零基础如何开始学习网络安全

此脚本演示了基础的端口扫描逻辑，实际生产中应使用更成熟的库如 nmap 或 scapy。

三、职业方向选择

当以上网络安全基础了解之后，可以根据兴趣选择喜欢的方向，每个人的经历有限需要选择一个方向并坚持下去，也可以选择一个方向之后不断补充其他知识提高融合贯通提高竞争力，常见的方向包括不限于：

• 网络防御和攻击检测：包括防火墙、入侵检测系统 IDS、入侵防御系统 IPS 等技术，用于防止和检测网络攻击和入侵，常对应的甲方的职位是基础安全工程师。
• 漏洞评估和渗透测试：寻找系统和应用程序中的漏洞，进行渗透测试，模拟黑客攻击，评估网络和系统安全性，常对应的甲方职位是应用安全工程师、安全工程师、信息安全工程师，常对应的乙方岗位安全服务工程师。
• 数字取证和应急响应：数字取证专家通过分析计算机和网络数据，帮助调查和解决网络犯罪事件。应急响应负责在遭受攻击时快速响应，减少损失并恢复受影响的系统，数字取证常对应的职位为取证专家、应急响应专家、蓝队。
• 加密与密码学：研究和开发加密算法和协议，保护敏感数据在传输和存储中的安全，常对应的职位是安全研究、逆向破解工程师。
• 安全开发与安全编程：开发和编写安全的应用程序和软件，防止常见的安全漏洞攻击，对应的职位为安全开发工程师。
• 网络安全管理与策略：制定组织的网络安全政策和规程，确保网络安全合规性，并进行风险评估和管理，常见职位安全合规工程师、等保测评工程师、风险评估专家。

还有最近的新方向物联网（IoT）安全（针对物联网设备的安全性进行研究和保护，防止物联网设备成为网络攻击的入口）、云安全（研究和实施保护云计算环境和服务的安全措施）、车联网安全（对智能汽车相关联网应用及基础设施的攻击与研究），一般职位都是安全研究员的不同方向。

最后建议还是专精一个方向，坚定 1 万个小时定律，最后成为某个领域的专家，我比较建议从渗透测试开始，从 Web 应用开始进行渗透学习，比较容易入门，等入门之后可以扩展到小程序、App 的渗透测试，有了成就感之后可以在深入其他方向，很多人都是入门难然后就放弃了。

四、求职建议

想要求职最直接的建议就是看各种招聘软件，看对应的要求然后一个一个的对过去，感觉满足 70% 要求，就可以试着提交简历。

简历要素

好的简历要素包括：

• 姓名
• 联系方式：手机/邮箱
• 个人博客链接/Github 链接：展示代码能力和技术思考
• 职业目标：简短描述你的职业目标，例如：'寻求网络安全职位，致力于保护企业网络和数据免受未授权访问和攻击。'
• 教育背景：学位，学校名称，毕业年份，专业
• 学校经历简述：相关社团、竞赛经历
• 相关认证：时间由近到远列出所获得的网络安全相关认证（如 CISP、CISSP、NISP、ISO27001 等）
• 技能：熟悉网络安全概念和攻击类型；精通网络防御技术，包括防火墙、IDS/IPS 等；掌握渗透测试和漏洞评估技术；熟练使用 Python 编程语言进行安全编程；理解加密技术和安全协议；具备数字取证和应急响应知识；熟悉云安全原理和实践；熟悉常见的安全工具，如 Nmap、Metasploit、Burp Suite 等。
• 项目经验：项目名称、项目描述、负责内容、技术应用。尽量量化成果，如'发现高危漏洞 X 个'。
• 工作经历：公司名称，工作时间，职位名称，负责内容。
• 其他技能：英语能力、文档写作能力等。
• 个人特点：强烈的学习热情和自主学习能力；出色的问题解决和分析能力；良好的团队合作和沟通能力。

简历语言要精炼，简历页数控制 2 页以内。还要注意的是简历的文件名称，建议 [姓名 - 职位 - 联系方式]，应届生在加上学校和专业，其他可以写学历、工作年限、工作意向地。

请根据你自己的教育、技能、项目经验和个人情况填写以上简历模板，突出与网络安全相关的内容，使你的简历更具吸引力。记得简历要简洁明了，突出重点，以便于招聘人员快速了解你的技能和经历。

简历的优势项

• 相关认证：考虑获得一些与网络安全相关的认证，如 CISP、CISSP、NISP、ISO27001 等。这些认证可以增加你的简历吸引力，并证明你在特定领域的专业知识。
• CTF 比赛和项目：参加网络安全竞赛（CTF 比赛）或自己进行安全项目练习，这有助于你锻炼技能、增加经验并建立实际项目经验，如果有名次建议把名次单独提炼出来，没有名次就写到项目经验中。
• 个人项目和 GitHub：在 GitHub 等平台上创建自己的个人项目，展示你的编程和安全技能。例如编写一个简单的漏洞扫描器或自动化运维脚本。
• 网络安全社区参与/安全会议：加入网络安全社区、论坛和线上群组，与其他网络安全专业人士交流，分享经验和学习最新行业动态。参加网络安全行业的招聘活动和安全会议，这是与行业从业者面对面交流和拓展人脉的好机会。如果在安全社区中有高赞的文章或有影响力的文章也可以写到简历上，其次如果在安全会议中有议题的演出也可以补充到简历上。

自我介绍

• 刚毕业：介绍姓名、学校、专业，参与学校项目及主要负责的内容，个人优势，取得证书奖励等。
• 有工作经验：介绍姓名，工作经历主要描述公司名及公司业务背景公司人数，从事的职位及岗位职责等，项目经验及亮点主要负责的项目部分，个人优势及背景亮点。

五、最小可行性方向

要知道时间是有限的，如果你很想验证自己适不适合网络安全或者不知道能不能从业网络安全的职位，以下是我基于自己的经验给你的一点推荐，可以基于自己的实际情况酌情参考。

还没毕业

• 建议 1：建议花 1 个月时间不管看 B 站搜索网安视频、各大论坛看网安基础知识，学会基础安全概念，然后找到你学校城市的网络安全公司，去投递实习岗位，在岗位上一般会有项目经理或者公司前辈，他们一般都是安全从业经历好几年了，有什么问题就赶紧找他们沟通，尽量跟他们处好关系，什么问题都问下，比如，未来的安全热门方向、然后渗透测试工具怎么用、抓包怎么抓、打点有没有什么姿势等，然后做项目，有什么项目也可以积极的去做增加简历的项目经验。实习可能 3 个月之后，你大概也能了解自己适不适合这个行业，或者以后想不想从事这个行业，如果不想尽早准备其他的方向。
• 建议 2：如果你的学校本身有一些安全的社团或者比随的团队，可以去参与 CTF 比赛、网络安全竞赛。
• 建议 3：以上两种都是有前辈有团队，还有一种就是可以真实的检验你的学习成果的方式就是，甲方的 SRC 或众测平台，上面会发布真实企业的渗透测试项目，你可以尝试下。注意遵守 SRC 的规则，严禁越界。
• 建议 4：如果你本身的专业跟开发有关，还想跟安全靠近，大可参与下安全工具的开源项目，如何找安全开源项目，首先可以自己尝试写安全工具开源到 Github 或者加一些安全群他们经常谈论什么安全项目可以尝试提供 PR。

基于以上建议，如果你的行动力比较强的话在你毕业之前或坚持一段时间后，一定能明确自己的方向，并积累相关的经验。

应届生已经毕业

这个时候比较可行的建议，只能说疯狂准备面试，疯狂进行校招，推荐可以关注下各大公司的招聘公众号，如 xx 招聘、xxhr 等关键字或搜索官网找校招的网址，还有一些国企的招聘也会在官网发布，还有一些聚合平台、招聘平台（国聘网、中智招聘、银行招聘等），然后你说你想尝试考公考编，提前关注下公考雷达聚合平台等，查看要求，还有考试的科目等。

相关行业转行

最常见的是从开发转行到安全，这个路径也是相对比较容易的，开发比较推荐的岗位有两个，一是安全研发，研发一些安全工具化、安全平台，二是安全研究的代码审计岗位，依托开发经验可以更加快速的入行。转行者需要补充网络协议、操作系统底层原理以及常见漏洞利用的知识。

六、总结

网络安全领域广阔且充满挑战，从基础的网络协议到复杂的漏洞挖掘，每一步都需要扎实的理论支撑和大量的实践积累。通过系统的学习路径规划、合理的工具环境搭建、持续的实战演练以及清晰的职业规划，初学者可以逐步建立起核心竞争力。记住，合法合规是底线，持续学习是常态，保持好奇心和技术敏感度将助你在这一领域走得更远。