IT 运维工程师面临的职业瓶颈,指出基础运维工作重复性高、天花板低的问题,建议向网络安全或研发方向转型。文章详细介绍了网络安全行业的三大核心方向:二进制逆向、渗透测试和安全运维,对比了它们的市场需求、学习难度及薪资前景。引用工信部相关标准,阐述了安全规划、建设、运行、应急及合规五大岗位方向。重点强调安全运维是目前需求最大的岗位,需具备网络架构、日志分析、应急响应等技能。最后建议新人先积累实战经验再考证,并提倡在运维基础上补充自动化开发能力,以适应云原生时代的安全挑战。
很多从事 IT 网络运维工作的年轻从业者都会有一个共同的疑问:工作内容繁杂且基础,重复性高,究竟是否有长远的发展前途?
作为行业内的观察者,可以总结为:职业前景的大小、薪资的高低,与岗位名称和职称资质关系不大,主要取决于个人的经验技能积累以及所处的平台。本文将详细讨论 IT 运维工程师的职业出路在哪里,以及如何规划向网络安全或研发方向的转型。
IT 运维工程师通常分为多个层级,不同层级的技术含量和职业天花板差异巨大。
核心结论:基础运维工程师的长远出路在于逐渐偏向网络安全工程师,提升技术壁垒。
伴随着互联网的产生和发展,网络安全问题层出不穷,各式各样安全漏洞的涌现,使得运维与安全这两个专业日渐交融,人们对运维安全的重视程度越来越高,出现了一个新的交叉领域叫'运维安全'。黑客、白帽子忙于挖掘运维安全漏洞,企业忙于构建运维安全体系,一时间无数漏洞纷至沓来,座座堡垒拔地而起。现实中的业务、运维、安全的关系是互相关联、彼此依赖的,而衍生出三个不同与安全相关的子专业:'运维 + 安全','安全 + 运维','业务 + 运维 + 安全'。在互联网公司招聘岗位里,我们经常看到的是运维安全工程师、安全运维工程师,这两个岗位比较好对号入座。而'业务 + 运维 + 安全',通常被包含在安全工程师的岗位中。
要弄清楚这个问题,首先我们要了解网络安全行业发展的主要方向。工信部在 2022 年发布了国内最权威的《网络安全产业人才岗位能力要求》标准,文中通过一张网络生命周期表,明确给出了网络安全的从业范围。
如图所示,安全规划与设计是整个网络安全生命周期的基础环节,安全建设与实施是整个网络安全生命周期的关键环节,安全运行与维护是整个网络安全生命周期的重要环节,安全应急与防御是整个网络安全生命周期的重要保障,安全合规与管理贯穿整个网络安全生命周期。由此得出,网络安全产业主要涉及图示的'四阶段一整体'5 个方向的主要岗位:
报告中提到,网络安全领域的薪酬近年来稳步增长。相较于全行业的平均工资偏高的主要原因是大部分公司通过社会招聘网站希望招募的人才都是'经验足、技术强'的人才。
对于'经验足、技术强'的理解,结合标准中提到的具体技术岗位能力的解释可知:至少 3-5 年的信息安全及安全服务作经历,熟悉主要的信息安全和安全攻防技术,熟悉安全管理体系建立和风险管理,了解业务系统的安全控制技术和实现方案。熟悉信息安全评估的理论和方法,熟悉安全加固和安全审计技术,有丰富的实践经验,熟悉漏洞扫描、漏洞处理相关知识,拥有漏洞处理经验。更进一步则包括:能负责客户信息安全体系建设咨询,风险评估、推动整改等;针对客户安全规划咨询需求,独立撰写安全规划建设相关方案;梳理各项信息安全的流程管理情况。
网络安全里面也分为几大方向,就是渗透、运维和逆向二进制这三者,选择深耕哪一类才能在未来竞争愈发激烈的行业赛道中脱颖而出,获得高薪并保持竞争力,避免互联网的职场危机。毕竟学习一门学科需要付出大量的时间成本,只有事前对行业进行深入的分析,才能做出相对科学的决策,为自己拟定一个更具优势的职业规划。
二进制安全:毫无疑问,二进制的学习难度最大,所需时间最多。不同的机构线下课程价格较高。可以说二进制是程序猿水平的分水岭。二进制安全本质上是指在传输数据时,保证二进制数据不被篡改、破译等,保障应用程序运行不被修改,覆盖到信息安全的各方各面。二进制运算也是计算机最底层的运算,如果攻击能在二进制层面及时检测出来,将极大提升效率。在网络安全中,二进制安全占据着至关重要的基石地位,0day 漏洞挖掘、漏洞库研发、恶意代码检测、杀软、沙箱、反调试、二进制木马查杀的安全工作都基于这个方向的研究。移动基带、物联网、硬件等新兴领域的安全研究也都离不开二进制安全。
渗透测试:初级的渗透岗适合自学,但大多数都只能达到'脚本小子'级别,自学成黑客高手的可能性极低。尽管渗透的学习周期比二进制短。但如今,渗透的入行门槛也越来越高,相关技术能力掌握要求越来越高,渗透需要掌握的知识内容比较多,所以需要多花一些时间,它不像软件测试和前端开发,掌握一定的编程能力就可以了,渗透测试掌握代码是基础,其次还需要学习服务器操作系统数据库相关知识、web 安全基础、渗透测试基础、漏洞原理和挖掘复现能力,代码审计、攻击和防守等等相关技术。因此如果走这个方向的话需要多花一些时间去系统学习。
安全运维:属于三者中起步低,最容易学习及入行的一类。随着中国互联网的高速发展、网站规模越来越大、架构越来越复杂;对专职网站运维工程师、网站架构师的要求会越来越急迫,特别是对有经验的优秀运维人才需求量加大;由于运维岗位所接触的知识面非常广阔,更容易培养或发挥出个人某些方面的特长或爱好,如内核、网络、开发、数据库等方面,可以做得非常深入精通、成为这方面的专家。运维学习需要分为四个阶段,linux 初级入门——linux 中级进阶——linux 高级提升,和资深方向细化。
综上所述,我们大致可以得出以下四个结论:
下面列出网络安全运维(网盾公司招聘的大致要求)需要掌握的技能如下参考:
安全核心是在预防,所以很多时候,这个职位并不是很受别人重视,需要有一定的自驱力,不断去国内外的安全社区学习新的知识,了解新的漏洞,以及可使用的方式或逻辑。
而运维安全,首先是运维。日常工作中与 IT、安全和网络部门关系都十分密切,保持与兄弟部门的良好沟通和信息共享非常重要。下面我们探讨一下与他们合作的可能性。
本文从运维安全的概念入手,强调了运维安全困境导致了我们的重视,也从安全意识和基础架构建设上剖析了导致该困境的原因,然后就事论事,希望通过运维安全意识培养、运维安全规范以及运维安全技术体系的建设,来保障一套完整的运维安全体系的有效运转,为业务发展保驾护航。
安全运维,是企业管理中躲不开的一个环节,有一套良好的安全运维规范,可以帮助企业降低安全隐患。那么到底应该如何做好安全运维?
安全运维包含两层意思,第一层是维护一个组织的信息完全管理体系,比如使用防火墙维护公司的安全域划分;第二层意思是在运维工作中落实安全管理要求,降低运维工作中的安全风险。
由此可见,第二层的意思立足于第一层,安全运维的前提是企业有明确的信息安全管理体系,信息系统有较合理的安全架构。
以上都是基于本行业目前的实际情况给出的建议,你或许还是感到迷茫,需要一个明确的指引,但是,我们无法给出一个肯定的答案。即使最优秀的经济和社会学家也无法准确的预测某行业的具体发展情况,任何事物的发展都处于不断变化中,任何一个行业的发展都会受到来自于外部经济大环境、技术变革以及行业供需关系的影响。我们每个个体,只能追随时代大潮选择一个相对正确的大方向。
人生的两大智慧是:选择和定力。你已然选择了 IT,想继续发展就继续追随网络安全这个符合时代变迁的朝阳行业,接下来考验的,是你的定力。
无论是学渗透、运维还是逆向,坚持下去并成为该领域的专家,才是你最应该努力的方向。在未来的 DevSecOps 趋势下,具备开发能力的运维人员将更具竞争力,建议在学习运维的同时,适当补充 Python 或 Go 语言自动化脚本编写能力,以适应云原生时代的运维安全挑战。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
