信息安全专业目前向哪个方向发展比较好？

前言

关于开发、评估、加固、审计、密码学之类的，信息安全专业目前向哪个方向发展比较好？

这边推荐密码学方向

密码学方向工作岗位一般都在大厂实验室，例如天融信的天璇实验室、阿尔法实验室等。技术水平相当，学历高薪资起点就高，未来的升职空间也更广。

一、可从事岗位：

（1）逆向工程师

①精通Android手机平台，对Android底层接口有深入地了解，具有Android开发经验；

②精通Android App的反编译动态调试加密安全加固等技术；

③熟悉LinuxAndroid系统架构及安全机制；

④掌握各种逆向分析工具；

⑤熟悉Android的Hook技术，能处理android各个版本的hook兼容性问题

⑥掌握LinuxAndroid系统的本地提权原理和技术。

⑦精通网络报文的捕获与分析，熟练使用tcpdump、fiddler、wireshark等各种协议分析工具；

（2）漏洞/病毒分析工程师

①对windows安全、linux安全、网络安全、内网渗透有较为深入的理解，包括攻击原理和防御方法等；

②至少熟悉 Java、python、shell、powershell等的一种或多种程序语言；

③有数据安全分析能力，或大数据实时计算和分布式计算体系的实际编程开发经验者优先。

（3）安全研究员

①有代码审计相关经验，对PHP、JAVA有审计能力，熟悉主流框架；

②能独立分析公开漏洞，熟悉漏洞原理和利用方法；

③掌握常见的白盒审计思路，并有追踪最新漏洞并复现的能力。

二、如何学习二进制安全？

（1）计算机基础

基础是很重要的，可以通过计算机体系结构来学习，当然肯定不只是计算机体系结构，还有很多的知识。计算机科学系统基础知识的积累和沉淀，提升自己的计算机科学素养，理解计算机的工作原理。

OSI的七层协议：从上到下：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。

TCP/IP四层协议：从上到下：应用层，传输层、网络层、数据链路层。

五层协议：从上到下：应用层、传输层、网络层、数据链路层、物理层。

（2）语言学习（C语言、汇编语言、SQL数据库）。

汇编语言通常被应用在底层，硬件操作和高要求的程序优化的场合。驱动程序、嵌入式操作系统和实时运行程序都需要汇编语言。

C语言是一门面向过程的、抽象化的通用程序设计语言，广泛应用于底层开发。C语言描述问题比汇编语言迅速、工作量小、可读性好、易于调试、修改和移植，而代码质量与汇编语言相当。

这两种语言都适合底层开发，也就是我们通畅所说的安全研发。

SQL(结构化查询语言)主要用于管理存储在数据库中的数据。由于当前数据存储系统的爆炸式增长，SQL被广泛用于维护和检索数据。同样，黑客越来越多地编排语言来破坏或泄露存储的数据。例如，SQL注入攻击涉及利用SQL漏洞来窃取或修改数据库中保存的数据。因此，充分了解SQL语言对于网络安全至关重要。

（3）软件逆向与调试相关内容。

当你看到别人写的某个程序能够做出某种漂亮的动画效果，你通过反汇编、反编译和动态跟踪等方法，分析出其动画效果的实现过程，这种行为就是逆向工程；不仅仅是反编译，而且还要推倒出设计，并且文档化，还可以将这些产品优势运用到自家产品中。

（4）恶意代码分析、二进制漏洞利用等。

产品研发少不了更新换代，新一代产品就是摒弃上一代产品的缺点，而产品哪里有问题，新的产品要防范什么病毒，就需要对已知病毒进行破解分析，找到规避方案。

（5）操作系统

安全产品研发是在操作系统上开发新产品，那么操作系统的知识也需要接触掌握。
网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

阶段一：基础入门

该阶段学完即可年薪15w+

网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础

阶段二：技术进阶（到了这一步你才算入门）

该阶段学完年薪25w+

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

阶段三：高阶提升

该阶段学完即可年薪30w+

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

阶段四：蓝队课程

攻防兼备，年薪收入可以达到40w+

蓝队基础
蓝队进阶
该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

同学们可以扫描下方二维码获取哦！

学习教程

第一阶段：零基础入门系列教程

第二阶段：学习书籍

第三阶段：实战文档

尾言

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。！！！