信息科学技术学院朋辈分享会 Q & A
本文是 3 月 17 日暨大信科院朋辈分享会的文字稿,补充部分未讲述内容,例如保研、考研、应聘等。
问题1:你是怎样知道 CTF 比赛?
其实我完全意想不到自己将来会走打 CTF 比赛这条路。初中的时候,我只是特别喜欢研究计算机底层技术和开源技术,比如 CPU 是怎样工作的、电脑程序是怎样运行之类的。高中的时候我学会了 Linux 和 Python。Linux 是当年在《鸟哥的Linux私房菜》上面学的,为此我将亲戚的上网本和家里的台式机都装上了 Ubuntu 双系统。自学 Python 语言 只是为了编写网页爬虫和脚本。过去的我估计没想到,大学的我会把以前打下的 Linux 和 Python 基础应用到网络安全领域上吧。
报读网安专业其实是一个意外。2017 年高考填志愿的时候,当时我打算报读计算机类专业,但是暨南大学计算机类专业很多,有计科、网工、软工、信安…。正当纠结选哪个专业的时候,有位亲戚说“这个网络空间安全是新开设的专业,就业前景不错,要不选它吧”,所以我就选择了报读网络空间安全专业。这是我第一次对网络安全领域产生了联系。
让我真正接触到 CTF 比赛的是暨南大学 CTF 校队 Xp0int。大一的时候我参加了 Xp0int 举办的新生赛。对于当时的我来说,新生赛题目的难度是挺高的,因为当时我对 CTF 一无所知,都是自己不懂的东西。我清楚地记得当年是一边熬着夜通过 Google 大法搜索各种知识,一边学习这些知识解题,现炒现买。虽然最终还是不敌各位学长、拿不到高名次,但以最后一名的成绩拿到了优秀奖,并获得了一个 USB 移动 WiFi 作为奖品。
以这次新生赛为契机,我开始参与各种 CTF 比赛。
问题2:为什么坚持参加 CTF 比赛?
首先,支撑自己参与 CTF 竞赛的根本动力是对“黑客”的向往。成为一名黑客其实是我小时候的梦想。在我眼中,黑客是这样一群人:热爱计算机技术和网络安全,具有聪明的头脑和高超的技术,自由、无所约束、乐于分享,始终热爱着自己所热爱的东西。我认为互联网行业和计算机技术能够像现在这样繁荣发展,原因在于这些黑客前辈的无私贡献。
(Source: wikimedia)
(Source: wikimedia)
其次,我觉得 CTF 是一种十分有趣、好玩的比赛。对于我来说,解答 CTF 题目能够让我情绪高昂,思维清晰。特别是做出一道高难度题目或者发现到真实漏洞时,常常感到一种成就感(笑)。
然后,参加 CTF 比赛可以学到许多知识,提升竞争力。第一是学习职业技能:很多在 CTF 比赛中运用的知识和工具可以迁移到现实环境中,因此许多网络安全公司重视拥有 CTF 比赛经历的人才。例如 Pwn 和 Reverse 使用的 GDB 调试器、IDA 反编译器,还有 Web 使用的 BurpSuite,它们都是前线安全研究人员都在使用的工具。如果能够提前熟悉它们的使用方法,这些经验就能成为自己强大的竞争力。
第二是锻炼实践能力:网络安全最看重的是解决安全问题的方法和思路。以漏洞利用为例:现实世界的漏洞利用十分复杂,如果找不到适当的利用方法,安全漏洞只不过是普通的 BUG。在 CTF 比赛中,题目的漏洞是经过简化的、便于学习的,通过解题可以促进自己多动手多思考,积累更多的实践知识和经验,最后把这些知识和经验迁移至真实的漏洞利用中。
最后是物质奖励。许多 CTF 竞赛提供丰厚奖金和礼品,特别是全国强网杯这种拥有强大金主的比赛。我从大二开始跟随 Xp0int 战队打比赛,至今为止累计分到 2 万左右的奖金,这几乎是本科四年学费的一半。此外,决赛举行地点一般是省外大城市(例如北京、郑州、成都),我可以趁机会出去走一走,见识一下世面。
问题3:如何入门 CTF 比赛?
首先是选择方向。CTF 比赛有 Pwn、Web、Reverse 和 Crypto 四大方向。不同方向的要求都有所不同。选择哪个方向主要看自己的兴趣。如果你对密码感兴趣的话,可以直接选 Crypto。如果你以前有破解软件的经历的话,Reverse 就是不二之选。如果你喜欢挖漏洞,Pwn 是最佳选择;如果你想拥有黑别人网站的技能,Web 就是干这些事的。如果没有上述经历,可以首先每种方向都尝试一下,然后按照自己的感觉来选。Web 一般最容易入门,其次 Crypto 和 Reverse,最后 Pwn 是最难入门的。
入门前,建议具有一定基础。比如 Pwn 和 Reverse 要求熟悉计算机原理,Web 要求熟悉 HTTP 之类的 Web 知识,Crypto 要求具有密码学和数学基础。如果没有相关基础,建议一边搜索资料学习一边做题,或者直接问有经验的学长。没有人是一开始什么都会的,只有学习才能打好基础。
学习时,建议“以赛代练”,即在比赛做题过程中学习知识,提升自己的能力和熟练度。除此之外,还有赛后复盘。CTF 比赛有赛后网上公布解题思路(Writeup)的传统。每次比赛结束后,我们在网上找这些 Writeup,按照 Writeup 复现一下:通过做不出来的题目查找自己知识的缺漏之处,通过做出来的题目发现新的解法。此外,我们还会收集 Writeup 上的代码,如果下次遇到类似题目可以沿用旧代码来打。改造手头上的工具或者编写新的工具,加快做题速度。
此外,建议找一位有 CTF 比赛经验的学长,让他带你打比赛。因为现在的 CTF 竞赛难度越来越大,入门门槛越來越高。即使是同一个比赛,今年的题目跟往年相比,难度可能有很大幅度的提升。如果刚入门就做高难度题目,不仅学不到任何东西,还容易劝退。如果有学长带的话,他可以引导你循序渐进地入门,例如判断哪些题目适合初学者、指导参加适合难度的比赛。
问题4:怎样通过 CTF 比赛提高自己的能力?
如果想通过 CTF 比赛提高自己的能力,需要澄清以下误区:
第一:CTF 比赛的最终目的并不是拿奖。CTF 比赛只是一种学习手段和途径,证书、奖金、排行榜只是激励做题的动力而已。比赛做题的时候,如果遇到不会做的题目,我们会在网上搜索各种资料,例如以前有没有类似的题目、题目上面的知识点是什么、题目环境怎样搭建。然后按照搜索到的资料,本地搭建相关环境、改写网上找到的代码、或者编写新的代码。只有在这个搜索资料过程中,我们才能学到许多东西,从而提高自己的技能。
第二:做题和复现 Writeup 的最终目的并不只是做出题目。除了刚才提到的搜索资料学习,经验积累也是十分重要的:如果只做题而不记住它的做法的话,这是没有任何意义的;如果机械性复现他人的 Writeup,而不在它的基础上根据自己的习惯改写成自己的东西保存下来,这也是没有任何意义的。
平时我有记笔记和整理题目的习惯:比赛结束后,将自己写的 EXP 脚本和题目整理在一起,以后遇到类似题目就能直接沿用旧代码;自己想到或者网上看到一些好的点子(比如新的利用手段),就把它记下来,以便比赛的时候可以马上查阅。
第三:比赛做不出题目并不是没有意义的。有些初学者连续几场比赛做不出题目后,就会丧失学习动力,甚至放弃继续参加 CTF 比赛。其实,我认为做不出来的题目比能做得出的题目更有意义,因为做不出题目意味着这里存在着我们不熟悉的知识,而且只要赛后研究这些做不出的题目,就能学到新的知识。此外,CTF 选手在比赛中一道题目都做不出,这种情况其实是十分普遍的(除非你是超级大神)。CTF 圈子甚至还有专门名词(罚坐、坐牢)来调侃这种状况。
问题5:相较于大学课程,CTF 比赛能带来哪些能力提升?
CTF 比赛可以锻炼实践能力。通俗地讲,这里的实践能力指网络安全相关岗位的实践技能和经验。大学生大部分时间都在校园里面生活和学习,因此我们平时少有机会了解到网络安全公司的招聘需求:现在的网络安全公司都在干些什么、他们需要哪些人才。CTF 比赛跟实际的网络安全工作(特别是安全研究)有很大的关联,因为 CTF 题目一般基于现实世界的真实安全漏洞,许多知识和技能可以迁移到真实环境。
举个例子,做一道栈溢出的 Pwn 题目,首先需要用 IDA 分析哪个函数有漏洞,然后使用 GDB 确定溢出范围,最后绕过安全防护措施劫持程序控制流。如果你去问前线安全研究人员,可以发现他们利用栈溢出漏洞的思路、工具和流程是差不多的。
另外,大学课程一般是偏理论、比较陈旧的,既缺少动手实践环节,又没有跟踪业界最新动态。因此如果一味在课堂上学习、不接触任何课外内容,即使绩点多高,最后还是培养不了自己的实践能力。大学本质上是以教授知识为主的学术机构,只有像培训班之类的机构才会通过上课教你学哪些技能找工作。如果想提升自己的技能和就业竞争力,最终还是需要通过竞赛之类的课外途径。
提示
网络安全是一个较为复杂的产业,CTF 并不是大学生了解网络安全的唯一途径。感兴趣的同学可以看一下笔者后面列出的安全岗位
问题6:有哪些值得参加的正式 CTF 比赛?
全国大学生信息安全竞赛(创新实践能力赛),俗称国赛。官网地址为 http://www.ciscn.cn/。
国赛十分适合 CTF 初学者,特别是在校大学生:
① 难度:国赛的题目难度一直保持相对适中的水平,即使现在国内 CTF 竞赛的整体难度正在逐步提升;
② 特殊地位:国赛是获得教育部专业教学指导委员会认可的学科竞赛(许多 CTF 选手用国赛证书来保研,因此被戏称为“保研CTF” XD)。
国赛证书可以用来申报创新学分,根据暨南大学本科生创新创业活动学分认定管理办法,分区赛(省级)证书可以申报 1 ~ 4 分,总决赛(国家级)证书可以申报 2 ~ 5 分。
提示
截至今天(3 月 17 日)为主,今年国赛的举办时间还未公布,各位同学可以关注比赛公众号等待最新消息。
Update:2022 年国赛已开始接受报名,详情请看:http://www.ciscn.cn/announcement/view/237
1. 报名&参赛:网上报名。参赛方式是团体赛,每支参赛队伍最多 4 人,要求是同一高校大学生,但允许跨年级、跨专业组队。每个高校参赛队数不限。
2. 线上初赛:
时间:一般打一整天,例如早上 9 点 ~ 次日 9 点。
环节:分为两个环节:
- 知识问答:选择题,单选、多选都有
- 大部分题目答案网上可以搜得到,大多是信安类职业考试原题
变相的信息搜索大赛
- 场景实操:即 CTF 解题赛,各个方向都有
- 难度一般是适中的(不过要看承办单位的水平)
晋级分区赛:
- 全国晋级名额大概有 430 ~ 460 个左右
- 按照近两年的数据,华南赛区前 40 名左右就能晋级分区赛。
- 全国分为 8 个赛区,暨南大学属于华南赛区。
- 每所高校最多两支队伍入围分区赛。
- 由于主办方将暨大的珠海校区视为独立院校,所以实际上暨南大学最多可以入围 4 支队伍。
- 分区赛需要缴纳一笔参赛费(学校可以报销)
3. 华南分区赛:
举办地点:一般在番禺大学城线下举行,前两年(2020 和 2021 年)由于疫情改为线上举行。
笔者认为今年很大概率线上举行,毕竟最近疫情不太乐观。
赛制:
- 线上:跟初赛的场景实操环节差不多。
- 线下:可能采用一种叫 Break & Fix (AWD+) 的赛制:首先选手正常做题,拿 flag 提交分数;然后选手修复题目漏洞,主办方使用自己的 EXP 打,若打不通选手得分。
晋级全国总决赛:
- 全国一共 80 只战队晋级全国总决赛
- 晋级名额按照参赛队伍数量分配到各个赛区
- 按照近两年的数据,华南分区赛近前 8 名晋级全国总决赛。
获奖证书:排名前 60 % 可以获得分区赛证书,以去年的华南分区赛为例:
- 赛区一等奖:前 8 名(即晋级总决赛的队伍)
- 赛区二等奖:第 9 ~ 16 名
- 赛区三等奖:第 17 ~ 24 名
4. 总决赛:
举办地点位于当年承办比赛的高校。我没记错的话,今年的承办高校是天津大学。
总决赛一般在线下举行。每年的赛制因承办单位而不同,但一般跟线下分区赛差不多。
总决赛比分区赛多了 Build 环节:每支战队需要出一道题目提交给主办方,主办方打分(分数计入总决赛成绩)。部分优秀题目可以选为总决赛题目。
从 2019 年开始,Xp0int 战队每年都入围国赛总决赛。去年(2021 年)国赛总决赛的举行地点是哈尔滨工业大学。当时我们从广州直飞去哈尔滨参赛。虽然很可惜只获得了全国三等奖(距离二等奖仅差几分),不过赛后我们在哈尔滨逛了一圈,见识了一下当地的风情,也算是有收获。
机票和酒店费用均由学校和网安协会全额报销(感谢学校和网安协会一直以来对我们竞赛活动的大力支持)。
问题7:新生对自己的未来感到很迷茫,请问有什么建议吗?
首先,接纳迷茫。新生感到迷茫其实是一件十分正常的事。几乎所有的大学生新生(包括以前的笔者),高中三年一直在备考高考,突然来到一个全新的环境,家人和以前认识的朋友都不在身边,想到自己要独自面对漫长的大学四年,不论谁都会产生这种虚无感。所以不要因迷茫而感到痛苦(若压力超过个人可承担的范围,建议咨询校内专职的心理辅导老师)。
然后,找到目标。迷茫的主要原因往往是找不到毕业后的目标,不知道自己接下来应该干些什么。其实我的建议很简单:既然不知道干什么,要不干脆什么都尝试一下吧。光想着迷茫,什么都不干是不行的,必须要行动起来。什么方向都了解一下,尽可能全面地收集各种信息,通过收集的信息,再结合自己的兴趣和家人的意见,选择自己真正想干的事。选好之后,有了确定的目标,你就能全心全意朝这个目的迈进的动力,自然就不会感到迷茫。
最后,勇敢迈出第一步。想请教学长就大胆请教、想向老师搭话就大胆搭话、想投简历就大胆投。我知道第一步是十分困难的,但一旦迈出的话,就会有第二步、第三步、第四步…,才会遇到全新的未来。
问题8:学长还有其他的建议或经验?
注意
由于时间关系,本部分没有在朋辈分享会上详细讲述,只有内容大纲。
笔者想介绍一下在获取信息(例如新闻、知识等)方面的建议。
首先,多样化信息获取渠道。尽量通过多种(特别是优质、可信的)信息来源收集信息,比如 Google、Wikipedia、Twitter、 Youtube、Stackoverflow 等。避免使用不可靠、质量参差不齐的信息渠道,比如百度,一些内容农场,CDSN 等。对于一些 UGC 网站(例如微博、知乎、公众号、v2ex),要做到多方面对比,避免单一信源,懂得区分事实和观点。
然后,学会独立思考。即使像 Google、Youtube 等信道获取的信息不一定是完全正确。独立思考最主要的是学会区分事实和观点。
最后,学会创造和分享。分享是互联网最珍贵的精神之一,例如网上的 Writeup 都是别人无私分享给我们的。如果有能力的话,最好在网上发布一下撰写博文,发表自己的作品或者想法。现在搭建博客是一件很容易的事:注册个 Github 帐号,然后找个静态博客主题,最后使用 Github page 构建主题,就能不花一分钱地搭建一个现成的博客。此外,可以每年花几十块钱买个自定义域名,或者购买 VPS 搭建 Wordpress 之类的动态博客。
问题9:保研 / 考研的流程、建议和经验
注意
由于时间关系,本部分没有在朋辈分享会上讲述,只有内容大纲。
提示
由于篇幅较长,以下内容已折叠。请点击►展开。笔者现在是暨南大学硕士研究生,研一。前年大三时原本想通过学术推免保研到本校,后来由于校内推免失败参加了去年的研究生考试,最后成功考取电子信息专业(网络空间安全)硕士研究生。
研究生介绍
研究生:
- 一般指的是“全日制非定向硕士研究生”
- 高等教育(大学教育)学位一般分为三个阶段:
- 学士 -> 硕士 -> 博士
- 严格来说,研究生指的是硕士和博士这两种阶段,不过口语中一般指硕士
- 考研、读研 -> 硕士
- 考博、读博 -> 博士
- 注释:
- 学士是本科毕业后授予的学位名称
- 博士后(全称博士后研究员)不是一种学位
- 非全日制研究生和定向研究生不在本文讨论范围之内。
- 高等教育(大学教育)学位一般分为三个阶段:
- 按照培养目标,分为专业硕士(专硕)和学术硕士(学硕)两种。
- 以下内容仅适用于计算机类专业
- 培养大方向如下,实际的培养内容由研究生导师决定。
- 学术硕士:偏向学术研究,适合未来从事学术研究、攻读博士的学生报读
- 专业硕士:偏向专业实践,以培养职业技术人才为目的
- 两者比较
- 学历认可度:学硕 = 专硕
- 目前两种硕士的学历认可度是一样的,差别仅在于学位名称不同。
- 考研难度:学硕 > 专硕
- 学硕采用的考研科目难度一般比专硕的大
- 例如:学硕是数一/英一,专硕是数二/英二
- 毕业门槛:学硕 > 专硕
- 学硕和专硕都要写毕业论文。
- 除了毕业论文,学硕一般有其他的毕业要求,以暨南大学的工学硕士为例:
- 以第一作者在学术期刊( B 类或者 B 类以上)上发表一篇论文
- 国家发明专利 1 项
- 专硕没有明文规定毕业要求,但导师一般要求发表一项专利
- 部分学校专硕的毕业要求可能与学硕相同。
- 学费:学硕 < 专硕
- 以暨南大学为例:
- 学硕:8000元/年
- 专硕:15000 元/年(电子信息)
- 电子信息是所有计算机类的专硕。不同专硕的学费不同。
- 所有研究生每年都有政府和学校发放的助学金。
- 减去助学金部分后,实际缴纳的学费最高接近于大部分本科专业的学费。
- 以暨南大学为例:
- 学历认可度:学硕 = 专硕
- 考取方式:考研和保研
- 考研:全称全国硕士研究生招生考试。
- 考研是本科升硕士的考试,类似于高中升大学的高考。
- 形式:笔试+面试。
- 报考人数较多,竞争较大。
- 灵活性低。除非调剂,只能报考一个学校(专业)。
- 若成绩不佳,可能无法考上研究生。
- 保研:正式名称为免试攻读硕士学位。
- 面试为主,需要拥有保研资格。
- 取得保研资格的门槛较高,人数相比于考研较少。
- 灵活性高。可以同时参加多个学校的保研面试。
- 只要取得保研资格,若无意外一定能够成为研究生(但不一定就读心仪的学校和专业)
- 考研:全称全国硕士研究生招生考试。
- 助学金:
- 每学年,全体研究生(无论专硕或学硕)可以收到多笔助学金。实际上等同于返还学费。
- 研究生助学金分为两种:国家助学金和学业奖学金
- 国家助学金:由政府发放。每月 500 元,一共 6000 元。
- 学业奖学金:由学校发放。按照每年期末评审的成绩决定奖励金额。以暨南大学为例:
- 学业奖学金金额:
- 一等(10%):每年 12000 元
- 二等(60%):每年 6000 元
- 三等(30%):每年 2000 元
- 每年开学后一次性发放。
- 研一按照考研成绩发放对应等级的奖学金。保研生直接享受一等奖学金。
- 学业奖学金金额:
- 所有助学金统一发放到学校指定的银行卡中(一般是缴纳学费的这张)
- 实际缴纳的学费
- 以暨南大学为例(括号里面的是学业奖学金等级):
- 学硕:无需缴纳(三等)、奖励 6000 元(二等)、奖励 10000 元(一等)。
- 专硕:缴纳 7000 元(三等)、缴纳 3000 元(二等)、奖励 3000 元(一等)。
- 只要保持中等成绩,专硕只需缴纳学费 3000 元,学硕不仅无需缴纳学费,还可以奖励 6000 元。
- 以暨南大学为例(括号里面的是学业奖学金等级):
考研流程
扩展
3月31日朋辈分享会的学长介绍了考研备考过程的许多注意事项,可以作为本文的补充材料。1.报名:
- 时间:一般是 9 月 ~ 10 月左右(大四上学期)开始报名,方式是全国研招网网上报名
- 分为预报名(只限应届生报名)和正式报名(所有人均可报名)两个时间段
- 主要是填写个人信息、报考学校和专业方向、考点
- 报考:只能报考一所大学的一个专业方向,不像高考允许填写多个志愿
- 跟本科不同,研究生专业的划分方式是:专业-研究方向
- 例如笔者的是:(085400) (专业学位)电子信息 - (03) 网络空间安全
- 前者是专业,后者是研究方向。还有 (02)计算机技术、(01)电子与通信工程等研究方向
- (计算机类专业硕士的专业统一为 (085400)电子信息)
- 考试时不分方向,即按照专业排列成绩
- 考前各大高校都会在其研究生招生网公布硕士研究生专业目录,可以作为选专业的参考
- 跟本科不同,研究生专业的划分方式是:专业-研究方向
- 考点:一般选暨南大学即可,考试地点在本部教学楼
- 报考:只能报考一所大学的一个专业方向,不像高考允许填写多个志愿
- 报名之后,需要在指定时间进行报名确认
- 一般是网上确认,具体方式因考点而不同
- 暨南大学考点一般是提交各种材料审核
2.初试:
- 时间:一般是 12 月底(大四寒假期间),考两天
- 方式:笔试。考 4 个科目:政治、英语和两个业务课
- 政治和英语总分 100 分,业务课总分 150 分。合计总分 500 分
- 每年考前教育部公布各科目的考试大纲,高校自主命题的科目则由高校自行公布
- 考试内容一般与本科课程所使用的教材一致
- 每年的考试大纲可能有所变动
- 考试科目与报考学校和专业有关
- 即使报考专业一样,不同学校的考试科目仍可能不同(以专业目录为准)
- 政治:编号 101,是唯一一个全体硕士研究生必考的试卷。
- 根据 2022 年考试大纲,考试内容涵盖:
- 《马克思主义基本原理概论》
- 《毛泽东思想和中国特色社会主义理论体系概论》
- 《中国近现代史纲要》
- 《思想道德修养与法律基础》
- 形势与政策以及当代世界经济与政治(即时事热点)
- 暨大部分专业可能不教《思想道德修养与法律基础》,需要自学
考察的其实是记忆力押题科目因为每年政治考的东西都差不多,只要跟踪好热点,十分容易押中题(特别是某位教授出版的两套习题)
- 根据 2022 年考试大纲,考试内容涵盖:
- 英语:分为 201 英语一、204 英语二两套试卷,前者难度比后者略大。
- 包括计算机在内的绝大部分专业都是考英语。非英语的外语系专业会使用对应的外语来代替。
- 根据 2022 年考试大纲,题型有完型填空、多项选择、选择搭配、英译汉和两篇写作,无听力
至今为止笔者都搞不明白英语一与英语二两者难度区别在哪里
- 业务课:即专业课考试,一共两门。(本节内容将以计算机系专业为主)
- 考试科目与报考专业有关,专业目录上有写。
- 拉分关健。能不能拿到好的初试成绩和排名,很大程度取决于两门业务课成绩的高低。有两个原因:
- 大部分理工科学生的政治和英语分数都是差不多的
- 业务课的总分(150 分)比政治与英语(100 分)要高
第二门业务课可能很水
- 数学:数学是几乎所有专业(包括计算机在内)的第一门业务课
- 第二门业务课一般考察计算机知识,有统考和高校自主命题两种科目
- 408 计算机学科专业基础
- 大部分学校计算机专业使用的第二门业务课
- 统考科目,即跟上面提到的政治、英语、数学一样由教育部全国统一出题
- 408 是唯一一个与计算机有关的统考科目,即 408 之外的计算机业务课都是高校自主命题科目
- 根据 2022 年考试大纲,考试范围有《数据结构》、《计算机组成原理》、《操作系统》和《计算机网络》
计算机版的理综
- 848 计算机基础综合
- 暨南大学自主命题科目,暨大大部分计算机专业的第二门业务课
- 根据 2022 年考试大纲,考试范围为《数据结构》、《操作系统》或《C语言程序设计》。
- 可以当作是简化版的 408
- 830 数据结构
- 暨南大学自主命题科目,暨大网络空间安全专业的第二门业务课
- 根据 2022 年考试大纲,考试范围为《数据结构》
(废话) 数据结构期末考试试卷- 因为相对于 408 和 848, 830 难度很低。。。
- 例如笔者这届考研(2021 年),有很多考生都能拿到 130+
- 所有暨大自主命题科目的往年真题可以到暨大研招办官网下载(良心学校)
- 408 计算机学科专业基础
- 公布成绩:
- 初试成绩:一般是次年 2 月(大四下学期),查询途径是全国研招网或者报考高校自己搭建的系统。
- 国家线:一般是次年 3 月。国家线即“全国考生进入复试的初试成绩基本要求”,类似高考的录取控制分数线。
- 除非是自主划线的高校,所有专业的复试分数线不会低于国家线。
- 国家线也是调剂的最低分数线。
- 2022 年国家线
- 自划线:一般在国家线公布之前。全国 35 所高校拥有自主划线权。
- 复试分数线:一般在公布国家线之后。报考高校会在研究生招生网上公布复试分数线或者复试名单。
- 一般来说:国家线 <= 复试分数线(非自主划线)、国家线 < 自划线 <= 复试分数线(自主划线)
- 考研失败 <- 初试成绩低于国家线
- 需要调剂 <- 初试成绩高于国家线、但低于自划线(若报考自主划线的高校)
- 需要调剂 <- 初试成绩高于国家线(自划线)、但低于复试分数线
- 可以调剂 <- 初试成绩刚过复试分数线
- 调剂:
笔者不熟悉,建议询问有建议的学长
3.复试:
- 时间:一般是次年 3 月 ~ 4 月,在报考院校线下进行。具体时间可以在报考高校的研究生招生网上找到。
- 方式:面试+笔试
- 不同高校的复试方式可能有所差别(请以报考高校公告为准)
- 疫情期间,绝大部分高校改为线上复试
- 录取方式:
- 一般是按照考生总成绩从高到低择优录取
- 总成绩 = 初试成绩 × 初试权重 + 复试成绩 × 复试权重
- 不同高校的计算公式可能有所不同
- 例如 2021 年暨南大学为
总成绩 = 500 × (初试成绩 / 500 × 初试权重 + 复试成绩 / 200 × 复试权重)
- 例如 2021 年暨南大学为
- 不同高校的计算公式可能有所不同
- 初试权重和复试权重的比例称为初复试比例
- 常见初复试比例有 7:3、6:4 或者 5:5(请以报考高校公告为准)
- 去年 2021 年暨南大学的初复试比例是 6:4
- 例如某位报考暨大的考生初试 436 分,复试 185 分,则总成绩为
500 * (436 / 500 * 0.6 + 185 / 200 * 0.4) = 446.6
- 常见初复试比例有 7:3、6:4 或者 5:5(请以报考高校公告为准)
- 由于初复试比例的存在,复试也是十分重要的。
- 如果初试成绩较差,只要拿到不错的复试成绩,就能大大提高被录取概率。
- 相反,即使初试成绩再高,复试成绩不佳也有可能落榜。
- 绝大部分专业是差额复试(复试人数多于录取人数)。复试人数与录取名额的比例称为复试比。
- 例如复试比为 1:1.2:如果某专业的录取名额有 100 个,就会有 120 名考生进入复试。
- 因此复试比越大,被录取可能性越大。
- 面试: 复试最重要的部分,占分最大
- 疫情期间,面试一般通过腾讯会议 / Zoom 线上进行。
- 形式类似于招聘面试:考生尽力表现自己的能力、面试老师通过问答了解考生的真实能力
- 面试前一般要求提交相关材料,例如简历、成绩单、竞赛证书和论文。
- 这是老师了解你的重要途径,因为面试老师一般根据这些材料来提问的。
- 内容:不同高校的面试内容差别较大,建议询问相关人士(例如报读学校的研究生学长)。下面举例部分常见内容:
- 自我介绍
- 专业知识
- 一般是与报读专业相关的专业知识
- 学术能力
- 例如学术实践经验、学术热点等
- 英语口语
- 考研面试特有的环节,几乎所有的高校均设有这个环节
- 面试老师使用英语询问考生几个问题,要求考生以英语问答
- 表现能力
- 例如面试过程中呈现的语言表达和思维逻辑能力。
- 笔试:
- 计算机类的笔试一般是上机编程(C 语言)。部分高校提供多个笔试科目供考生选择。
- 如果是线上复试,各大报考高校的笔试形式均不同:可能改为线上测试或者口头问答,也有可能取消笔试。
4.录取之后:
- 出拟录取名单:完成所有考生的复试之后,报读高校在研究生招生网上公示拟录取名单(公示期过后删除)
- 暨南大学2022级硕士生拟录取名单,预定4月18日删除。
- 如果名单上有你的名字,恭喜你,你是一名准硕士研究生了。
- 之后是提交体检报告等相关材料,等待录取证书邮寄了。
- 选择导师:选择一位适合自己的导师十分重要,因为他是可能关系到你平时学习、学术研究、做项目乃至毕业的重要人物。
- 开学后一般有双选导师的流程。不过大部分学生在入学前(甚至复试时)会主动选择和联系导师。
- 由于每位导师只能带固定名额的研究生,名气大、学术成就高的导师都是各大考生的首要目标。
- 开学后一般有双选导师的流程。不过大部分学生在入学前(甚至复试时)会主动选择和联系导师。
保研流程
注意
注意:以下信息大部分基于笔者以前收集的资料,仅作参考。
1.介绍:
- 保研(又称推免)的正式名称是“推荐优秀应届本科毕业生免试攻读硕士学位研究生”
- 注意不要被上述名称误导,实际上需要通过志愿院校的复试才能拿到录取资格
- 这里的“免试”指的是免硕士研究生考试(即考研)
- 全国每年的保研名额是固定的,由教育部统一分配给全国 367 所具有推免资格的高校(包括暨南大学)
- 教育部不公开名额数量和分配情况,只提及按照学校情况与应届生人数分配名额(见第十二条)
黑箱 1- 统战部:与我无关
暨南大学:……
- 统战部:与我无关
- 拿到保研名额的高校将名额分配到各大专业,然后统一组织筛选推免生
- 跟教育部一样,高校不会公开各个专业的分配情况
黑箱 2- 不过同一个专业每年分配到的名额一般是差不多的,故可以参考专业的往年保研人数
- 保研分为两个步骤:校内推免和志愿院校复试
- 校内推免:通过本校组织的推免生选拔流程,获得推免资格(即上文提到的教育部保研名额)
- 志愿院校复试:获得推免资格后,在教育部开设的推免服务系统上填写志愿院校,参加志愿院校复试
- 以上是形式上的志愿院校复试流程(俗称“九推”)
- 事实上:
- 为了抢夺优质生源,许多高校在正式复试开始前通过夏令营、预推免等方式筛选优秀学生,让他们提前通过复试
- 甚至有人连推免资格还没拿到,复试就提前通过了
- 保研和考研只能二选一,不可同时进行
- 一旦获得推免资格,不允许参加研究生考试。
- 如果校内推免失败(没有获得推免资格),还是可以参加研究生考试的。
2.流程: *
- 0.选择志愿院校和专业
- 参考考研的“报名”部分。
- 1.志愿院校复试(夏令营、预推免)
- 对,你没看错。校内推免开始前,志愿院校复试已经开始了。
- 这里的“复试”指的是夏令营和预推免。
- 它们只是高校自发组织的提前复试,不是教育部认可的正式复试(即“九推”)。
- 通过上述途径获得复试通过资格后,正式复试的时候志愿院校不再发起复试,直接通过。
- 部分学校重视夏令营和预推免,将大部分拟招名额投放到这些提前复试中。
- 夏令营:高校各大学院在每年暑假举办的夏令营活动,若在夏令营上获得“优秀营员”,即可获取复试通过资格
- 时间: 6 月(大三下学期)报名,7 月 ~ 8 月(大三暑假)举行夏令营
- 例如 2021 年的中山大学计算机学院和华南理工大学计算机科学与工程学院
- 不是所有学院都举办夏令营
- 营员选拔:每年夏令营一般只招固定数量的营员,若想入营需要通过考核
- 考核方式不定,一般是材料审核(例如成绩单)+面试,部分学校可能有笔试
- 营员考核:夏令营最后一天评选“优秀营员”
- 考核方式不定,一般是面试
- 没有推免资格的营员允许获得复试通过资格
- 毕竟举办夏令营的时候,大部分学校还没有开始进行校内推免。
- 若营员校内推免失败(没有获得推免资格),则复试通过资格无效。
- 时间: 6 月(大三下学期)报名,7 月 ~ 8 月(大三暑假)举行夏令营
- 预推免(预报名):高校自行组织、学生自由参加的志愿院校复试,可以视为提前版“九推”
- 1.校内推免
- 下文内容仅适合于暨南大学的计算机类学生,以暨教〔2014〕50号文件和本科生院公开信息作为参考
- 不同高校的校内推免流程均有所差异
- 申请时间: 7 月(大三下学期)
- 每年本科生院网站发布开始接受推免申请的通知,上面写有时间和申请方式,例如 2021 年通知。
- 推免方式:A 类、B 类两种推免方式
- 每人只能选择其中一种推免方式,在同一专业内进行推免选拔。
- A 类(一般指 A1):俗称“绩点保研”,最简单粗暴的推免方式:取所有 A 类申请者的前 3 年平均绩点,从高到低择优发放推免资格
- A 类保研名额占所有名额的 70 - 85%
造成近年来各大高校社团招不到新人的主要元凶
- A2 类:(限制较多,几乎没有人选)
- B 类:俗称“学术保研”,看重申请者研究报告、论文、专利、竞赛获奖等科技学术创新活动成果
- B 类保研名额占所有名额的 15 - 30%
- B 类申请者需要提交相关材料,并进行 PPT 答辩
- 答辩时间:8 月 ~ 9 月(大三暑假或者大四上学期)
- 地点:本部(疫情期间改为腾讯会议线上答辩)
- 具体时间关注本科生院网站通知,例如 2021 年通知
黑箱 3- 选拔标准非常不透明,谁能获得推免资格由评审老师说了算
- 有时出现学术成就高的同学落选、但成就比前者差的同学却能拿到推免资格的情况
- 推免名单: 9 月(大四上学期)发布在本科生院网站上,过公示期后删除。
- 若名单上有你的名字,则成功获得推免资格。
- 2021 年推免名单至今还没被删掉
- 下文内容仅适合于暨南大学的计算机类学生,以暨教〔2014〕50号文件和本科生院公开信息作为参考
- 2.志愿院校复试(正式复试)
- 时间: 9 月(大四上学期),因此俗称九月推免,即“九推”。
- 所有推免生必须参加正式复试
- 正如前文所述,如果取得夏令营和预推免的复试通过资格,正式复试只是走个形式,实际上不会发起复试。
- 步骤:
- 推免生注册和登录推免服务系统,填报个人资料、支付推免报名费。
- 填报志愿:可以填报三个平行志愿(不分主次)
- 跟高考志愿不同,推免志愿是可以修改的
- 志愿提交后 48 小时内不可修改,除非志愿院校主动拒绝志愿申请。
- 志愿提交后 48 小时后可以修改,只要未接到复试通知、或复试未通过、或考生拒绝待录取通知。
- 若取得了夏令营和预推免的复试通过资格,志愿必须填写对应的院校,否则视为放弃资格。
- 跟高考志愿不同,推免志愿是可以修改的
- 复试:
- 志愿院校通过系统发送复试通知,推免生需要在系统上确认是否接受复试。
- 接受复试后,志愿院校通知推免生进行复试(类似于预推免,一般是面试)
- 若取得了夏令营和预推免的复试通过资格,接受复试后直接收到待录取通知。
- 待录取通知:
- 通过复试后,志愿院校通过系统发送待录取通知,推免生可以选择接受或拒绝。
- 可以收到多份待录取通知,但只能接受一份待录取通知。
- 通过复试后,志愿院校通过系统发送待录取通知,推免生可以选择接受或拒绝。
3.录取之后:
- 参考考研的“录取之后”部分。
问题10:请问找工作的流程是怎样的?有哪些安全行业的岗位?
注意
由于时间关系,本部分没有在朋辈分享会上讲述,只有内容大纲。
提示
由于篇幅较长,以下内容已折叠。请点击►展开。笔者大三时曾经获得过腾讯安全部门的暑假实习 Offer,在腾讯深圳总部实习 3 个月(原本打算实习更长时间,后来由于考研而提前离职)。
招聘流程
下文内容:
- 以面向应届毕业生的校园招聘(校招)为主,区别于面向非应届毕业生的社会招聘(社招)。
- 以互联网企业的计算机类岗位招聘为主。
招聘时间:企业每一年的招聘时间都不一样,但主要集中于两个约定成俗的时段:秋招、春招
- 秋招:全称秋季招聘,每年 7 月 ~ 9 月(大三暑期~大四上学期),HC 和招聘岗位最多。
- 春招:全称春季招聘,每年 1 月 ~ 3 月(大四下学期),HC 和招聘岗位较少。
- 名词介绍:HC (Headcount),直译人头,一般指企业的招聘人数
- 注意:每年秋招春招的具体时段是不固定的,请以企业的招聘公告为准
- 暑期实习生招聘一般在春招期间,秋招一般招聘日常实习生(例如劳务实习)。
- 除非应聘实习生,笔者建议秋招开始投简历,原因:
- 秋招 HC 和招聘岗位最多,机会多。即使失败,还能参加春招。
- 春招竞争比较激烈,因为时间适逢考研放榜之后,需要跟考研(保研)失败的人一起竞争。
招聘环节:秋招春招细分为三个环节:提前批、常规批、补录
- 为了方便说明,假设某企业秋招时间为 7 月 ~ 9 月
- 提前批:一般在 6 月 ~ 7 月
- 正如其名,该环节位于招聘早期。
- 提前批投简历的好处很多,例如竞争人数少、免笔试、HC 多等。
- 提前批和常规批是两个独立的阶段。即使提前批面试挂了,不影响参加常规批。
- 名词介绍:如果招聘人员认为不适合录用,会主动中断面试流程,我们称为凉了或者挂了。
- 不是所有企业都有提前批环节
- 常规批/正式批:一般在 8 月 ~ 9 月
- 如果提前批没有拿到 offer,可以参加常规批。
- offer 的含义见下文
- 部分企业可能有多个常规批,例如常规批第一批、常规批第二批。
- 如果提前批没有拿到 offer,可以参加常规批。
- 补录:一般在 9 月 ~。
- 如果有岗位没有录用到足够的人数,企业就会开设补录环节,直到录满为主。
- 由于是补录,HC 和招聘岗位很少。
- 不是所有企业都有补录环节。
- 注意:与秋招春招时间一样,这些环节的具体时间因企业而异
招聘流程:
- 0. 什么是面试:招聘就是面试。笔者认为面试是应聘者和面试官双方互相认识、互相了解的过程
- 面试官通过提问了解应聘者的技术能力、职业水平、性格、是否适合应聘岗位。
- 面试官不是你的亲戚、朋友、同学,他对你的认识往往只有一页短短的简历。
- 因此他必须通过面试来了解你,确认你在简历上写的东西是否属实,试探你的真实能力。
- 应聘者通过回答证明自己的实力和经验、真实水平,展示自己对应聘岗位的了解和兴趣
- 回答需要全面、详细,尽量回答简历上没有的内容和细节,让面试官了解到自己的实际能力。
- 即使遇到自己不懂的东西,可以结合自己至今所学到的东西,提出自己的理解(但不可不懂装懂)。
- 面试官通过提问了解应聘者的技术能力、职业水平、性格、是否适合应聘岗位。
- 1.制作简历:首先你需要一份简历。简历十分重要,因为开始面试前,面试官对你的唯一认识就是简历。
- 一般是电子简历,只有一页 A4 的 PDF 文件
- 电子简历打印出来就是传统的纸质简历
- 一般建议只有一页,并将所有的信息都集中在这一页上
- 面试官一般没空翻页,因为他每天可能要处理成千上万的简历。。。
- 网上有许多公开的简历模板,可以自行下载进行魔改
- 例如笔者正在使用的模板
- 简历内容因人而异,一般有以下内容:
- 姓名、毕业学校、预计毕业时间、联系方式(例如电子邮箱、手机号码)
- 简历一般留有手机号,以便联系
- 技能和熟练度
- 面试官提问重点。他会根据简历上的技能提出对应的问题。
- 若技能符合应聘岗位的需求,可以提高拿 offer 的概率
- 形容技能熟练度的词语有:了解、掌握、熟悉、精通等,具体含义请自行网上搜索。
- 绩点排名、奖项、论文、专利
- 若与应聘岗位相关则可填
- 项目、实习经历、社会实践
- 面试官提问重点。拥有实践经验的人往往能够获得面试官的青眯
- 跟技能部分一样,面试官会根据简历上的内容提问
- 在简历中描述项目、实习等实践条目的注意事项
- STAR 法则
- 尽量使用数据描述,避免使用模糊的词语
- 正确示例:某个 Github 项目获得了 12345 个 star 和 67890 次 fork,每日新增 1000 个 commit 和 2000 个 issue
- 错误示例:某个 Github 项目很受欢迎,活跃开发中
- 可见:数据比模糊性词语(如欢迎、活跃)更有说服力
- 重视结果
- 正确示例:曾经参与某个项目,在项目中担任 XX 角色,负责 XX,该项目获得 XXX 比赛 X 等奖,项目产出的产品获得 12345 个人使用。
- 错误示例:曾经参与某个项目,在项目中担任 XX 角色,负责 XX。(没有说明结果)
- 面试官更加重视实践带来的结果,例如项目成果、实习做出的成绩、社会实践获得的经验等
- 姓名、毕业学校、预计毕业时间、联系方式(例如电子邮箱、手机号码)
- 简历排版也有许多技巧。通过适当排版,能够让面试官注意到自己的亮点。
- 扬长:突出自己的优势
也就是吹- 例如笔者的优势是拥有许多竞赛奖项,那么增加奖项部分在简历中的比重、调整奖项条目的位置靠前。
- 避短:不写或者少写自己的劣势条目
- 例如绩点低、专业排名低,可以直接不写。
- 例如某个项目获得的奖项不高,可以只写具有优势的方面,例如排名、分数、使用人数等。
- 扬长:突出自己的优势
- 下面是笔者的简历,以供参考(点击查看大图):
- 一般是电子简历,只有一页 A4 的 PDF 文件
- 2.投递简历:做好简历后,可以开始向企业投递简历了。
- 寻找企业:一般有以下途径
- 投递简历:一般有多种投递简历的渠道
- 注意:投简历不一定能够进入面试
- 投简历之后犹如石沉大海,没有任何反馈,这是十分常见的事情。
- 因此一般同时向多家公司投简历,增加参加面试的机会。
- 投简方式:
- 网申:全称网络申请,最常见的投递简历方式。
- 企业一般在网上开设一个用于招聘的网站(网申系统)。
- 在网申系统上填写个人信息、上传简历之后,应聘者就能向特定岗位投递简历了。
- 然后 HR 筛选从网站收到的简历,联系面试官,向应聘者发起面试。
- 名词介绍:HR (HumanResource),直译人力资源,一般指企业中专门负责招聘和人事管理的员工
- 应聘者可以在网站上查看当前应聘进度,例如下图是笔者的腾讯招聘:
- 内推:全称内部员工推荐,应聘者联系企业在职员工,通过企业的内部系统投递简历。
- 大部分情况下,建议优先通过内推投递简历。
- 注意:内推不一定能够进入面试,一般只是提高 HR 筛选到自己简历的概率而已。
- 内推之后,应聘者一般仍然需要在网申系统上投递简历。
- 不同公司对内推的重视程度不同,例如:
- 有些公司仅仅是提高简历在内部招聘系统中的优先度
- 有些公司可以跳过部分面试、加快应聘进度
- 等等…
- 不同公司具有各式各样的内推方式,例如:
- 员工直接将应聘者的简历 PDF 文件上传到内部系统
- 应聘者通过员工提供的特定链接(内推链接)投递简历
- 应聘者获得员工提供的代码(内推码),网申投递简历时填写该代码
- 等等…
- 找内推的途径:
- 找入职企业的师兄师姐
- 师兄师姐一般很乐意帮学弟学妹内推。
- 公开内推
- 许多员工在网上公开发布自己的内推信息
- 这是因为企业一般设有内推奖励机制。例如应聘者成功入职后,内推员工可以获得丰厚奖励。
- 找入职企业的师兄师姐
- 大部分情况下,建议优先通过内推投递简历。
- 邮箱:常见于小型公司或者公司部门单独招聘,将简历 PDF 文件直接发送到指定邮箱即可。
- 线下:招聘会、线下宣讲会时,有专门工作人员接收应聘者的纸质简历
- 多见于经济类、管理类等岗位的招聘。计算机岗位应聘者很少通过线下投简历。
- 招聘网站:即智联招聘、前程无忧、拉勾网等第三方招聘平台投递简历。
- 笔者个人建议优先通过内推、网申等官方途径投递简历,尽量避免使用第三方平台。
- 网申:全称网络申请,最常见的投递简历方式。
- 注意:投简历不一定能够进入面试
- 3.面试:
- 面试前:
- 注意保持手机畅通。
- 若获得面试机会,面试官一般通过电话或者短信联系约定面试时间。
- 信息收集:最强大的武器就是情报。笔者常用的是牛客网,收集以下信息:
- 面试经验(面经):其他应聘者对面试过程的回忆。
- 例如面试官提出的问题和自己的回答,或者自己的应聘经历等。
- 示例:21届华为实习内部网络安全部门面经、22校招-深信服安全攻防研究面经分享
- 主要收集面试官的固定问题、提问方式、知识点、难度等。让自己有心理准备。
- 注意不可照搬面经。面试官一般按照简历提问,不是所有的问题都是一样的。
- 应聘进程:
- 例如 Offer 发放时间等。
- 是否存在特殊的招聘流程:
- 例如华为:所有面试通过后,必须进入所谓的“资源池”等待最终结果(俗称“泡池子”)。
- 面试经验(面经):其他应聘者对面试过程的回忆。
- 注意保持手机畅通。
- 面试时:
- 面试形式:疫情期间一般是线上面试(例如电话面试或者腾讯会议)
- 面试流程:
- 一般是三轮或者以上的技术面试+一轮 HR 面
- 一般是一对一面试,少见面试委员会形式(即一名应聘者对多名面试官)
- 命名方法有按次数(一面、二面、三面…)或者按面试官职位(总监面、主管面、HR 面…)
- 随着面试流程的深入,面试官职位一般越來越高。
- 流程:
- 开头一般是应聘者自我介绍
- 建议面试开始前自己草拟一份自我介绍
- 然后面试官按照简历和岗位要求提问应聘者
- 视岗位需求,面试官可能要求现场编程
- 最后,面试官回答应聘者提出的问题
- 开头一般是应聘者自我介绍
- 每场面试结束一段时间后,网申系统显示应聘者是否进入下一场面试。
- 最后一轮面试是 HR 面。如果进入 HR 面,很大机率(但不是绝对)能够拿到 Offer。
- HR 一般只问非技术问题,例如个人性格、家庭情况等。
- 最重要的是,HR 会跟你商量录用后的薪水。
- 一般是三轮或者以上的技术面试+一轮 HR 面
- 面试后:
- 如果未能通过所有的面试,则应聘失败。
- 在找工作过程中,面试挂了是一件十分常见的事。收拾好心情,准备下一场面试就行了。
- 不少企业(特别是大厂)有捞简历的机制,有可能重新获得面试机会。
- 假如你在某部门的面试不通过,该部门将简历释放到内部招聘系统(一般称“简历池”)中,俗称“泡池”。
- 如果有其他部门对你感兴趣,则将简历从简历池中锁定(俗称“捞简历”),你可以获得该部门的面试机会。
- 如果通过了所有的面试,有很大机率(但不是绝对)能够拿到 Offer。
- 如果未能通过所有的面试,则应聘失败。
- 面试前:
- 4.Offer:
- Offer 即录用意向书 / 录用函,是应聘的最终目的。
- 拿到 Offer 意味着拿到该岗位的录用资格,即所谓的“找到工作了”。
- 流程:
- 通过面试后,若取到录用资格,企业一般会打电话通知,即 Offer Call,简称 OC。
- OC 之后,登录在网申系统上的邮箱收到一封附有 Offer 的邮件,即 Offer Mail,简称 OM。
- 笔者当年拿到的腾讯暑期实习 Offer Mail(点击看大图):
- Offer 本体(点击看大图):
- (由于保密协议,已覆盖薪酬部分)
- 注意!拿到 Offer 并不意味你必须跟公司签劳动合同、去公司上班。
- Offer 是可以拒绝的。Offer 只是表示“我们邀请你到我司入职”的文书,并不是某种强制合同。
- offer 这个英文单词有“折扣、优惠”的意思。
- 不是超市塞给你一张优惠劵,你就一定要去他们这里买东西吧?
- 可以收到多份 Offer,但只能接受一份 Offer
- 一旦接受某份 Offer 后,不可反悔或者接受其他 Offer,否则产生法律风险。
- Offer 是可以拒绝的。Offer 只是表示“我们邀请你到我司入职”的文书,并不是某种强制合同。
- 拿到所有的 Offer 后,应聘者根据薪水、工作地点、前景等因素比较 Offer,决定选择接受哪份 Offer。
- 许多应聘者将自己手上的 Offer 公布到网上,听取网友的意见。例如牛客网 Offer 比较区。
- 注意:许多 Offer 要求一定时限内作出答复,否则视为放弃 Offer。
- 例如笔者上面的腾讯实习 Offer 答复时限是三个工作日。
- Offer 即录用意向书 / 录用函,是应聘的最终目的。
- 5.实习转正:找工作中的“保研”
- 时间:春招期间(大三下学期)获得实习 Offer,大三暑假实习。
- 实习是企业提供给学生提前体验职业生活的途径。实习生可以与企业员工一起工作,接触业务内容。
- 这里一般指面向应届生的暑期实习。除此之外还有面向所有人的日常实习(或者劳务实习)。
- 实习时长一般要求 2 ~ 3 个月以上,没有最长时长限制。
- 暑期实习生的待遇一般与正式员工一样。
- 暑期实习生可以转正。
- 企业一般在秋招时进行实习生考核,暑期实习生通过后,可以获得校招 Offer。
- 实习 offer 比较容易拿到,因此实习转正拿到校招 Offer 的概率往往比直接参与校招高。
- 某种意义上,实习转正算是招聘版的“保研”。
- 流程:
- 实习 Offer:流程跟校招一样,只是难度和门槛相对校招低。
- 跟校招一样,可以收到多份实习 Offer、但只能接受一份实习 Offer。
- 注意是大三的春招期间找实习。
- 入职:进入企业工作,实习 Offer 上有相关说明。
- 工作:实习考核一般基于实习阶段作出的成果、上级的评价等。
- 注意打听一下转正 HC 的情况。
- 实习考核:因企业而异。一般是 PPT 答辩+提问。
- 实习 Offer:流程跟校招一样,只是难度和门槛相对校招低。
- 实习结束后,记得领取实习证明。
_(cropped).jpeg){kind=link}
网络安全企业和岗位
注意
网络安全是一个规模庞大、发展较快的行业,不能保证以下内容是最新、完全正确的。
由于笔者从业经验不足,以下内容为个人见解,仅供参考。
- 企业类型
- 安全公司一般分为甲方和乙方两种
- “甲方 ”、“乙方”最初来源于合同双方的称呼
- 甲方:一般是大型互联网公司内部的网络安全部门
- 腾讯、华为等大公司安全需求较高,有能力成立自己专属的安全部门
- 例如:
- 腾讯安全
- 华为安全
- 阿里安全
- 美团安全应急响应中心 / 美团信息安全部
- 360安全应急响应中心 / 360信息安全部
- 字节跳动安全中心 (注:字节跳动是抖音、今日头条的母公司)
- 甲方一般负责维护内部安全,或者使用乙方提供的安全服务
- 随着规模扩大,部分公司同时成立甲方和乙方部门
- 乙方:安全服务承包商,主要对外提供各种网络安全相关的服务和产品
- 岗位分类:
- 大致分为安全研究、安全服务、安全开发这三个大方向。
- 安全研究:从事网络安全相关的研究工作。
- 漏洞研究:挖掘安全漏洞,研究漏洞利用途径和修复方法
- 例如去年影响巨大的 Apache Log4j 0-day 漏洞 Log4Shell 是由阿里安全部门所属的研究员发现的。
- 例如 Spectre CPU 漏洞的发现者是 Google 的安全研究团队 Project Zero 。
- 威胁分析:监视、分析、防范各种网络安全威胁。
- 小至勒索软件传播状况,大至跨国黑客组织活动情况。
- 这些黑客组织的正式名称为 APT (Advanced Persistent Threat, 高级长期威胁)
- 有兴趣可以看一下安恒信息的 APT 组织分布全景图
- 小至勒索软件传播状况,大至跨国黑客组织活动情况。
- 漏洞研究:挖掘安全漏洞,研究漏洞利用途径和修复方法
- 安全服务:该类别下的岗位数量众多,职责复杂,以下仅举例部分:
- 渗透测试:模拟黑客入侵方式对目标系统进行测试,挖掘目标中存在的漏洞、评估系统安全性
- 换句话说就是授权安全公司对自己的系统进行黑客攻击。
- 由于涉及真实环境,一般需要签署保密协议和禁令。
- 红蓝对抗:类似于渗透测试,分为攻击方(红队)和防御方(蓝队)双方
- 攻防演练:较大规模的渗透测试或红蓝对抗,一般有多家安全公司参加
- 政府每年定期举行非公开的攻防演练。若网上有人提及某些以 H 开头的两字母(三字母)缩写,一般指这些非公开演练。
- 数字取证:又称计算机取证,从计算机系统收集、提取各种电子数据,用于犯罪调查和司法鉴定。
- 例如从犯罪嫌疑人手机中提取通话记录、微信聊天记录、网页浏览记录等信息,调查潜在同伙和资金流向。
- 安全运维 / 安全运营:专职负责网络安全的日常运维
打杂人员- 例如服务器安全加固、定期扫描漏洞、备份、监视异常等等。
- 应急响应:负责处置突发的网络安全事件,协助恢复服务。
- 例如某台服务器突然感染勒索病毒,安全公司派出应急响应人员进行清除病毒、恢复数据、入侵溯源等工作,让服务器尽快恢复服务。
- 等保测评咨询:中国大陆特有的安全服务。
- 渗透测试:模拟黑客入侵方式对目标系统进行测试,挖掘目标中存在的漏洞、评估系统安全性
- 安全开发:任何计算机行业都需要程序员,安全行业也不例外。
- 主要负责开发安全相关软件的开发,例如:
- 漏洞扫描软件
- Web 应用防火墙(WAF)
- VPN
- 上网行为管理软件
- 身份认证平台
- 等等…
- 主要负责开发安全相关软件的开发,例如:
- 网络警察(网警):
- 可能是国家机关中唯一一个与网络安全有关的岗位
- 作为公务员,工作强度比上面的所有岗位轻松,当然正常来说应聘难度也是最高的。
- 笔者不清楚他们的工作内容。
Comments