漫谈网络安全学习路线：路漫漫其修远兮，吾将上下而求索。

本文链接：https://blog.csdn.net/2401_84618514/article/details/139852301

可以这么说，未来10年都将是网络安全人才就业的黄金期。

截至2018年8月，网民规模已达8.02亿人，连家里的老人都开始用起了智能手机。

然而互联网的开放性和安全漏洞带来的风险也无处不在，最普遍的像账号被盗、钓鱼网站、木马病毒等等，直接危及个人安全。

网络攻击行为日趋复杂、黑客攻击行为组织性更强、**针对手机无线终端的网络攻击日趋严重，**近几年有关网络攻击和数据泄露的新闻层出不穷。

而随着大数据、物联网、人工智能等新技术的发展，信息技术与经济社会各领域的融合也更加深入。

针对互联网车辆的攻击危及人身安全
人工智能恶意软件放大攻击者的能力
攻击者操控智能家居，损害电网安全
网络攻击与武装攻击相结合，摧毁商业，危及生命

现阶段网络空间安全建设已达到了刻不容缓的地步！

在这一背景下，网络安全人才短缺问题日益突出，网络安全人才严重匮乏，可谓一将难求。

18年缺口高达95%，超过70万，20年突破232%，缺口达140万，21年缺口飙升285%…

目前北京、深圳、上海、成都、广州、武汉是网络安全人才需求量最大的城市，这五个城市对网络安全人才需求的总量预计占全国需求总量的近一半。

且不管各行业还是组织均加大了对网络安全人才的需求！

网络安全人才供需现状：

简单说这6类人群可以入门网络安全：

准备转行的安全小白
想就业安全领域的在校大学生
对网安感兴趣的技术发烧友
想跳出瓶颈期的运维从业者
偏安全方向的网络工程师
1-3年想挑战高薪的初级安全从业者

那么现在你觉得自己很适合此行业，该如何快速又头皮发麻了。

那么怎么成为一名安全人员呢，很多朋友在学习安全方面都会半路转行，因为不知如何去学，今天在网上看到个不错的，果断收藏学习下路线。此篇博课讲的非常细，有兴趣的同学可以参考。

关于黑客或网络安全如何入门和学习路径，我在以前的问答和专栏中也陆陆续续解读过，近期知乎时间线上又多了很多高度类似的问题邀请，本次我再次做了一次系统化的梳理，希望能更好地帮到新人。（后续这个答案我会持续更新）

在这里，我将这个整份答案分为 黑客（网络安全）入门必备、黑客（网络安全）职业指南、黑客（网络安全）学习导航 三大章节，涉及价值观、方法论、执行力、行业分类、职位解读、招聘企业、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等 20+ 细分专题。

1.黑客（网络安全）入门必备

关于「黑客」，每个人都有自己的定义和理解。我认为，一名合格的黑客，抛开技术层面，首先应该具备以下这些能力或品质：

正直善良的价值观：遵法守纪、严守底线、拒绝黑灰产
科学合理的方法论：终身成长、知识管理、第一性原理
持续有效的执行力：自我驱动、实践为先、结果导向

以上排序，权重应该是从上到下的。毕竟，一个人的价值观会影响他（她）选择的方法论，而一个人的方法论则会决定他（她）做事的结果。

1.1 首先，黑客需要有「正直善良的价值观」。

学习并掌握了所谓的「黑客技术」之后，即便从事的不是保家卫国护网之类的网络安全职位，你仍有较大几率听闻或接触到这些关键词：拿站、脱裤、挂马、菠菜、资金盘、黑帽 SEO、杀猪盘、薅羊毛……

举个例子，我经常会收到类似下面这样的单子，若换做是你，你是坚定拒绝还是半推半就甚至拿钱办事呢？

相信我，在互联网上，拒绝黑灰产要跟拒绝黄赌毒一样坚决，一旦你碰了，是很难回头的。**人性在巨大的金额回报诱惑下，是很容易摇摆的。**到底向左还是向右走，真的取决于你的价值观取向。

因此，秉持正直善良的价值观、遵法守纪、严守底线，是你进入黑客之旅务必要携带的护符，它能为你驱除杂念、为你的职业生涯保卫护航。

1.2 其次，黑客需要有「科学合理的方法论」。

黑客或网络安全学科，起源计算机科学，但又不止于计算机，还涉及社会工程学、心理学、信息战等多个领域，学习曲线属于典型的「入门易精深难」。

进入这个圈子之前，相信聪明的你已经积累了很多关于「如何学习」「如何坚持」等各种方法，但当面对的是海量涌来的知识、敲不完的代码、无法穷尽的漏洞时，你真的能坚持下来吗？

大部分人走着走着就迷路了，本质是缺少方法论的支撑，各行各业的方法论很多，这里仅分享对我个人影响最为深刻的 3 个：

终身成长，即采用持续成长的心态，将学习与成长周期无限拉长到一生。 很多人喜欢将 “过了 xx 岁就学不动了” 之类的挂在嘴别，在我看来要么是误区要么是借口，这样观念无非是用来掩饰自己懒惰不愿成长不想改变的心态。如果你接受这些传统观念，那只能说明你不适合做一名黑客。相反地，采用终身成长这套方法论，将「做一名黑客」的时间跨度无限拉长到一生，把它当成一生的事业而不是一个短暂的职位，那么，我们的学习耐心、学习深度、学习广度也将会无限放大。不要跟任何人比较，给自己多点时间和耐心，3 个月不行就 6 个月， 6 个月不行就 1 年，1 年不行就 2 年…… 这个方法论的实践，可以让我们在成长路上戒骄戒躁并持续精进，不妄求短时间内“大跃进”，也抛弃了“一口吃撑”的激进做法。
知识管理，即 PKM（Personal Knowledge Management ），是研究如何科学高效管理知识的一套方法论。考虑到黑客或网络安全领域的跨学科特性，需要掌握的知识量非常繁杂，超过了大部分人的承载能力。因此，如果你要做黑客，那么我推荐你采用 PKM 来构建自己的知识管理系统，持续优化输入输出路径，打造最优学习闭环。采用这个方法论，最终可以让我们得到这个结果：学习能力比别人强一点、成长速度比别人快一点。

第一性原理，即 First Principle Thinking，简单来说就是透过事物现象看本质。很多人在刚学习黑客或网络安全技术时，经常会有这些问题：我在学校学的编程语言是 C/C++，Java / Python 这些能学会吗？我是做软件开发的，能从事网络安全方向吗？我是搞 Web 安全的，能转移动安全吗？…… 有这些问题的人，大体缺乏这套方法论的使用经验。例如，学编程，以第一性原理的视角来看，核心不是学语法，而更应重视算法、数据结构、代码逻辑这些，搞定这些底层，其实根本不存在语言切换的问题。同理，做软件开发就是用代码研制出产品（网站/业务系统/APP等），而做网络安全就是给产品找bug，两者相辅相成，即「不懂软件开发的程序员不是一个合格的黑客」。以上仅是这套方法论的粗浅举例，在此先不展开。我更想说的是，作为一名黑客，采用这套方法论，可以让我们：习惯用why而不是what、思考更深入一点、知识更通透一点。

价值观再正，方法论再好，若没有执行力，那便是纸上谈兵。例如，看书学习处于“三天打鱼两天晒网”的状态，这就是典型的执行力出了问题。

1.3 因此，「持续有效的执行力」也是黑客必备的能力。

那么，如何做到持续有效执行（学习/工作/成长）？我认为有 3 个点：

自我驱动。对各类技术知识足够狂热、有强烈的兴趣和好奇心、遇到问题刨根问底、有较强的自律能力…… 只有保持这样的自我驱动，才能真正做到持续稳定。
实践为先。学到的知识是否真的有用，先动手再说，所谓“实践出真知”。
结果导向。同样是干活，也有“干了”和“干好”的差别。因此，无论看书做实验搞项目，一定要结果导向，用数据和效果说话。

简单来说，保持自我驱动的状态，多动手实践，以结果为依据，以此获得持续有效的执行力，这是学习或从事黑客（网络安全）工作的基石。

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。