信息安全专业目前向哪个方向发展比较好？

前言
关于开发、评估、加固、审计、密码学之类的，信息安全专业目前向哪个方向发展比较好？

这边推荐密码学方向

密码学方向工作岗位一般都在大厂实验室，例如天融信的天璇实验室、阿尔法实验室等。技术水平相当，学历高薪资起点就高，未来的升职空间也更广。

一、可从事岗位：

（1）逆向工程师

①精通Android手机平台，对Android底层接口有深入地了解，具有Android开发经验；

②精通Android App的反编译动态调试加密安全加固等技术；

③熟悉LinuxAndroid系统架构及安全机制；

④掌握各种逆向分析工具；

⑤熟悉Android的Hook技术，能处理android各个版本的hook兼容性问题

⑥掌握LinuxAndroid系统的本地提权原理和技术。

⑦精通网络报文的捕获与分析，熟练使用tcpdump、fiddler、wireshark等各种协议分析工具；

（2）漏洞/病毒分析工程师

①对windows安全、linux安全、网络安全、内网渗透有较为深入的理解，包括攻击原理和防御方法等；

②至少熟悉 Java、python、shell、powershell等的一种或多种程序语言；

③有数据安全分析能力，或大数据实时计算和分布式计算体系的实际编程开发经验者优先。

（3）安全研究员

①有代码审计相关经验，对PHP、JAVA有审计能力，熟悉主流框架；

②能独立分析公开漏洞，熟悉漏洞原理和利用方法；

③掌握常见的白盒审计思路，并有追踪最新漏洞并复现的能力。

二、如何学习二进制安全？

（1）计算机基础

基础是很重要的，可以通过计算机体系结构来学习，当然肯定不只是计算机体系结构，还有很多的知识。计算机科学系统基础知识的积累和沉淀，提升自己的计算机科学素养，理解计算机的工作原理。

OSI的七层协议：从上到下：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。

TCP/IP四层协议：从上到下：应用层，传输层、网络层、数据链路层。

五层协议：从上到下：应用层、传输层、网络层、数据链路层、物理层。

（2）语言学习（C语言、汇编语言、SQL数据库）。

汇编语言通常被应用在底层，硬件操作和高要求的程序优化的场合。驱动程序、嵌入式操作系统和实时运行程序都需要汇编语言。

C语言是一门面向过程的、抽象化的通用程序设计语言，广泛应用于底层开发。C语言描述问题比汇编语言迅速、工作量小、可读性好、易于调试、修改和移植，而代码质量与汇编语言相当。

这两种语言都适合底层开发，也就是我们通畅所说的安全研发。

SQL(结构化查询语言)主要用于管理存储在数据库中的数据。由于当前数据存储系统的爆炸式增长，SQL被广泛用于维护和检索数据。同样，黑客越来越多地编排语言来破坏或泄露存储的数据。例如，SQL注入攻击涉及利用SQL漏洞来窃取或修改数据库中保存的数据。因此，充分了解SQL语言对于网络安全至关重要。

（3）软件逆向与调试相关内容。

当你看到别人写的某个程序能够做出某种漂亮的动画效果，你通过反汇编、反编译和动态跟踪等方法，分析出其动画效果的实现过程，这种行为就是逆向工程；不仅仅是反编译，而且还要推倒出设计，并且文档化，还可以将这些产品优势运用到自家产品中。

（4）恶意代码分析、二进制漏洞利用等。

产品研发少不了更新换代，新一代产品就是摒弃上一代产品的缺点，而产品哪里有问题，新的产品要防范什么病毒，就需要对已知病毒进行破解分析，找到规避方案。

（5）操作系统

安全产品研发是在操作系统上开发新产品，那么操作系统的知识也需要接触掌握。
根据以上网络安全技能表不难看出，网络安全需要接触的技术还远远很多，常见的技能需要学习：外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、漏洞挖掘能力、代码审计能力等。

【----帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

03网络安全的知识多而杂，怎么科学合理安排？

一、基础阶段

★中华人民共和国网络安全法 （包含18个知识点）
★Linux操作系统 （包含16个知识点）
★计算机网络 （包含12个知识点）
★SHELL （包含14个知识点）
★HTML/CSS （包含44个知识点）
★JavaScript （包含41个知识点）
★PHP入门 （包含12个知识点）
★MySQL数据库 （包含30个知识点）
★Python （包含18个知识点）
————————————————

入门的第一步是系统化的学习计算机基础知识，也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后，就要进行实操了。

因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物，所以需要掌握的内容比较多。

二、渗透阶段

■SQL注入的渗透与防御（包含36个知识点）
■XSS相关渗透与防御（包含12个知识点）
■上传验证渗透与防御（包含16个知识点）
■|文件包含渗透与防御（包含12个知识点）
■CSRF渗透与防御（包含7个知识点）
■SSRF渗透与防御（包含6个知识点）
■XXE渗透与防御（包含5个知识点）
■远程代码执行渗透与防御（包含7个知识点）
■…（包含…个知识点）
————————————————

掌握常见漏洞的原理、使用、防御等知识。Web渗透阶段还是需要掌握一些必要的工具。

主要要掌握的工具和平台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等，以上工具的练习完全可以利用上面的开源靶场去练习，足够了；

三、安全管理（提升）

★渗透报告编写（包含21个知识点）
★等级保护2.0（包含50个知识点）
★应急响应（包含5个知识点）
★代码审计（包含8个知识点）
★风险评估（包含11个知识点）
★安全巡检（包含12个知识点）
★数据安全（包含25个知识点）
————————————————

主要包括渗透报告编写、网络安全等级保护的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。

这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。如果你只学习参加工程师方面的岗位，这一阶段可学可不学。

四、提升阶段（提升）

■密码学（包含34个知识点）
■JavaSE入门（包含92个知识点）
■C语言（包含140个知识点）
■C++语言（包含181个知识点）
■Windows逆向（包含46个知识点）
■CTF夺旗赛（包含36个知识点）
■Android逆向（包含40个知识点）
————————————————

主要包括密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。

主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。

【----帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

结语

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果