万事万物都是一个道理。
网络安全工程师到底是什么?
现如今,网络安全无论放在哪个社交软件、哪个媒体上,都是一个超热门的话题。
自从国家对网络安全的重视度提高,相关政策相继出台,网络安全在社会上、在高校内的关注度也持续提高。
众所周知,网络安全相关岗位的薪酬非常高,相关证书的补贴也很多,因此学习网络安全、转行网络安全的人可谓是“一拥而入”。
话说回来,网络安全行业到底如何?
网络安全人才一将难求,缺口高达 95%
在以前,很多政企单位在进行 IT 部门及岗位划分时,只有研发和运维部门,安全人员直接归属到基础运维部;而现在,越来越多单位为了满足国家安全法律法规的要求,必须成立独立的网络安全部门,拉拢各方安全人才、组建 SRC(安全响应中心),为自己的产品、应用、数据保卫护航。
短短几年间,网络安全工程师不仅成为了正规军,还直接跃升为国家战略型资源,成为众多企业“一将难求”的稀缺资源。
根据腾讯安全发布的《互联网安全报告》,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有3万余人,而网络安全岗位缺口已达70万,缺口高达95%。
网络安全工程师发展前景
安全岗位选择多,薪酬福利高,发展前景好
网络安全人才所从事的岗位多种多样,岗位设置上,政企机构与安全企业有很大区别:政企机构的需求主要集中在安全管理、安全运维、研发与测试、渗透测试与漏洞挖掘、应急响应等岗位。安全企业则主要是研发与测试、安全服务、销售、售前、售后、安全管理、产品经理、安全分析、市场营销等职位。
根据不同的安全技术方向、应用场景、技术实现等,网络安全可以有很多分类方法,在这里我们简单分为网络安全、Web安全、云安全、移动安全(手机)、桌面安全(电脑)、主机安全(服务器)、工控安全、无线安全、数据安全 等不同领域。
我们到招聘网站上,搜索【网络安全】【Web安全工程师】【渗透测试】等职位名称,可以看到安全岗位薪酬待遇好,随着工龄和薪酬增长,呈现「越老越吃香」的情况。
我们看一看招聘网站技术向网络安全工程师的招聘要求,平均薪资水平相当可观:
网络安全工程师怎么学习?
有人会问:“面试网络安全工程师时,明明我大概都知道,为什么还是过不了面试呢?或者我究竟应该学习并强化些什么呢?”
其实原因就是:
1.你是否开始就走错了方向呢?
2.为什么总是说挖不到漏洞呢?因为你并不具备渗透的思维以及丰富的实操能力,就目前而言,大部分个人自学网络安全并没有相应的详细学习资料以及相关硬件的匹配。
说白了,能力不够~
能力,一般分为知识、技能与才能三个组成部分。也就是说,要获得某种才能,要经历三个层次的修炼。
而学习能力强的人,就是能快速将知识,转化为技能甚至才能。
我们先不谈才能那么高的境界,目前来说,只要你能把知识变成技能,你就已经超越很多人了。
现在的知识很好找,互联网上的知识多如牛毛,只要你善于搜索,免费资源可太多了。
但是,正因为知识太多,你就面临了一些新问题:
哪些是有用的知识,哪些是无用的知识?
哪些是过时的知识,哪些是经过验证的靠谱知识?
哪些学完是真的有收获,哪些只是自我满足?
所以,在这个时代,在学习知识的时候,谁能学得更快、更多、更有效,谁就更容易在竟争中胜出。
在职场上,相信你也也有所体会,时间比什么都重要。
所以学习知识,现在根本不在意你到底学的有多么广泛,而是要求你学的精准、高效、即学即用,还能给你带来不小的加成。
这样的知识,才比较适合职场人士。
举个最熟悉的例子:你想考证。
你首先会开始看各种经验贴,找题库,开始疯狂看书,狂背海量题库,这是知识。
但是会发现,你背完了1000题,你还是用不到工作里,感觉脱节了。
再比如,你学科目一,这是理论,是知识,但学了不代表你能顺利考过科二和科三。
你看到车子,知道它是车子,并且了解它大部分的功能使用方法,懂得交规,这是知识。
你踩着油门,熟练在各种地形行驶,这个才叫做技能。
所以,习得知识,还得要能熟练运用,这是获取能力的第一步。
变化是人生的常态,也是IT行业的本质。要适应这个多变的世界,我们唯有不断地学习,才能更新和提升自己的能力。
伴随国家新基建战略的推行,人工智能、大数据、云计算、物联网、5G 等新兴技术的高速发展,层出不穷的新型黑客攻击手法也随之而来,无数政府单位被定向攻击、企业核心数据被盗、个人敏感信息泄露。网络空间安全建设刻不容缓,已成为国家安全建设的重中之重。
网络安全是国家安全体系的重要组成部分,《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策/法规/标准的持续落地,不懂安全或者不做安全等于违法违规已经逐渐成为政企机构的重要共识。
关于网络安全你有这些疑问吗?
• 网络安全的知识多而杂,到底要掌握多少门编程语言?
• 原来做运维或开发工作的,能否转型到网络安全?
• 有哪些企事业单位在招聘安全人才?薪酬待遇是怎样的?
• 网络安全岗位到底有哪些?具体工作在做什么?
• 国内外网络安全行业发展趋势是怎样的?
• 网络安全的职业发展和成长路线是什么?
如何入门学习网络安全
学习网络安全需要具有一个扎实的计算机基础知识和网络基础知识,如果未来要从事网络安全领域的研发岗位,还需要具有一个扎实的数学基础。由于整体的知识量非常大,所以学习网络安全首先应该有一个自己的学习切入点,对于动手能力比较强的人来说,可以从网络基础知识开始学起,然后逐渐了解各种网络安全设备的相关知识。
路线图
先来看一张整体的路线图,初步了解下这个方向需要学习的知识有哪些
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣。
来吧,话不多说,一起学起来,见证从青铜变身王者的旅程!
黑铁(练气期)
第一个阶段——石器时代,针对的是纯新手小白刚刚入场。在这个阶段,主要是打基础,需要学习的有五部分内容:
Windows
Windows上基础的一些命令、PowerShell的使用和简单脚本编写,以及Windows以后经常会打交道的几个重要组件的使用:注册表、组策略管理器、任务管理器、事件查看器等。
除此之外,学习在Windows上面搭建虚拟机,学会安装系统,为接下来学习Linux做准备工作。
Linux
网络安全,必然要与Linux经常打交道,我看到很多新人一上来就跟着一些培训班学习Kali,学的云里雾里的。连基本的Linux概念都没建立起来,就急着学Kali,这属于还没学会走路就去学跑步,本末倒置了。
在基础阶段,主要以使用为主,学习文本编辑、文件、网络、权限、磁盘、用户等相关的命令,对Linux有一个基本的认知。
计算机网络
网络安全,计算机网络肯定是非常重要的存在。作为基础阶段,这一小节主要从宏观上学习计算机网络,而不是死扣某一个协议的某些字段意义。
首先从局域网出发,了解计算机通信的基本网络——以太网,局域网内是如何通信的?集线器、交换机有什么区别?MAC地址、IP地址、子网、子网掩码分别是做什么用的?
随后引出更大的广域网、互联网,什么是网络通信协议,通信协议分层的问题,通过七层和四层模型快速建立起计算机网络的基础概念,各层协议的作用,分别有哪些协议,这些协议在当今的互联网中具体是怎么应用的。
Web基础
网络渗透中非常重要的一个组成部分就是Web安全,要学习Web安全,得先从Web前端基础开始入手。
这一小节非常简单,就是学习最原始的Web前端三板斧:HTML+CSS+JS的开发使用,为将来学习Web相关的安全知识打下基础。
这一小节是相对偏实际动手多一些,需要自己多动手进行一些网页编程,尤其是JavaScript的熟悉掌握,了解Ajax是什么东西,常用的jQuery库也学习一下,这都是Web前端中非常基础和常用的内容。
数据库基础
基础阶段的最后一部分,可以来接触一些数据库的基础知识了。
这个阶段主要学一些理论知识,重点掌握库、表、索引等概念,然后学习SQL的编写,学会增删改查数据。暂时不用编程来操作数据库。
青铜(筑基期)
度过了石器时代,你已经储备了一些计算机的基础知识:操作系统的使用,网络协议,前端基础,数据库初识,但这距离做网络安全还不够,在第二个青铜阶段,你还需要再进一步学习基础,在第一阶段之上,难度会开始慢慢上升。
这一阶段需要学习的知识有:
Web进阶
在前面的石器时代,咱们初步接触了网页编程,了解了网页的基本原理。不过那时候是纯前端的,纯静态的网页,没有接触后端。在这个进阶的阶段,你要开始接触Web后端的内容了。
首先从常用的两大主流Web服务器出发,学习Apache和Linux的基本知识,随后引出动态网页的基本原理,从CGI/Fast-CGI过渡到后来的ASP/PHP/ASPX/JSP等动态网页技术,了解它们的发展历史,演变过程和基础的工作原理。
最后再学习一些Web开发中的基础知识:表单的操作、Session/Cookie、JWT、LocalStorage等等,了解这些基本的术语都是什么意思,做什么用,解决了什么。
PHP编程
学习Web后端开发,得搭配学习一个后端开发语言才行。在这一小节,选择从PHP入手。
不过要记住,这里选择PHP不是让你以后从事PHP的后端开发,也不是说PHP现在有多流行,而是特定历史背景下,PHP相关的网站安全问题非常具有代表性,选择这门语言更方便我们研究安全问题。
由于学习的目的不同,所以在学习方法上和普通的后端开发就有所不同了。在这里咱们学习一下语法基础,基本的后端请求处理,数据库访问,然后再接触一下常用的ThinkPHP框架即可,当然如果你有兴趣,学的更深入当然更好。
计算机网络进阶
第二阶段需要再充实一下计算机网络的学习。这一次,重点把精力放在HTTP/HTTPS以及抓包分析之上。
Linux上的tcpdump必须掌握,包括常见的参数配置。然后重点学习Wireshark分析数据包,用Fiddler抓取分析加密的HTTPS流量。
通过在抓包软件下查看通信流量,对计算机网络的认识从抽象变得具象。
加解密技术
接着,来了解一些网络安全领域内经常打交道的编解码技术和加解密技术。包括base64编码、对称加密、非对称加密、哈希技术等等。
了解它们基础的概念、做什么用的,解决什么问题,最后再了解下工作原理。
推荐书籍:《加密与解密》
白银(结丹期)
现在进入第三个阶段——白银时代,激动人心的时刻就要到来了,在这个阶段,我们开始全面学习真正的网络安全技术了,前面两个阶段打下的基础,在这个阶段,也将派上用场。
这一阶段需要学习的知识有:
Web安全入门
有了前面的Web前端和PHP编程的基础,可以来正式学习Web安全了。Web安全领域内几大典型的攻击手法:SQL注入、XSS、CSRF、各种注入、SSRF、文件上传漏洞等等,每一个都需要详细学习,一边学习理论,一边动手实践。
千万注意别拿互联网上的网站来攻击学习,这是违法的行为。自己可以在虚拟机中搭建一些包含漏洞的网站(网络上有很多可以下载来玩),拿自己建的网站练手。
网络扫描与注入
前面学习了一些Web安全的攻击手法,但光有这些还不够,当我们面对攻击目标后,如何寻找攻击点,获取目标的信息至关重要。
这些信息包括:目标运行了什么操作系统,开放了哪些端口,运行了哪些服务,后端服务是什么类型,版本信息是什么等等,有哪些漏洞可以利用,只有获取到了这些信息,才能有针对性的制定攻击手段,拿下目标。
常见的网络信息扫描包括端口扫描、网站后台扫描、漏洞扫描等等。需要学习常用的扫描工具以及它们的工作原理。
信息搜集 & 社会工程学
除了上面需要扫描的信息,在网络安全中,经常还需要调研很多信息,比如网站的注册信息、相关联的人物、网站内部的内容检索等等。这就需要学习掌握信息搜集和社会工程学的相关技术。
whois信息用来查询域名信息,shodan、zoomeye、fofa等网络空间搜索引擎检索IP、域名、URL等背后的信息,Google Hacking利用搜索引擎来检索网站内部信息,这些东西都是在网络信息搜集中经常用到的技能。
暴力破解
在网络攻击中,当扫描到目标开放的服务后,最直接的就是想要登录进去。常见的服务有SSH、RDP、MySQL、Redis、Web表单等等。
这个时候,暴力破解通常会派上用场,通过使用各种服务常见用户名密码组成的字典,通过程序暴力破解。
常用的爆破工具有hydra、超级弱口令,另外还有一个mimikatz,常用来获取Windows系统的密码。
黄金(元婴期)
上一个阶段,学习了一些安全攻击技术,在这一个阶段,需要学习一下安全防御和安全检测技术,安全具有攻防两面性,缺一不可。
WAF技术
首先要学习的就是WAF——Web应用防火墙。
Web安全学习的是通过Web技术攻击计算机系统,WAF就是检测和防御这些安全攻击。正所谓知己知彼才能百战百胜,作为攻方,要掌握WAF的工作原理,找到弱点绕过检测,作为守方,需要不断加强安全检测和防御能力,有效的发现和抵御Web攻击。
需要学习当下主流的WAF软件所采用的架构比如openresty、modsecurity,以及主要的几种检测算法:基于特征的、基于行为的、基于机器学习的等等。
网络协议攻击 & 入侵检测
WAF主要针对的是Web相关的安全攻击,到这一小节,将视野进一步拓展到整个网络协议栈,TCP劫持、DNS劫持、DDoS攻击、DNS隧道、ARP欺骗、ARP泛洪等等,需要掌握这些传统经典攻击手段的原理,搭建环境实践,为后续的内网渗透打下基础。
另外作为防守的一方,还需要学习通过网络流量分析技术来进行安全检测,了解常用的网络分析技术,检测框架,规则语法,对以后从事安全相关开发或安全防御工作进行储备。
日志技术
通过日志来发现攻击行为是一种最常见的行为,攻击者的Web请求,系统登录,暴力破解尝试等等都会被系统各种软件记录在案,攻击者得手后也经常会抹除相关的日志记录,所以学习掌握这些日志,是攻防两队的人都需要学习的技能。
常见的日志有系统登录日志(Windows、Linux)、Web服务器日志、数据库日志等等。
Python编程
在这个阶段,是时候来学习一些Python编程开发了。虽然网络安全不用经常做大量的工程开发,但掌握基本的编程能力,可以用来编写爬虫、数据处理、网络扫描工具、漏洞POC等等,都是非常有用的,而众多编程语言中,Python无疑是最适合的。
浏览器安全
这个阶段的最后一部分,来学习了解一些浏览器侧的安全知识,夯实Web安全中与浏览器相关的漏洞攻击。
需要重点掌握IE、Chrome两款最主流的浏览器特性,浏览器的沙盒机制是什么,同源策略和跨域技术等等。
铂金(化神期)
第三方组件漏洞
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-JykFevSs-1713047705400)]
599
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
