当下的网络安全行业前景到底怎么样？还能否入行？

常听到很多人不知道学习网络安全能做什么，发展前景好吗？今天我就在这里给大家介绍一下。网络安全作为目前比较火的朝阳行业，人才缺口非常大

先说结论，网络安全的前景必然是超级好的

作为一个有丰富 Web 安全攻防、渗透领域老工程师， 之前也写了不少网络安全技术相关的文章，不少读者朋友知道我是从事网络安全相关的工作，于是经常有人私信向我“取经”，可以看得出来很多人对前路多多少少都有些迷茫，高频的问题就是网络安全的前景好吗？对此，我来回答一下。

网络安全行业真实前景有那么好吗？

网络安全行业毫无疑问是很有前景的一个行业，中央在 2019 年提出的中国制造和 5G 建设目前还处于发展中，远的不说，5 年是需要的，5 年之后风口在哪我不知道，但我觉得网络安全行业依然是未来的重头戏。

根据 Gartner 所做统计来看，信息安全支出占整个 IT 支出的比例越来越高，2018 年全球信息安全支出占 IT 支出的比例为 3.05%。与之相比，Gartner 数据显示，我国在 2019 年的 IT 支出约达到 2.9 万亿元规模，而信息安全市场规模为 500 亿元左右，中国信息安全支出占 IT 支出比例仅为 1.7%，相对于全球平均水平还有较大差距。假设中国信息安全支出比例达到全球平均水平 3%，所对应的网络安全市场规模将达近千亿量级。

过去的 2020 年是不同寻常的一年。

这一年，新基建成为中国经济热词、疫情黑天鹅事件突袭，好坏之间，企业数字化转型得以全面提速。

但从安全角度来看，这也意味着安全态势变得更加复杂，安全的范畴也变得更加广泛，漏洞存在于每个地方、攻击可以由世界任何一个地方发起，对于网络安全的准确预测成为保障安全的关键前提。

越来越多朋友寻找新的职业发展机会，开始将目光聚焦到了网络安全产业。

网络安全人才一将难求，缺口高达 95%

在以前，很多政企单位在进行 IT 部门及岗位划分时，只有研发和运维部门，安全人员直接归属到基础运维部；而现在，越来越多单位为了满足国家安全法律法规的要求，必须成立独立的网络安全部门，拉拢各方安全人才、组建 SRC（安全响应中心），为自己的产品、应用、数据保卫护航。

短短几年间，网络安全工程师不仅成为了正规军，还直接跃升为国家战略型资源，成为众多企业“一将难求”的稀缺资源。

根据腾讯安全发布的《互联网安全报告》，目前中国网络安全人才供应严重匮乏，每年高校安全专业培养人才仅有 3 万余人，而网络安全岗位缺口已达 70 万，缺口高达 95%。

安全岗位选择多，薪酬福利高，发展前景好

网络安全人才所从事的岗位多种多样，岗位设置上，政企机构与安全企业有很大区别：政企机构的需求主要集中在安全管理、安全运维、研发与测试、渗透测试与漏洞挖掘、应急响应、CSO 等岗位。安全企业则主要是研发与测试、安全服务、销售、售前、售后、安全管理、产品经理、安全分析、市场营销、CIO/CSO 等职位。

根据不同的安全技术方向、应用场景、技术实现等，网络安全可以有很多分类方法，在这里我们简单分为网络安全、Web 安全、云安全、移动安全（手机）、桌面安全（电脑）、主机安全（服务器）、工控安全、无线安全、数据安全 等不同领域。

我们到招聘网站上，搜索【网络安全】【Web 安全工程师】【渗透测试】等职位名称，可以看到安全岗位薪酬待遇好，随着工龄和薪酬增长，呈现「越老越吃香」的情况。

如果你想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不仅有 web 安全，还有渗透测试等等内容，包含电子书、面试题、pdf 文档、视频以及相关的课件笔记，大部分我都看过，感觉还不错

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

我们看一看招聘网站技术向网络工程师的招聘要求，平均薪资水平相当可观：

网络安全上升至国家战略，相关政策相继出台

2020 年 3 月，360 披露美国 CIA 中央情报局对我国的 APT 高级持续性威胁攻击，我国航空航天、科研机构、石油行业、互联网以及政府机构等长达 11 年被定向攻击。

2020 年 2 月，正当中国新冠防疫进行时，印度 APT 黑客组织利用新冠肺炎疫情题材制作诱饵文档，对我国医疗机构发起持续性威胁攻击来获取医疗新技术和医疗数据。

伴随国家新基建战略的推行，人工智能、大数据、云计算、物联网、5G 等新兴技术的高速发展，层出不穷的新型黑客攻击手法也随之而来，无数政府单位被定向攻击、企业核心数据被盗、个人敏感信息泄露。网络空间安全建设刻不容缓，已成为国家安全建设的重中之重。

网络安全是国家安全体系的重要组成部分，《国家网络空间安全战略》《网络安全法》《网络安全等级保护 2.0》等一系列政策/法规/标准的持续落地，不懂安全或者不做安全等于违法违规已经逐渐成为政企机构的重要共识。

网络安全工程师的优势也非常明显，职业寿命长；他们工作的重点在于对企业信息化建设和维护，其中包含技术及管理等方面的工作，工作相对稳定，随着项目经验的不断增长和对行业背景的深入了解，会越老越吃香。发展空间大；在企业内部，网络工程师基本处于地位高、待遇高。就业面广，一专多能，实践经验适用于各个领域。他们掌握着企业核心网络架构、安全技术，具有不可替代的竞争优势，所以发展前景是巨大的，无需担心未来的就业问题。

最后，如果有充足的时间、精力和相当强的自律能力，多去买一些学习书籍，每日定量学习，理论结合实战；或者，如果在资金上比较充裕，想要短期快速提升技能，也可以参加培训学习；任何一个技术的学习都不是一蹴而就的，都是需要下功夫花时间日积月累，才能把技术知识消化吸收。

怎么入门网络安全？

我们落到具体的技术点上来，网络安全学习路线，整体学习时间大概半年左右，具体视每个人的情况而定。

如果你把每周要学的内容精细化到这种程度，你还会担心学不会，入不了门吗，其实说到底就是学了两个月，但都是东学一下，西学一下，什么内容都是浅尝辄止，没有深入进去，所以才会有学了2个月，入不了门这种感受。

1、Web安全相关概念（2周）

• 熟悉基本概念（SQL注入、上传、XSS、CSRF、一句话木马等）；
• 通过关键字（SQL注入、上传、XSS、CSRF、一句话木马等）进行Google/SecWiki；
• 阅读《精通脚本黑客》，虽然很旧也有错误，但是入门还是可以的；
• 看一些渗透笔记/视频，了解渗透实战的整个过程，可以Google（渗透笔记、渗透过程、入侵过程等）；

2、熟悉渗透相关工具（3周）

• 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用；

• 了解该类工具的用途和使用场景，先用软件名字Google/SecWiki；

• 下载无后门版的这些软件进行安装；

• 学习并进行使用，具体教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；

• 待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱；

3、渗透实战操作（5周）

掌握渗透的整个阶段并能够独立渗透小型站点。 网上找渗透视频看并思考其中的思路和原理，关键字（渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等）；

• 自己找站点/搭建测试环境进行测试，记住请隐藏好你自己；
• 思考渗透主要分为几个阶段，每个阶段需要做那些工作；
• 研究SQL注入的种类、注入原理、手动注入技巧；
• 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等；
• 研究XSS形成的原理和种类，具体学习方法可以Google/SecWiki；
• 研究Windows/Linux提权的方法和具体使用；

4、关注安全圈动态（1周）

• 关注安全圈的最新漏洞、安全事件与技术文章；
• 通过SecWiki浏览每日的安全技术文章/事件；
• 通过Weibo/twitter关注安全圈的从业人员（遇到大牛的关注或者好友果断关注），天天抽时间刷一下；
• 通过feedly/鲜果订阅国内外安全技术博客（不要仅限于国内，平时多注意积累），没有订阅源的可以看一下SecWiki的聚合栏目；
• 养成习惯，每天主动提交安全技术文章链接到SecWiki进行积淀；
• 多关注下最新漏洞列表，推荐几个：exploit-db、CVE中文库、Wooyun等，遇到公开的漏洞都去实践下。
• 关注国内国际上的安全会议的议题或者录像，推荐SecWiki-Conference；

5、熟悉Windows/Kali Linux（3周）

• 学习Windows/Kali Linux基本命令、常用工具；
• 熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等；
• 熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；
• 熟悉Kali Linux系统下的常用工具，可以参考SecWiki《Web Penetration Testing with Kali
  Linux》、《Hacking with Kali》等；
• 熟悉metasploit工具，可以参考SecWiki、《Metasploit渗透测试指南》；

6、服务器安全配置（3周）

• 学习服务器环境配置，并能通过思考发现配置存在的安全问题；
• Windows2003/2008环境下的IIS配置，特别注意配置安全和运行权限；
• Linux环境下的LAMP的安全配置，主要考虑运行权限、跨目录、文件夹权限等；
• 远程系统加固，限制用户名和口令登陆，通过iptables限制端口；
• 配置软件Waf加强系统安全，在服务器配置mod_security等系统；
• 通过Nessus软件对配置环境进行安全检测，发现未知安全威胁；

7、脚本编程学习（4周）

• 选择脚本语言Perl/Python/PHP/Go/Java中的一种，对常用库进行编程学习；
• 搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；
• Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；
• 用Python编写漏洞的exp，然后写一个简单的网络爬虫；
• PHP基本语法学习并书写一个简单的博客系统，参见《PHP与MySQL程序设计（第4版）》、视频；
• 熟悉MVC架构，并试着学习一个PHP框架或者Python框架（可选）；
• 了解Bootstrap的布局或者CSS;

8、源码审计与漏洞分析（3周）

• 能独立分析脚本源码程序并发现安全问题。
• 熟悉源码审计的动态和静态方法，并知道如何去分析程序；
• 从Wooyun上寻找开源程序的漏洞进行分析并试着自己分析；
• 了解Web漏洞的形成原因，然后通过关键字进行查找分析；
• 研究Web漏洞形成原理和如何从源码层面避免该类漏洞，并整理成checklist。

9、安全体系设计与开发（5周）

• 能建立自己的安全体系，并能提出一些安全建议或者系统架构。
• 开发一些实用的安全小工具并开源，体现个人实力；
• 建立自己的安全体系，对公司安全有自己的一些认识和见解；
• 提出或者加入大型安全系统的架构或者开发；

这里可以参考下面这张成长路线图：

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）