安全行业分类
-
网络安全:安全行业的经典领域,也是大部分安全厂商发家致富的领域。主要涉及企业网 / 政务网 / 校园网 / 数据中心网的安全设计和部署。包括防火墙、入侵检测/入侵防御、VPN、防病毒、网闸、抗DDOS等产品和部署。
举例:企业网安全涉及和部署;省XX局政务网信息安全等级保护改造项目;某厂商防火墙存在远程代码执行漏洞。 -
Web安全:也称为应用安全,围绕网站安全锁延伸出来的Web前后端安全、服务器安全、数据库安全等。
举例:某用户访问钓鱼网站导致网银账户被窃取;雅虎10亿用户数据被窃取。 -
无线安全:研究WiFi、3G/4G、蓝牙、RFID等安全。
举例:某用户连接钓鱼WiFi网络导致银行卡被盗刷。 -
移动安全:研究IOS、Android等操作系统及相关软件的安全。
举例:某用户安全某扣费APP导致话费不翼而飞。 -
桌面安全:研究Windows、Linux等桌面操作系统及相关软件的安全。
举例:WannaCry勒索病毒。 -
工控安全:研究工控设施如电力、交通、化工、制造业等行业的安全。
举例:震网病毒使伊朗核武器瘫痪;乌克兰遭受黑客攻击导致70万用户停电。 -
云安全:基于云计算形态开展的安全产品或服务,涉及软件定义安全、虚拟化安全、机器学习安全等领域,涵盖云WAF、云漏扫、云DDOS等产品。
举例:阿里云提供安骑士、腾讯云提供云镜/天御。
安全岗位一览
- 安全服务工程师
- 安全运维工程师
- 渗透测试工程师
- Web安全工程师
- 安全攻防工程师
- 等保测评工程师
- 代码审计工程师
- 威胁分析工程师
- 无线安全工程师
- 安全研发工程师
- 移动安全工程师
- 云计算安全工程师
……………………
岗位分类
- 研发系:安全研发、安全攻防研究、逆向分析、云计算研究、机器安全。
- 工程系:安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、Web渗透测试工程师、Web安全工程师、应用安全审计、移动安全工程师。
- 销售系:安全销售工程师、安全售前工程师、技术解决方案工程师。
对于初学者比较适合的岗位
-
安全工程师(安全产品售后):
职位描述:- 负责网络安全项目中的产品调试和交付;
- 负责网络安全项目中的技术方案编写;
- 负责客户的安全应急和售后驻场。
职位要求:
- 具备扎实的计算机与网络原理
- 熟悉各类网络与安全设备(路由、交换、防火墙、VPN、漏洞扫描等)
- 对网络数据包具备分析实践能力,熟练使用数据包分析工具(Wireshark)
- 熟悉常见的网络通信协议(TCP/IP、交换路由协议、VPN协议等)
- 熟悉防火墙原理,能后熟练配置防火墙策略
- 熟悉主流网络与安全厂商的产品(思科、华为、华三、飞塔、Juniper等)
- 较好文档编辑能力、语言表达和沟通能力
-
安全服务工程师(一般在乙方单位):
职位描述:- 负责安全服务项目中的实施部分,包括:漏洞扫描、渗透测试、安全基线检查、代码审计、应急响应等;
- 爆发高位漏洞后实行漏洞的分析应急
- 对公司安全产品的后端支持
职位要求:
- 掌握一门及以上编程语言(C、JAVA、Python等)
- 熟悉常见安全攻防技术
- 熟悉风险评估、应急响应、渗透测试、安全加固等安全服务
-
安全运维工程师(一般在甲方单位):
职位描述:- 服务器与网络基础设备的安全加固
- 安全事件排查与分析、配合定期编写安全分析报告、专注业内安全事件
- 跟踪最新漏洞信息,进行业务产品的安全检查
- 负责信息安全策略/流程的指定,安全培训、宣传和推广
- 负责Web漏洞和系统漏洞修复工作推进,分钟解决情况,问题收集
职位要求:
- 熟悉TCP/IP协议、路由交换、常用的应用层协议
- 熟悉Linux/Windows下系统和软件的安全配置与加固
- 熟悉常见的安全产品及原理、例如IDS/IPS、防火墙、漏洞扫描等
- 熟悉Web安全技术,包括OWASP TOP 10安全分析
- 掌握C/PHP/Python/Shell等一众或多种语言
- 较好的文档编辑能力、语言表达和沟通能力。
-
渗透测试工程师/Web安全工程师
职位描述:- 对公司各类系统进行安全加固
- 对公司网站、业务系统进行安全评估测试(黑盒、白盒测试)
- 对公司安全事件进行响应、清理后门、根据日志分析攻击途径
- 安全技术研究,包括安全防范技术,黑客技术等
- 跟踪最新漏洞信息,进行业务产品的安全检查
职位要求:
- 熟悉Web渗透测试方法和攻防技术,包括:SQL注入、XSS跨站、CSRF伪造请求、OWASP TOP10安全漏洞与防御
- 熟悉Linux、Windows不同平台的渗透测试、对网络安全、系统安全、应用安全有较深入的理解和自己的认识
- 熟悉国内外主流安全工具,包括:Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等
- 至少掌握一门编程语言(C、JS、Python、PHP、JAVA等)
- 对Web安全整体有深刻理解,有一定的代码审计和漏洞分析和挖掘能力
网络安全技能要求
- 掌握各类网络协议的原理与实践:TCP/IP、VLAN / Trunk / MSTP / VRRP / 802.1x、OSPF / BGP / MPLS、IPsec / SSL
- 掌握主流网络和安全工具的使用:GNS3、Cisco PT、eNSP、SecureCRT、Wireshark、Solarwinds
- 掌握主流网络与安全设备的命令调试与故障排查:思科、华为、华三、锐捷、Juniper、飞塔、绿盟、深信服、天融信;路由器/交换机、防火墙、IDS/IPS、AC/AD、VPN
- 掌握网络安全架构与设计:企业网 / 政务网 /教育网 / 数据中心网设计与部署
网络安全学习推荐书单
- 《CCNA学习指南》
- 《TCP/IP详解卷一》
- 《局域网交换机安全》
- 《Cisco防火墙》
- 《网络安全原理与实践》
- 《网络安全技术与解决方案》
- 《华为防火墙技术漫谈》
- 《Cisco网络黑客大曝光》
- 《Wireshark网络分析实战》
- 《Wireshark数据包分析实战》
- 《DDos攻击与防范深度剖析》
- 《Cisco VPN完全配置指南》
- 《Cisco 安全入侵检测系统》
- 《计算机网络实践教程-基于GNS3网络模拟器》
- 《互联网企业安全高级指南》
网络安全推荐工具
- GNS3:思科网络与安全模拟器,能模拟防火墙、入侵检测、VPN等技术
- Cisco Packet Tracert:思科官方出品的傻瓜式模拟器
- eNSP:华为官方出品的网络/安全模拟器、支持USG防火墙产品
- SecureCRT:与Xshell一样,都是常用的终端登录和命令操作软件
- Wireshark:最好用的抓包软件,全球开源网络安全工具Top1
- Nmap:最强悍的端口扫描器,可基于 扫描脚本引擎扫描漏洞
- Vmware:操作系统虚拟环境平台,制作虚拟机来做安全测试
- Visio:最好用的绘图软件,微软出品,支持各种网络拓扑图、流程图等
- Cain:Windows下最强大的局域网攻击与解密工具
- Ettercap:功能完备的跨平台的局域网渗透攻击工具
- Hping3:强大的TCP/IP数据包生成工具,可用于防火墙测试和安全审计
Web安全/渗透测试技能要求
- 安全理论:HTTP协议、OWASP TOP 10、PETS、ISO 27001等
- 后端安全:SQL注入、文件上传、WebShell、文件包含、命令执行
- 前端安全:XSS跨站脚本攻击、CSRF跨站请求伪造
- 渗透测试:Kali Linux、Metasploit、Nmap、Nessus、Meterpreter等
- 安全产品:Web漏洞扫描(Burp / WVS / Appscan)、WAF(Web应用防火墙)、IDS/IPS、主机防护等
- 一门及以上编程语言
- Windows / Linux等服务器操作及安全加固
- MySql / Oracle等数据库操作及安全加固
- Web框架及Web网站独立开发
Web安全/渗透测试推荐书单
- 《白帽子讲安全》
- 《Web安全深度剖析》
- 《Metaspolit渗透测试魔鬼训练营》
- 《Web前端安全揭秘》
- 《Web渗透测试使用Kali Linux》
- 《黑客攻防技术宝典Web实战篇》
- 《BurpSuite实战指南》
- 《SQL注入攻击与防御》
- 《XSS跨站脚本攻击剖析与防御》
- 《互联网企业安全高级指南》
Web安全/渗透测试推荐工具
- 渗透测试与靶机:Kali Linux、DVWA / Mutillidae / Webgoat
- 信息搜集:扫描引擎(Google / Shadan)、目标扫描(Nmap、OpenVAS)、域名/目录爆破(DirBuster、御剑)
- 漏洞扫描:BurpSuite、AWVS、Appscan
- XSS / CSRF:BeeF
- 文件上传/Shell管理:中国菜刀、Cknife、edjpgcom
- SQL注入:SQLmap、Pangolin、Havij
国外网络安全公司
- Fireeye:https://www.fireeye.com/
- Checkpoint:https://www.checkpoint.com/
- fortinet(飞塔):http://www.fortinet.com.cn/
- Palo Alto:https://www.paloaltonetworks.cn/
- 思科(安全):http://www.cisco.com/c/zh_zn/products/security/index.html
- Juniper(瞻博网络):http://www.juniper.net/cn/zh/
- 赛门铁克:https://www.symantec.com/zh/cn
国内网络安全公司
- 启明星辰:http://www.venustech.com.cn/
- 绿盟科技:http://www.nsfocus.com/
- 天融信:http://www.topsec.com.cn/
- 深信服:http://www.sangfor.com.cn/
- 360企业安全:http://b.360.cn/
- 安恒信息:http://www.dbappsecurity.com.cn/
- 知道创宇:https://www.yunaq.com/
- 蓝盾科技:http://www.bluedon.com/
- 山石网科:http://www.hillstonenet.com.cn/
- 科来:http://www.colasoft.com.cn/
- 华为安全:http://e.huawei.com/cn/products/enterprise-networking/security
国内漏洞/众测/安全响应平台
- SRC导航:
- 360补天:http://butian.360.cn
- Seebug:https://www.seebug.org/
- 漏洞盒子:https://www.vulbox.com/
- 云盾先知:https://xianzhi.aliyun.com/
- 腾讯众测:https://security.tencent.com/