前言
网络安全现在是朝阳行业,缺口是很大。不过网络安全行业就是需要技术很多的人达不到企业要求才导致人才缺口大
常听到很多人不知道学习网络安全能做什么,发展前景好吗?今天我就在这里给大家介绍一下。网络安全作为目前比较火的朝阳行业,人才缺口非常大
网络安全行业真实前景有那么好吗?
网络安全行业毫无疑问是很有前景的一个行业,中央在 2019 年提出的中国制造和 5G 建设目前还处于发展中,远的不说,5 年是需要的,5 年之后风口在哪我不知道,但我觉得网络安全行业依然是未来的重头戏。
先说结论,网络安全的前景必然是超级好的
作为一个**有丰富 Web 安全攻防、渗透领域老工程师,**之前也写了不少网络安全技术相关的文章,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信向我“取经”,可以看得出来很多人对前路多多少少都有些迷茫,高频的问题就是网络安全的前景好吗?对此,我来回答一下。
根据 Gartner 所做统计来看,信息安全支出占整个 IT 支出的比例越来越高,2018 年全球信息安全支出占 IT 支出的比例为 3.05%。与之相比,Gartner 数据显示,我国在 2019 年的 IT 支出约达到 2.9 万亿元规模,而信息安全市场规模为 500 亿元左右,中国信息安全支出占 IT 支出比例仅为 1.7%,相对于全球平均水平还有较大差距。假设中国信息安全支出比例达到全球平均水平 3%,所对应的网络安全市场规模将达近千亿量级。
过去的 2020 年是不同寻常的一年。
这一年,新基建成为中国经济热词、疫情黑天鹅事件突袭,好坏之间,企业数字化转型得以全面提速。
但从安全角度来看,这也意味着安全态势变得更加复杂,安全的范畴也变得更加广泛,漏洞存在于每个地方、攻击可以由世界任何一个地方发起,对于网络安全的准确预测成为保障安全的关键前提。
越来越多朋友寻找新的职业发展机会,开始将目光聚焦到了网络安全产业。
网络安全人才一将难求,缺口高达 95%
在以前,很多政企单位在进行 IT 部门及岗位划分时,只有研发和运维部门,安全人员直接归属到基础运维部;而现在,越来越多单位为了满足国家安全法律法规的要求,必须成立独立的网络安全部门,拉拢各方安全人才、组建 SRC(安全响应中心),为自己的产品、应用、数据保卫护航。
短短几年间,网络安全工程师不仅成为了正规军,还直接跃升为国家战略型资源,成为众多企业“一将难求”的稀缺资源。
根据腾讯安全发布的《互联网安全报告》,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有 3 万余人,而网络安全岗位缺口已达 70 万,缺口高达 95%。
安全岗位选择多,薪酬福利高,发展前景好
网络安全人才所从事的岗位多种多样,岗位设置上,政企机构与安全企业有很大区别:政企机构的需求主要集中在安全管理、安全运维、研发与测试、渗透测试与漏洞挖掘、应急响应、CSO 等岗位。安全企业则主要是研发与测试、安全服务、销售、售前、售后、安全管理、产品经理、安全分析、市场营销、CIO/CSO 等职位。
根据不同的安全技术方向、应用场景、技术实现等,网络安全可以有很多分类方法,在这里我们简单分为网络安全、Web 安全、云安全、移动安全(手机)、桌面安全(电脑)、主机安全(服务器)、工控安全、无线安全、数据安全 等不同领域。
我们到招聘网站上,搜索【网络安全】【Web 安全工程师】【渗透测试】等职位名称,可以看到安全岗位薪酬待遇好,随着工龄和薪酬增长,呈现「越老越吃香」的情况。
【一一帮助安全学习(网络安全面试题+学习路线+视频教程+工具)一一】
初级的现在有很多的运维人员转网络安全,初级也会慢慢的卷起来,但是岗位多不用怕,以后各大厂也都会要网络安全人员,后续法律也会改革,网络安全只会越来越好,毕竟是国家牵头的,网络安全问题导致很多大企业都泄露过信息,还有被勒索的,层出不穷。
这个行业优势就是工资高,缺点就需要一直学,卷得要死,不是跟别人卷,而是跟自己卷,一会后面细说这个行业目前从事最多几个岗位,分别是安全运维,安全服务,安全研究
运维先不说,岗位性质比较单一
安全服务岗
安全服务岗分为安全工程师,安全服务工程师,渗透测试工程师,等保测评等
其中安全工程师大多和设备打交道,类似于网络工程师,过去调试设备,根据需求调试好,然后撤退,这种岗位大多会招一些持有网络工程师证书的,如 HCIE,HCIP 等。
安全服务工程师,简称安服,就是提供安全服务,按照客户需求调试设备,让客户过等级保护,然后就是做一些简单的漏洞测试(渗透测试),以及做一些简单的加固等等,有些时候会给客户做一些安全培训。渗透测试工程师,类似黑客,做一些渗透测试,让客户知道自己有哪些问题。然后就是新业务上线前也会做一下渗透测试,检查一下有没有漏洞啥的。
等保测评的就和商家过消防一样,网络安全也有等级,没通过就是不合规的。
安全研究
安全研究分为漏洞研究,规则提取。
平时会对一些软件,建站系统等做一些漏洞挖掘,审计一下代码,看看有没有漏洞啥的
有时候行业内公布一个比较新的漏洞,就需要有人立马去复现它,研究漏洞的原理,然后提取这个漏洞规则,也称作特征,然后告诉客户或者研发,这个漏洞要如何防御,防火墙要怎么检测等。
剩下的工作就比较细了,比如二进制安全,逆向,木马的免杀等等
当然,可能还有些没补充到位的请见谅。
以上就是安全行业的一些岗位了。我目前就是做的安全研究,工资确实高领导说搞安全,你要比开发更懂开发。。。。。
然后我每天早上 2 小时解决完一天的事情,写好日报,然后就是打开 B 站,开始充电。。。。。
感觉安全没有尽头,太多东西要学了,什么都要学
我觉得吧,我们公司不景气的时候,第一个被砍的,大概就是我们部门吧,不敢说太多,怕被社工,被大佬们社工,无异于鞭尸。。。。。所以我不敢公布薪资,不过薪资确实很高,和开发差不多,技术相同的话,会比开发更高一些
感觉大家对网络安全行业还挺感兴趣的,那就介绍一下学习方向吧!
首先,只要从事网络安全行业,和漏洞打交道,是跑不掉的,那么这里就要涉及到一个问题。
你需要了解漏洞并且能复现它对吧?毕竟你要把它再复现一次才能确定它的危害性啊,那么,这个时候,就有两个点
1 是需要了解漏洞原理 2 是需要进行漏洞复现
好,先说 1,漏洞有个种各样的,有网页的,有软件的,像什么工控芯片漏洞啥的就别了吧,我自己都缕不清了,其中涉及的有 php 写的,有 java 写的,还有逻辑漏洞,有数据库的,以及网络传输的,加解密的等等。
好,这个时候来看看你要学啥,php,java,读代码,数据库,网络,加解密,这还没说什么稀奇古怪的堆栈溢出啥的,总之,要想人前显贵,必然,脑壳遭罪。说到这里,后面的也没必要说了,后边就是漏洞利用了。
因为学完这些就够了,基础牢固了,再看看 B 站上安全的视频,学完就自己去尝试着挖挖漏洞,或者你学完联系下我吧,帮我看看代码,我教你挖洞,咱们 py 一下,哈哈哈哈
二、学习路线
上面说完了三个大的技术方向后,下面来聊聊该怎么上路呢?下面说说我的看法。首先别想分方向,先打好基础!
第一步:计算机基础
这第一步,其实跟网络安全关系都不太大,而是进入 IT 领域的任何一个人都要掌握的基础能力。下面五大课程,是大学老师当年教给我们的,不管你是什么技术方向最好都好好学的技术,如今看来,仍然不过时:
计算机网络
计算机组成原理
操作系统
算法与数据结构
数据
这每一门课程其实都内有乾坤,基本都不能做到一次学习就能掌握,而是伴随每个人的职业生涯,不同的技术阶段都会有不一样的认识和感受。具体学起来建议参考敏捷开发,不断迭代:有一个粗略的认识**->有了进一步的认识->彻底掌握->温故而知新。**不用纠缠于把一门课程全部学完学懂才进入下一门课程。
第二步:编程能力
有了上面的一些基本功后,这个时候就需要动手,来写点代码,锤炼一下编程的功底。下面三项,是安全行业的从业者都最好能掌握的语言:
Shell 脚本:掌握常用的 Linux 命令,能编写简单的 Shell 脚本,处理一些简单的事务。
C 语言(C++可选):C 语言没有复杂的特性,是现代编程语言的祖师爷,适合编写底层软件,还能帮助你理解内存、算法、操作系统等计算机知识,建议学一下。
Python:C 语言帮助你理解底层,Python 则助你编写网络、爬虫、数据处理、图像处理等功能性的软件。是程序员,尤其是黑客们非常钟爱的编程语言,不得不学。
第三步:安全初体验
有了前面两步的打底,是时候接触一些网络安全的技术了,刚刚开始这个阶段,仍然不要把自己圈起来只学某一个方向的技术。这个阶段,我的建议是:但当涉猎,见往事耳。网络协议攻击、Web 服务攻击、浏览器安全、漏洞攻击、逆向破解、工具开发都去接触一下,知道这是做什么的,在这个过程中去发现自己的兴趣,让自己对网络安全各种领域的技术都有一个初步的认识。
第四步:分方向
在第三步中,慢慢发现自己的兴趣点,是喜欢做各种工具的开发,还是喜欢攻破网站,还是痴迷于主机电脑的攻击···这个时候就可以思考自己后面的方向,然后精力开始聚焦在这个方向上,通过上面思维导图中各自方向的技术去持续深耕,成为某一个领域的大拿。
三、学习方法
上面介绍了技术分类和学习路线,这里来谈一下学习方法
看书学习,这是最最基础的
实际动手,开发路线需要多写代码,阅读优秀开源代码,二进制路线多分析样本,编写 EXP 等等,渗透测试多拿网站练手(合法方式)等
打 CTF,多参与一些网络安全比赛,接近实战的环境下锻炼动手能力
混圈子,多混一些安全大牛出没的社群、社区、论坛,掌握行业信息,了解最新技术变化趋