网络安全行业甲乙方谁更好混？

～小羊没烦恼～

于 2024-07-12 10:00:02 发布

阅读量929

点赞数 22

文章标签： web安全大数据安全网络 php python

本文链接：https://blog.csdn.net/2402_84205067/article/details/140371055

版权

网络安全行业的甲方乙方应该如何选择？怎么选择才更适合自己？自己今后的发展才会更好呢？相信一些刚入行甚至是已经入行一段时间之后的人聊到这方面也非常惆怅，不知道哪个方向好一些，不知道哪个方向更适合自己。

网络安全的职业发展可以用甲方和乙方的视角来展开，因为一个玩两个安全从业者找工作，要么是直接进入甲方团队，要么是进入乙方团队。虽然两个团队在安全技术上的实践基本上是一致的，但由于视角和目的不一样，所以职业发展也会有所不同。

甲方：通过信息安全技术来确保自身业务的信息安全，从而赋能业务。

甲方安全团队如：平安集团、京东、建设银行、华泰证券

乙方：通过提供信息安全技术来帮助甲方保护业务的信息安全，从而获取商业回报。

乙方安全团队如：启明星辰、绿盟科技、360企业安全、安恒、奇安信等安全厂商，当然也包括一些安全集成商。

甲方的信息安全团队和乙方的区别：

京东：主营业务是电商，京东的信息安全团队是负责保护电商相关的信息系统不出安全问题；

顺丰：主营业务是物流，顺丰的信息安全团队是负责保护物流相关的信息系统不出安全问题；

奇安信：主营业务是信息安全产品和服务，安全团队主要是负责产品和服务的项目交付

这里的京东和顺丰的信息安全团队是甲方信息安全团队，奇安信的信息安全团队是乙方安全团队。可以看出两者的业务视角是完全不一样的。乙方本身自己的业务就是信息安全产品和服务，而甲方是通过信息安全产品和服务给自己的主营业务保驾护航。

大多数的甲方团队会采购乙方厂家的产品和服务来建设自己的信息安全体系，因此在合作关系上，“甲方”就成了“爸爸”，成了乙方跪舔的对象。

从信息安全技术栈来看，甲方和乙方的技术栈其实是一样的，都是围绕安全问题展开的一系列解决方案。

甲方信息安全团队的岗位划分：

架构安全工程师：技能方向偏网络、操作系统，主要负责安全系统的建设和管理，比如堡垒机、防病毒系统、入侵检测/防御、抗DDOS、WAF等系统的建设和运营
应用安全工程师：技能偏应用系统，主要负责公司业务系统安全开发生命周期过程中的整体安全措施建设SDL/devdecops，比如安全测试、应用安全发布流程、应用系统漏洞的修复，有些团队还会细分为不同技术领域，比如客户端安全、APP安全等
安全运营工程师：安全运营是一个比较广的职责，做的事情比较综合，对综合知识要求较高，通过运营手段提高公司的安全水位。
安全开发工程师：负责公司各个安全系统的开发，安全技能+写代码的能力
数据安全工程师：从数据安全治理的角度对组织实施整体的数据安全保护措施
安全合规工程师：偏合规管理，主要是从等级保护、ISO27001、各种安全审查、法律法规等各种信息安全管理体系以及监管方向进行相关建设
安全架构师/安全专家：某个方向的资深人员，架构能力强、专业能力强，负责某个方向的整体建设
安全负责人：一般是CSO、安全总监、安全经理的职位，为组织的整体信息安全负责，知识面有广度，有深度，能带团队打仗，彩玉管理团队决策
安全实验室研究人员：偏安全研究，某个方向资深研究人员，资深漏洞挖掘人员。比如二进制、LOT、工控。对底层研发能力要求较高，至少C/C++较为精通，为前端业务赋能，打造影响力。

乙方团队所属的组织目的是通过提供自己的信息安全技术来帮助甲方保护业务的信息安全，从而获取商业回报，因此乙方老板会围绕这个“目的”来组件自己的技术团队。有以下角色：

安全产品技术工程师：技能偏网络、操作系统、数据库等。主要围绕公司自己服务范围的产品提供技术支持，如安装部署、故障处理、项目实施。比如你是在一家做防火墙的厂家，那你的主要职责就是围绕防火墙产品进行相关项目实施交付。
安全服务工程师：技能偏渗透测试，主要通过人+工具的能力为客户提供安全服务类项目的交付，比如渗透测试、应急响应等，在大一点做整个安全服务项目的咨询和落地。最近这几年随着“攻防”的升级，围绕实战的渗透测试这个技术分支逐渐被重视起来，“安全服务工程师”主要是指非产品实施交付方向的，主要是通过“渗透测试”技术为用户提供服务，比如做安全测试、代码审计、应急响应、攻防演练等
安全开发工程师：负责某个安全产品的开发，本质上是一个程序员，只是面对的业务是安全。
安全研究人员：负责漏洞挖掘、新漏洞的跟踪和POC维护、前沿技术的研究，为产品和服务赋能。在各个安全实验室埋头挖漏洞搞安全技术研究的人，比如腾讯云的“玄武实验室”等
售前/解决方案工程师：一般从技术工程工程师发展而来，负责项目售前阶段的方案规划、招投标、客户交流、配合销售完成项目。解决方案工程师对技术的广度、沟通能力、综合方案能力要求会比较高，既要能够九天揽月(搞定用户，与销售一起拿下项目)，还要能够下海捉鳖(写PPT、写方案、用户现场POC)
安全产品经理：某个安全产品的设计，上陪客户，中怼售前，下打开发，无所不能
项目经理：负责公司项目交付过程中的整体管理，从成本、资源、效率等角度确保项目的顺利交付。为了确保项目的顺利交付，在一些交付周期比较长，规模比较大的项目上，公司一般会配备一个项目经理来负责整体的质量和进度。项目经理也是一个综合能力要求比较高的岗位，在安全项目上，还需要对产品和行业有很深的理解。
团队管理人员：技术部负责人、工程部负责人、售前负责人、负责团队培养、带领、决策成为团队的负责人&管理者，意味着你在在这个方向有更加资深的能力，更加高的德行，也需要肩负更加多的责任，你需要带着兄弟们打仗，需要为团队的整体价值，效率负责。
销售人员：安全产品和服务的销售人员，把技术变成钱的人

以上就是网络安全行业甲方和乙方的区别，其实并不存在甲方的工作岗位就一定比乙方好，或者乙方一定要“跪舔”甲方的说法。平台的选择、工作岗位的选择都取决于自己更擅长什么、想要往什么方向发展。有时候选择一个更适合自己的发展方向，混的会更好！

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。