2024年转行做网络安全工程师还来得及吗？内附详细解答

本文链接：https://blog.csdn.net/yz_weixiao/article/details/141361494

目前网络安全就业前景一片大好的形势下，很多朋友都在问，现在转行从事网络安全还来得及吗？今天就转行网络安全行业问题做一个系统解答。

首先在转行前要了解下未来的工作岗位以及该行业未来发展前景。

信息安全专业学生毕业后可在国家安全部门（公安部、网信办、部队）、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作。丰厚的薪资，较高上升空间，舒适工作环境，使得全国各大互联网企业深受信息安全专业毕业生的青睐。我们引用知名微信公众号——安全牛年初所发布的网络安全行业全景图。全景图共分为18个一级安全领域（2020年7月增加2个领域），71个二级细分领域（2020年7月增加7个领域），包含近300家安全企业和相关机构任由选择。

目前证监会将生物科技、云计算、人工智能、高端制造等四类独角兽IPO开“绿色通道”，即报即审，放宽盈利要求。随着监管层不断释放利好信号，国内更多细分领域的“领头羊”们迎来新机遇。

360集团创始人、董事长兼CEO周鸿祎表示，当前，世界已进入一个一切皆可编程、网络均要互联的时代，只要是人开发的软件就会有漏洞，网络和软件一旦被别有用心之人利用和劫持就会给人们带来灾难性的后果。

当前全球各个国家和地区都把网络安全提升到了国家战略层面。

美国国土安全部部长尼尔森在RSAC2018的主题演讲中多次强调，网络安全不仅仅是个人和企业关注的重点，更是国家赖以生存的必要条件。她说，在现代社会，数字安全已经与公共安全融合在一起，“网络安全现在是关乎所有人的问题”。

除了美国，欧洲国家也在“吹风”。去年年初，数千名欧洲网络安全专家齐聚法国参加国际网络安全论坛，希望通过技术创新和跨境合作来加强欧洲整体网络安全防卫，并努力使欧洲成为全球网络安全的引领者。

在欧美紧锣密鼓布局网络安全产业的时候，中国也早已意识到网络安全的重要性。去年4月20日，全国网信工作会议召开，网络安全再次成为大家关注的焦点。更值得关注的是，与2年前相比，会议名称少了“座谈”两字，升格为国家顶级会议。会议规格的变化透露出国家对网络安全和信息化前所未有的重视。

当各个国家都不约而同地高度重视网络安全产业时，网络安全的新风口已然形成。

其次充分做好转行前的准备。不管是心理层面的还是知识层面的，都要做好充分的准备。

马云说过，全世界70%以上成功人士所从事的行业和他大学所学的专业毫不相干。而马云大学所读专业是英语，对计算机一无所知。对于走进安全行业的人中，艺术家、音乐家、创意人和非对称思想者的比例不小。所以选择网络安全行业真的是取决于个人追求和对挖掘内在原理和价值的兴趣。引用公众号安全牛对于欲将转行网络安全的同学们给出的几点参考。

1.不用担心自己不具备特定安全经

今天的大量需求都集中在需要数年经验的职位上，比如高级安全软件工程师。此类职位年薪可达$200,000。(ISC)²研究也报告称，最大的就业增长将是安全工程师和架构师。

但同时，安全需求还很广，需要太多不同类型的技术集，没人能单枪匹马搞定所有这些角色需求。想要照顾到方方面面，你需要一支庞大的团队，包含进懂得网络和网络流量、硬件设备、软件程序及业务逻辑的各类人才。

信息安全是一个巨大而广泛的领域，包括了程序员、风险经理、能用商业语言与业务人士交流的公共关系专家、理解人类行为的人才，甚至具有经济学背景的人。如果有经济学学位或懂得金融，即便没有安全专业知识，也是被聘用为风险经理的——因为经济和金融干的就是理解风险嘛。

同样，心理学背景也会拥有理解为什么人们会去点击钓鱼链接及该怎样阻止这种行为的洞见。具心理学背景的人需要学习基本的网络或信息安全知识，但已经拥有的知识依然可以再教育自身。

2. 考虑长期发展

可预见的未来中最大的需要，就是软件和应用安全。我们面对的最大问题，与不安全代码和糟糕的软件开发过程相关。人们开发软件已经有50多年的历史了，但直到最近10年我们才开始注意到与软件安全相关的问题。

从应用安全起步，IT人士可以继续演进到其他很多领域，如架构安全或云安全——虽然其他选择，比如网络或硬件安全，可能会有点门槛。如果是刚毕业的新新人类，加入应用安全行列或者成为开发运维安全团队的一员是不错的选择。

3. 别低估了你的现有技能

如果你现在是系统、网络或数据库管理员，那你在通向特定信息安全子领域的路上已经走了75%的路程了，比如道德黑客、渗透测试和信息保障职位。有这些职业背景的人，能理解系统运行原理和人们访问系统的方式，所以，从设置用户到检查标准与框架合规之间并没有太大的障碍。有了这一基础，继续下去就很容易了。

事实上，拥有此类背景是极大的助力。要想在安全界崭露头角，有坚实的系统管理、网络工程或软件工程背景非常重要。尽管有很多方面都不是技术性的，理解系统运行基本原理，正是让人具备收获长远成就所需知识和能力的基础。

因此，CIO们应开始在已有员工中间培养安全能力，而不仅仅是找寻外部候选人来填充这些需求。简单地提升薪酬或福利是不够的，找到培养内部人才填补技能空缺的方法才是公司应该做的。

IT和安全职位之间存在共同点，描绘出一张技能地图，可帮助员工建立填补进这些职位空缺的计划。好消息是，有很多相关工作可供各种角色的员工借以迈向安全职位。助理安全工程师、安全审计员、IT安全项目经理之类名号所需的典型技能，与网络安全或入侵检测之类职位的基本要求是相一致的。

其间障碍，只是缺乏对特定职位所需具体技术的理解，以及怎样最快实现角色转换。虽然回学校再拿个学位是条康庄大道，方法却并不止只一个。

4. 追寻激情，而非金钱

需求和薪酬是安全领域的吸引力构成，但绝不是唯一的驱动力。积极的方面，安全职业可以充分融入社区，尤其是与软件开发世界相对比。安全从业者往往能组成组织严密的社区，很好地相互协作。

积极的方面，安全职业可以充分融入社区，尤其是与软件开发世界相对比。安全从业者往往能组成组织严密的社区，很好地相互协作。

某种程度上，如果你是那种渴望理解事务运行原理，或喜欢拆拆装装的人，那你就会知道自己是否适合安全行业。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。