编程语言AI算法
网络安全学习路线与职业发展指南
网络安全从业者的入门必备素质、职业发展路径及学习导航。内容涵盖正直善良的价值观、终身成长等方法论、持续有效的执行力。分析了网络安全行业分类(网络、Web、云、工控等)及各方向技能需求。列举了安全岗位分类(研发、工程、销售)及具体职责要求。提供了法律法规、政府机构、安全企业、媒体、工具、标准及书籍教材等资源列表。最后给出了从零开始的学习路线建议,强调实践与持续学习的重要性,旨在帮助读者建立系统的网络安全知识体系。
网络安全从业者的入门必备素质、职业发展路径及学习导航。内容涵盖正直善良的价值观、终身成长等方法论、持续有效的执行力。分析了网络安全行业分类(网络、Web、云、工控等)及各方向技能需求。列举了安全岗位分类(研发、工程、销售)及具体职责要求。提供了法律法规、政府机构、安全企业、媒体、工具、标准及书籍教材等资源列表。最后给出了从零开始的学习路线建议,强调实践与持续学习的重要性,旨在帮助读者建立系统的网络安全知识体系。
很多朋友在学习安全方面都会半路转行,因为不知如何去学。本文将详细讲解网络安全入门必备、职业指南及学习导航三大章节,涉及价值观、方法论、执行力、行业分类、职位解读、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等细分专题。
关于「黑客」,每个人都有自己的定义和理解。我认为,一名合格的黑客,抛开技术层面,首先应该具备以下这些能力或品质:
以上排序,权重应该是从上到下的。毕竟,一个人的价值观会影响他选择的方法论,而一个人的方法论则会决定他做事的结果。
学习并掌握了所谓的「黑客技术」之后,即便从事的不是保家卫国护网之类的网络安全职位,你仍有较大几率听闻或接触到这些关键词:拿站、脱裤、挂马、菠菜、资金盘、黑帽 SEO、杀猪盘、薅羊毛……
相信我,在互联网上,拒绝黑灰产要跟拒绝黄赌毒一样坚决,一旦你碰了,是很难回头的。人性在巨大的金额回报诱惑下,是很容易摇摆的。到底向左还是向右走,真的取决于你的价值观取向。
因此,秉持正直善良的价值观、遵法守纪、严守底线,是你进入黑客之旅务必要携带的护符,它能为你驱除杂念、为你的职业生涯保卫护航。
黑客或网络安全学科,起源计算机科学,但又不止于计算机,还涉及社会工程学、心理学、信息战等多个领域,学习曲线属于典型的「入门易精深难」。
进入这个圈子之前,相信聪明的你已经积累了很多关于「如何学习」「如何坚持」等各种方法,但当面对的是海量涌来的知识、敲不完的代码、无法穷尽的漏洞时,你真的能坚持下来吗?
大部分人走着走着就迷路了,本质是缺少方法论的支撑,各行各业的方法论很多,这里仅分享对我个人影响最为深刻的 3 个:
终身成长:即采用持续成长的心态,将学习与成长周期无限拉长到一生。很多人喜欢将'过了 xx 岁就学不动了'之类的挂在嘴边,在我看来要么是误区要么是借口。如果你接受这些传统观念,那只能说明你不适合做一名黑客。相反地,采用终身成长这套方法论,将「做一名黑客」的时间跨度无限拉长到一生,把它当成一生的事业而不是一个短暂的职位,那么,我们的学习耐心、学习深度、学习广度也将会无限放大。不要跟任何人比较,给自己多点时间和耐心,3 个月不行就 6 个月,6 个月不行就 1 年,1 年不行就 2 年……这个方法论的实践,可以让我们在成长路上戒骄戒躁并持续精进,不妄求短时间内'大跃进',也抛弃了'一口吃撑'的激进做法。
知识管理 (PKM):即 Personal Knowledge Management,是研究如何科学高效管理知识的一套方法论。考虑到黑客或网络安全领域的跨学科特性,需要掌握的知识量非常繁杂,超过了大部分人的承载能力。因此,如果你要做黑客,那么我推荐你采用 PKM 来构建自己的知识管理系统,持续优化输入输出路径,打造最优学习闭环。采用这个方法论,最终可以让我们得到这个结果:学习能力比别人强一点、成长速度比别人快一点。
第一性原理 (First Principle Thinking):简单来说就是透过事物现象看本质。很多人在刚学习黑客或网络安全技术时,经常会有这些问题:我在学校学的编程语言是 C/C++,Java / Python 这些能学会吗?我是做软件开发的,能从事网络安全方向吗?我是搞 Web 安全的,能转移动安全吗?……有这些问题的人,大体缺乏这套方法论的使用经验。例如,学编程,以第一性原理的视角来看,核心不是学语法,而更应重视算法、数据结构、代码逻辑这些,搞定这些底层,其实根本不存在语言切换的问题。同理,做软件开发就是用代码研制出产品(网站/业务系统/APP 等),而做网络安全就是给产品找 bug,两者相辅相成,即「不懂软件开发的程序员不是一个合格的黑客」。
价值观再正,方法论再好,若没有执行力,那便是纸上谈兵。例如,看书学习处于'三天打鱼两天晒网'的状态,这就是典型的执行力出了问题。
那么,如何做到持续有效执行(学习/工作/成长)?我认为有 3 个点:
简单来说,保持自我驱动的状态,多动手实践,以结果为依据,以此获得持续有效的执行力,这是学习或从事黑客(网络安全)工作的基石。
在 2017 年 6 月 1 号之前,即网络安全法出台之前,黑客在公众眼里甚至是个贬义词,在企业里面,安全工程师甚至是可有可无的'消耗型'岗位。
而随着《国家网络空间安全战略》《网络安全法》《等保 2.0》等一系列政策/法规/标准的持续落地,网络安全产业从小众产业逐步发展成为国家战略性新兴产业,与人工智能、大数据、云计算等领域并驾齐驱。
政企单位的网络安全建设也从以往的'可选项'逐步变为'必选项'甚至是'强制项',很多企业在进行 IT 部门及岗位划分时,以往往往只有研发和运维部门,安全人员直接归属到基础运维部;而现在,越来越多企业成立独立的安全部门,拉拢各方安全人才、组建 SRC(安全响应中心),为自己的产品、应用、数据保卫护航。
越来越多高校也陆续开设了网络空间安全 / 信息安全学科,为互联网、金融、电商、运营商、政企等各行各业输送人才。
短短几年间,黑客不仅成为了正规军,还直接跃升为国家战略型资源,成为企业'一将难求'的稀缺资源。
因此,要想体系化的了解黑客的职业发展道路,那我们就必须了解网络安全行业的方方面面,包括:网络安全行业分类、技能需求;网络安全职位分类、招聘需求;网络安全招聘企业、薪酬标准。
根据不同的安全规范、应用场景、技术实现等,安全可以有很多分类方法,在这里我们简单分为网络安全、Web 安全、云安全、移动安全(手机)、桌面安全(电脑)、主机安全(服务器)、工控安全、无线安全、数据安全等不同领域。
[网络安全] 是安全行业最经典最基本的领域,也是目前国内安全公司发家致富的领域,例如启明星辰、绿盟科技、天融信这几个企业('老三大')。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN 网关(IPsec/SSL)、抗 DDoS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术,我们可以设计并提供一个安全可靠的网络架构,为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。
大的安全项目主要集中在以政府/国企需求的政务网/税务网/社保网/电力网…以运营商(移动/电信/联通)需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络,承载着国民最核心的基础设施和敏感数据,一旦泄露或者遭到非法入侵,影响范围就不仅仅是一个企业/公司/组织的事情,例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。
当然,除了以上这些,还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT 服务提供商等具备国家认定的计算机系统集成资质、安全等保等行业资质的技术单位来提供。
技能需求:
补充说明:不要被电影和新闻等节奏带偏,战斗在这个领域的安全工程师非常非常多,不是天天攻击别人写攻击代码写病毒的才叫做安全工程师;这个安全领域研究的内容除了 defense(防御)和 security(安全),相关的 Hacking(攻击)技术包括协议安全(arp 中间人攻击、dhcp 泛洪欺骗、STP 欺骗、DNS 劫持攻击、HTTP/VPN 弱版本或中间人攻击…)、接入安全(MAC 泛洪与欺骗、802.1x、WiFi 暴力破解…)、硬件安全(利用 NSA 泄露工具包攻击知名防火墙、设备远程代码执行漏洞 getshell、网络设备弱口令破解…)、配置安全(不安全的协议被开启、不需要端口服务被开启…)…学习这个安全方向不需要太多计算机编程功底(不是走研发路线而是走安全服务工程师路线),更多需要掌握常见安全网络架构、对网络协议和故障能抓包分析,对网络和安全设备能熟悉配置。
Web 安全领域从狭义的角度来看,就是一门研究 [网站安全] 的技术,相比 [网络安全] 领域,普通用户能够更加直观感知。例如,网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据(例如新浪微博或淘宝网用户账号泄露,这个时候就会引发恐慌且相继修改密码等)。当然,大的安全项目里面,Web 安全仅仅是一个分支,是需要跟 [网络安全] 是相辅相成的,只不过 Web 安全关注上层应用和数据,网络安全关注底层网络安全。
随着 Web 技术的高速发展,从原来的 [Web 不就是几个静态网页吗?] 到了现在的 [Web 就是互联网],越来越多的服务与应用直接基于 Web 应用来展开,而不再仅仅是一个企业网站或论坛。如今,社交、电商、游戏、网银、邮箱、OA……等几乎所有能联网的应用,都可以直接基于 Web 技术来提供。
由于 Web 所承载的意义越来越大,围绕 Web 安全对应的攻击方法与防御技术也层出不穷,例如 WAF(网页防火墙)、Web 漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的 Web 安全产品也出现了。
技能需求:Web 安全的技能点同样多的数不过来,因为要搞 Web 方向的安全,意味初学者要对 Web 开发技术有所了解,例如能通过前后端技术做一个 Web 网站出来,好比要搞 [网络安全],首先要懂如何搭建一个网络出来。那么,Web 技术就涉及到以下内容:
如果按照上面的技能全部学完,不仅时间周期非常长,估计大部分人连学后面安全的兴趣都没有了。所以,这就说到 Web 安全这个行业另外一个常态了:大部分做 Web 安全的,并不是刚开始就对 Web 开发技术非常熟悉的,很多都是半路杀出来了,甚至连 Web 网站都没有架设过的,这种大有人在。因此有更加狭义的 Web 安全技术点:
因此,Web 开发技术和 Web 安全技术其实是相辅相成的,如果对 Web 开发比较熟悉,意味着研究 Web 安全时能够更加底层,而不止于安全工具和脚本层面。
补充说明:学习 Web 安全方向需要有一定的编程基础,如果对代码没兴趣,建议走 [网络安全] 方向;[网络安全] 和 [Web 安全] 在安全领域里面刚好是对立面存在,一硬一软、一防一攻、一上(上层)一下(底层)。
移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全,例如 iOS 和 Android 安全,我们经常提到的'越狱'其实就是移动安全的范畴。而近期爆发的危机全球的 Windows 电脑蠕虫病毒 - 'WannerCry 勒索病毒',或者更加久远的'熊猫烧香',便是桌面安全的范畴。
桌面安全和移动安全研究的技术面都是终端安全领域,说的简单一些,一个研究电脑,一个研究手机。随着我们工作和生活,从 PC 端迁移到了移动端,终端安全也从桌面安全迁移到移动安全。最熟悉不过的终端安全产品,便是 360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲 McAfee、诺顿等全家桶……
从商业的角度看,终端安全(移动安全加桌面安全)是一门 to C 的业务,更多面向最终个人和用户;而网络安全、Web 安全、云安全更多是一门 to B 的业务,面向政企单位。举例:360 这家公司就是典型的从 to C 安全业务延伸到 to B 安全业务的公司,例如 360 企业安全便是面向政企单位提供安全产品和服务,而我们熟悉的 360 安全卫士和杀毒则主要面向个人用户。
[云安全] 是基于云计算技术来开展的另外一个安全领域,云安全研究的话题包括:软件定义安全、超融合安全、虚拟化安全、机器学习 + 大数据 + 安全……目前,基于云计算所展开的安全产品已经非常多了,涵盖原有网络安全、Web 安全、移动安全等方向,包括云防火墙、云抗 DDoS、云漏扫、云桌面等,国内的腾讯云、阿里云已经有相对成熟的商用解决方案出现。
云安全在产品形态和商用交付上面,实现安全从硬件到软件再到云的变革,大大减低了传统中小型企业使用安全产品的门槛,以前一个安全项目动辄百万级别,而基于云安全,实现了真正的按需弹性购买,大大减低采购成本。另外,云时代的安全也给原有行业的规范和实施带来更多挑战和变革,例如,托管在云端的商用服务,云服务商和客户各自承担的安全建设责任和边界如何区分?云端安全项目如何做信息安全等保测评?
补充说明:
以震网病毒(stuxnet)攻击伊朗核电厂并使其瘫痪的全球事件,从安全领域活生生撕开一道口并告诉我们,工控病毒才是真正代替核武器战争的代表。相比其他安全方向,工控安全研究的攻防对象是工业基础设施,真正影响人类生活的方方面面,例如核电、电力、水力、城市交通等基础设施。随着万物互联/物联网的进程不断推进,工控安全会成为我们继互联网和移动互联网安全之后研究的重心。
以安全公司招聘的情况来分,安全岗位可以以研发系、工程系、销售系来区分,不同公司对于安全岗位叫法有所区分,这里以行业常见的叫法归类如下:
我们目前主要应聘的岗位是:安全工程师、安全运维、安全服务工程师、渗透测试工程师、Web 安全工程师,当然,也有部分学员在做安全研发和安全售前岗位。
例如在安全公司如绿盟科技、深信服、360、天融信等做安全工程师、安全服务、渗透测试等岗位,在甲方单位例如运营商(中国移动、中国电信)、金融类公司(平安科技、招商银行)等更多做安全运维、Web 应用审计、Web 渗透测试等岗位。
以下是平常在招聘中比较多的岗位,直接贴他们的招聘需求:
[安全工程师](产品与售后方向)
[安全服务工程师]
[安全运维工程师]
[Web 安全工程师/渗透测试]
走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux 操作系统、Web 服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的 2 到 3 个,都可以较好的胜任工作需求。
当然,从行业新人入职到真正通往大神,这里是'0 到 1'和'1 到 100'的区别了,到了工作场景中,能否根据工作需求,再横向和纵向拓展个人技术栈,这块修行就完全靠个人了,例如,这边毕业的学员,有从安全运维和售后转向安全渗透岗的,有从安全渗透岗转到安全研发的,有从安全公司跳到互联网公司的,有从互联网公司跳到安全初创企业的……
知道在什么框架下行事:
知道谁在管事:
知道安全圈的主要玩家都有谁:
网络安全推荐书单:
Web 安全/渗透测试推荐书单:
云计算安全推荐书单:
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供。
① 学习路线 对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频 同时每个成长路线对应的板块都有配套的视频提供。
① 工具 常用安全工具列表已在上文列出,建议熟练掌握 Kali Linux 环境下的核心工具。
② 视频 建议结合官方文档与开源社区教程进行学习。
③ 书籍 参考上文推荐的书籍清单,按阶段阅读。
① 面试资料 准备面试时,重点复习网络协议、常见漏洞原理及防御方案。
② 简历模板 制作简历时突出项目经验和技能栈匹配度。
网络安全是一个充满挑战但也极具价值的领域。通过建立正确的价值观、掌握科学的学习方法、并保持持续的执行力,你可以在这个行业中不断成长。记住,技术只是手段,安全才是目的。希望这份指南能为你的网络安全之路提供清晰的指引。
在实际学习中,建议多参与 CTF 比赛、SRC 漏洞众测平台以及开源社区的项目,积累实战经验。同时,关注行业动态,保持对新技术的敏感度,才能在快速变化的安全环境中立于不败之地。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
生成新的随机RSA私钥和公钥pem证书。 在线工具,RSA密钥对生成器在线工具,online
基于 Mermaid.js 实时预览流程图、时序图等图表,支持源码编辑与即时渲染。 在线工具,Mermaid 预览与可视化编辑在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online