网络安全入门与职业发展学习路线指南

越来越多高校也陆续开设了网络空间安全 / 信息安全学科，为互联网、金融、电商、运营商、政企等各行各业输送人才。

短短几年间，黑客不仅成为了正规军，还直接跃升为国家战略型资源，成为企业'一将难求'的稀缺资源。

因此，要想体系化的了解黑客的职业发展道路，那我们就必须了解网络安全行业的方方面面，包括：网络安全行业分类、技能需求；网络安全职位分类、招聘需求；网络安全招聘企业、薪酬标准。

2.1 网络安全行业分类、技能需求

根据不同的安全规范、应用场景、技术实现等，安全可以有很多分类方法，在这里我们简单分为网络安全、Web 安全、云安全、移动安全（手机）、桌面安全（电脑）、主机安全（服务器）、工控安全、无线安全、数据安全等不同领域。下面以个人所在行业和关注点，重点探讨 网络 / Web / 云这几个安全方向。

① 网络安全

[网络安全] 是安全行业最经典最基本的领域，也是目前国内安全公司发家致富的领域，例如启明星辰、绿盟科技、天融信这几个企业（'老三大'）。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN 网关（IPsec/SSL）、抗 DDoS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术，我们可以设计并提供一个安全可靠的网络架构，为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。

大的安全项目主要集中在以政府/国企需求的政务网/税务网/社保网/电力网…以运营商（移动/电信/联通）需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络，承载着国民最核心的基础设施和敏感数据，一旦泄露或者遭到非法入侵，影响范围就不仅仅是一个企业/公司/组织的事情，例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。

当然，除了以上这些，还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT 服务提供商等具备国家认定的计算机系统集成资质、安全等保等行业资质的技术单位来提供。

[技能需求]

• 网络协议：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…
• 主流网络与安全设备部署：思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD…
• 网络安全架构与设计：企业网/电信网/政务网/教育网/数据中心网设计与部署…
• 信息安全等保标准、金土/金税工程… ……

[补充说明] 不要被电影和新闻等节奏带偏，战斗在这个领域的安全工程师非常非常多，不是天天攻击别人写攻击代码写病毒的才叫做安全工程师；这个安全领域研究的内容除了 defense（防御）和 security（安全），相关的 Hacking（攻击）技术包括协议安全（arp 中间人攻击、dhcp 泛洪欺骗、STP 欺骗、DNS 劫持攻击、HTTP/VPN 弱版本或中间人攻击…）、接入安全（MAC 泛洪与欺骗、802.1x、WiFi 暴力破解…）、硬件安全（利用 NSA 泄露工具包攻击知名防火墙、设备远程代码执行漏洞 getshell、网络设备弱口令破解…）、配置安全（不安全的协议被开启、不需要端口服务被开启…）…学习这个安全方向不需要太多计算机编程功底（不是走研发路线而是走安全服务工程师路线），更多需要掌握常见安全网络架构、对网络协议和故障能抓包分析，对网络和安全设备能熟悉配置。

② Web 安全

Web 安全领域从狭义的角度来看，就是一门研究 [网站安全] 的技术，相比 [网络安全] 领域，普通用户能够更加直观感知。例如，网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据（例如新浪微博或淘宝网用户账号泄露，这个时候就会引发恐慌且相继修改密码等）。当然，大的安全项目里面，Web 安全仅仅是一个分支，是需要跟 [网络安全] 是相辅相成的，只不过 Web 安全关注上层应用和数据，网络安全关注底层网络安全。

随着 Web 技术的高速发展，从原来的 [Web 不就是几个静态网页吗？] 到了现在的 [Web 就是互联网]，越来越多的服务与应用直接基于 Web 应用来展开，而不再仅仅是一个企业网站或论坛。如今，社交、电商、游戏、网银、邮箱、OA……等几乎所有能联网的应用，都可以直接基于 Web 技术来提供。

由于 Web 所承载的意义越来越大，围绕 Web 安全对应的攻击方法与防御技术也层出不穷，例如 WAF（网页防火墙）、Web 漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的 Web 安全产品也出现了。

[技能需求] Web 安全的技能点同样多的数不过来，因为要搞 Web 方向的安全，意味初学者要对 Web 开发技术有所了解，例如能通过前后端技术做一个 Web 网站出来，好比要搞 [网络安全]，首先要懂如何搭建一个网络出来。那么，Web 技术就涉及到以下内容：

• 通信协议：TCP、HTTP、HTTPs
• 操作系统：Linux、Windows
• 服务架设：Apache、Nginx、LAMP、LNMP、MVC 架构
• 数据库：MySQL、SQL Server、Oracle
• 编程语言：前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）

如果按照上面的技能全部学完，不仅时间周期非常长，估计大部分人连学后面安全的兴趣都没有了。所以，这就说到 Web 安全这个行业另外一个常态了：大部分做 Web 安全的，并不是刚开始就对 Web 开发技术非常熟悉的，很多都是半路杀出来了，甚至连 Web 网站都没有架设过的，这种大有人在。因此有更加狭义的 Web 安全技术点：

• 安全理论：OWASP TOP 10、PETS、ISO 27001…
• 后端安全：SQL 注入、文件上传、Webshell（木马）、文件包含、命令执行…
• 前端安全：XSS 跨站脚本攻击、CSRF 跨站请求伪造…
• 安全产品：Web 漏洞扫描（Burp/WVS/Appscan）、WAF（Web 应用防火墙）、IDS/IPS（Web 入侵防御）、Web 主机防护

因此，Web 开发技术和 Web 安全技术其实是相辅相成的，如果对 Web 开发比较熟悉，意味着研究 Web 安全时能够更加底层，而不止于安全工具和脚本层面。

[补充说明] 学习 Web 安全方向需要有一定的编程基础，如果对代码没兴趣，建议走 [网络安全] 方向；[网络安全] 和 [Web 安全] 在安全领域里面刚好是对立面存在，一硬一软、一防一攻、一上（上层）一下（底层）。

③ 终端安全（移动安全/桌面安全）

移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全，例如 iOS 和 Android 安全，我们经常提到的'越狱'其实就是移动安全的范畴。而近期爆发的危机全球的 Windows 电脑蠕虫病毒 - 'WannerCry 勒索病毒'，或者更加久远的'熊猫烧香'，便是桌面安全的范畴。

桌面安全和移动安全研究的技术面都是终端安全领域，说的简单一些，一个研究电脑，一个研究手机。随着我们工作和生活，从 PC 端迁移到了移动端，终端安全也从桌面安全迁移到移动安全。最熟悉不过的终端安全产品，便是 360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲 McAfee、诺顿等全家桶……

从商业的角度看，终端安全（移动安全加桌面安全）是一门 to C 的业务，更多面向最终个人和用户；而网络安全、Web 安全、云安全更多是一门 to B 的业务，面向政企单位。举例：360 这家公司就是典型的从 to C 安全业务延伸到 to B 安全业务的公司，例如 360 企业安全便是面向政企单位提供安全产品和服务，而我们熟悉的 360 安全卫士和杀毒则主要面向个人用户。

④ 云安全

[云安全] 是基于云计算技术来开展的另外一个安全领域，云安全研究的话题包括：软件定义安全、超融合安全、虚拟化安全、机器学习 + 大数据 + 安全……目前，基于云计算所展开的安全产品已经非常多了，涵盖原有网络安全、Web 安全、移动安全等方向，包括云防火墙、云抗 DDoS、云漏扫、云桌面等，国内的腾讯云、阿里云已经有相对成熟的商用解决方案出现。

云安全在产品形态和商用交付上面，实现安全从硬件到软件再到云的变革，大大减低了传统中小型企业使用安全产品的门槛，以前一个安全项目动辄百万级别，而基于云安全，实现了真正的按需弹性购买，大大减低采购成本。另外，云时代的安全也给原有行业的规范和实施带来更多挑战和变革，例如，托管在云端的商用服务，云服务商和客户各自承担的安全建设责任和边界如何区分？云端安全项目如何做信息安全等保测评？

[补充说明] 安全趋势：从硬件到软件再到云安全、从被动防御到主动防御、从单点到全局。安全的未来：'机器学习 + 大数据 + 云安全'或'AI + 安全'，会不会成为行业终点？（举例：越来越多的服务直接基于云展开，以云服务商为代表的阿里云/腾讯云对其他安全企业的跨界打击）。求职情况：目前国内的云服务厂商在不断挖角传统网络安全厂商的人才（无论是研发还是工程实施），而且已经到了批量挖角的局面。

⑤ 工控安全

以震网病毒（stuxnet）攻击伊朗核电厂并使其瘫痪的全球事件，从安全领域活生生撕开一道口并告诉我们，工控病毒才是真正代替核武器战争的代表。相比其他安全方向，工控安全研究的攻防对象是工业基础设施，真正影响人类生活的方方面面，例如核电、电力、水力、城市交通等基础设施。随着万物互联/物联网的进程不断推进，工控安全会成为我们继互联网和移动互联网安全之后研究的重心。

2.2 网络安全职位分类、招聘需求

① 安全岗位

以安全公司招聘的情况来分，安全岗位可以以研发系、工程系、销售系来区分，不同公司对于安全岗位叫法有所区分，这里以行业常见的叫法归类如下：

• 研发系：安全研发、安全攻防研究、逆向分析
• 工程系：安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、渗透测试工程师、Web 安全工程师、应用安全审计、移动安全工程师
• 销售系：安全销售工程师、安全售前工程师、技术解决方案工程师

② 适合我们的岗位有哪些？

我们目前主要应聘的岗位是：安全工程师、安全运维、安全服务工程师、渗透测试工程师、Web 安全工程师，当然，也有部分学员在做安全研发和安全售前岗位。 例如在安全公司如绿盟科技、深信服、360、天融信等做安全工程师、安全服务、渗透测试等岗位，在甲方单位例如运营商（中国移动、中国电信）、金融类公司（平安科技、招商银行）等更多做安全运维、Web 应用审计、Web 渗透测试等岗位。

③ 常见的安全岗位职责

以下是平常在招聘中比较多的岗位，直接贴他们的招聘需求：

[安全工程师]（产品与售后方向）

• 职位描述：负责网络安全项目中的产品调试和交付；负责网络安全项目中的技术方案编写；负责客户的安全应急和售后驻场。
• 职位要求：具备扎实的计算机与网络原理，熟悉各类网络与安全设备（路由、交换、防火墙、VPN、漏洞扫描）；对网络数据包具备分析实践能力，熟练使用数据包分析工具；熟悉常见网络通信协议（TCP/IP、交换路由协议、VPN 协议等）；熟悉防火墙原理，能够熟练配置防火墙策略；熟悉主流网络与安全厂商产品（思科/华为/华三/Juniper…）；较好的文档撰写能力、语言表达和与沟通能力。

[安全服务工程师]

• 职位描述：负责安全服务项目中的实施部分，包括：漏洞扫描、渗透测试、安全基线检查、代码审计、应急响应等；爆发高危漏洞后时行漏洞的分析应急；对公司安全产品的后端支持；掌握专业文档编写技巧；关注行业态势和热点。
• 职位要求：掌握一门及以上编程语言；熟悉常见安全攻防技术；有较强学习能力，能快速学习新的技术；熟悉风险评估、应急响应、渗透测试、安全加固等安全服务；具有良好的语言表达能力、文档组织能力。

[安全运维工程师]

• 职位描述：服务器与网络基础设备的安全加固；安全事件排查与分析，配合定期编写安全分析报告，专注业内安全事件；跟踪最新漏洞信息，进行业务产品的安全检查；负责信息安全策略/流程的制定，安全培训/宣传及推广；负责 Web 漏洞和系统漏洞修复工作推进，跟踪解决情况，问题收集。
• 职位要求：熟悉主流的 Web 安全技术，包括 SQL 注入、XSS、CSRF 等 OWASP TOP 10 安全风险；熟悉 TCP/IP 协议，路由交换、常用的应用层协议；熟悉 Linux/Windows 下系统和软件的安全配置与加固；熟悉常见的安全产品及原理，例如 IDS、IPS、防火墙等；熟练掌握 C/PHP/Python/Shell 等一或多种语言；较好的文档撰写能力、语言表达和与沟通能力。

[Web 安全工程师/渗透测试]

• 职位描述：对公司各类系统进行安全加固；对公司网站、业务系统进行安全评估测试（黑盒、白盒测试）；对公司安全事件进行响应，清理后门，根据日志分析攻击途径；安全技术研究，包括安全防范技术，黑客技术等；跟踪最新漏洞信息，进行业务产品的安全检查。
• 职位要求：熟悉 Web 渗透测试方法和攻防技术，包括 SQL 注入、XSS 跨站、CSRF 伪造请求、命令执行等安全漏洞与防御；熟悉 Linux、Windows 不同平台的渗透测试，对网络安全、系统安全、应用安全有深入的理解和自己的认识；熟悉国内外主流安全工具，包括 Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan 等；至少掌握一门编程语言 C/JS/Python/PHP/Java/JS 等；对 Web 安全整体有深刻理解，有一定的代码审计和漏洞分析和挖掘能力；具有较强的团队意识、高度的责任感，有良好的文档和沟通能力。

④ 安全岗位总结

走安全行业的工程方向的，技术上面其实有很大的重叠性，抛开甲乙方、岗位名称、岗位职责等因素来看，作为学技术的，也根据以往我们给学员推荐就业和入职情况来看，只要好好掌握以下几种技术（网络协议与安全设备、Linux 操作系统、Web 服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言）中的 2 到 3 个，都可以较好的胜任工作需求。 当然，从行业新人入职到真正通往大神，这里是'0 到 1'和'1 到 100'的区别了，到了工作场景中，能否根据工作需求，再横向和纵向拓展个人技术栈，这块修行就完全靠个人了，例如，这边毕业的学员，有从安全运维和售后转向安全渗透岗的，有从安全渗透岗转到安全研发的，有从安全公司跳到互联网公司的，有从互联网公司跳到安全初创企业的……

2.3 网络安全招聘企业、薪酬标准

安全工程师的招聘已成为企业工作的必选项，所以这里没法一一列举所有在招聘的企业，这里以部分毕业学员入职过的公司为例：

• 网络安全公司：华为、奇虎 360、奇安信、绿盟科技、深信服、天融信、启明星辰、斗象科技（Freebuf）……
• 互联网公司：腾讯、阿里、百度、网易、YY、虎牙、4399、唯品会……
• 运营商/国企：中国移动、中国电信、中国联通、…….
• 系统集成商：神州数码、华讯网络、亚信科技、中通服科技…….

薪酬这块，根据岗位的入职薪酬来看，一般都是遵循：【安全研发 > 安全服务/渗透测试/Web 渗透 > 安全售后/安全技术支持】。当然，不同类型的公司，发展过程中给出的薪酬也会有所差异，广深地区这边，根据学员入职安全岗位的整体情况来看，【互联网公司 > 网络/安全公司 ≈ 运营商/国企 > 系统/安全集成商】，入职薪酬也有不同档次（年薪）：8 到 12w、12 到 15w、15 到 20w、20 到 30w。 从这几年的安全薪酬趋势来看，应届刚入职的这个行业的起薪是越来越高了，想起 2013 年广州这边的学员刚入职某知名安全公司，那个时候才月薪 5k …… 除了入职薪酬，如果要看发展势头和未来增长性的话，建议还是直接到类似招聘网站，或者到企业的官网招聘页面，搜索以上所聊到的岗位名称或者公司，看他们的招聘需求，例如 1 到 3 年和 3 到 5 年不同工程师等级的薪酬差别。

3. 网络安全学习导航

3.1 法律法规政策

知道在什么框架下行事：

• 《中华人民共和国刑法》
• 《中华人民共和国网络安全法》
• 《网络安全等级保护制度 2.0》

3.2 国家政府机构

知道谁在管事：

• 中央网络信息安全领导小组：http://www.cac.gov.cn/
• 国家互联网应急中心：http://www.cert.org.cn/
• 中国国家信息安全漏洞库：http://www.cnnvd.org.cn/
• 国家信息安全漏洞共享中心：http://www.cnvd.org.cn/
• 中国信息安全测评中心：http://www.itsec.gov.cn/
• 中国信息安全等级保护网：http://www.djbh.net/
• 中国反网络病毒联盟：https://www.anva.org.cn/
• 中国互联网络信息中心：http://www.cnnic.net.cn/

3.3 安全企业站点

知道安全圈的主要玩家都有谁：

• 国外安全公司：Fireeye、Checkpoint、Fortinet（飞塔）、Palo Alto、思科（安全）、Juniper（瞻博网络）。
• 国内安全公司：绿盟科技、启明星辰、深信服、奇虎 360、奇安信、天融信、山石网科、知道创宇、安恒信息、火绒安全、蓝盾科技、科来。

3.4 安全媒体

• 安全客：https://www.anquanke.com/
• FreeBuf：https://www.freebuf.com/
• E 安全：https://www.easyaq.com/

3.5 安全工具

• sectool：http://sectools.org/
• kali：https://www.kali.org/
• nmap：https://nmap.org/
• wireshark：https://www.wireshark.org/
• metaspolit：https://www.metasploit.com/
• nessus：http://www.tenable.com/
• openvas：http://www.openvas.org/
• sqlmap：http://sqlmap.org/
• w3af：http://w3af.org/
• burpsuite：https://portswigger.net/burp/
• awvs：https://www.acunetix.com/
• appscan：https://www.ibm.com/developerworks/cn/downloads/r/appscan/
• shodan：https://www.shodan.io/
• cobaltstrike：https://www.cobaltstrike.com/
• masscan：https://github.com/robertdavidgraham/masscan
• hydra：https://www.thc.org/thc-hydra/
• John the Ripper：http://www.openwall.com/john
• modsecurity：http://www.modsecurity.org/

3.6 安全标准/框架

• OWASP TOP10
• PTES 渗透测试标准
• ISO 27001
• 信息安全等级保护

3.7 书籍教材

网络安全推荐书单：

• 《CCNA 学习指南》
• 《TCP/IP 详解卷一》
• 《局域网交换机安全》
• 《Cisco 防火墙》
• 《网络安全原理与实践》
• 《网络安全技术与解决方案》
• 《华为防火墙技术漫谈》
• 《Cisco 网络黑客大曝光》
• 《Wireshark 网络分析实战》
• 《Wireshark 数据包分析实战》
• 《DDoS 攻击与防范深度剖析》
• 《Cisco VPN 完全配置指南》
• 《Cisco 安全入侵检测系统》

Web 安全/渗透测试推荐书单：

• 《白帽子讲 Web 安全》
• 《Web 安全深度剖析》
• 《Metaspolit 渗透测试魔鬼训练营》
• 《Web 前端安全揭秘》
• 《Web 渗透测试使用 Kali Linux》
• 《黑客攻防技术宝典 Web 实战篇》
• 《BurpSuite 实战指南》
• 《SQL 注入攻击与防御》
• 《XSS 跨站脚本攻击剖析与防御》
• 《互联网企业安全高级指南》

云计算安全推荐书单：

• 《云安全原理与实践》
• 《云安全深度剖析》
• 《软件定义安全》
• 《软件定义数据中心》
• 《云数据中心构建实战》
• 《腾云：云计算和大数据时代网络技术揭秘》
• 《大数据时代下的云安全》
• 《云安全基础设施构建》

结语

统计数据显示，目前我国网安人才缺口达 140 万之多。不管你是网络安全爱好者还是有一定工作经验的从业人员，不管你是刚毕业的行业小白还是想跳槽的专业人员，都需要这份超级超级全面的资料，几乎打败了市面上 90% 的自学资料，并覆盖了整个网络安全学习范畴。

网络安全是一个需要持续投入和学习的领域，技术更新迭代快，新漏洞和新攻击手段层出不穷。建议学习者建立自己的知识库，保持对新技术的敏感度，积极参与 CTF 比赛、SRC 提交等实战演练，积累实际经验。同时，考取 NISP、CISP 等证书也是提升职业竞争力的有效途径。希望这份路线图能帮助你在网络安全之路上稳步前行，成为一名优秀的网络安全专家。