很多单位花了几十上百万购买安全设备,组建安全团队,招各种各样的安全工程师,也做了很多管理工作,写了很多安全规范……似乎这样就'高枕无忧'了。
其实,传统的安全技术和管理手段,整体来讲是存在乏力的。去年买的设备,今年能不能跟得上?招的安全人才,用的是去年的知识体系,面对今年层出不穷的新漏洞,TA 有没有去学习?制定的安全规范,是否合理、是否执行到位?
网络安全攻防是一个持续对抗的动态过程,知识、技术和管理手段的更新迭代非常重要。
1. 为什么网络安全人才那么难招?
现在无论是领导、还是老板等决策层,大家都知道网络安全的重要性。国家《网络安全法》已出台,《网络安全等级保护 2.0》等合规要求也已落地。
网络安全对于大部分政企单位来说,已经从可选项变成了必选项。在以前,很多政企单位在进行 IT 部门及岗位划分时,只有研发和运维部门,安全人员直接归属到基础运维部;而现在,越来越多单位为了满足国家安全法律法规的要求,必须成立独立的网络安全部门,拉拢各方安全人才、组建 SRC(安全响应中心),为自己的产品、应用、数据保卫护航。
根据相关报告,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有 3 万余人,而网络安全岗位缺口已达 70 万,缺口高达 95%。
可以预估到,未来很长一段时间,网络安全行业都将高速增长。这个领域现在人才缺口非常大,未来会更大,这对网络安全行业的学习者和从业者都是一个好事。所以如果有志从事网络安全工作,现在就要打好技术基础,未来一定是核心技术至上。
然而当你开始在网上搜索关于网络安全的学习资料,常常会陷入自我怀疑:尝试自学后能使用工具进行简单的扫描和挖洞,但总感觉后期学习很难有突破,不知道是哪里出现问题……于是又不得不推倒重来。
了解网络安全,首先要搞清楚下面这些前提:
- 网络安全到底包含哪些技术?是否需要会编程?
- 网络安全行业有哪些职业方向?'我'该如何选择?
- 网络安全的职业发展和成长路线是什么?
这些问题,会贯穿你学习网络安全的始终,建议从入门学习开始就做好规划。
2. 你真的懂网络安全吗?
要了解网络安全行业,首先要理解网络安全技术的整体框架。
安全行业的岗位和需求层出不穷,可以站在甲乙双方来分类,可以站在攻防两端来分类、可以站在技术链来分类,也可以根据岗位具体业务来分类。
按照应用场景和技术栈,安全行业一般可以细分为以下方向:
- 网络安全(Network Security):关注网络基础设施、协议安全、流量分析等。
- Web 安全(Web Application Security):关注网站、API 接口、前端交互中的漏洞(如 SQL 注入、XSS)。
- 移动安全(Mobile Security):关注 Android/iOS 应用逆向、APP 漏洞挖掘。
- 云计算安全(Cloud Security):关注云环境配置、容器安全、虚拟化隔离。
- 数据安全(Data Security):关注数据加密、脱敏、防泄露(DLP)。
- 人工智能安全(AI Security):关注模型投毒、对抗样本防御等新兴领域。
网络安全还可以基于攻击和防御视角来分类,我们经常听到的'红队'、'渗透测试'等就是研究攻击技术,而'蓝队'、'安全运营'、'安全运维'则研究防御技术。
无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
3. 如何规划网络安全职业路径?
如果你是一个安全行业新人,推荐你先从网络安全或者Web 安全/渗透测试这两个方向先学起,原因如下:
- 发展相对成熟入门比较容易:这两个方向当前有比较成熟的学科知识体系,对新手比较友好,入门学习简单。
- 市场需求量高:这两个方向在企业招聘和项目工作中应用广泛,如各大企业经常招募的安全服务工程师、Web 安全工程师、渗透测试工程师、安全运维工程师等职位,主要技能栈就是网络安全和 Web 安全。
- 薪资待遇好:这两个方向的岗位薪资在安全行业也是非常可观的。
值得一提的是,学网络安全,是先网络后安全;学 Web 安全,也是先 Web 再有安全。安全不是独立存在的,而是建立在其他技术基础之上的上层应用技术。脱离了这个基础,就很容易变成纸上谈兵,变成'知其然,不知其所以然',在安全的职业道路上也很难走远。
