學院派的信息安全指的什麼？

在各個安全技術的群里感覺已經沒辦法交流了。

我研究的是信息安全的框架、頂層設計、整體的解決方案，平時也花不少時間跟進技術。

但是遇到過多次，我說了自己的一些觀點，就招來嘲諷，說我是學院派，滿是鄙夷口吻。

為什麼會是這樣的局面？

理論指導實踐，實踐證明理論，如果是學院派指的是研究信息安全理論的人，那這樣的局面顯然不利於信息安全行業的發展。

==================update================

謝謝各位給出的評論，這裡做一些補充。

小生現在就職於一家不到300人的安全公司，從事安全服務。

我所在的部門主營滲透測試、等級保護、風險評估之類的項目。

客戶有時候會收到來自上級或者其他單位給出的滲透測試報告，然後轉交給我們，需要我們來配合進行安全的整改。我也就看到了其他公司編寫的滲透測試報告。

內容上，其實大家都是一樣的，無非是描述一下漏洞，給出驗證的截圖，分析一下威脅，給出一些建議。

時間久了以後，我收到來自客戶的反饋都是一樣的，這樣的滲透測試報告，對他們來說，基本上沒有意義。經常一個報告交到客戶手裡，還需要我們單獨跑一趟，用非常直白的語言去跟他們解釋這些問題，完全把客戶當成小學生一樣對待。

而且，滲透測試報告中過分誇大問題，問題描述不清，描述不準確也是常事兒。

其中有一個客戶，在一個項目里跟我們一起談了很多他的理解，幾乎是推翻了我當時對滲透測試的理解。

談話的內容，各位也不會想聽的，他以一個完全沒有接觸過任何安全技術的人的身份，跟我們扯了很多的理論。而且他很喜歡罵人。其中一次，他指著臉罵我，非常侮辱人那種。

以各位的看法，不懂技術的人，來瞎扯這些所謂的理論，能用么？

在我到這個項目以前，我們公司就一直是以忽悠的態度在對待這個客戶，我們都調侃，公司想開掉誰，就讓誰去陪這個客戶，過不了幾天他自己就走了。

（PS，我原先在黑哥的微博上評論說我見過有人述職報告講19個小時的，就這個客戶）

我到這個項目，是出於偶然。原先陪他的那個同事離職了，公司臨時讓我過去頂一下。幾次交流以後，我開始順著他的思路去了解國內外這方面的理論。

我最後找到的，是PTES(滲透測試執行標準)The Penetration Testing Execution Standard

清華大學的諸葛建偉對這份標準進行過翻譯，也在《Mteasplioit魔鬼訓練營》中有所提及。

更讓我驚訝的是，在國內，我的一個客戶，一個從來沒有接觸過任何安全技術的人，提出了一套可以跟國外相媲美的東西。雖然他總是用一些口頭的語言來表述，但是PTES里提到的內容，他都提到了。而且在某些方面，他的想法，比PTES更全面、更深入。

截止今天，我工作的時間都還不到兩年，我對一個行業、對國內的情況作評價，是非常不合適的。在此，對先前我說的一些有失偏叵的話表示道歉。

我之前所說的理論，是滲透測試理論。

框架，是面向一個省級政府單位信息中心建設所需要的安全框架。

總的來說，實際上我在基於PTES，嘗試建立一份適合於國內市場的滲透測試方法(更高的目標是建立滲透測試的標準，可以對我們公司的滲透測試起到約束作用)。

我不禁想補一個問題，各位對這份標準怎麼看？

國內有哪家公司提供的滲透測試，可以達到PTES的水平？

而在我跟某些人分享一些觀點的時候，他們的反應大致會有這麼幾種：

1、如果他們也知道這個客戶，他們一般會說：你丫被他洗腦了吧！

2、技術牛，遇到的很少，有的人會表示支持，希望我能儘快出成果。也有的，則嗤之以鼻，滲透測試就是見招拆招，哪還有理論。弄那麼多標準，不煩么？

3、同事，或者和我技術水平相差不大的人，給我的嘲諷最多：丫就一菜逼，屎殼郎還學人戴眼鏡兒。

以上，是我提出這個問題的背景。

這個帖子，也作為一個拋磚引玉，我在評論中看到了不少很吸引我的想法，希望各位前輩不吝賜教。

現階段的工作成果，礙於公司層面的要求，我暫時不能公開。但是試驗性的項目已經在開展了。

在此，向各位前輩給出的評論、建議和吐槽，表示感謝~

---

我們常把從事信息安全技術研究的人分為學院派和工業派，分別指更偏向於理論的研究者，和更偏向於實踐的研究者。

學院派和工業派之間的界限並不特別清晰。有些學院派搞的東西也很實用，工業派也常研究學院派的理論。信息安全領域很多東西都是由學院派開創、工業派完善的。理論和實踐都很重要，學院派和工業派都不是貶義詞。

不過需要注意，理論和空論還是要區分的。理論可以指導實踐，空論只能指導扯淡。所以，上面說的兩派之外，還有裘千丈派、索天響派等，這些也常被人稱作「學院派」，但實際上他們不是學院派。有點像我們稱呼一個姑娘為「小姐」，但她可能不是小姐，是失足婦女。

至於在溝通中被人以鄙視的語氣稱呼為「學院派」，可能是你的觀點有問題，也可能是對方無法理解你的觀點，但和學院派本身沒啥關係。

---

首先非常贊同教主的回答，對於題主的原問題來說是一個完美回復。在看到你的問題的時候，我不禁想問，你們到底在聊什麼，我懷疑對方噴的可能是那個點，不想再討論罷了。

看到題主更新了描述，引起了我狗尾續貂的興趣。

我想說我非常理解和支持你的出發點。IT審計目前在國內是有些亂象的，不說那些誇大風險忽悠的，說極端點的例子，IT系統本身沒問題，由於操作方法不當被你審後出了可用性問題，這不是沒有，主要是因為專業從業人員跟不上需求發展速度，且業內沒有統一的標準。現有的標準只能指導到「做了」，不能關注「做到什麼程度」。而經過長年累月的實踐，在這基礎上，有一些框架和流程就被設計出來，用於規範自身行為，強制提高人員素質。你那個扯淡的客戶不懂安全技術，所以他的關注點會全在業務利益方面，不管你怎麼挖漏洞，他會需要看到一個可控的、可量化的東西來衡量你們的工作成果，所以你會在PTES里找到他的構想的影子，不是他厲害，而是標準是結合了實踐能夠普適的緣故。你要做的就是把這個標準落地，結合你們的操作實踐，寫出評價標準、操作流程、報告模板、反饋閉環，落實到每一次業務。坦白說我還是第一次聽到頂層設計這個詞，我只知道不能落地的安全準則是沒有用的，就好比部署了套監控平台然後沒有人去響應。所以「指導」是要的，但是放低自己的姿態來談目標，能更容易獲得群眾響應。

很高興你在大量實踐的基礎上有此想法，你是一名踏踏實實的從業人員，不需要陣營。很抱歉之前在「學院派：說就天下無敵做就有心無力」的答案上點了贊。

---

信息安全的理論在學院派里幾十年進步了多少？

單從密碼學而言，要是從1970年代，DES、RSA開始出現http://en.wikipedia.org/wiki/RSA_(cryptosystem) 開始說起，到AES (2001年) Advanced Encryption Standard 和現今的各種公鑰演算法的研究，以及對未來量子計算機實現之後的演算法研究來說的話，不亞於讓密碼學和信息安全從遠古時代到了現代。

每天大家都在享受實驗室和研究院里做出的成果，很多時候卻忘記了去感謝那些連名字都沒被記住的科學家。網盤的快速搜索和去重的重要演算法是Hash.有的用MD5（1991年Ron Rivest），有的用SHA-3（2012年NSI中選，Guido Bertoni, Joan Daemen, Micha?l Peeters, and Gilles Van Assche），這些都是學院派研究者辛辛苦苦做出來的。

這些成果很多都沒有像技術類成果（比如具體的加密軟體）一樣去申請專利，而是可供所有人使用。人們欣賞開源軟體，卻往往忘記了開源這個做法，最早不是程序員所專有。

以上，為被噴了好幾層樓的「無名」研究者們抱屈。

==================2015年2月16日更新================================

因聽說攻擊沒人寫paper, 所以找出了這個paper列表

Papers | The Honeynet Project

都是用honeypots(蜜罐)捕獲的各種攻擊的分析和防禦建議。

---

樓主自己技術不行，別拉到一批搞安全研究的啊。你跟他們談Fuzz啊，談符號執行啊，談二進位反編譯啊，談橢圓曲線的弱密鑰啊。畢竟too low，國內安全圈有些人也too low。咱樓上的鄒維鄒大神組的fuzz系統挖出了十幾個0day，估計好多人都不知道。整天被一群開口閉口黑客黑客的人刷屏，煩。

---

talk is cheap,show me the #

我也常常噴"學院派"，所噴的並不是指高校里做研究的安全從業者，而是"逼格high"的論述一大堆，實際做起來啥都沒用，你說他兩句"這不就是我們之前用的xxx的手法么"他還不樂意你接他的短之人

抖機靈模式：

某"牛"：你看過我發表的論文么，我這個領域探究的比你深多了

我：吊吊吊，實際攻擊場景怎麼用

某"牛"：我跟你說的是學術！

我：所噶，那就是無法給真實場景運用咯？

某"牛"：滾

但是我也佩服很多真正的學院派，比如畢業哈佛，在MIT實驗室工作的Richard M. Stallman，黑客派和理論派相生相容的埃里克·雷蒙德，就是下圖的老頭，我最崇拜之人，就是個實踐派理論家！

--------------update-----------

謝謝您對我多年以來滲透實戰的指導，對了，您是？

再來抖個激靈：

翻譯一下就是：

你是個高等院校的所謂信息安全專業好學生

我。。。我只是在直呼不小心碰到了這個問題

我想題主對大部分小朋友不屑一顧

我的意思是，你是那種典型的，成績傲人，理論研究的傢伙

瞧著一個衣衫不整，不會用逼格高端的名詞，只會做滲透，安全研究卻寫不出「有逼格」的論文，而且無法畢業，從小成績糟糕的黑客「who are u？」You asked contemptuously

"I"m ur worst nightmare"

---

我覺得這不是學院派 = = 這應該是所謂的標準派，這不是理論的全部。我覺得也不太應該算是理論的主要成分....

信息安全，如果說是研究的話，很多是密碼學，網路安全協議這一堆。這類感覺更落地一些，我覺得。量子加密實際上是非常落地的安全方案了...

=======================================================

信息安全，作為一個交叉學科，工業界和學術界關注的東西本來就很不一樣。比如Web安全，在學術裡面已經是最低級別的東西了，相關論文這幾年才起來，動不動就是能防止97% 95%的某種漏洞。他們的方案其實是可行的，只是大家不關注，也沒有那麼強烈的安全需要罷了。但是在工業界，似乎還是一個主線層次的問題。

像體系架構這個，主要是圍繞標準來走的。軍方保密單位會按照要求來，必須熟悉標準的人才能把分級的要求辦妥，但是各個互聯網企業沒這種需要。雖然，像一些非常基本的安全原則，其實特別有用，但是你如果跟做web安全的人說起來，他們會覺得你冒犯了他們。這原因很簡單，因為大多數企業面對的主要問題都是web安全這一帶的，不是我們長期討論的建築安全、物理安全等等。

我感覺王丹磊說了最重要的一點，那就是web安全。在學術界，Web安全可以說是寸步難行，但是在工業界，非常青睞精通Web安全的人，而其他的基礎可能都是不重要的。

=======================================================

我個人覺得，信息安全已經到了那種大到需要建立一級學科的地步了。。。

---

這問題眼看就要變成技術黨用口水淹死學院派的又一例證了。

在各位摺疊我之前，我想說：

1.題主提這個問題，到底是要問什麼？是想弄清楚搞「頂層設計、框架設計」的研究者與安全攻防研究者之間的矛盾？還是要整明白信息安全中的學院派到底指的什麼？（這是你的問題題目啊）題主的問題問的之混亂，我反正已經搞不清楚題干是什麼了，自然也不敢隨便發表觀點。

2.我一直認為，達到信息安全的最終目標離不開多種技術、管理手段的支撐，缺了哪個都會出問題，「文人相輕」似的鄙視鏈其實弊大於利。特別說明這一句不特指某種觀點或某個人。

---

首先，我覺得學院派在密碼學還是很有研究的，差的是攻防

攻防是極端需要實踐的。想想一個sql注入，多少奇技淫巧，各種轉義，mysql和sqlserver的特殊技巧，特定版本的漏洞。。。通常而言，web服務安全做的好的，拉出來做網站前端後端工程師DBA都完全沒問題。而現在多數學院里的老師教授能做到？

再者，現在的學院派基本只有守，不談攻。這能玩？

再有，學院教授和實驗室的主要任務還是科研論文，如果我發現了mysql在某某版本和某某其他服務搭配時有個漏洞可以泄露網站用戶信息，這個還真發不了論文。

要做一個讓人尊敬的學院派，你得首先是一個傑出的黑客

---

拿產品和效果說話。

---

密碼學。

---

剛看到有個匿名回答說

AES算是學院搞出來的，沒這個的話……嘿嘿

然後 @雲舒 大神說：

AES是得到了大量的運用。沒有得到運用的理論就算了。

這其實事有個誤區的…

現在所謂學院派的信息安全多數其實就是和其他學科（數學、物理）一樣的基礎性研究，不可能每次發的paper中的東西都能得到運用，甚至大多數都不會有直接應用，但科研就是個漸進的過程。

比如像FHE（Fully Homomorphic Encryption） 這類東西，現在看起來一點都不可能實際應用，但它逐漸在各種paper不各個組之間改進，一旦有一天一篇paper跨出了重要的一步，那整個現實中的加解密方式都會巨變。但在這篇paper之前，這東西對應用來說就是一坨shit……

ps.事實上，信安里的這種基礎性研究領頭在做的除了幾個名校外，還是IBM、微軟這些公司啊。

所以，學院派的信安就是和其他學科一樣，是在做科研，做科研就不要過於著急的想著怎麼趕緊應用到現實中，安下心來踏實搞研究才是正道，總有一天，你改進到一定程度了，應用是水到渠成的事。

當然，我說的是學院派里偏基礎研究的那部分，畢竟這個還是占多數的，偏應用的也有很多，我不是很了解，就不多說了。

---

被鄙視的主要原因是學院派的技術普遍不好還挺能裝逼

---

理論要和實踐相結合，有些太過於「超前」的研究，是怎麼搞出來的自己心裡清楚，不是說理論派不行，如果國內這些學院派搞的東西能在國際上獲得認可，真能跟老外的研究比，那有什麼不可以拿來指導實踐的呢？

問題在於國內的學術環境太差，搞的啥JB玩意兒都有，東抄西抄，paper我也讀過國內的學院派的，有些寫的paper的確像是做出了真正的東西了，哪怕有demo，我覺得這種理論的研究就很好，至少證明有可行性。有些連demo都沒做出，沒有可行性，也沒有看到細節地方的詳細設計和實現，直接上來就擺實驗數據，這一看就是東拼西湊的，我怎麼知道你這套理論管不管用？能不能做出效果？

而很多老外的「學院派」，其實技術都很強，有工程能力，也就是真正的「理論+實踐」（比如RIPS的作者，PhD）。國內搞研究的能比？？？題主你搞的是信息安全防護的框架，有做出實際的東西嗎？有的話請貼一下github地址。沒有的話怎麼能叫理論指導實踐？實踐從何而來？你又指導了誰？

所以說啊，單單是搞理論，根本成不了實際的生產力，那就是廢品，沒有價值。

說這麼多，我想你應該懂了。

---

「學院派」-&>講就天下無敵，做就有心無力

---

題主糾結的是：為什麼一個「外行人」能提出比安全專業人士還要專業的問題和方向？

這真是一個好問題，特別是這個外行人不負責解決問題的情況下。

一眾大牛說了：細節是魔鬼，頭上有汗腿上有泥，等等~

我充當小白，閑扯幾句學院派：

1，個人：你遇到了一個很牛的人，他的工作經驗和學習總結能力超強，你難免不是對手。

2，專業：在他的專業業務領域， 他的能力和經驗是秒殺幾乎所有人的，因為他非常熟悉他自己的系統。而作為一個好的滲透測試人員，其實第一步就是要學習被測試系統的原理和構造，無論通過什麼方式。那種拿起工具一通亂掃的，高中生就能做到。

3，跨專業找方向：安全滲透，其實是個框架性的工作，簡單來說就是尋找出所有的可能漏洞機會，然後針對其風險等級和可能得手的幾率，逐步展開驗證和測試。這種框架是有標準方法的，與大型軟體系統的質量控制方法，略有相似。

這個神人既然有大型工程背景，只要他知悉了這個方法，或者是被點中要點，他自己的確可以在多次交流中逐步細化完善他的觀念和方法。

我以前說過：如果經驗豐富的系統設計或者系統測試人員掌握了基本的安全理念，其轉身速度是難以想像的，可以在很短的時間內在他熟悉的系統中碾壓一般的安全人員。更牛逼的是，這些人還懂得怎麼去修！

4，角色：按照他甲方提問題的角色，的確足夠了，問得你步步退縮不是難事。

如果你上學的時候跟過好老師，就知道好的老師牛逼在提出好問題給學生去深挖解答，而不僅僅是告訴學生該怎麼做。

這大神讀個博士，帶幾個研究生，那是一點問題都沒有。

5，工程實踐：我左手拿著評審過的幾十本自定義安全規範和基線，右手拿著綠盟等機構協作出具的測試報告，陷入了深深的沉思……

對雲安全，我是發表意見呢，還是不發表呢？最近好糾結。

---

贊@雲舒 的回答之後，我覺得：

這種理論框架、上層建築什麼的真需要我們這些一線全棧型角色來構建，當然我們可以吸收你常用的那些構建工具。

我可以肯定，如果我們願意做，那才能真的得到尊敬。

毛爺爺說：沒實踐就沒發言權。

---