學院派的信息安全指的什麼？

01-24

似乎全世界只有信息安全行業是可以完全不懂底層技術就能搞出架構來？

如果不認識磚頭和鋼筋似乎完全沒有辦法當建築設計師？

信息安全體系的理論派和人身安全體系的理論派似乎差不多，

但槍械的射程和威力不知道的話可以設計好人身安全系統嗎？

古話叫隔行如隔山，現如今分工更加精細，同一行業，不同方向也是相隔十萬八千里。理論派與實踐派相互鄙視由來已久，無可化解。無需強求他人認可自己的價值。專心研究自己的，也該時常提醒自己尊重別人的工作。這種事，只能用來律己，沒法強求別人。

遇見那些傲慢無禮的人，一笑了之。往前走總會遇到些志同道合的人。

就像某資深安全專家說的，你的研究沒能得到廣泛應用之前，其他研究領域的人是難認同你的。認真做好自己的事情，其他得看緣分。

我做安全應該至少8年多了。接觸過形形色色的人，那麼請允許我以一名老資格來用一句話回答：安全，從破壞安全開始。否則永遠不知道安全它取決於某個事物的最低點這個道理。

學院派的定位一是踏踏實實教書育人（即使有些照本宣科），二是以實事求是的態度總結、評估實踐中遇到的瓶頸是否可以被證明用某種現成的理論解決，或提出一個新理論。我認為改變當前「學院派」負面形象的關鍵點在於「學院派」必須以實事求是的態度面對失敗，如果一個問題已經可以用工程化的方式得到比較好的解決，就不要糾纏，不要急功近利、強詞奪理的堅持在某些極特殊情況下才能應用的所謂理論成果。

其實題主做的事和學院派或者實踐派都沒關係。一項成果的出世可能積累了1000篇論文才能開始做產品，之後又經歷了1000次迭代才變得可用併產生貢獻。

學院派在寫那1000篇論文，實踐派在做那1000次迭代。

而題主在做的事，個人認為是在拿著前800篇論文侃大山。

如有異議，請列證反駁。

（也許題主有資質在天朝做教授，或許還能得個自然科學技術獎）

有的人擅長做抽象的東西，

有的人擅長做具體的東西，

有的人擅長將抽象的轉化成具體的，

有的人擅長將具體的轉化成抽象的。。

如果只看到自己在做的東西，不懂別人做的東西，

覺得別人的可能是高大上或可能是一錢不值都有可能啊。

班門弄斧說個題外話，安全界里的industry和academy背道而馳已經很明顯了，從會議就能看出來，IEEE的Oakland和廠商引導的Blackhat如果放在一起完全就是雞同鴨講。不過小弟還發現一個有趣的現象：學術界的人最後要不轉行、要不拿國家科技進步一等獎；工業界的人最後都在苦逼加班寫代碼；把學術工業結合起來的人最後都去創業了。以上。

信息安全的框架、頂層設計、整體的解決方案，不能具體到代碼和指令的執行都是虛的。一具體到代碼和指令的執行，大家都能看到哪裡有問題。好比你的安全策略依賴於監控每一次內存讀寫，但是現代體系結構根本不支持這種功能，或者利用MMU但是產生非常非常大的開銷。這些都沒有意義。

真正的學院派，有理論又有實踐。不信？你去大唐看看？你去各處國安看看？

大部分這些理論都是泛泛而談，不具備實際操作的可能。搞出來的概念不但解決不了問題，反而使實際工作更加困難，叫別人怎麼認同你們？

補一句話：與其在考慮別人是不是對學院派有意見，還不如考慮一下你的觀點是不是有問題

學院派的信息安全就是不接地氣的信息安全。這裡所說不接地氣並非貶義，而且在一段可預測的時間段上無法應用於生產環境。

曾經一個北京985大學的教授跑到我們學校來講量子信息安全理論，思路很是新穎。他在演講過程中拋出了一大堆高深理論。我還記得有個叫做海森堡不確定原理。但是說歸說這個東西也只能他們自己搞搞。大部分企業不會買賬。因為這些東西太不接地氣，短時間無法應用。而且說得也很玄乎。很多理論框架，現在的技術思想都沒法去定性定量的評價。

企業更願意為一個「短平快」的東西買單。比如快速從自身業務數據中挖掘出黑客攻擊行為。這些東西對企業有實實在在的幫助。

---------------------分割？----------------------

存在即合理吧，走自己的路（好吧，下半句你懂的。我也就稍微雞湯下了。）

AES算是學院搞出來的，沒這個的話……嘿嘿

看到一群非信息安全專業科班出身的人在這裡談論學院派也是醉了。

實踐派眼裡的"什麼都不會"，實際上大部分人都是如此混日子的。

信息安全的理論在學院派里幾十年來又進步了多少？推動進步的是非常小的一部分人，其他的是幹什麼的？

安全相關演算法、產品什麼的在學院派手裡也是如此吧。

這幫人拿著現成的東西教教書，99.9%混飯吃的吧。