『找漏洞，補漏洞，放木馬，防木馬』來顯示自己的技術，就太片面了。

知乎居然推薦這個問題給我，好吧，幫你一把：）

我身邊認識的、從事信息安全職業的人員，包括一些大牛，學文學的、學醫的、學化學的、學數學的、學機械工程的都有，而且大多做的不錯，基本都是本科生。由此推導，專業和文憑不是限制。但就個人所見，學理工科的比學習文科的可能便利性多一些。是不是讀研，關鍵看你去哪個學校，我見過的武漢大學、成電、清華、中科大、哈工大的信息安全專業，都還是比較偏實戰的，推薦。其他學校不了解，就不瞎說了。

真正想在信息安全方向做得好，一是熱愛，二是正確的學習路徑，三是有合適的人脈和圈子。安全，其實也是有江湖的，江湖的人會互相幫助。

最後，上面那些大牛有些可能說的會片面一些。安全，不只是技術的對抗，有理工科的背景從事安全管理、安全架構方面的工作也是可以的，千萬不要陷進去。找一條適合自己、自己喜歡的路徑，發展下去，先做適當的寬度、再鑽深度。

就我看來，文憑跟學歷重不重要要看是創業還是工作，從事的職業是什麼，你人生的目標是什麼。學歷高的在信息安全圈混出名堂的很多，學歷低的人也有，但是就未來來看的話，學歷高的肯定佔有較大優勢的。

2000年到2014年左右，國內的信息安全基本算是群雄割據的狀態，就像是中國的民國時期，由於大部分人不懂安全，這個時候很多技能比較優秀，團隊比較知名的信息安全從業者進入到了各種大的互聯網甲方工作，大多是偏Web安全的居多。很多實力型的高手也都去了360。

信息安全行業就業不只是看學歷，你的人脈圈子、所屬團隊、漏洞挖掘經驗等一定程度上可以彌補學歷的短板，但是如果志存高遠，每天比別人多花出8個小時的時間在實踐上或者在paper的研究上，那你的實戰能力可以開掛了。企業級的信息安全從業者是用於為企業提供解決方案的，如何預防威脅跟脆弱性，如何防護企業弱點，如何解決業務上的邏輯漏洞，這些對於企業是實實在在的東西，那這個時候你就可以找到自己的切入點，工作跟興趣相結合，將會是一件特別幸福的事情！

一路走來看慣了「切包皮進信息安全圈的，醫生護士專業進安全圈的，也有安全圈出去開肯德基的」，就看自己如何選擇了，對於創業來說，一個初中畢業的人和一個野雞大學的博士後，還真的區別不是很大，博士後甚至可能成功率會更低一些。這個關鍵你還是得知道創業的難點在哪裡？安全圈的名人很多，不要讓他們的經歷影響到你，畢竟時代不同了，學習成本不一樣了，就業機會也不一樣了。祝君好運！

不打雞血，你先好好學你的CS。

實話說大部分招人的確看學歷，畢竟是個門檻。

想讓企業看能力，你得成為畢業生中特別有名的牛人，牛到啥程度呢？大概1-5%以內。

如果不是應屆生，在社會上工作了幾年…這時，你要牛到大概千分之1以內。

順便說一下，本提問下有兩個知名人士的答案，我也很欽佩他們，但我建議你不要參考他們的答案。

為何？因為他們是萬分之一的人。

針對第一個問題：

如果有想發展的目標城市，去讀個研究生的好處就是落戶比較容易。比如研究生主動落戶深圳杭州都是有政府補貼的，畢業把戶口遷過去就給補助2w左右，上海北京研究生落戶相對本科生更容易一些，尤其是讀當地高校的研究生。再就是能解開一些要求研究生才能投的工作崗位，基本上都是國企、政府單位這類的。私企基本看能力比較多一些，當然研究生學歷在簡歷上要好上一點，根據經驗總結優勢不是很大。

針對第二個問題：

能學到什麼，主要看自己和導師。導師好，能指點你很多東西，自己再努力學習，估計能學不少東西。研一基本是課程，研二研三無課，跟著導師搞論文項目或者自己去實習。學到什麼東西看自己的努力和老師的學術水平。找老師的時候一定要找熟悉情況的師兄師姐了解情況，不然有可能坑了自己。國內的導師不少很坑的。

最後能力很強就不用讀研的說，可以選擇工作的說。當然你像tk教主、雲舒等大牛一樣厲害，不讀更好一些，讀了估計耽誤時間。

短答

就我的經驗來說，現在在信息安全，如果是做penetration defense這一方面是不需要的，相反，我在LinkedIn的時候，house security的人基本都是非專科畢業。因為老實話說，我覺得黑客技術這方面更多的是靠實戰。talk is cheap, show me your code 之類的。我一個前同事就是一個例子，雖然是專科，但是也是實戰派的 https://www.linkedin.com/in/yujikosuga/

但是如果涉及到信息安全的特殊領域，比如密碼學，那就比較需要對專業有比較深的了解了。

哦，我職高都沒畢業，已經在這個行業混了十來年了