回首过去的 2022 年,各种勒索软件、钓鱼软件层出不穷,甚至包括 ChatGPT 等在内的人工智能技术也给犯罪分子带来可乘之机,网络安全的发展有越来越大的空间。
同时,业内专家认为,在国家大力推进数字化转型的大背景下,2023 年,网络安全产业蓬勃发展的势头将继续保持,终将成为不可或缺的支撑力量。
当你开始在网上搜索关于网络安全的学习资料,常常会陷入自我怀疑:尝试自学后能使用工具进行简单的扫描和挖洞,但总感觉后期学习很难有突破,不知道是哪里出现问题…于是又不得不推倒重来。
了解网络安全,首先要搞清楚下面这些前提:
- 网络安全到底包含哪些技术?是否需要会编程?
- 网络安全行业有哪些职业方向?'我'该如何选择?
- 网络安全的职业发展和成长路线是什么?
这些问题,会贯穿你学习网络安全的始终,建议从入门学习开始就做好规划。
1、为什么网络安全人才缺口那么大?
国际国内网络环境的迅速变化催生了一系列安全政策,使得网络安全产业从小众产业逐步发展成为国家战略性新兴产业,与人工智能、大数据、云计算等领域并驾齐驱。
网络安全对于大部分政企单位来说,已经从 [可选项] 变成了 [必选项] 甚至是 [强制项]。安全团队再也不是大厂或者互联网公司专有,只要是'触网'的企业,都需要安全人才加入。
根据腾讯安全发布的《互联网安全报告》,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有 3 万余人,而网络安全岗位缺口已达 70 万,缺口高达 95%。
而且,我们到招聘网站上,搜索【网络安全】【Web 安全工程师】【渗透测试】等职位名称,可以看到安全岗位薪酬待遇好,随着工龄和薪酬增长,呈现「越老越吃香」的情况。
2、如何正确理解网络安全行业?
要了解网络安全行业,首先要理解网络安全技术的整体框架。
安全行业的岗位和需求层出不穷,可以站在甲乙双方来分类,可以站在攻防两端来分类、可以站在技术链来分类,也可以根据岗位具体业务来分类。
按照应用场景和技术栈,安全行业一般可以细分为以下方向:
- 网络安全(Network Security)
- Web 安全(Web Application Security)
- 移动安全(Mobile Security)
- 云计算安全(Cloud Security)
- 桌面安全(Desktop Security)
- 数据安全(Data Security)
- 无线安全(Wireless Security)
- 人工智能安全(AI Security)
- ……
网络安全还可以基于攻击和防御视角来分类,我们经常听到的'红队'、'渗透测试'等就是研究攻击技术,而'蓝队'、'安全运营'、'安全运维'则研究防御技术。
无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
3、如何规划网络安全职业路径?
如果你是一个安全行业新人,我推荐你先从网络安全或者 Web 安全/渗透测试这两个方向先学起,原因如下:
第一,发展相对成熟入门比较容易。这两个方向当前有比较成熟的学科知识体系,对新手比较友好,入门学习简单;
第二,市场需求量高。这两个方向在企业招聘和项目工作中应用广泛,如各大企业经常招募的安全服务工程师、Web 安全工程师、渗透测试工程师、安全运维工程师等职位,主要技能栈就是网络安全和 Web 安全。
第三,薪资待遇好。这两个方向的岗位薪资在安全行业也是非常可观的。
值得一提的是,学网络安全,是先网络后安全;学 Web 安全,也是先 Web 再有安全。安全不是独立存在的,而是建立在其他技术基础之上的上层应用技术。脱离了这个基础,就很容易变成纸上谈兵,变成'知其然,不知其所以然',在安全的职业道路上也很难走远。
综上,如果你是原本从事网工运维,那么可以选择网络安全方向入门;如果你原本从事程序开发,推荐选择 Web 安全/渗透测试方向入门。当然学到一定程度、或者有了一定工作经验,不同方向的技术耦合会越来越高,各个方向都需要会一点。
这两个方向在整个行业内的薪资也相当可观。
4、网络安全怎么入门?
对于从来没有接触过网络安全的同学,建立科学的学习成长路线图至关重要。以下是基于行业经验总结的建议:
- 夯实基础:先掌握计算机网络原理、操作系统基础以及至少一门脚本语言(如 Python 或 Shell),这是理解安全漏洞本质的前提。
- 理论学习:阅读经典书籍,了解常见漏洞原理(如 OWASP Top 10),熟悉主流安全工具和框架。
- 实战演练:在合法的靶场环境(如 HackTheBox、DVWA)中进行练习,积累漏洞挖掘和修复经验。
