如何成为优秀的网络安全工程师

我2005年3月份来哈尔滨办事处从事技术工作。三年来，在日常工作学习中总结了一些经验与教训，拿来与大家分享。希望我的经验和教训能给大家今后工作带来帮助。

合格工程师的N个基础素质

网络安全工程师通常分为售前和售后两类。售前工程师主要负责用户交流、建议方案的设计以及投标书的撰写等售前阶段的技术性工作；售后工程师则主要负责设备安装调试、系统测试、技术文档编写等售后工作。售前和售后工程师的划分不是绝对的，有时候一名工程师在项目中既要做售前工作又要做售后工作。

一名合格的网络安全工程师一般应具备以下的素质：

• 精通计算机及网络基础理论，只有掌握了理论和技术才能正确合理地设计规划一个网络环境。

• 精通网络设备调试技术、黑客攻防技术、信息安全技术、数据分析技术。这些是网络安全工程师必备的技能。

• 精通网络管理平台设计和网络安全解决方案的设计。能够设计相应的网络系统和应用系统，是工程师技能掌握情况的重要指标。

• 良好的口头语言表达能力和文字写作能力。在网络安全实施的各个阶段，诸如用户交流、方案与标书撰写、述标与答疑、用户培训和竣工文档编写等工作中，写作能力与口才是重要的基本素质。

• 较高的计算机专业英语水平。 在网络安全中，英语随处可见，在产品介绍、产品配置与报价、产品技术文档、培训等资料方面，英语都是主要文字之一。越是高端的产品，英语使用的越普遍。有时还需要英语听说能力，而在国际招标项目中，英文写作能力将受到考验。

• 良好的人际交流沟通能力和与他人协同工作能力。 网络安全是一项需多人合作共同完成的系统工程，与同事、供货商、用户、厂商、施工队等的交流与合作必不可少。网络安全工作程师应是一个善于与人沟通、善于与人建立良好关系的人。

• 在压力环境下现场解决问题的能力。网络安全的技术工作往往是紧张忙碌的，尤其是在用户现场安装调试或售后故障维修时遇到技术难题的情况下，现场可用资源很少，打电话寻求支援又不方便，更有一旁用户审视的目光，这种环境是对工程师智商、情商、技术水平和调试经验的综合考验。

• 广博的知识面。 网络安全涵盖的范围很广，工程师应该一专多能、一精多通，这样与用户交流时就会游刃有余，避免出现用户的话题稍一偏离项目主题我们就茫然不知的尴尬局面。

• 诚实守信，把事情做到前面。
  答应客户的一切承诺要认真履行。只有把事情做到前面了，你工作起来才能游刃有余，得心应手！

• 炼产品的亮点，展示出你技术上的优势，是技术人员的基本功。

从优秀到卓越

​ 想成为优秀的网络安全工程师，我们就应朝以上几个方面去努力。但除了这些基本素质外，从我的经验来看，还有一些要特别注意的东西。

认真学习基础理论，但更重视技术和产品

​ 学习理论可以证明了技术的根基，理论的明晰有利于在实际工作中明确思路。技术和产品是更接近网络安全实践的要求，一个网络安全项目说到底是选用合适的产品，并在产品之上实现相应的技术和功能，最终满足用户的相关需求。一个精通理论而不熟悉技术和产品的人不能成为合格的网络安全工程师。
​ 工程师应多注意技术动态和新产品信息，并整理成相应的文字，以备将来使用。

多分析成功案例，多进行现场调试

初入网络安全行业的工程师不会有太多的案例上手，更少有机会承接大型的、综合性高的项目，此时要注意研究别人的成功案例，从案例分析中汲取技术、技能，掌握方案设计思路，同时熟悉相关产品及其价格。
​ 另一方面，应争取机会多到用户现场进行安装调试，结合在公司网络里的专题试验，尽快提高技术水平，提高在压力环境下现场解决问题的能力。
​ 方案设计与安装调试结合进行，两种技能的提高互相促进的。

注重提高写作能力、演讲能力和快速反应能力。

​ 在网络安全成项目实践中，要有意识地提高写作能力、演讲能力和快速反应能力。写作能力和演讲能力的重要性前文已经做过介绍。快速反应能力是指能够迅速明白对方所提问题的含义，并立即给予相应解答的能力，这项能力在用户交流和答标过程中很重要。与客户交流的目的不是技术演讲，让客户开口很重要，要给自己倾听的机会。

写方案要有自己的特点，模板不是方案！

​ 编写技术建议书是售前工程师的基本工作，经常彻夜加班就是写这个建议书，好像公司越大，建议书也往往越厚，我见过有的达上千页，但这样“丰富”的技术建议书，客户能看多少，就不一定了。

一般公司写技术建议书都有一定的模板，可以很方便地套用，否则，工程师要几天内就写出上百页的文章也不是容易的事。模板大多是下面的套路，有些像八股文：1、客户现状描述。2、客户需求描述(方案要解决的问题)。3、方案设计依据(理论、法规、标准、模型等)。4、方案总体设计。5、方案详细设计。6、方案涉及软硬件清单。7、方案建设对业务的分析(可选)。7、涉及到的产品技术参数、技术说明。8、公司简介。

其中客户最关心的是第四、六部分，所以很多工程师图省事，其他的部分大多是拷贝。其实，第一、二、七部分是看你对客户业务的理解，才真是你做的方案是否适合客户需求的关键部分，也是客户若真读你的方案，是否能吸引他的地方。

​ 我曾经碰到这样的事情。我们的一个老客户，再次采购网络安全的产品，需要我们提交个方案申请预算，在沟通中，客户说：“你们的方案不写也行，基本的模式我都知道，就是那几个安全模型，说来说去，我都会讲了，最后再列一堆设备清单，还是要落实到让我们多买设备吗，哈哈！你们的几个工程师写的方案基本是一样的。“我们领导也看了N遍了……”
“我们公司的安全解决方案模板是这样，一直没有大的变化。要不这次改改方式 ”并不是工程师懒，很多销售人员让售前工程师一天就交个方案，不这样“雷同”也写不完啊，时间一长，很多工程师也习惯了这种“垃圾”方案。

由于这个客户与我们合作的时间很长了，我们对他们的业务了解的比较多，所以这次我们在他们业务问题的分析上下了功夫，重点是对客户业务目前面临的安全威胁，与本方案防护的效果预期分析，当然这些需要自己写，模板中很少有可以借鉴的。客户看了出乎意料，说：“对我们业务中的问题分析，连我们自己也没想得这么清楚，看来这次安全规划是太值得的了……”

由于这个方案切合客户的需求，很快就得到批复，进入到招标阶段，当然我们的方案适合度最好，项目很顺利。

其实这样的事情售前工程师经常遇到，模板是作用是让我们在写方案时，避免遗漏，而不是简单地套用，大多数的IT技术方案都是为了解决客户业务的问题，因为IT设备是客户业务的支撑体系，对客户业务没有“影响”的方案，对客户来说是没有价值的。只有从推动客户业务“提速”的角度出发，你的方案才是客户需要的，才真正是帮助客户把IT服务部门从成本中心转变成利润中心，其实服务是有价值的，服务也是一种IT产品。

多关注网络安全相关的知识、技术、产品和信息

​ 就像上学时要避免死读书一样，做网络安全也应避免陷于网络安全之中而目光短浅。广博的知识面也是网络安全项目的需要，所有与信息技术相关的信息，包括知识、技术和产品信息，都应该进入我们的视野，成为了解的对象。

​ 涉猎多方面的信息并不要求掌握所接触到的知识和技术，而大多以了解为主，日后用到时可以再深入研究。涉猎多方面的信息也可以使我们在与用户交流时找到新的话题，拓展交流的空间，树立更好的技术形象。

帮助你的同事，你会觉得工作很愉快

工程师是销售团队中的一部分，另一部分当然是销售人员了，整个团队的目标一致工作才有效率，这一点大家都能接受，但作为一个团队，工作习惯与方式一致也很重要。了解你同伴的习惯，一起工作才会“心领神会”。

​ 销售人员也有他自己的“难处”，工程师不仅要解决销售过程中技术方面的问题，而且要与销售良好地配合，要配合好，就要了解销售人员的特点与具体的需要。当然，销售人员与人沟通的能力一般都比较强，对技术人员的帮助更大，尤其是在与人交往方面。我们都知道，技术交流能力对一名工程师来说是很重要的，我们一直在说，了解客户的需求，从客户的角度着想，才能做出真正符合客户需要的方案。那么与你一起工作的搭档，你还不应该多花些时间去了解吗？

技术外的那些事儿

除了提升自己的专业技能以外，很多其他的事儿你也不能不考虑，比如说着怎么提高自己的综合素质，比如说未来的职业发展。

做好职业规划，不要跟着感觉走！

​ 根据个人的理想决策规划。慎重安排自己的轨迹。从哪个行业入手，逐渐对该行业深入了解，不要频繁跳槽，特别是不要为了一点工资而转移阵地，从长远角度讲，这点钱根本不算什么，当你对一个行业有那么几年的体会，以后钱根本不是问题。频繁地动荡不是上策，最后你对哪个行业都没有摸透，永远是新手！

做技术高手？还是做综合素质高手？

​ 如果一直做工程师不是你的志愿，千万别一门心思钻研技术。如果想往管理等其他方向发展，技术就不过是你今后前途的支柱之一，你还需要多了解其他领域的知识。在企业里混，我们时常瞧不起某人，说他“什么都不懂，凭啥拿那么多钱，凭啥升官！”这是普遍的典型的工程师的迂腐之言。人家或许善于管理，善于领会领导意图，善于部门协调等等。因此务必培养自己多方面的能力，包括管理，亲和力，沟通能力等，成为综合素质的高手，未来的发展方向往往更广。

向每个人学习。

​ 不要只和工程师交往，认为有共同语言，其实更重要的是和其他类人物交往，如果你希望有朝一日当老板或高层管理，那么你整日面对的就是这些人。了解他们的经历，思维习惯，爱好，学习他们处理问题的模式，了解社会各个角落的现象和问题，这是以后发展的巨大的本钱，没有这些以后就会笨手笨脚，跌跌撞撞，遇到重重困难，交不少学费，成功的概率大大降低！此外，多看看其他方面的书，比如金融、心理学、哲学、税务、法律等等，可以为以后做一些积累，用处可能很更大！

抓住时机向技术管理或市场销售方面转变。

​ 如果你自己的特质、时机都适当，转变为管理或销售，前途也许会更大。而且做技术管理和市场销售的话，以前搞技术也没有白搞，以后还用得着。搞管理可以培养自己的领导能力，搞销售可以培养自己的市场概念和思维，同时为自己以后发展积累庞大的人脉。

要和每一个客户建立好关系！

​ 这能为以后的发展做准备。要做客户的朋友，建立起相互信任的关系，达到客户想买产品第一个给你打电话的程度。这也是接触市场，培养市场感觉的好机会。

要学会推销自己。

​除了要能干，还要能说，能写，要创造条件让别人了解自己，学会利用一切机会推销自己。树立自己的品牌形象，很必要！不然老板怎么知道你能干？提早把自己推销出去，机会自然会来找你！搞个个人主页是个好注意！！特别是培养自己在行业的名气，有了名气，高薪、机会自不在话下。

作为一名打工者，没有压力的工作会无声地消磨完你青春的“棱角”，让你变得平庸。

​ 网络安全工程师的工作既辛苦，又难做，但恰恰最锻炼一个人的意志与能力。从技术上来说，一名优秀的网络安全工程师有比研发人员的技术更为“广博”，因为他接触各种各样的对手产品；从市场的角度讲，网络安全工程师有比销售更敏锐的产品嗅觉，因为他了解客户的需求。若你知道什么样的技术流行、实用，什么样的产品会畅销，客户最需要什么，你还不会受重视吗？所以，我个人一向认为，网络安全工程师作为技术与市场之间的最佳“纽带”，未来可选择的职位是公司里最宽的。
​ 尤其对于那些刚毕业不久的年轻人，人生一世也就几十年，不做几次冲锋就收兵，显然不是好的士兵，要冲锋就是年轻的时候。对于年轻的我们来说，有的就是青春，所以在年轻人的字典里就没有失败词汇，既是你输得“身无分文”，再从“零”开始，大不了也就同现在一样吗。

​ 有人曾做过这样一个比喻：一个好的企业就象一架大车，可以载着大家一起前行，给你家的感觉；你有幸加入到这列车上，你要为这列车出一把力，让它跑的更快、更稳，但相当多的时候，你也要跟得上它的速度，别让车把你落下。

​ 希望我的这些经验能对同事们有帮助，希望大家都有美好的前程。
下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

【点击这里，先领资料再阅读哦~】

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全学习路线&学习资源

扫描下方卡片可获取最新的网络安全资料合集（包括200本电子书、标准题库、CTF赛前资料、常用工具、知识脑图等）助力大家提升进阶！

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！