Что делать?
Драсте, я учусь на 2 курсе кафедры – "Комплексное обеспечение информационной безопасности автоматизированных систем". Но я не совсем понимаю, что я буду делать после учебы, нужно ли мне освоить что-то еще? Сейчас пичкают математикой и логикой(6 математик). В университете мне внятного ответа, что я буду делать, востребован ли я буду или нет не дал.
Ссылки
[link1] https://www.pgpru.com/novosti/2010/fbrzapodozrilivpomescheniibekdoravipsecstekopenbsd
[link2] https://www.pgpru.com/forum/prakticheskajabezopasnostj/shifratorykripton
[link3] http://slon.ru/blogs/miroshnichenko/post/258644/
[link4] https://www.pgpru.com/comment40433
[link5] http://www.youtube.com/watch?v=iO01zy-in4g&feature=related
[link6] http://www.youtube.com/watch?v=G2cPbqxAu9w&feature=related
[link7] http://www.youtube.com/watch?annotation_id=annotation_665257&feature=iv&v=FQm_T709tpA
[link8] http://www.youtube.com/watch?annotation_id=annotation_347298&v=rttPsX0kk0E&feature=iv
[link9] http://www.migku.ru/?page=5&fakultet=4
[link10] http://angstrem.ru/catalogue/
[link11] http://habrahabr.ru/blogs/hardware/28719/
[link12] https://secure.wikimedia.org/wikipedia/en/wiki/Peephole_optimization
[link13] http://www.nestor.minsk.by/sr/2003/07/30710.html
[link14] https://secure.wikimedia.org/wikipedia/ru/wiki/Грэм,_Пол
[link15] http://my.opera.com/forth/blog/beginning
[link16] http://coldflame.by.ru/txt/translated/real_coders_ru.shtml
Упорядочение неверное. Надо было вот так: что я буду делать после учебы? -> не понимаю -> понял -> мне нужно освоить что-то еще -> пошёл учиться на кафедру {}.
(а у вас то же самое, только в обратном порядке)
В той же Российской Федерации есть весьма развитый рынок программно-аппаратных комплексов в сфере защиты информации. Продукты проходят сертификацию ФСТЭК и ФСБ, после чего продаются на сотни миллионов в год. Покупаются в основном теми организациями, чьи компьютерные системы согласно российским законам должны быть аттестованы не ниже определенного уровня. Равно как в организации владельцами по собственному усмотрению может быть введен режим коммерческой тайны. Соответственно в таких системах(обычных сетях состоящих из рабочих станций и серверов) должны использоваться только то ПО, что прошло сертификацию госрегуляторов(ФСТЭК и ФСБ) на какой-то из уровней. Поскольку аттестацию проходит вся система(сеть) в целом. Уровней довольно много, и коммерческая тайна, и секретно и гостайна.
Недавний скандал с бэкдорами в OpenBSD (http://www.computerra.ru/own/kiwi/587263/) показал, что деятельность госрегуляторов по проведению сертификации ПО и программно-аппаратных комплексов очень даже обоснована. Те кому доводилось читать список требований, по которым производится подобная сертификация не дадут соврать, что требования весьма современные и разумные(адекватные).
Для работы в этой сфере требуется быть или разработчиком(ПО, аппаратура) или тестером(quality assurance) или криптоаналитиком. В любом случае специфика типичная любой сфере разработки софтовых решений enterprise уровня, но с уклоном в сферу информационной безопасности. В плане понимания, основных криптографических протоколов, не обязательно в контексте реализации криптоалгоритмов для шифрования, поскольку часть решений строится на реализации дополнительных надстроек над существующими механизмами аутентификации или проверки целостности. А так же в плане понимания принципов безопасности компьютерных систем в целом, т.е. способности представлять типичные модели угроз.
В целом – даже на российском рынке систем информационной безопасности на текущий момент есть очень ощутимый и растущий дефицит квалифицированных разработчиков, тестеров, аналитиков, тимлидов, продакт менеджеров и менеджеров проектов. Типичный уровень зарплаты рядового разработчика или тестера на текущий момент составляет 50-130т.руб./месяц уже с премиями и после вычета налогов.
Обучение по указанной специальности позволит окунуться в специфику сегмента систем информационной безопасности. При этом в процессе обучения надо делать выбор, чем именно заниматься работая в этом сегменте. Быть одним из тех, кто проектирует и разрабатывает данные системы или одним из тех, кто продает, внедряет и обеспечивает тех.поддержку таковых.
Начинать трудоустройство необходимо самостоятельно курса со второго-третьего. Это позволит обрести как необходимые навыки в технологиях, так и опыт прохождения технических интервью(собеседований). А так же к моменту получения диплома составить собственное представление о компаниях и проектах существующих в этой сфере деятельности.
Не вижу связи с теми, якобы эфемерными, бэкдорами[link1] (см. комменты).
На рынке (не только российском) вообще дефицит _квалифицированных_ _специалистов_ (в любой области).
Какая-то инфляция темы, поднятой в заголовке. "Что делать" – вопрос более фундаментальный, например такой:
А не строим ли мы сами себе тюрьму, работая над укреплением инфобезопасности? Ведь плодами пользуются прежде всего заказчики, для которых мы рабочий скот, который надо держать в узде и в стойле...
Не
рой другому ямустрой для других систему ограничения доступа к информации ограничения – сам в неё попадёшь!Сразу возникает список риторических вопросов:
Сколько реальных бэкдоров нашли госрегуляторы? Гостайна, да?
Кто "регулирует госрегуляторов"? Они могут предоставить все свои программно-аппаратные разработки для открытого анализа независимыми экспертами (в т.ч. зарубежными)? Они публикуют открыто (без подписок о неразглашении) сведения об уязвимостях (или даже "бэкдорах") в собственных "программно-аппаратных" комплексах? Сертифицируемых ими разработках сторонних производителей? Госрегуляторы проводят открытые разработки и принятие стандартов (с привлечением зарубежных специалистов) — по аналогии конкурсов НИСТ США?
Даже тот же НИСТ, часто при содействии АНБ продвигал нечто, почти раскрытое как бэкдоры в криптоалгоритмах. Лицензии госслужб США и Великобритании выдавались на сомнительные аппаратные решения и т.д. Отечественные госсертификаторы чем-то лучше зарубежных? И фактически, даже специалисты из регулирующих органов в этой сфере (в любой стране), они больше кто — специалисты или чиновники?
Чтобы человек не укреплял и не совершенствовал, из всего, даже самого прекрасного или безобидного, всё равно можно построить какую-нибудь гадость.
тэги: политота, философизмы, экономикомаразмы и прочие возбуждающие троллей слова.
"Математику уже затем учить нужно, что она ум в порядок приводит" М.В.Ломоносов
Я уже закончил по этой самой "Комплексной защите". До сих пор не знаю как устроиться по специальности и что нужно будет делать.
И даже больше, меня один раз пригласили в нефтегазовую компанию на собеседование (!нашли сами через этот сайт!). Так вот, даже разговаривая с начальниками соответствующих подразделений, я не мог добиться что нужно будет конкретно делать и какими знаниями я должен обладать – только общие слова и упоминание что возможно много бумажной работы. (может это такая секретность суперская – даже при приеме ничего не говорить. От этого профессия кажется еще круче).
Сейчас работаю программистом и техническим писателем (ТЗ и проч.) – но с ИБ моя профессиональная деятельность, к сожалению, никак не связана.
unknown, ну харэ истерику пороть :)
Есть предприятия и организации работающие в режиме совсекретно и гостайна. Безопасность тех компьютерных систем, что в них используются – это обороноспособность страны. Госрегуляторы потому и требуют проведения аттестации таких систем. Ведь у России лишь два союзника – армия и флот.
Люди добровольно работающие в режиме коммерческой тайны обычно используют системы(софт) сертифицированные на отсутствие недокументированных возможностей. Полезен любой квалифицированный комплексный аудит от исходников и до процесса сборки в точности тех бинарников, что представляют собой продаваемый продукт. В целом же сертификация госрегуляторами проводится не лично, а по сути через услуги аудиторских компаний аккредитованных на подобную деятельность.
Да в стране демократия лишь формально, везде и всюду буйно цветёт "чекизм", а у власти некий сурогат, классический "элитный паразитариум", типичный скорее для африканских стран.
Однако, допусти мы хоть на время возможность вшить в компьютерные системы что-то сродни творениям Йоанны Рутковской и страна навсегда останется с неразвитой экономикой представляющей собой лишь обслугу нефтегазовой трубы. Именно такой этот мир видит и хотел бы видеть в дальнейшем страну именуемую сейчас Российская Федерация. На территории РФ практически ничего производить нерентабельно. Ни в плане промышленности, ни в плане сельского хозяйства. Остается разрабатывать технологии, а для этого нужно и противодействие промышленному шпионажу и инженерная прослойка среди населения согласная жить в этой грязи с ненавистью, занимаясь строительством нового государства.
Это всё к тому, что подход к организации безопасности может быть либо для охраны власти текущей медвепутии возглавляющей российский элитный паразитариум. Либо в контексте хоть какого-то, но патриотизма. Хотя бы из-за попыток заглянуть в те или иные перспективы для страны. Которой пока что светит лишь эволюционировать из обслуги нефтегазовой трубы в переработчика и могильник для радиоактивных отходов со всего мира.
И вот не надо к нам лезть ни с промышленным, ни с другим шпионажем. Конечно в этой стране очень и очень многое придется поменять и в плане политического уклада и в гражданско-правовом сознании граждан, но это наше личное дело и мы должны иметь на это хоть какой-то шанс. Т.е. аниматься переделкой страны и общества можно лишь обеспечив хоть какую-то безопасность.
А применимо к молодым специалистам – вначале создается рынок продуктов информационной безопасности, покрывающий далеко не только режимные предприятия. Условия этого рынка приводят к появлению востребованности специалистов разработчиков, а так же определяет их уровень жизни(доходов). Развитие рынка в дальнейшем уже к повышению уровня квалификации специалистов. На текущий момент данный сегмент рынка программных и программно-аппаратных решений растет, развивается и совершенствуется. И если часть накопленных/наработанных технологий, ранее использующихся на обеспечение "непробиваемости" режимных объектов, пойдет в гражданские системы, то вряд ли от этого станет хуже российскому рынку коробочных программных продуктов. И если вчерашний молодой специалист согласен жить в этой стране на те же 70т.руб./месяц, занимаясь делом и внося свой вклад в развитие страны – то разве это плохо? :)
проговорился захватчик. А если не захватчик и Россия твоя родина, то ты вообще хрен знает что.
А урановые центрифуги встанут. И спутники упадут. И враги оккупируют. Это понятно.
Пусть работает, но и имеет возможность публиковаться, пишет такие же работы, как Рутковска или лучше, развивает открытое сообщество пользователей систем безопасности, будет известен наряду с мировыми специалистами. Или развитие технологий опять только для себя, для узковедомственных/узкокорпоративных интересов сначала, под соусом патриотизма (пусть и с достойной зарплатой), а вот в светлом будущем...
В основном тематика сайта — безопасность для всех, для любых пользователей — или с точки зрения общей теории и практики, или с точки "(пост)шифрпанковской" культуры скорее.
А корпоративного и тем более государственного сектора безопасности мы не касаемся вообще и в те проблемы не лезем, поэтому и советов тут мало. Конечно такое видение проблематики никому не навязывается, лицензирование СКЗИ и прочее здесь кто-то спрашивал и т.д., если кто ответит — хорошо, но в целом немного не по адресу.
unknown,
На текущий момент российские компании занимающиеся разработкой систем информационной безопасности являются обыкновенными комерческими юр.лицами. Соответственно свобода деятельности сотрудников таковых никак не ограничивается, накопленные знания и разработанные технологии не засекречиваются. Выходить на мировой рынок с готовыми продуктами на базе этих наработок родимые госрегуляторы не запрещают. Т.е. нет запрета на экспорт.
В итоге, в России разрабатываются как коробочные продукты так и аутсортсинговые проекты для complaints и сектора ИБ других стран.
Опыт разработки систем и продуктов отвечающих требованиям работы с той же гостайной – это то, что позволяет очертить определенную планку уровня разработок. Если к этому добавляется опыт разработки энерпрайз солюшенов в целом(в том плане что под этим понимается в мире), то на выходе может получиться компания способная производить вполне достойные продукты для мирового рынка.
Сотрудники же в таком случае имеют возможность свободно выбирать, заниматься ли им своей профессиональной деятельностью в этой компании или другой, в этой или иной стране.
Именно поэтой причине столь велика роль аудита и сертификации выполняемая госрегуляторами. Поскольку на них при такой схеме целиком и полностью ложится ответственность за национальную безопасность страны.
Вполне современный и цивилизованный подход обеспечивающий и развитие технологий и экпорт продукции и личную с профессиональной свободами для граждан.
Вот один из основных "посылов" этого сайта это то, что открытые программные разработки в сфере информационной безопасности лучше закрытых просто потому, что у них проверяющих гораздо больше.
Так мы от этих продуктов прежде всего безопасности хотим или денег?
Возможно несколько путей ведущих к желаемому результату. Государству необходимы продукты и решения способные обеспечивать информационную безопасность, как неотъемлемая часть национальной безопасности. В государстве российском этим вопросом занимается ФСБ. Если была допущена ошибка при сертификации, которая привела или могла привести к утечке информации составляющей гостайну, то действия ответственного рассматриваются, как предательство. Последствия для человек – "высшую мера". Сколько бы не пели гуманисты про мораторий на смертную казнь, всегда останутся вещи "де-юро" и "де-факто".
Возникает вопрос, а кто лучше мотивирован, толпа независимых экспертов не рискующих ничем в случае своего промаха или же офицеры ходящий под "вышкой"?
Отчасти потому проверкой таких продуктов занимается сразу несколько независимых команд, но ответственность же в конечном итоге замыкается на конкретные персоналии. Потому сертификация продуктов в ФСБ на уровень совсекретно и гостайна обходится в миллионы рублей, а по времени занимает полтора-два года.
И вот после прохождения всех этих терний продукт начинает поставляться не только в те организации и службы, где не может быть более слабых решений, но и на гражданский рынок. Если же продукт при этом на открытых исходниках, то после поступления на гражданский рынок, может быть подвергнут дополнительному аудиту любыми сторонними экспертами. Что отчасти является, в свою очередь, обратной связью для дополнительного контроля деятельности офицеров ответственных за эту часть национальной безопасности. При этом ФСБ по сути лишено возможности запретить создавать продукты/решения на базе открытых исходников.
Возможен и другой вариант, когда вендор желая сэкономить финансы и нервы вначале выбрасывает продукт на рынок, обкатывает, закрывает найденные прорехи. И уже желая расширить рынок сбыта, условно говоря, за счет госзаказов – проходит сертификацию госрегулятора.
Примерно такой путь обеспечения национальной безопасности, в плане информационных систем, на текущий момент и выбран в РФ. Насколько оный оправдан покажет время, что-то порядка ближайших трёх-пяти лет.
Патриотизм зачастую очень тонко граничит с идиотизмом :) И всё же, отрадно тешить себя надеждой, что изложенный выше подход может обеспечить как безопасность на разных уровнях, так и сравнительно безбедное существование, без стагнации, для вендоров.
Да ну (простите, нах)! И кто-то ещё на это ведётся? Подписывается под этим? Соглашается вести унылое существование под присмотром, даже если это всего лишь нагловатые шуточки со стороны компетентных товарищей?
Как-то сразу незаконченная книжка Масленникова[link2] вспоминается (в форуме обсуждалась). Про атмосферу, в которой нет никакого желания создавать что-либо новое. При таком подходе проще тупо высиживать от звонка до звонка, сдувать пыль с устаревших инструкций и размазывать ответственность бюрократическим способом — целее будешь. С такой мотивацией получается застойное болото.
Это в любой организации кстати может произойти такое вырождение, хоть в государственной, хоть в крупной коммерческой ("зАмок Кафки"; законы Мерфи, описывающие бюрократию).
Мало кто из криптографов берётся создавать новые криптоалгоритмы(шифры). Слишком уж (большой вызов). Именно на различные сложности возникающие при попытках заниматься такой работой в середине 90-х и сетует Михаил.
Несколько неуместно такую деятельность сравнивать с проверкой блейд-сервера с кастомизированной FreeBSD внутри и рядом реализаций ГОСТовских алгоритмов. На предмет, можно ли этому оборудованию, этому варианту ОСи и таким реализациям ГОСТов доверять роль vpn-шлюза.
При этом большинство аудиторов может ни коим образом не работать в ФСБ, но по их отчетам принимаются решения со стороны руководителей/офицеров. Задача которых так организовать процесс сбора необходимых данных и процесса принятия решений, чтобы исключить почти все возможные варианты "протаскивания" кем либо через процедуру сертификации решений с "закладками".
Предыдущий пост написан мною.
В догонку, вроде как этой осенью Михаил "вернулся из иммиграции" :)
Так никто не спорит именно с этим вообще. Собственно деятельность специалистов на госслужбе не отрицается как изначально полезная и необходимая для государства, при условии, что вся работа организована хорошо.
Есть рынок специалистов, которые могут не состоять на госслужбе, но работать в каких-то фирмах, выполняющих госзаказ — тоже прекрасно. Вопрос мотивации — в конце концов их личный выбор, все плюсы и минусы пусть взвешивают сами.
Выбор вполне может быть достойный и не нужно его политизировать (то что вы там писали про "паразитариум", "медвепутинскую элиту" — вот к чему это всё опять?) Страна сама по себе, текущий политрежим сам по себе. Специалисты для интересов государства будут нужны всегда. Даже если на обычном рынке на них не будет спроса.
Вы утверждаете, что есть спрос и на обычном рынке. Приведите примеры тому, кто начал тему, это ведь его вопрос.
И опять же, рядовым пользователям свободных продуктов от этого пока ни жарко, ни холодно. Коммерческим потребителям сертификаты нужны часто только, чтобы отстали проверяющие.
Ну если такой специалист будет уделять время свободному сообществу, то да хорошо. Если ваша идея состоит, что чем больше специалистов, то количество перейдёт в качество на всех уровнях и кроме государственного и узкокоммерческого спроса будет и поддержка свободных исследований, то можно помечтать и об этом светлом будущем.
А вот интересно, как иностранные микросхемы аудит проходят?
И даже если полностью изучить какой-то экземпляр, где гарантия, что в других то же самое? Вот может лучше что нибудь совсем простенькое (криптомодуль) но своё?
хинт: процессор Эльбрус. Однако ж, собирать его всё равно будут заграницей — в России нет технологий изготовления современных микропроцессоров вообще.
С одной стороны не в курсе о том как именно в ФСБ проходит аудит железа. С другой, процедура сертификации – это аудит проекта с предоставлением конкретного прототипа. Перед постановкой же "на боевое дежурство" конкретные экземпляры оборудования должны проходить очередную валидацию/проверку. Вдруг где-то в пути, от производителя до объекта, кто-то внутри что-то подкрутил.
Для оценки хорошо или плохо организована эта работа нужно иметь представление об этом. Примерное представление и должно будет сложиться исходя из обмена реплик у тех, кто в решит ознакомиться с этим тредом.
На современном российском рынке информационной безопасности уже почти не осталось компаний-игроков специализирующихся именно на выполнении неких госзаказов. Закупки для госсектора производятся уже готовых сертифицированных продуктов-решений. На неких условиях той или иной конкуренции между этими игроками.
Т.е. уже нет ситуации, когда госслужбы и иже с ними размещают заказ в какой-то коммерческой структуре, а после его выполнения "протаскивают через сертификацию".
Профессиональная деятельность в качестве официального специалиста в секторе информационной безопасности очень часто рассматривается или как деятельность направленная на защиту коммерческих бизнес-структур от госрегуляторов и контроля со стороны ведомств (налоговая/прокуратура/МВД). Или же, в противоположном случае, как "служба" направленная на охрану текущего политического режима в государстве.
Текущий же уровень развития сектора информационной безопасности в РФ позволяет быть квалифицированным и востребованным специалистом не вляпываясь ни в ту, ни в другую из означенных крайностей. Заниматься разработкой различных решений продаваемых и тем и другим. Отчасти ради наживы, отчасти ради развития материально технической базы для возможности присутствовать с этими продуктами на мировом рынке.
Соответственно, этот расклад позволяет реализовать как желание заниматься эволюционированием данного вида производства, работая на благо родины в стратегическом плане, сродни долгосрочных экономических перспектив, так и закрывая вопросы национальной безопасности :)
В этом нет смысла, не должно быть навязывания ни в той, ни в иной форме. Найти компании занимающиеся разработкой в секторе информационной безопасности. Посмотреть списки вакансий и требований к знаниям/опыту кандидатов, походить по интервью(собеседованиям). Составить собственное впечатление о людям, проектах и подходам к организации деятельности. Это должно быть сделано человеком самостоятельно. И только после полного погружения человеком в этот контекст, уже будет смысл говорить о конкретных компаниях, приводя примеры и останавливаясь на нюансах. Иначе получится разговор глухого с немым.
Именно это являлось отчасти начальной фазой развития российского рынка информационной безопасности. В так называемых "цивилизованных" странах принято разделять рынок созданный требованиями госрегуляторов(камплаинс) и рынок средств информационной безопасности. Приходится констатировать, что в РФ эти два сектора пока что тесно переплетены. В тоже время, именно эта начальная фаза позволила привлечь финансы в отечественный сектор производства средств информационной безопасности. Соответственно создать рабочие места и начать привлекать к этой деятельности более-менее профессиональных специалистов.
У человека, пусть вчерашнего молодого специалиста, зачастую полно амбиций связанных не только с признанием своих интеллектуальных достоинств в том или ином сообществе. Сколько изрядная часть амбиций связано и с материальным обеспечением собственного уровня жизни. Текущее положение дел с уровнем оплаты труда на российском рынке информационной безопасности вселяет надежду, что после решения бытовых вопросов у специалистов остается время и силы для дальнейшего профессионального роста.
Обоснование этой точки зрения кроется в вопросах мотивации. Если человек осознает, что можно стать более высокооплачиваемым специалистом вкладываясь непосредственно в свое профессиональное развитие. То это и приводит к всплеску деятельности не связанной напрямую с исполнением лишь должностных обязанностей, а направленной на самостоятельные изыскания.
Через pgpru.com? Это как? Посмотрели в информацию, указанную в профиле? :)
Да, народ ориентируется на крутость :) (дурной признак при выборе профессии).
Добавлю от себя 5 копеек:
В детстве, даже во времена, когда совсем ничего не понимал в компьютерах, специальности, связанные с программированием и сетями казались самыми востребованными, а ИБ казалось уже совсем "илитарной". В вузах на эти специальности был повышенный конкурс, особенно если они — не профильные для факультета (к примеру, прогеры на матфаке), но я туда и не ломился.
На Физтехе — ещё интересней: такие специальности есть на РТ, но, как рассказывают, если на собседовании покажешь что тебе интересно прежде всего именно ИБ, то вообще в вуз не возьмут, ни на какую специальность. Логика проводящих собеседование примерно такая: народ туда идёт понтов ради, слабо представляя что это, о чём оно, и зачем нужно. Т.е. "хочу на специальность ИБ" в ушах приёмной комиссии звучит как "хочу быть управленцем" или "хочу быть госчиновником — у вас на них учат" или что-то в этом роде. Возможно, это — следствие специфики вуза, но считается, что достойно хотеть получить блестящее хорошее образование, т.е. какую-то базу, а уж как вы её потом будете использовать в сугубо вторичном техническом частном случае — дело третье. В таких рамках что "программист на пыхе", что "админ линукса", что "спец по ИБ" звучат примерно одинаково. Ещё момент в том, что к ИБ в широком смысле можно отнести слишком много чего: начиная от серьёзных научных разработок (самой криптографии, анонимных сетей, протоколов — по всему этому пишутся статьи в научные журналы), и кончая "продвинутым админством". Да, можно выделить нечто общее, характерное для ИБ — какие-то факты, идеи... но они помесятся в одну книгу, изучив которую вы на практике работать всё равно не сможете. Вот пример: знание того как работает ipsec и умение его настраивать — это что? ИБ? Или админство? А настройка опций ssh или openvpn? Итого, техника — одно, общая теория, стоящая за техникой — другое, а криптография как наука, стоящая в основе всего — третье. Люди из этих разных лагерей могут вообще друг друга не понимать. Мне вот довелось повидать по рабочей необходимости людей, которые более-менее представляют что есть хэши, RSA, DSA, ECC и т.д., но которые не могут назвать ни одной живой реализации для людей этих алгоритмов (т.е. слова gnupg или ssh им ни о чём не говорят). Когда таким генеришь ключи, объясняя что значит по криптографии производимые действия (типа сверка отпечатка по телефону), у них прям момент познания истины на лице :) Что-то я отвлёкся. Продолжая про РТ, могу заметить и результат: всех кого на ту специальность взяли, потом выгнали за неуспеваемость. В общем-то оно и понятно: если мозг наличествует, то идёшь в вуз освоить то, что фундаментально, и что очень трудно изучить самому, а вот книжки по экономике, финансовому анализу, организации информационной безопасности на предприятии, бухучёту (да, да, на Физтехе есть курсы бухучёта по выбору!), программированию на пыхе можно легко освоить самостоятельно при возникновении рабочей необходимости.
Мораль: с учётом вышесказанного не мудрено, что научить чему-то дельному на этих модных специальностях не могут (равно как и на всяких менеджеропроизводящих). В частности, многие компании, как заявляется, всё делают проще: они принимают на работу выпускников тех вузов, которые гарантируют (хоть и не абсолютно) минимальный мозг на выходе, и уже сами их дообучают тому, что им нужно. В некоторые компании берут исключительно выпускников топовых вузов, т.е. если в дипломе указано что-то иное, процесс не дойдёт даже до собеседования.
Тэги: имхо, ещё раз ИМХО, пересказы чужих сплетен, домыслы,
ОБС"один товарищ лично при встрече сказал" и т.д.[offtop]
L1d, вы или телевизор пересмотрели, или правительственных планов перекурили. Это я о такой вещи, как бюрократический язык[link3] (ссылка уже пробегала здесь: /comment40433[link4]).
[/offtop]
[offtop]
Смиритесь :)
Если вкратце, то это издержки работы в команде или руководства командой. Когда большая часть работы – это взаимодействие с людьми.
Если же более развернуто, то есть язык дипломатический, есть деловой, есть бюрократический, есть обиходный. Использование глаголов требует местоимений – "я", "ты", "мы", "они". И это неблагоприятно сказывается на психологическом комфорте, как бы цепляет людей.
Вместо:
приходится спрашивать иначе:
Не кто и что должен сделать, а то какие задачи и вопросы надо выполнить. Давать понять человеку, что ключевое не в том, что он должен сделать какую-то там работу, а что такую-то работу просто надо сделать. Потому как если человеку в той или иной форме постоянно напоминать, что именно он должен делать – то почти любой начнет "брыкаться" и в той или иной форме саботировать работу.
Время же упоминается по той причине, что задач обычно довольно много, выполнение которых необходимо координировать:
– выполнять задачи и в соответствии с приоритетами
– исходить из того, что некоторые из них не существуют сами по себе в пространстве, а взаимосвязаны с другими задачами
– выполнение каких-то задач можно распараллелить
А координировать – это не в плане людьми покомандовать, а в плане организовывать работу таким образом, чтобы на одном временном отрезке(день, неделя) уместить максимальное количество выполненных задач. Т.е. из обращения к человеку должно быть понятно, что ключевое не в том, что оный должен сделать, а что это вообще надо сделать. Давать понять, что вопрос вызван не с тем, что человеком командуют, а с тем, что происходит координация его деятельности с деятельностью других людей. Поскольку отсутствие результата выполнения аффектит работу других людей и в итоге из-за этого страдают общие цели и задачи. Ради выполнения которых, собственно, и существует эта команда/подразделение/департамент.
[/offtop]
Я тут даже резюме выкладывал :)
Вообще, они нашли сначала timemarker.org (что-то им нужно было по меткам времени и они на эту тему информацию собирали), а потом пошли читать на pgpru.com. Случайно наткнулись здесь на мое резюме (вроде как изначально вакансии вообще не было).
Я сказал "круто", вы сказали "элитарно". Суть одна.
Добавлю
Посущесву так (насчет ИБ).
Но не так мрачно, есть и там отличные преподаватели и отличные дисциплины, кто хочет тот знания получит. Кстати, до вашего поста, я не ассоциировал ИБ с манагерством и другими моднючими специальностями (надеюсь это не распространенное мнение).
Конечно! программирование это прикладное знание, никто не спорит.
Но и тут, как и в каждом деле, есть свои нюансы и тонкости, и есть умные товарищи — не надо взирать на других с высока марки института, фундаментальности познании и учености.
Иногда приходится иметь дело вот с такими "освоившими как прогать на пыхе" – ничего нормального они не порождают (как не породите и вы если с таким отношение начнете "осваивать").
p.s. я не php работаю.
Возможно, вы им чем-то приглянулись, и они хотели вас взять на работу, вообще никак не связанную с ИБ — почему бы и нет? Бывает, что не требуется каких-то особых знаний кроме общей "толковости" (грамотность, умение работать с людьми, хороший язык).
Одно время назад ещё было иначе, а сейчас "компьютерщиков" всех мастей уже давно клепают "недавно сформировавшиеся гуманитарные вузы". Кто не смотрел, есть отличная передача про ситуацию с образованием, в 4х частях на ютубе: 1[link5], 2[link6], 3[link7], 4[link8].
Один человек, закончивший факультет информационных технологий в управлении[link9] мне жаловался на то, что его не берут в банк программистом, а я почему-то не удивлён. Человек гордо именовал себя специалистом
во всёмна все руки и считал, что его всему научили. Речь была о примерах вузов типа вышеозначенного.Да, конечно. unknown, помнится, кидал ссылку на содержимое зарубежных курсов по криптографии. Аналогично, есть очень хорошие курсы и по Computer Science, где вас будут учить языкам as is, как некоторой математике, стоящей за ними (лямбда-исчисление, scheme и т.п.), а не синтаксису конкретного диалекта конкретного языка*. Можно ориентироваться на них, чтобы объективно сравнить себя и лучших в своей области.
*На выходе получается чел, которые может писать свой DSL (domain-specific language), адаптированный под нужную задачу, который понимает полный набор грамматик, их минусы и плюсы, может выбрать именно те свойства для DSL, какие нужны.
[off]
Вот только практическая полезность такого умения сомнительна, ну просто нет такого количества областей (domain) и психологических типов людей. Скорее это для эстетики (что, однако, может быть даже более важно в глобальной перспективе).
С алгоритмическими языками, по моему, уже всё в прошлом веке придумали. И начиная с некоторого (вобщем то, довольно невысокого) уровня становится неважно, на каком языке писать (вот как в литературе – ценится само художественное произведение, а не язык, на котором оно написано). Более важно, насколько надёжно он реализован, насколько удобна IDE, как организован процесс разработки... Но главное – разбираться в предметной области, в специфике задачи. Как когда-то давно было сказано на одном крупном автозаводе – "нам проще изучить компьютеры, чем им – производство автомобилей"
[/off]
Вообще да, в образовании приходится искать золотую середину между общим ("знать ничего обо всём") и конкретным ("знать всё ни о чём")...
[offtop]
Вот я и говорю, произвели бы аналог 286 процессора хотя-бы, и собрали бы на нём полностью собственный компьютер – для большинства задач ИБ он сгодился бы...
Неразрушающий реверсинг микросхем – это круто! :) Пока нет собственного производства, это всё, к сожалению, "для галочки"...
[/offtop]
[off]
Кстати, чем не направление для теоретической криптографии – есть маломощьные защищённые и мощьные незащищённые компьютеры – как организовать на этом "нормальную жизнь".
[/off]
Ну может не так уж и круто (теоретически). Берём микросхему, фотографируем её в проникающей радиации, а потом уже проверяем с разрушением, но имеем отпечаток, получаемый неразрушающим способом, с которым уже и сравниваем конкретные сертифицируемые экземпляры.
Технологии этой в обед уж 40 лет
[offtop]
Вы сами себе противоречите: сначала пишетеа потом про предметную областьА то, что свойства языка вообще-то определяют сей процесс, вам неважно? Казалось бы, логично если язык отражает предметную область. Попробовали бы вы уравнения в частных производных на асме порешать, и не на x86, а на RISC'е — вот это процесс разработки будет :) А просогласен — это такая максима, что "программисты как таковые" не нужны массово как профессия. Умение программировать, типа, должно быть уподоблено умению машину водить: число водителей много больше числа шофёров (профессиональных), но никто ж всех водителей не выделяет в отдельную профессию. И эта максима подтверждается тем эмпирическим фактом, что чистые прогеры плохо осваивают какие-либо domains, начиная от физики и электроники, и кончая разработкой интерфейсов и лингвистикой. Просто разрабатывать DSL и пользовать их, естественно, должны разные люди: заставлять каждого делать DSL под себя — это очень дурная рекурсия. Разработчки DSL, в идеале, — это и есть те самые программисты, хорошо знающие как CS/прикладную математику, так и много чего другого.
[/offtop]
Ангстрем[link10]
[off]
++ Логично. Только основные трудности в реальных задачах лежат не в этом.++
++ Ну тут главное библиотека численных методов (кстати, оптимизировалась она именно на асме), а на чём вызовы писать – не так уж важно. Вот на фортране же решают, и на макроассемблере не сильно усложнит дело. ;) ++
Вот, например, в документации на компютеры Cray время исполнения команд стояло наравне с прочими их характеристиками (а не было упрятано в отдельную таблицу мелким шрифтом) и гораздо чаще существенно учитываелось при написании программ. Просто когда мощьности не хватает (а её нехватает всегда), всё равно приходиться лезть глубже. Так уж лучше сразу думать о тех, кому придётся делать эту работу... :)
Ну а вообще я вёл речь о том, что языков уже придумано достаточно и новых НЕ НУЖНО! Основная сложность – в задаче, а от языка требуется главным образом только хорошее владение им со стороны программирующего
++ Под процессом разработки имелось ввиду взаимодействие между людьми.++
[/off]++
[offtop]
Имелось в видуОтсюда[link11] и т.п.
[/offtop]
[offtop]
Оптимизация, требующая асма (peephole optimization[link12]) идёт двумя путями — это либо использование спец. инструкций (векторных), либо игрища с тактами и пр. И то, и то компилятор в 99.99% случаев делает лучше человека. Так что если мощности с существующими компиляторами не хватает, надо не переписывать на асм (это займет времени гораздо больше, чем прибавит эффективности), а приложить мозг и улучшить алгоритм. В оставшихся случаях не перебирают в теории все сочетания команд, а пишут разные реализации и сравнивают скорости экспериментально.Абсолютно все в библиотеки не засунешь. Веселуха состоит в эффективной реализации (за разумное время) последовательности вычислений по каким-нибудь сложным математическим формулам. Компилятор это может, а люди — обычно нет.Было бы так, если бы все классы задач уже были решены. Естественно было бы ожидать, что для каждого нового класса задач в принципе существует язык, который для неё подходит лучше, чем предыдущие.Окончательный вопрос — за какое время и бюджет будет сделан продукт. На асме, даже макро, он будет делаться долго (все-таки макроасм намного уступает современному фортрану). Далеко не всё руками задрачивается на асме еще по одной причине — с выходом каждого нового семейства процов вся работа обнуляется. Кроме того, редко нужно "написать что-то и забыть про", чаще — поддерживать код, развивать, а в таком случае тем проще это делать, чем более высокоуровневый и более адекватный задаче язык. Это же позволяет совершать меньше ошибок. Уже есть примеры, когда современные компиляторы так оптимизируют высокоуровневый код, как человек никогда уже соптимизирует вручную за разумное задаче время. Где не справится компилятор, там поможет кодогенерация и метапрограммирование (см. FFTW, где код на C генерируется программой на OCaml). Большая часть аргументов, кстати, собрана в этой статье[link13] Пола Грэма[link14].
[/offtop]
Вполне себе достаточно и не нужно, всё можно сделать, например, на форте :)
forth[link15]
Другое дело, что желание идти своим путём и коммерческие интересы приводят к зоопарку языков, как и к зоопарку реализаций того же форта. От было бы здорово если бы вся планета писала в машкоде, то к 2011 г мы точно бы имели стройную иерархию либ и подпрограмм для всех процов и задач :)
Ага, а других факторов типа нет. Вот этот — единственный.
Не кормите больше его.
Ну какие же?
И вам того же
Я не собираюсь пускать аргументы по кругу, цитируя свои посты выше. Если вы делаете вид, что их не читаете — дело ваше.
[offtop]
Да, по большей части это так. Но, вообще, это вы меня сбили в разговор об уровне языка. :) Я имел ввиду не столько "вертикальные" различия, сколько "горизонтальные". Языки приблизительно равной выразительной сил, но одни широко распространённые и имеющие надёжную и практичную реализацию, а другие созданные новоиспечёнными выпускниками университетов, где их учили такие же в прошлом выпускники местных аспирантур, не писавших ни разу в жизни программ длиннее 1000 строк, и не работавшие в коллективе.
По моему используемый язык определяется не столько задачей, сколько типом "мозгов" пишущего. (Кстати, что считать, а что не считать задачей, определяется тоже типом мозгов). Так вот этих типов не так много, и под каждый УЖЕ создан язык. И как в некомпьютерной жизни – если вам есть, что сказать, вы это сможете сказать и на существующем языке, А если сказать нечего, язык не поможет...
Возможно, я отстал от жизни, но по моему "на практике теория отличается от практики гораздо больше, чем в теории". Этими "метапрограммированиями" в основном занимаются люди, далёкие от реальных проблем, и в основном их усилия направлены на облегчение написания и без того простых программ. Вообще, можно сказать, если задача зависит от языка – это простая задача.
Ну а мои аргументы проистекают в основном из этой[link16]. В каждой шутке – только доля шутки...
зы. Посты, что выше не мелким шрифтом – не мои
[/offtop]
Прям как про меня, правда строк было поменее, но зато это была термодинамика, которую я почти никогда не учил :) Fortran IV, FPS, были времена.
Эта статья явно, эксплицитно шуточная, в отличие от грэмовской.