随着互联网技术的快速发展和广泛应用,网络安全形势日益严峻,各种网络攻击和安全威胁不断涌现,给个人、企业乃至国家带来了巨大的风险。为了应对网络风险,网络安全越来越被重视,开始成为入行互联网的备选岗位。
网络安全方向众多,涉及到网络安全生命全周期,方向多达几十种。
网络安全生命全周期(图源网络安全人才产业报告)
本文根据《网络安全人才产业报告》,整理了部分常见网络安全岗位,不完全统计,可供你参考。
1
安全建设与实施
安全建设与实施分为安全开发和安全测试两部分。
1、安全开发
安全开发工程师:负责安全产品的开发、设计工作等。
网络安全产品工程师:负责网络安全产品程序代码的编写雨维护以及研究网络安全产品的部署方式、配置方式、性能优化方法及故障处理方法。
终端安全产品工程师:负责终端安全产品程序代码的编写与维护,研究终端全产品的部署方式、配置方式、性能优化方法及故障处理方法。
2、安全测试
安全测试工程师:负责制定测试方案、设计测试用例,对目标对象进行安全测试
代码审计工程师:负责对源代码进行检查和分析,查找源代码中存在的安全缺陷与隐患,评估可能造成的安全风险,并给出修复建议。
2
安全运行与维护
安全运行与维护分为安全实施、安全产品运维、数据安全管理三个方面。
1、安全实施:
安全实施工程师:负责安全实施方案规划与设计,工程实施、验收方案、培训方案、交付文档的制定和编写。
2、安全运维工程师:
安全运维工程师:负责全流程跟进产品功能的开发设计,并根据产品特点与发展情况,动态评估安全风险,提供解决方案,保障产品可持续运营;协助相关团队应对、处理涉平台的安全突发或应急事件。
3、数据安全管理
数据安全管理工程师:负责设计并优化数据模型,理解数据安全需求及控制措施、结合业务场景分析数据安全风险,并基于最佳实践和参考标准提供指导与建议。
3
安全应急与防御
安全应急与防御分为安全监测与分析、漏洞发现与分析、安全防御、应急响应。
1、安全监测与分析
网络安全检测工程师:负责规划网络安全检测方案,对安全设备日志和流量等安全数据进行检测,输出报告,分析检测数据,发现威胁,并报警响应;规划设计安全态势检测分析方案,进行安全态势检测和分析,给出网络安全态势的合理评价。
网络安全态势分析工程师:负责规划设计安全态势监测分析方案,进行安全态势监测,分析安全态势数据,给出网络安全态势的合理评价,建立业务风险监控体系,完善自动化情报预警系统,更快更及时的响应威胁。
2、漏洞发现与分析
漏洞挖掘工程师:负责通过工具和技术手段对信息、信息系统、信息基础设施和网络进行分析并完成未知漏洞的发掘工作.
漏洞分析评估工程师 :负责对信息、信息系统、信息基础设施和网络的漏洞和安全威胁进行评估,分析差距,评估风险水平,制定或推荐适当的加固措施。
渗透测试工程师:负责对目标信息、信息系统、信息基础设施和网络进行模拟渗透攻击,以检验和测试其安全性。
3、安全防御
攻击研判分析师:负责在日常运行和攻防演练中,对各类系统应用安全事件进行研判分析,快速准确地进行事件确认、定级、问题定位、溯源分析,提供可靠的遏制和恢复方案。
攻击取证与溯源分析工程师:负责针对安全事件开展安全取证工作,并依据安全事件的特征规划设计溯源分析技术方案,完成安全事件的数据收集、日志审计、数据归类和分析等操作,形成攻击取证与溯源分析报告。
样本分析与情报分析工程师:负责对攻击样本进行逆向分析,通过分析程序代码、进程反编译,发现恶意攻击程序与行为,并应用到威胁情报场景。
威胁情报分析工程师:负责针对具体安全需求,规划设计网络安全威胁情报获取与分析方案,对获取的情报数据归类分析,反馈实时、准确的网络威胁情报。
恶意样本分析工程师:负责应急主流病毒木马等恶意样本的研究与追踪,并对操作系统恶意样本事件进行应急处置、分析与溯源。
4、应急响应
应急响应工程师 :负责针对信息、信息系统、信息基础设施和网络进行分析,制定安全事件应急响应预案,对突发安全事件进行分析、处理,完成快速应急响应。
4
安全合规和管理
安全合规和管理分为合规咨询、风险管控、安全评估、等级保护和安全调查。
1、合规咨询
安全咨询师 :负责对接潜在客户,帮助客户了解并发现信息、信息系统、信息基础设施和网络运行和管理中存在的安全问题。
安全合规风控咨询师:负责安全法规、政策及标准发展趋势的研究,安全合规相关规范、标准、手册的编制和持续优化改进以及安全管理制度与规范的审核;对基础架构和业务平台安全风险进行调研、梳理、评估、合规审查和防护体系建设,安全制度的修订、宣导及培训。
安全产品售前咨询师:负责对接潜在客户,针对客户需求推荐、介绍相应的安全产品。
安全产品售前工程师:负责对接潜在客户,针对客户需求推荐、介绍安全产品的原理、特点、应用方式、实现效果,并帮助客户设计制定相应的解决方案。
2、风险管控
安全风险评估工程师:负责对目标对象安全风险评估,搭建风险评估体系,制定安全评估方案、工具、流程与评估方式,并根据评估结果提供相应的安全技术与管理措施建议。
安全风险管理工程师:负责对目标对象进行评估,衡量针对已知漏洞的纵
险管控深防御体系结构的有效性,制定风险管理方案,梳理风险、识别风险、风险赋值以及风险处置等工作。
安全管理师 :负责安全管理制度制定,安全策略管理、漏洞风险排查和处置等。
3、安全评估
安全合规评估工程师:负责掌握互联网行业监管动态,围绕内容安全、数据安全、个人隐私等领域法律法规、政策标准,协助制定和完善评估方案、组织前置测评,发现挖掘潜在风险;建立安全机制,跟踪评估未符合项,督促推动整改并开展复测验收工作。
4、等级保护
网络安全等级保护咨询师:负责依据国家网络安全等级保护标准,结合客户具体的业务场景和功能需求,帮助客户分析其所需要满足的等级保护规则及其可能存在的风险漏洞。
网络安全等级保护测评师 :负责依据国家网络安全等级保护标准,规划设计安全等级评测方案,进行测评,并给出整改方案。
5、安全调查
网络犯罪研究分析师:负责掌握互联网欺诈常见手法和趋势特点,开展平台反欺诈治理工作;对各类欺诈风险进行分析,能及时发现风险问题并制定、落实相应的解决方案。
网络犯罪调查分析师:负责对通过攻击、破坏或利用网络进行的网络犯罪行为开展调查。
安全取证工程师:负责进行现场和远程计算机取证、电子证据获取、电子搜寻,并确保调查符合法律规范和规章制度。
*以上内容整合自《网络安全人才产业报告》,侵删
虽然网络安全有这么多的方向,但一般招聘需求高的也就渗透测试工程师、代码审计工程师、安全运维工程师、代码审计工程师等等。
大家可以根据自己的兴趣爱好,结合职业规划选择适合自己的方向。
该如何自学
学习这方面的知识可以学从网站开发开始,比如说web前端的html、css、javascript这些,学习这些的话,可以去菜鸟教程进行一方面的学习,还有网站的后台。wbe安全中需要学习的工具,白帽子常见的工具:sqlmap、nmap、awvs、appscan、msf这些都需要去学习和研究,当然还有常见的web漏洞:sql注入、xss漏洞、上传漏洞、csrf、ssrf、文件包含、以及一些文件读取、逻辑漏洞(逻辑越权、逻辑支付等漏洞)。
根据以上网络安全技能表不难看出,网络安全需要接触的技术还远远很多,常见的技能需要学习:外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、漏洞挖掘能力、代码审计能力等。
【----帮助网安学习,以下所有学习资料免费领!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
03网络安全的知识多而杂,怎么科学合理安排?
一、基础阶段
★中华人民共和国网络安全法 (包含18个知识点)
★Linux操作系统 (包含16个知识点)
★计算机网络 (包含12个知识点)
★SHELL (包含14个知识点)
★HTML/CSS (包含44个知识点)
★JavaScript (包含41个知识点)
★PHP入门 (包含12个知识点)
★MySQL数据库 (包含30个知识点)
★Python (包含18个知识点)
————————————————
入门的第一步是系统化的学习计算机基础知识,也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后,就要进行实操了。
因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物,所以需要掌握的内容比较多。
二、渗透阶段
■SQL注入的渗透与防御(包含36个知识点)
■XSS相关渗透与防御(包含12个知识点)
■上传验证渗透与防御(包含16个知识点)
■|文件包含渗透与防御(包含12个知识点)
■CSRF渗透与防御(包含7个知识点)
■SSRF渗透与防御(包含6个知识点)
■XXE渗透与防御(包含5个知识点)
■远程代码执行渗透与防御(包含7个知识点)
■…(包含…个知识点)
————————————————
掌握常见漏洞的原理、使用、防御等知识。Web渗透阶段还是需要掌握一些必要的工具。
主要要掌握的工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等,以上工具的练习完全可以利用上面的开源靶场去练习,足够了;
三、安全管理(提升)
★渗透报告编写(包含21个知识点)
★等级保护2.0(包含50个知识点)
★应急响应(包含5个知识点)
★代码审计(包含8个知识点)
★风险评估(包含11个知识点)
★安全巡检(包含12个知识点)
★数据安全(包含25个知识点)
————————————————
主要包括渗透报告编写、网络安全等级保护的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。
这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。如果你只学习参加工程师方面的岗位,这一阶段可学可不学。
四、提升阶段(提升)
■密码学(包含34个知识点)
■JavaSE入门(包含92个知识点)
■C语言(包含140个知识点)
■C++语言(包含181个知识点)
■Windows逆向(包含46个知识点)
■CTF夺旗赛(包含36个知识点)
■Android逆向(包含40个知识点)
————————————————
主要包括密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。
主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。
【----帮助网安学习,以下所有学习资料免费领!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
结语
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果
2004
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
