背景
随着互联网的普及,使用网络的人群日益庞大,网络安全的重要性愈发凸显。国家高度重视网络安全,作出一系列重大决策部署,提出了'没有网络安全就没有国家安全'的要求,推动互联网安全事业不断得到重视和发展。
进入九月中旬,我国迎来了'网络安全宣传周'。活动旨在向公民普及网络安全知识,提高广大网民的重视程度。活动主题通常围绕'网络安全为人民,网络安全靠人民',旨在进一步提升全社会网络安全意识和防护技能。
全面加强网络安全教育是非常必要的。加强网络安全教育,既可以提升网络安全意识、构筑起一道屏障,也能够保障国家的网络安全,为互联网营造和谐、健康的发展环境。网络空间看似'虚拟',实际却是与民众的工作、生活息息相关。网络空间不是法外之地,网络安全事关国家安全和国家发展,也直接关系到每一个网民的切身利益。
第一部分:网络安全怎么选,选什么,怎么学?
1.1 了解安全岗位
学习网络安全首先要选择自己的就业方向。网络安全行业包含众多安全岗位,具体的工作内容及所需掌握的技能各不相同。只有尽早确定具体从事的安全岗位,才能避免盲目学习。
市面上的安全岗位大致可分为三类:
- 研发系:包括安全研发、安全攻防研究、逆向分析、云计算安全研究、机器安全等。这类岗位侧重于底层技术实现和新型攻击防御机制的研究。
- 工程系:包括安全工程师、安全运维工程师、安全服务工程师、安全技术支持、Web 渗透测试工程师、Web 安全工程师、应用安全审计、移动安全工程师等。此类岗位是市场需求量最大的一类,涉及日常的安全维护、漏洞挖掘与修复。
- 销售系:包括安全销售工程师、安全售前工程师、技术解决方案工程师。侧重于将安全技术转化为商业价值。
总结:建议零基础小白可以从安全服务、安全运维、渗透测试、Web 安全等岗位入手。此类岗位入门门槛相对较低,且市面需求大。
1.2 如何找到适合自己的方向
在了解岗位后,建议通过以下方式调研:
- 逛招聘网站:如 Boss 直聘、猎聘、各大公司官网招聘版块、技术论坛招聘区等。
- 关注目标企业:包括互联网公司(阿里、腾讯、百度、字节跳动等)、安全公司(绿盟、360、启明星辰、奇安信、天融信、知道创宇等)。
- 收集信息做调研:
- 看需求:大厂或心仪公司在招哪些技术方向?
- 看发展:哪些方向需求量大或薪资高?这代表当前市场热度。
- 看自己:是否有兴趣或愿意为之长期投入?
- 看要求:具体技术能力有哪些要求?
- 定计划:整理好招聘要求后,明确需要掌握的内容及程度。
例如,若想去深信服上班,可搜集其渗透测试工程师的招聘信息,发现月薪 18K 起步,从而确立学习目标。
1.3 渗透测试工程师详解
什么是渗透测试工程师?
渗透测试工程师即常说的'白帽子黑客'。在有授权的情况下,通过各种手段对目标系统进行渗透,测试目标的安全防护能力和安全意识。
渗透测试流程
标准的渗透测试流程通常包含以下步骤:
- 信息收集:收集目标域名的 IP、端口、子域名、技术栈等信息。
- 漏洞扫描:利用自动化工具或手动方式探测潜在漏洞。
- 漏洞利用:验证漏洞是否存在并尝试获取权限。
- 内网转发:利用跳板机进行内网横向移动。
- 内网渗透:在内网环境中进一步获取更高权限。
- 痕迹清除:清理操作日志,确保不留痕迹(仅限授权测试)。
- 撰写报告:详细记录漏洞细节、风险等级及修复建议。
就业前景
根据相关数据,北京地区渗透测试工程师的平均工资中,10-30K 占比约 74.1%,30K 以上占比 21.3%。薪资相比同地区高出 28.4%,说明岗位需求非常大。
