网络安全工程师就业要求及核心技能学习大纲

前言

网络安全工程师，亦称信息安全工程师，是随着互联网发展和 IT 技术普及而兴起的关键职业。社会信息化和信息网络化突破了应用信息在时间和空间上的障碍，使信息的价值不断提高。然而，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件也时有发生。

该岗位主要负责信息安全管理体系和标准工作，防范黑客入侵并进行分析和防范。通过运用各种安全产品和技术，设置防火墙、防病毒、IDS（入侵检测系统）、PKI（公钥基础设施）、攻防技术等，进行安全制度与安全技术规划、日常维护管理、信息安全检查与审计、系统账号管理与系统日志检查等。

要想从事网络安全工程职业，首先要有过硬的技术。虽说平时我们所看到的网络安全工程师都是坐着办公的，但是要想长期从事此职业，就要有一定技术含量，需要持续学习新的攻击手段和防御策略。

操作系统基础

Unix/Linux OS

Linux 是网络安全工程师必须掌握的核心操作系统。绝大多数服务器和安全工具都运行在 Linux 环境下。

常用发行版：Kali Linux（渗透测试专用）、Ubuntu Server、CentOS/RHEL（企业级服务器）。
基础命令：文件操作（ls, cd, cp, mv, rm）、权限管理（chmod, chown）、进程管理（ps, top, kill）、网络配置（ifconfig, ip, netstat, ss）。
Shell 脚本：编写自动化脚本进行批量扫描、日志分析或任务调度。
系统安全加固：SSH 配置优化、防火墙规则（iptables/firewalld）、用户权限最小化原则。

示例：查看当前登录用户

whoami

Windows OS

Windows 在企业环境中依然占据重要地位，理解其机制对内网渗透和应急响应至关重要。

注册表管理：了解注册表结构，用于排查持久化后门。
组策略：理解域环境下的安全策略配置。
PowerShell：强大的脚本语言，常用于系统管理和攻击载荷执行。
日志分析：Event Viewer（事件查看器），关注 Security 日志中的登录失败、特权使用等事件。

网络基础

1. 网络分类

理解局域网（LAN）、广域网（WAN）、城域网（MAN）的区别，以及 VLAN、子网划分的基本概念。

2. 传输介质

了解双绞线、光纤、无线信号等传输介质的特性及其对应的安全风险（如嗅探、干扰）。

3. 网络模型

深入理解 OSI 七层模型和 TCP/IP 四层模型。每一层都有对应的协议和安全威胁，例如物理层的窃听、应用层的 SQL 注入。

4. 网络协议

TCP/UDP：三次握手、四次挥手过程，端口扫描原理。
HTTP/HTTPS：请求头、响应头、Cookie、Session 机制，SSL/TLS 加密原理。
DNS：域名解析过程，DNS 劫持与缓存投毒攻击。
ARP：地址解析协议，ARP 欺骗攻击原理。

Web 应用基础

Web 安全是渗透测试的主要领域，需掌握以下技术栈：

HTTP/HTTPS/SSL/80/443/8080：理解常见端口用途及 HTTPS 证书验证流程。
HTML：前端页面结构，DOM 树操作。
CSS：样式控制，部分 CSS 泄露可能导致信息暴露。
JavaScript：前端逻辑核心，XSS 攻击主要载体。
JSON 数据格式：前后端数据交互标准，注意 JSONP 跨站问题。
PHP 编程基础：许多老旧系统仍使用 PHP，需熟悉 eval, system 等危险函数。
MySQL 或 MSSQL：数据库基础，SQL 注入攻击的核心目标。

渗透测试

1. Web 应用程序安全与风险

遵循 OWASP Top 10 标准，识别常见的 Web 漏洞风险点。

2. Web 应用程序技术

掌握 CMS（内容管理系统）架构，如 WordPress, Joomla 等的插件漏洞分析。

3. 安全工具 - 信息收集

Nmap：端口扫描与服务版本探测。
Whois：域名信息查询。
Google Hacking：利用搜索引擎语法挖掘敏感信息。

4. 安全工具 - 漏洞扫描

AWVS / Nessus：自动化漏洞扫描工具的使用与结果研判。
Burp Suite：抓包、改包、重放攻击的核心工具。

5. SQL 注入攻击技术

报错注入：利用数据库错误信息回显数据。
布尔盲注：根据页面返回真假判断数据。
时间盲注：利用延时函数判断数据。

6. XSS 跨站脚本攻击

反射型 XSS：参数直接回显。
存储型 XSS：恶意脚本存入数据库。
DOM 型 XSS：客户端 DOM 操作导致的漏洞。

7. 上传验证绕过技术

后缀名过滤：尝试 .php5, .phtml, .htaccess 等。
MIME 类型伪造：修改 Content-Type。
大小写混淆：绕过正则匹配。

8. 文件包含漏洞

本地文件包含 (LFI)：读取服务器本地文件。
远程文件包含 (RFI)：引入远程恶意脚本执行。

9. CSRF 攻击技术

跨站请求伪造，诱导用户浏览器发送非自愿的请求。

10. 远程代码执行漏洞

最危险的漏洞之一，可直接获取服务器控制权。

11. XXE 原理利用防御

XML 外部实体注入，可能导致文件读取或内网探测。

12. 编辑器漏洞

如 ThinkPHP、FastAdmin 等框架的历史漏洞利用。

13. 暴力猜解

针对登录接口、密码找回接口的字典爆破。

14. 验证码安全

验证码绕过、拖拽验证码破解、图形识别。

15. 逻辑漏洞

支付金额篡改、越权访问、竞争条件（Race Condition）。

16. 业务安全问题

结合具体业务场景（如电商、社交）发现的安全隐患。

17. 生成渗透测试报告

规范输出漏洞描述、复现步骤、危害等级、修复建议。

代码审计

代码审计分为静态代码审计（SAST）和动态代码审计（DAST）。

白盒审计：直接阅读源代码，查找逻辑缺陷和编码不规范。
黑盒审计：不接触源码，通过输入输出推断漏洞。
常见语言：Java (Spring Boot), Python (Django/Flask), Go, PHP。
审计重点：输入验证、身份认证、会话管理、加密算法使用。

等级保护

1. 什么是等级保护

国家网络安全等级保护制度（MLPS 2.0），简称'等保'。

2. 等级保护发展历程

从等保 1.0 到等保 2.0，覆盖范围扩大至云计算、物联网、移动互联。

3. 为什么要做等级保护

合规性要求，提升整体安全防护水平，降低法律风险。

4. 网络安全法里的等级保护

《中华人民共和国网络安全法》明确规定了关键信息基础设施运营者的等保义务。

5. 等级保护相关标准

GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》。

6. 等级保护建设中的角色

甲方（定级备案）、乙方（测评机构）、第三方（安全厂商）。

7. 等级保护的工作流程

定级 -> 备案 -> 建设整改 -> 等级测评 -> 监督检查。

安全巡检

1. 销售部分

了解客户需求，提供初步的安全解决方案建议。

2. 售前部分

编写技术方案书，POC 测试演示，成本估算。

3. 实施部分

设备部署、策略配置、系统联调、文档交付。

应急响应

1. 什么是应急响应

对安全事故进行预防、检测、抑制、根除、恢复的过程。

2. 应急响应工作流程

准备 -> 检测与分析 -> 抑制 -> 根除 -> 恢复 -> 总结。

3. 应急响应实施流程

确认事件 -> 启动预案 -> 现场处置 -> 证据保全。

4. 应急响应排查方法

进程排查：netstat, ps。
网络连接：ss, lsof。
计划任务：crontab。
启动项：注册表、init.d。

5. Linux 系统实战

分析 /var/log/secure, /var/log/messages, .bash_history。

6. Windows 系统实战

分析 Event Log, Prefetch, Run 键值。

7. Web 实战项目

Webshell 查杀，Web 日志分析，篡改页面恢复。

结语

网络安全是一个需要终身学习的领域。技术更新迭代快，攻击手段层出不穷。从业者应保持好奇心，积极参与 CTF 比赛、SRC 众测平台，积累实战经验。同时，考取相关证书（如 CISP, CISSP, OSCP）有助于提升职业竞争力。希望本文的学习大纲能为你的职业发展提供清晰的指引。