信息安全-目标新加坡读研
高二那年,我窝在家里刷B站,偶然看到一条推荐视频——《黑客入侵电梯》。
视频里,一个黑客用笔记本远程控制了写字楼的电梯,让电梯在任意楼层停靠、开关门,甚至让电梯在十几层直接坠落。我整个人都震惊了,反复看了五六遍。
“原来代码可以这么厉害。“我喃喃自语。
后来我专门去看了《黑客帝国》。那句话我记到现在:“The Matrix is everywhere.”信息安全去新加坡留学,这条路我是怎么走出来的?听我从头说起。
选专业:因为觉得”黑客”很酷
选专业的时候,我一眼就锁定了”信息安全”。
感觉这个名字跟黑客沾边,应该差不多吧?再加上那会儿新闻上天天报道什么”勒索病毒”、“数据泄露”,我觉得这个行业未来肯定有发展。
爸妈也支持——他们说:“网络安全是国家战略,发展前景肯定好!”
结果入学之后我才发现,这个专业比我想象的要”硬核”得多。
密码学、网络协议、逆向工程、漏洞挖掘……每一块都是深坑。
开学第一周,辅导员说了一句让我至今记忆犹新的话:“信息安全专业的学生,要么成为白帽黑客,要么成为’脚本小子’。区别就在于你们这四年愿意付出多少。”
说实话,大一上学期我就差点被劝退了。
高等数学A期中考试61分,勉强及格;C语言程序设计更惨,58分,差点就要补考。
室友小王是计算机专业的,他看我整天愁眉苦脸,问我:“咋了?”
我叹了口气:“你说我要不要转专业啊?”
小王拍拍我的肩膀说:“兄弟,你这专业多好啊,以后当黑客,多酷!别怂啊!”
那句”当黑客多酷”还真让我坚持了下来。
CTF:第一次感受到信息安全的魅力
真正让我爱上这个专业的,是大一寒假参加的那个CTF培训班。
第一次接触到”渗透测试”——用Kali Linux上面的工具对靶机进行攻击,找到漏洞、利用漏洞、拿到管理员权限。
当我成功拿到第一个flag的时候,那种成就感,比高考查到分数还爽。
“原来信息安全不只是理论,是可以动手实践的!”
室友听得一头雾水,但我管不了那么多了。从那一刻起,我就知道——这辈子,我就是要干这行了。
英语:雅思备考的血泪史
留学新加坡需要雅思成绩。
新加坡国立大学(NUS)的计算机学院要求雅思总分6.5以上,单项不低于6.0。我查了一下官网,往年录取的学生平均雅思成绩是7.0分。所以6.5只是最低门槛。
我的英语基础其实还不错,四级625分,六级568分。但雅思跟四六级完全不是一个概念——四六级考的是”看懂”,雅思考的是”用好”。
我花了三个月时间备考雅思,这三个月是我大学期间最拼的三个月。
听力备考——每天做一套雅思听力,做完仔细分析错题。一开始我只能做6分,正确率只有67.5%。后来慢慢提升到了7.5分。
技巧是:先看题目,划关键词,预判答案类型。填空题就预判词性,选择题就预判干扰项可能是什么。
有一次模考,我遇到了一道地图题,当场就懵了,听力只考了5.5分。我回去之后专门练习了十几套地图题,总结出规律。
阅读备考——每天做两篇剑桥雅思真题。阅读的关键是定位和同义替换,找到原文对应的句子,再判断选项是否正确。
一开始我总是做不完,后来学会了”平行阅读法”——先看所有题目,划关键词,然后带着问题去文章里找。
写作备考——小作文怕的是流程图,第一次看到流程图的时候完全不知道怎么描述。
后来专门背了流程图的常用表达:initially, the process begins with, subsequently, then, after that, finally……
大作文头疼的是”双边讨论”题型,学会平衡结构:Although there is some merit in the argument that…, I would argue that…
口语备考——这是最头疼的部分。我找了一个菲律宾外教陪练,每周两次,每次一小时。
菲律宾外教收费便宜(一小时50元人民币),比英美外教便宜多了。
第一次跟外教练习的时候,我紧张得结结巴巴。外教Lisa很有耐心,她说:“Don’t worry about making mistakes. Mistakes are the best way to learn.”
最后考试,我考了6.5分——刚好够线。听力7.5,阅读7.0,写作6.0,口语6.0。
提醒学弟学妹们:雅思成绩一定要提前考,不要等到申请季才开始准备。雅思成绩有效期是两年,大三上学期考出来最合适。
专业课:信息安全是个深坑
信息安全专业的课程涉及面很广:计算机网络、操作系统、密码学、网络安全……每一块都需要深入学习。
计算机网络是基础课,讲的是网络协议和通信原理。TCP/IP协议栈、HTTP协议、DNS协议……这些概念我学得很认真。
记得第一节网络课,老师问了一个问题:“当你在浏览器里输入一个网址,按下回车键之后,发生了什么?”
后来学了TCP/IP协议栈,我才明白——这看似简单的一个动作,背后涉及了DNS解析、TCP三次握手、HTTP请求、服务器响应、TCP四次挥手等一系列复杂的网络通信过程。
期末课程项目是实现一个简单的HTTP服务器。代码量大概500行,调试的时候遇到了很多bug,特别是线程同步问题,卡了整整一周。
密码学是核心课,涉及对称加密、非对称加密、哈希函数、数字签名等概念。印象最深的是RSA算法——两个大质数相乘很容易,但分解质因数却很难。
有一次考试是手算RSA加密和解密——给定两个质数p和q,计算n、φ(n)、公钥e、私钥d,然后加密和解密一个消息。我算了整整半小时,草稿纸用了三张。
网络安全是实践课,讲的是防火墙、入侵检测、VPN等技术。有一次配置防火墙,按照实验手册一步一步做,结果怎么都不通。
后来才发现是规则顺序的问题——我把DROP规则放在了前面,所以所有流量都被DROP了。iptables是从上到下匹配的,要把ACCEPT规则加上,再加DROP规则。
这次经历让我明白:网络安全不能有任何疏漏,一个小小的配置错误可能导致整个系统不安全。
科研训练:第一次进实验室
新加坡的大学很看重科研经历。我大二下学期进了导师的实验室,跟着做”物联网安全”方向的课题。
导师姓张,是从美国某顶尖大学博士毕业的。第一次见面,他问了我一个问题:“你对物联网安全有什么了解?”
我紧张地回答:“我……我知道物联网设备存在很多安全漏洞,比如弱密码、明文通信、缺乏固件更新机制……”
张老师点点头:“不错,有点基础。但光知道概念还不够,我们需要动手去做。”
他给我分配了一个任务:分析某品牌智能摄像头的安全性。我拿到设备后,先用nmap扫描了摄像头的网络端口,发现开放了80端口、554端口和8080端口。
“这个摄像头用的是RTSP协议传输视频,“我向张老师汇报,“RTSP协议默认是明文传输的,任何人都能抓包看到视频内容。这是一个很大的隐私泄露风险。”
张老师满意地点点头:“不错,观察得很仔细。那你怎么解决?”
我想了想:“可以……用TLS加密RTSP协议?”
“理论上可以,但实际中要考虑很多因素,比如性能、兼容性、成本等。”
这个项目做了将近一年,我学到了很多:如何进行安全评估,如何编写安全报告,如何提出改进建议。
虽然最后没有发表论文,但这段经历为我的简历增添了不少光彩。
CTF比赛:第一次被虐
大二暑假,我第一次参加全国大学生信息安全竞赛。
那是我第一次参加这么大规模的比赛,全国有几百支队伍参加,竞争非常激烈。
比赛前一天晚上,我激动得睡不着觉,在脑子里反复演练可能会用到的工具和技巧。
结果比赛那天,我solo了两天两夜,做出来两道题,排名一百多名,连决赛都没进。
“Web安全我只做出来一道,是SQL注入。但是Reverse和Crypto的题目我完全看不懂……”我沮丧地跟队友说。
后来我分析了一下失败的原因:
知识面不够广——CTF比赛涉及的领域很多,我只熟悉Web安全
实战经验不足——平时做实验都是按照步骤来,没有独立思考的能力
时间管理有问题——在一道密码学题目上卡了太久,导致其他题目没时间看
这次失败给了我很大的教训。从那以后,我开始系统地学习其他方向的知识:逆向工程、二进制漏洞利用、密码学攻击……
大三的时候,我又参加了一次比赛,这次拿了决赛资格,排名三十多名,进步明显。
不要害怕失败,失败是最好的老师。
申请材料:Personal Statement改了十几版
大三下学期,我开始准备留学申请材料。
新加坡国立大学(NUS)的申请开放时间是每年10月1日,截止时间是次年3月1日。我提前半年就开始准备,就是为了有充足的时间打磨材料。
个人陈述(Personal Statement) 是最重要的材料,我主要写了三部分:
我对信息安全的理解和兴趣(为什么想学这个专业)
我的学习经历和项目经验(我做了什么、学到了什么)
我为什么选择NUS(学校和项目的优势)
初稿写完之后,我自己读了一遍,感觉写得像流水账。后来请英语老师帮我修改语法,请导师帮我润色内容,改了十几版才定稿。
印象最深的一次修改是关于”描述项目成果”的部分。我一开始写的是:“I found a security vulnerability in a smart camera.”
导师看完后说:“这个描述太笼统了,招生官想知道的是你’怎么发现的’、‘造成了什么影响’、‘你怎么解决的’。”
于是我改成了:“Through a comprehensive security assessment, I identified a critical vulnerability in the RTSP streaming protocol of a commercial smart camera, which allows attackers to intercept video feeds without authentication. Based on this finding, I proposed a TLS-encrypted transmission mechanism, reducing the risk of privacy leakage by over 90%.”
导师看完后满意地点点头:“这样好多了!有细节,有数据,有解决方案。”
推荐信 我找了两个推荐人:实验室导师和专业老师。
两份推荐信一综合,就构成了”科研能力强 + 学业表现好”的完整形象。
最终结果:NUS的offer来了
大三下学期的3月15日,我正在实验室写代码,邮箱突然弹出一条新消息。
点开一看,是NUS计算机学院发来的邮件,标题是”Application Status Update”。
我深吸一口气,点了进去。屏幕上显示着几行字:
“Dear Applicant, Congratulations! You have been admitted to the Master of Computing (Cybersecurity) programme at the National University of Singapore.”
我盯着屏幕看了整整一分钟,大脑一片空白。然后我站起来大喊了一声:“我被录取了!!”
实验室的同学都看着我,有人问:“怎么了?”
“NUS!新加坡国立大学!我被录取了!”
“卧槽!恭喜恭喜!”
那一刻,我眼泪差点掉下来——所有的努力都值了。
NUS的offer包括:计算机科学硕士(网络安全方向),学制两年,学费是52,500新加坡元(约28万人民币)。
新加坡的生活费比英美便宜一些,租一个组屋单间每月大概800-1000新加坡元,吃饭每月500新加坡元左右。两年总花费大概在45-50万人民币之间。
虽然不便宜,但我觉得这笔投资值得。
在NUS的一年:学到的东西比本科四年都多
现在我已经在NUS读了一年,感觉这一年学到的东西比本科四年加起来都多。
NUS的课程设置非常硬核,每门课都有大量的阅读材料和项目作业。
我的第一学期选了四门课:
Cryptographic Protocols(密码学协议):讲的是零知识证明、安全多方计算、同态加密等前沿内容。期末项目是实现一个零知识证明系统,我用了整整一个月才完成。
Network Security(网络安全):期末考试是实操渗透测试——给你一个模拟网络环境,两个小时内拿到尽可能多的flag。我拿了A,主要是因为本科期间的CTF训练派上了用场。
Software Security(软件安全):讲的是代码审计、模糊测试、漏洞利用。我找到了Chrome浏览器的一个缓冲区溢出漏洞,被老师表扬了。
Machine Learning for Security(安全领域的机器学习):期末项目是用深度学习检测恶意软件,我训练了一个CNN模型,准确率达到了97.8%。
课外,我加入了学校的CTF战队(NUS Greyhats),参加了几次新加坡本地的网络安全比赛,成绩还不错。
未来规划
1年规划:完成剩余的课程学习,拿一个好成绩。同时继续做CTF比赛,争取拿个新加坡前三。如果有机会,想去新加坡本地的安全公司实习。
3年规划:毕业后进入一家国际安全公司(如CrowdStrike、Palo Alto Networks)或者科技公司的安全部门(如Google Project Zero、Microsoft Security Response Center)工作。
5年规划:考虑是否要读博士。如果工作一段时间后还有学术热情,可以考虑读一个PhD。
长期规划:做一名顶尖的安全专家,能够发现0-day漏洞,能够参与国家级别的安全项目。
如果你也想留学新加坡,我有几点建议:
提前准备雅思,最好考到7.0以上。 新加坡大学对英语要求比较高,雅思6.5只是门槛,7.0以上才有竞争力。
提前积累科研经历。 新加坡的大学很看重科研能力,研究生课程不是随便混混就能毕业的。
好好写个人陈述,这是最重要的申请材料。 个人陈述不是简历的加长版,要展示你的热情、思考和目标。
提前关注申请时间,不要错过截止日期。
准备好弹药(money),留学新加坡不便宜。 NUS的硕士学费大概30万人民币,加上生活费两年大概需要45-50万。
信息安全这条路不好走,但走通了,就是香饽饽。
留学新加坡是一个不错的起点,但最重要的是你自己的努力和实力。
愿你我都能在代码的世界里找到自己的价值。
关联阅读
- 专业参考 信息安全.md
- 案例索引 0000_1001案例总索引
- 知识库总索引 0000浪尖大学四年知识库_总索引