2023年转行做网络安全工程师还来得及吗？内附详细解答

python-qing

已于 2024-01-20 17:07:34 修改

阅读量151

点赞数

文章标签： web安全网络安全

于 2023-03-10 10:45:00 首次发布

本文链接：https://blog.csdn.net/m0_61869253/article/details/129432853

版权

2023年转行做网络安全工程师还来得及吗？内附详细解答

目前网络安全就业前景一片大好的形势下，很多朋友都在问，现在转行从事网络安全还来得及吗？今天就转行网络安全行业问题做一个系统解答。

首先在转行前要了解下未来的工作岗位以及该行业未来发展前景。

信息安全专业学生毕业后可在国家安全部门（公安部、网信办、部队）、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作。丰厚的薪资，较高上升空间，舒适工作环境，使得全国各大互联网企业深受信息安全专业毕业生的青睐。我们引用知名微信公众号——安全牛年初所发布的网络安全行业全景图。全景图共分为18个一级安全领域（2020年7月增加2个领域），71个二级细分领域（2020年7月增加7个领域），包含近300家安全企业和相关机构任由选择。

目前证监会将生物科技、云计算、人工智能、高端制造等四类独角兽IPO开“绿色通道”，即报即审，放宽盈利要求。随着监管层不断释放利好信号，国内更多细分领域的“领头羊”们迎来新机遇。

360集团创始人、董事长兼CEO周鸿祎表示，当前，世界已进入一个一切皆可编程、网络均要互联的时代，只要是人开发的软件就会有漏洞，网络和软件一旦被别有用心之人利用和劫持就会给人们带来灾难性的后果。

当前全球各个国家和地区都把网络安全提升到了国家战略层面。

美国国土安全部部长尼尔森在RSAC2018的主题演讲中多次强调，网络安全不仅仅是个人和企业关注的重点，更是国家赖以生存的必要条件。她说，在现代社会，数字安全已经与公共安全融合在一起，“网络安全现在是关乎所有人的问题”。

除了美国，欧洲国家也在“吹风”。去年年初，数千名欧洲网络安全专家齐聚法国参加国际网络安全论坛，希望通过技术创新和跨境合作来加强欧洲整体网络安全防卫，并努力使欧洲成为全球网络安全的引领者。

在欧美紧锣密鼓布局网络安全产业的时候，中国也早已意识到网络安全的重要性。去年4月20日，全国网信工作会议召开，网络安全再次成为大家关注的焦点。更值得关注的是，与2年前相比，会议名称少了“座谈”两字，升格为国家顶级会议。会议规格的变化透露出国家对网络安全和信息化前所未有的重视。

当各个国家都不约而同地高度重视网络安全产业时，网络安全的新风口已然形成。

其次充分做好转行前的准备。不管是心理层面的还是知识层面的，都要做好充分的准备。

马云说过，全世界70%以上成功人士所从事的行业和他大学所学的专业毫不相干。而马云大学所读专业是英语，对计算机一无所知。对于走进安全行业的人中，艺术家、音乐家、创意人和非对称思想者的比例不小。所以选择网络安全行业真的是取决于个人追求和对挖掘内在原理和价值的兴趣。引用公众号安全牛对于欲将转行网络安全的同学们给出的几点参考。

1.不用担心自己不具备特定安全经

今天的大量需求都集中在需要数年经验的职位上，比如高级安全软件工程师。此类职位年薪可达$200,000。(ISC)²研究也报告称，最大的就业增长将是安全工程师和架构师。

但同时，安全需求还很广，需要太多不同类型的技术集，没人能单枪匹马搞定所有这些角色需求。想要照顾到方方面面，你需要一支庞大的团队，包含进懂得网络和网络流量、硬件设备、软件程序及业务逻辑的各类人才。

信息安全是一个巨大而广泛的领域，包括了程序员、风险经理、能用商业语言与业务人士交流的公共关系专家、理解人类行为的人才，甚至具有经济学背景的人。如果有经济学学位或懂得金融，即便没有安全专业知识，也是被聘用为风险经理的——因为经济和金融干的就是理解风险嘛。

同样，心理学背景也会拥有理解为什么人们会去点击钓鱼链接及该怎样阻止这种行为的洞见。具心理学背景的人需要学习基本的网络或信息安全知识，但已经拥有的知识依然可以再教育自身。

2. 考虑长期发展

可预见的未来中最大的需要，就是软件和应用安全。我们面对的最大问题，与不安全代码和糟糕的软件开发过程相关。人们开发软件已经有50多年的历史了，但直到最近10年我们才开始注意到与软件安全相关的问题。

从应用安全起步，IT人士可以继续演进到其他很多领域，如架构安全或云安全——虽然其他选择，比如网络或硬件安全，可能会有点门槛。如果是刚毕业的新新人类，加入应用安全行列或者成为开发运维安全团队的一员是不错的选择。

3. 别低估了你的现有技能

如果你现在是系统、网络或数据库管理员，那你在通向特定信息安全子领域的路上已经走了75%的路程了，比如道德黑客、渗透测试和信息保障职位。有这些职业背景的人，能理解系统运行原理和人们访问系统的方式，所以，从设置用户到检查标准与框架合规之间并没有太大的障碍。有了这一基础，继续下去就很容易了。

事实上，拥有此类背景是极大的助力。要想在安全界崭露头角，有坚实的系统管理、网络工程或软件工程背景非常重要。尽管有很多方面都不是技术性的，理解系统运行基本原理，正是让人具备收获长远成就所需知识和能力的基础。

因此，CIO们应开始在已有员工中间培养安全能力，而不仅仅是找寻外部候选人来填充这些需求。简单地提升薪酬或福利是不够的，找到培养内部人才填补技能空缺的方法才是公司应该做的。

IT和安全职位之间存在共同点，描绘出一张技能地图，可帮助员工建立填补进这些职位空缺的计划。好消息是，有很多相关工作可供各种角色的员工借以迈向安全职位。助理安全工程师、安全审计员、IT安全项目经理之类名号所需的典型技能，与网络安全或入侵检测之类职位的基本要求是相一致的。

其间障碍，只是缺乏对特定职位所需具体技术的理解，以及怎样最快实现角色转换。虽然回学校再拿个学位是条康庄大道，方法却并不止只一个。

4. 追寻激情，而非金钱

需求和薪酬是安全领域的吸引力构成，但绝不是唯一的驱动力。积极的方面，安全职业可以充分融入社区，尤其是与软件开发世界相对比。安全从业者往往能组成组织严密的社区，很好地相互协作。

积极的方面，安全职业可以充分融入社区，尤其是与软件开发世界相对比。安全从业者往往能组成组织严密的社区，很好地相互协作。

某种程度上，如果你是那种渴望理解事务运行原理，或喜欢拆拆装装的人，那你就会知道自己是否适合安全行业。
接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段