2023年自学网络安全？我劝你认清现实

QXXXD

已于 2024-01-05 21:01:38 修改

阅读量226

点赞数

分类专栏：安全网络安全 web安全文章标签： web安全网络安全

于 2023-02-01 08:30:00 首次发布

本文链接：https://blog.csdn.net/QXXXD/article/details/128820996

版权

网络安全同时被 3 个专栏收录

68 篇文章 7 订阅

订阅专栏

web安全

61 篇文章 1 订阅

订阅专栏

安全

54 篇文章 3 订阅

订阅专栏

前言

作为一名5年网安工程师老菜鸟来说，我实在想不通，开发岗位那么多，为什么要来学网安?

在这里必须给那些准备入坑的同学泼几盆冷水！零基础自学网络安全？劝你还是别做梦了！

待遇

我想不管什么工作，入行前第一个关心的肯定待遇吧。在这，请务必记住：

所有吹网络安全高薪的培训机构，都是扯犊子，纯纯嘎韭菜！

这是机构会给你看的网安工程师的待遇，咱就是说，这些大厂是咱想进就能进的嘛…大伙心里都有数的吧~

这是你学完准备就业时，你能找到的岗位…~~

网安高薪有两种途径：

第一种：写在刑法里了，喜获银手镯一对，包吃包住。

第二种：究极资深安全大佬，天赋异禀，一个人即可搞定企业的安全体系。茅与盾的结合体，进可攻退可守的全能型人才。这样的人，在国内连0.1%都不到。普通网安工程师的普遍年薪在15w-45w这个区间左右。试问：了解程序员行业的同学都知道，哪个开发岗位的待遇比这个低？

这里给还在学校的同学解释一下社会的残酷现实：为什么网络安全工程师普遍薪资区间低于其他开发类目？因为网络安全部门，在一个公司里不是业务部门，通俗的说，它无法给公司创造直接收益。还有原因就是现阶段国内企业对网络安全领取的重视程度还不那么高。

以上理论仅限于非一线互联网巨头企业，大厂的安全领域专家薪资待遇是远高于其他开发领域的（比如蚂蚁金服，京东金融）

网络安全工程师前景

冷水泼完了，上点热菜~~

这个行业的前景还是不错的。因为有政策的鼓励。网安以后会是一个非常重要的产业。

至少从短期来看，这个行业没有前后端、移动端等业务开发那么卷。长期来看，人才市场空间还是很大的。

据腾讯安全《2017上半年互联网安全报告》显示，近年我国高校教育培养的信息安全专业人才仅3万余人，而网络安全人才总需求量则超过70万人，缺口高达95%。

我国网络安全整体投入不高。网络安全建设方面，国内网络安全投入占信息化的投入比例大概不到百分之3%，而欧美等发达国家均在10%以上，甚至有的超过了15%。我们无论是在投资规模，应对网络安全的认知等方面，我们与国外差距非常大。这与我们数字化依赖程度相比，还是一个非常大的反差。

从boss直聘的招聘数据来看，网安工程师的岗位已经超过Web前端，高居第二位。

网络安全工程师发展方向

然后，我们要知道网络安全这个体系，有哪几个从业方向，如下图：

渗透测试工程师；这个岗位是大多数人梦寐以求的，展现个人技术的时候到了。主要是模拟黑客对目标业务系统进行攻击；点到为止，不再赘述。 **安全开发工程师：**嗯，就是搞开发，要对安全也要了解，比如开发一个web应用防火墙，连web攻击都不懂，那还开发个啥，闭门造车啊，能防的注吗?

安全运维工程师；一个单位买了那么多安全产品，肯定要有人做运维的，分析一下日志，升级一下策略。定期检查一下业务系统的安全性，查看一下内网当中有没有威胁，这都是安全运维工程师要做的内容。

应急响应工程师；客户业务系统被攻击，要快速定位安全问题，要快速恢复业务系统，有的甚至还要取证报警。(家里如果被偷东西价值太大，你还不报警?心咋这么大)

等级保护测评师；按照国家要求，重要的业务系统需要按照安全等级进行保护的，目前国家已经发布了等级保护2.0标准，要按照这个标准进行建设。等级保护测评师的工作就是协助客户检查一下业务系统是否满足等级保护的要求，不满足的赶紧整改。

安全服务工程师；好多企业把渗透测试工程师也归到安全服务工程师里面，无伤大雅。不懂安全服务，还不懂吃饭的服务员嘛，就是协助客户做好安全工作，具体的内容比如常见的漏洞扫描、基线检测、渗透测试、网络架构梳理、风险评估等工作内容。安全服务的面很大的，几乎涵盖了上述所有岗位的内容。

网络安全工程师学习路线&资源

【----帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

网络安全的知识多而杂，怎么科学合理安排？

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全学习路线&学习资源

在这里插入图片描述

扫描下方卡片可获取最新的网络安全资料合集（包括200本电子书、标准题库、CTF赛前资料、常用工具、知识脑图等）助力大家提升进阶！

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。