我在安全行业的成长踪迹

0x00 前言

即将大学毕业离校，此刻我无比感慨！回顾往事，历历在目，展望未来，难免迷茫。故留此记，以望后顾！

0x01 实习前的折腾

时值大三上，我偶然地上了一个免费的公开课，为同校学长所创。其主CCNA。然其内容略杂，非我们熟知CCNA。为期一周，课时紧迫，朝九晚六夜十。恰逢假期，闲而无事，故尝试之。

我记得公开课的内容是思科交换机的一些常规操作。例如时间、接口、密码、镜像等操作，然后是RIP、OSPF、VLAN、TRUNK、DHCP、NAT等交换路由协议的学习和命令配置。折腾了很长一段时间，主要是在GNS3.0上进行模拟操作。最后在学习结束的时候，个人独立完成了小型局域网的两个项目。主要是用的是交换技术（Trunk  、VTP、STP 、L3 Swithing、Etherchannel、Port-Security）、路由技术（RIP、OSPF）和安全策略（远程访问和NAT）。

         后来，公开课结束了，对此饶有兴趣，后自学之。

接下在大三的第二学期前半段，我一直在学习CCIE笔记。一开始是花了整整两个星期把这些笔记梳理并且整理成思维导图打印出来，然后接下来的一个月都是在看这些笔记的内容，但是在看这些笔记的同时，感觉只有笔记，内容上还是很困惑，于是我决定到图书馆把关于CCNA、CCNP、CCIE的书都找出来，然后主要看了swtiching 、routing 、troubles shoot 三本书，我足足看了差不多两个月。就这样过去了三个月，直到最后我看了安全技术这篇，才逐渐定下来往安全方面挪进。当时虽然说是选择了信息安全这个方向，当是对于具体怎样学习，学什么东西这些具体的东西还是一无所知的。

接下来，我又开始寻找了和安全相关的书籍。我承认我在学习安全技术的最初阶段走了不少弯路。例如我看了一些年代久远的网络安全数据，费了很大劲去寻找相关的资源（文档、工具、论坛、视频），有些书还是2004年的出版，但是我那个时候是2015年。我当时也看了不少关于网络安全之类的概念书。我记得这时已经是2015年4月份了，距离我找关于安全类的实习还剩下3个月。4月份的我对于安全只是一种好像知道又好像不知道，完全没有实战能力，是非常勉强地看得了那些安全类的文章。

然后我在2015年5月份的时候，突然想起了学长在讲述安全技术的时候提起了一个操作系统-KALI-LINUX，然后我突然下意识地去图书馆把关于KALI-LINUX的书籍都找出来，找了一遍，其中有些书，我还记得名字，例如Web渗透测试 使用Kali、Kali渗透测试技术实战、Kali_linux高度安全环境下的高级渗透测试这些书籍。也正是这样，我了解到 “ 渗透” 这个单词。自从遇到了渗透，也因此对渗透测试这个实践性十分强的方向产生了兴趣。

在实习前的6月份，我基本都是在观看渗透相关的视频和文档。例如metasploit,sqlmap注入等等，看了很多视频，但是缺乏一个动手实践的过程。在这个过程，我也会动手做了不少小实验，模仿视频做了一些操作，但是依然是纸上谈兵。然后我开始从各种关于信息安全的网站，例如freebuf，secwiki, wooyun等，并且在逐渐熟悉KALI-LINUX上的各种工具。与此同时的还有在前程无忧，智联招聘，大街网，猎聘网等招聘网站投递简历。

后来，7月份的几场面试当中，可以说有成功的，也有失败的，但是最终进了星辰。同时也很感谢当时面试我的总监给我这么好的一次实习机会。我是在7月15号正式到星辰实习的。

0x02 实习的工作

总体上来说，在实习期间的工作有洞漏扫描、安全报表、漏洞验证、渗透测试、安全报告、安全咨询、基线检查、病毒分析。实习中的具体工作时间为漏洞扫描、安全报表主要为7,8,9月份；然后是漏洞验证、安全咨询是10,11,12月份；渗透测试、病毒分析是1,2,3月份！当然其他不少工作室互相交错的。至于具体的内容，难以一一细说并且涉密不便详说！故大概讲述了时间。

在4,5,6月份这三个月里面，关于安全，我做的事情比较广泛。例如代码审计、熟悉安全产品、等保加固、运维研究、日志分析、IPS/IDS等方面。此外，我还留意不少的安全信息，例如各种在线漏扫平台，在线病毒分析平台，多种各种安全产品、安全媒体资讯等。而与此同时，还写了一些博客等等。

0x03 展望与未来

最后的学生时光--7月份的初，我整理了自我步入安全圈来的一切事情。这包括安全文档、安全书籍、报告、会议、工具、系统等。然后开始新的工作规划！！

这里参考一个前辈的建议，并且做了适当的调整！给出了安全工程师的发展路线和薪资待遇！

一 薪资待遇--
1）实习毕业生；
一线：150—200元/天；3K—5K
二线：100—150元/天，2K—3K
三线：50—100元/天，  1K—2K
2）应届毕业生
一线: 月薪:6K-10K，年薪：8W—15W
二线: 月薪:4K—8K， 年薪：6W—10W
三线: 月薪:3K—5K， 年薪：5W—7W
3）安全工程师：1-3年
一线:月薪：10K-15K，年薪：12W-20W
二线:月薪：7K-12K，年薪：10W-15W
三线:月薪：5K-10K，年薪：8W-12W
4）高级安全工程师3-5年
一线:月薪：18K-25K，年薪：25W—40W
二线:月薪：12K-18K，年薪：18W—30W
三线:月薪：8K—12K，年薪：12W—18W
5）安全经理5—8年；
一线:月薪：25K—40K，年薪：40W-60W
二线:月薪：15K—25K，年薪：25W-40W
三线:月薪：12K—15K，年薪:  18W—25W
6）安全总监8年—10年
一线:月薪：40K—80K，年薪:60W—100W
二线:月薪：25K—40K，年薪:40W—60W
三线:月薪：15K—25K，年薪:25W—40W
7）首席安全官：10年以上
一线:月薪:60K—200K，年薪100万++
二线:月薪:40K—60K，年薪:70W—100W
底奖金--
一线：3-10个月工资；
二线：2-3个月工资；
三线：1-2个月工资；
二 安全职位--
1、安全实习生；
未毕业状态——大部分是大三、大四
2、应届毕业生；
安全人才有一年实习经验，基本为刚从校园踏上社会道路。
3、安全工程师；（初级）
初级工程师，工作经验为一至三年。
4、高级安全工程师；
高级工程师，工作经验三至五年，在大部分企业基本是小leader，可以带实习生、初级工程师。
5、安全经理；
该职位定位的工作经验严格意义上为5-8年工作经验，国内大部分互联网、传统乙方公司的核心leader，团队人员在3-10人不等，在某些企业有设置高级安全经理岗位，也在该职位的范畴内。
6、安全总监；
该职位定位的工作经验严格意义上为8-10年，国内大学、互联网企业、传统安全公司部门负责人角色，团队规模10到数十人不等。
7、首席安全官（CSO）；
该职位在国内只有少数互联网企业、部分乙方安全公司会设立，在大型互联网企业中基本为高级总监、副总职务。
三 安全薪资梯度--
A类阶梯：土豪互联网公司、土豪金融企业、外企；（北上广深）
B类阶梯：二线互联网企业、大型金融企业、外企、特别土豪乙方安全公司；
C类阶梯：三线互联网企业、国有企业、研究机构、乙方安全公司

欢迎大家分享更好的思路，热切期待^^_^^ !!！