网络安全一词足够大，可以代表许多不同的子领域。与许多领域一样，有理论方法和更实际的方法。

例如，我现在在网络犯罪和计算机安全中心工作，在同一个地方，有人研究加密协议（相当理论/数学），有人与警察合作，例如与受虐妇女一起工作，从事安全可用性方面工作的人，从事安全机制定量技术（概率/不确定性）工作的人，而这只是我的头等大事。

如果您查看我之前工作的信息安全组，您会发现不同的配置文件和网络安全的不同方面。在这两个示例以及许多其他示例中，您都可以攻读硕士和博士学位。而且，当然，我在这里只谈论我知道在那里工作的地方，但世界上有很多这样的地方。

安全小组通常由主要背景不是安全的人发起，这就是为什么有许多方法：代数、形式方法、定量、心理学、分布式系统、操作系统、网络等。所以，回答你的问题确切地问，是的，有很多地方可以在网络安全中获得适当的阵型，您可能会找到最适合您的地方。

编辑：作为另一个值得一看的好地方的例子，因为你的个人资料表明你在瑞士，苏黎世联邦理工学院被认为是世界上最顶尖的地方之一，他们的信息安全大师可能非常有趣（尽管也许更理论/学术方面，而不是具体/应用）。

欢迎@AlanSimonin；好问题。

另一个与之平行的问题，在我看来，是问：“在 IT 安全领域有什么样的工作？”。老实说，我无法告诉你们所有人，但我进入这个行业的方法（我也处于入门级）是：

我试图找出入门级别的工作类型，并将它们与我的技能、我的喜好以及我如何到达那里进行比较/对比：例如，初级渗透测试和安全分析师。然后，一旦我编制了一份（非常）小的入门级 IT 安全工作清单，我就会查看我的背景。

然后，我还考虑了业务类型（金融机构、安全咨询等）。

例如，对于安全分析师，我的观点是，在某些情况下，您只需要计算机学位，并且能够在您的简历或求职信中证明您确实对安全非常感兴趣。你怎么证明？通过展示对博客的参与，或拥有自己的网站，或发表关于你所做研究的论文。这些研究不一定需要是原创的或革命性的，但始终如一地表明你有能力组织你的想法并有一个良好的结构来呈现它。

我目前在一家金融机构从事 IT 安全管理工作；回答你的问题，在那里工作是什么感觉？首先，它很棒。我热爱我的工作，工作时间很灵活，我可以选择在家工作，而且我的团队很小，但有一群非常友善和乐于助人的人。我所做的很多事情都与创建和改进处理事件响应、防火墙访问请求、DDoS、漏洞管理、与即将到来的项目进行渗透测试、日志分析等的流程有关。所以它几乎是一个 IT 管理角色，几乎它对安全性的所有关注：我喜欢它。我花了很多时间交换电子邮件并使用 Word 和 Excel（...世界并不完美）。我做的另一件事是成为我们 CAB（变更咨询委员会）的成员，如果项目需要在基础设施中实施任何变更，项目经理必须经过 CAB 成员的批准）。我也有一些技术性的东西，但那是为了支持更广泛的管理。考虑到这是一个入门级的工作，我得到了很好的报酬。我还可以通过 OnCall 工作获得额外的收入。

就要获得的认证而言，不要对它们过于疯狂。特别是因为它们非常昂贵，并且无论何时您开始加入公司，他们都可能会投资于您并支付您的培训和认证费用，因为这已经发生在我身上。你有更强的编码或网络背景吗？

回答你的下一个问题，这是否是学术问题？好问题，实际上非常好：学位是你的脚。它可以帮助您获得第一份工作；您的以下工作将主要基于您在安全社区中的经验和声望。老实说，就我在大学学到的东西而言，我在工作中使用的很少。我在工作中使用的大部分东西都来自我自己对学习的独立好奇心。让我们这样说吧：假设您认识一家安全公司的重要人物，他了解您的思维方式、道德操守并承认您对安全的热情。即使您可能没有学位，如果此人真的对安全持开放态度，很有可能会给您一份安全分析师的工作。在我看来，学位是未来雇主必须知道您（作为雇主不认识的人）已经花费足够时间来证明您真正喜欢您的学习领域的一种方式：它不能证明知识或经验；除此之外，我认为安全学位毫无用处。这同样适用于认证。我曾与甚至没有学位的高技能渗透测试人员一起工作！我发誓。但是，当然，如果您想要可信度，您必须拥有几张证书。连学位都没有！我发誓。但是，当然，如果您想要可信度，您必须拥有几张证书。连学位都没有！我发誓。但是，当然，如果您想要可信度，您必须拥有几张证书。

最后，给大家提个意见，如果你没有很强的技术背景，但喜欢安全的思维方式，那么在金融机构内部做一些反欺诈和电子犯罪预防方面的研究：他们没有支付与 IT 安全一样多的费用，但是将这两个学科合并在一起（即反欺诈和 IT）出现了一种新趋势。也许通过进入其中一个，您可以像我认识的某个人已经做过的那样，将其用作潜入另一个的一种方式。（抱歉这么冗长）

“网络安全”既是一个大肆宣传的术语，也是一个非常大的领域。

IT 安全的一部分是在事物的构建方面；您设计系统架构以实现某些安全特性。为此，您必须了解攻击的作用以及它们的工作原理；能够实际运行它们并不那么重要（即知道缓冲区溢出是什么以及它会导致什么非常重要；能够为实际利用编写汇编代码，或者牢记 metasploit的所有命令，没有多大帮助）。设计安全架构的一部分是使用加密算法和协议，这需要知道它们做什么和不做什么。

我专业地参与了很多PKI，所以这是很多密码学，并且在我自己的形成（密码学博士学位）中......理论上。在实践中，我的大部分日常工作是：

• 为文档寻找成千上万个可怜的借口，通常是“博客格式”（是的，我说的是你，微软）；
• 偶尔编写脚本或 .NET 代码以将一些工具粘合在一起，或填补空白（例如解码和验证 PKCS#10 请求中的字段）；
• 解码 SSL 握手的网络痕迹；
• 向人们解释事情。

最后一项可能是最重要的：我大部分时间都在向其他人解释事情，传播信息并试图消除神话和毫无根据的谣言。就此而言，我的日常工作看起来很像我在 Security.SE 上所做的工作。

最先进的结构必然是极其专业的，所以以后你不会经常使用它们（实际的密码学不到我的 5% 的时间）。你需要的是好奇、好奇、渴望学习新事物；您应该在家中花费相当长的时间尝试开发攻击或防御代码。它有助于拥有一些理论知识（算法，一些代数......）。实际的文凭很容易让人听你的，但不是绝对要求：一般来说，IT，特别是 IT 安全，是大多数雇主都知道的领域不是在学校获得的。但是，如果您想走学术道路，那么博士学位是必要的（既要被您的学者所接受，又因为攻读博士学位是学习如何“做科学”的唯一已知方法）。