在网络安全行业摸爬滚打这么多年亲历了数不尽的技术面试同时也见证了同行们职业生涯的起起伏伏特别是运维领域。我发现最近很多从事运维的选择了辞职转行到了网络安全这个发展路线。运维顾名思义就是运营和维护在IT行业里算是处于最底层。薪资待遇也不是说很高大致维持在6-9k。运维这块的工作内容大部分软硬兼通还得顾及不少网络安全方面的事务。怎么说呢就是公司上下谁都来找你帮忙。在大公司里还算各司其职但架不住天天跟着不同项目组上线发版整天可能都在写文档什么安全管理规范、安全测评之类的一大堆材料要么就是写事故报告要么就是跟着各个项目组开会难得有时间能真正做点实事结果一年下来别人还觉得你什么都没干。换到小公司的话你一个人几乎要管从电工到采购到资产管理的所有事甚至连装修这种匪夷所思的事都找你俨然是一个“万金油”角色。这也就导致大批运维人员选择转向网络安全这一领域。可能会有人会质疑我觉得网络安全的前景真有这么好吗口说无凭那就用数据说话。一、网络安全行业现状说到网络安全行业的现状这几年可真是发生了翻天覆地的变化。国内外网络环境变化迅速各种安全政策接踵而至一下子就把这个原本小众的产业推到了国家战略新兴产业的高度。现在网络安全已经能和人工智能、大数据、云计算这些热门领域并驾齐驱了。对大多数政企单位来说网络安全已经从可选项变成了必选项甚至是强制项。以前安全团队主要是大厂或互联网公司的专属现在只要是涉及互联网的企业都需要引入安全人才。过去很多单位的IT部门只有研发和运维安全人员往往被归到基础运维部。而现在为了满足国家安全法规要求必须单独设立网络安全部门。越来越多的单位开始四处招揽安全人才组建安全响应中心SRC为自家的产品、应用和数据提供全方位保护。根据腾讯安全发布的《互联网安全报告》目前中国网络安全人才供应严重不足。每年高校安全专业毕业生仅3万余人而市场上的职位缺口已达70万缺口高达95%。如果你去招聘网站搜索网络安全、“Web安全工程师”、渗透测试等职位就会发现安全岗位的薪酬待遇相当不错。而且这个行业还有个特点就是随着工作年限和经验的增长薪酬也会不断提升呈现出越老越吃香的趋势。二、如何学习网络安全说到学习网络安全有几个小技巧要跟大家分享一下1. 不要试图以编程为基础去学习网络安全很多人觉得得先把编程学好才能碰网络安全其实没必要。编程学习周期长不说到了网络安全这边用到的点也不多。要是非得把编程学精了再开始怕是半路就要打退堂鼓了。我建议啊先学网络安全哪里不会补哪里这样更有针对性也省时间。当然编程基础还是要有的它决定了你在这行能走多远。所以呢建议大家自学一些基础编程知识就行。2. 不要刚开始就深度学习网络安全学习讲究讲究个循序渐进。很多人一开始就猛学结果到后面没劲了。越学越觉得枯燥最后可能就放弃了。要学会由浅入深慢慢加大难度。3. 收集适当的学习资料网上确实有很多网络安全相关的学习资料。很多朋友都有“收集癖”一下子很多书籍收藏几十个视频觉得学习资料越多越好然而网上的学习资料重复性极高。建议选几个大家公认好的资料就行别贪多。4. 适当的报班学习选择网络安全培训班也不是一个坏主意可能会有人觉得报班就是浪费钱网络安全自学就够了。但说实话自学也需要一定天赋和理解能力而且学习周期可能会比较长。如果你比较着急或者想尽快找工作报个班可能更合适。相对自学来说学习周期短学到的东西也不会少。当然了具体怎么选择还是得看个人情况。三、网络安全自学路线接下来我们就来分享一下如何由浅入深、循序渐进的get网络安全技能。安全小白快收藏起来吧第一阶段打牢基础不要被黑客、渗透测试这些听起来很酷的词吓到网络安全的基础其实是普通的计算机知识。建议从以下几个方面入手操作系统熟练掌握Windows、Linux等主流操作系统的核心概念与操作技巧这是网络安全工程师的必备技能。协议与网络深入了解TCP/IP、HTTP、HTTPS等网络协议掌握网络通信原理这对识别和防范网络攻击至关重要。数据库精通SQL语言熟悉数据库管理和数据安全这是进行数据库相关攻击与防护的关键。开发语言掌握至少一种编程语言如Python、Java或C编程能力将大幅提升你的代码审计与漏洞利用工具开发水平。常见漏洞原理学习OWASP Top 10等常见Web应用漏洞理解其成因与防御策略这是提升渗透测试能力的基础。学习这些基础知识有什么用呢*计算机各领域的知识水平决定你渗透水平的上限。*1、编程水平高那你在代码审计的时候相比其他人会略胜一筹所编写的漏洞利用工具更高效、更好用2、数据库知识水平高那你在进行SQL注入攻击的时候你就可以写出更复杂更有效的SQL注入语句轻松绕过别人绕不过的WAF3、精通网络技术那你在内网渗透的时候就可以比别人更容易了解目标的网络架构获取一张网络拓扑就能发现在哪个部位拿到以一个路由器的配置文件就知道人家做了哪些路由4、操作系统玩的好提权就愈加强信息收集效率愈发游刃有余你就可以高效筛选出更多有价值的信息。在这个阶段是不是觉得理论太多学习太枯燥那咱们可以试试动手搭建个人网站你会发现这些知识突然变得生动起来。就好比用WordPress搭建一个博客配置服务器、数据库你就会对Web的工作原理有更直观的理解。第二阶段分而攻之网络安全涵盖的内容很广里面所涉及的版块很多但请不要慌就好比修建房子一样想要把房子修建的更高更牢固地基整好了接下来就是砌砖了一块一块搭建慢慢来。先了解常见的攻击方式如SQL注入、XSS攻击、CSRF等。不仅要知道它们是什么更要理解为什么会出现这些漏洞如何防御。学习基本的安全工具如Nmap、Wireshark、Metasploit等等。每学一个工具都要多加练习了解它的各种用法。参与CTF比赛在实战中学习CTF是安全圈很流行的一种比赛形式涵盖Web安全、密码学、逆向工程等多个方向非常锻炼实战能力。学习建议1、对于每种攻击方式先理解原理然后在靶机上实践最后学习如何防御。2、工具的使用可以结合现在各大平台的视频教程我们阿一网络安全也有详细使用教程可供学习。3、CTF可以从简单的平台开始如PicoCTF逐步过渡到难度更大的比赛。友情提示每天能掌握一个小知识点已经算很不错的进步了不要因为一时看不懂某个概念就打退堂鼓坚持就是胜利。第三阶段实战演练光有理论不操作那肯定是不行的纸上得来终觉浅绝知此事要躬行一定要多练才会有不错的结果哦。搭建靶机环境如Metasploitable、DVWADamn Vulnerable Web Application等在安全的环境中练习各种攻击和防御技术。你可以在虚拟机中搭建这些环境既安全又方便。阿一靶场也欢迎大家入驻练习。参与开源项目GitHub上有很多安全相关的项目参与其中是很好的学习机会。从提交bug报告开始逐步到修复问题再到贡献新功能每一步都是宝贵的经验。技术分享心得这不仅能巩固知识还能结识同道中人。一开始可能没人看但坚持下去你会慢慢积累起自己的影响力。模拟真实场景尝试为自己或朋友的网站做安全审计或者参与一些漏洞赏金项目在实战中提升能力。实践技巧1、在进行任何渗透测试之前一定要确保你有合法的授权。未经允许的入侵测试是违法的。2、记录你的每一次实践包括你做了什么遇到了什么问题如何解决的。这些记录将成为你宝贵的经验积累。3、尝试用不同的方法解决同一个问题这样可以全面提升你的能力。第四阶段找准定位当你对网络安全有了整体认识就可以选择感兴趣的方向深入研究。网络安全是一个很大的领域包括但不限于Web安全主要关注Web应用的安全问题如SQL注入、XSS等。移动安全研究移动应用和设备的安全问题。云安全随着云计算的普及这个方向越来越重要。物联网安全随着物联网设备的增多这个领域的安全问题也日益突出。二进制安全包括逆向工程、漏洞挖掘等需要较深的编程功底。安全运营包括安全设备的部署、日志分析、应急响应等。选择一个方向成为技术大拿这比样样通样样松要有竞争力得多。但也不要局限于单一领域各个方向的知识是相通的。深入学习建议1、选择方向时可以考虑自己的兴趣、优势以及就业市场的需求。2、关注该领域的最新动态包括新的攻击方式、防御技术等。3、尝试解决该领域的实际问题可以参与开源项目或者自己开发工具。网络安全学习路线学习资源网络安全的知识多而杂怎么科学合理安排下面给大家总结了一套适用于网安零基础的学习路线应届生和转行人员都适用学完保底6k就算你底子差如果能趁着网安良好的发展势头不断学习日后跳槽大厂、拿到百万年薪也不是不可能初级网工1、网络安全理论知识2天①了解行业相关背景前景确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。非常重要2、渗透测试基础一周①渗透测试的流程、分类、标准②信息收集技术主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理利用方法、工具MSF、绕过IDS和反病毒侦察④主机攻防演练MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础一周①Windows系统常见功能和命令②Kali Linux系统常见功能和命令③操作系统安全系统入侵排查/系统加固基础4、计算机网络基础一周①计算机网络基础、协议和架构②网络通信原理、OSI模型、数据转发流程③常见协议解析HTTP、TCP/IP、ARP等④网络攻击技术与网络安全防御技术⑤Web漏洞原理与防御主动/被动攻击、DDOS攻击、CVE漏洞复现5、数据库基础操作2天①数据库基础②SQL语言基础③数据库安全加固6、Web渗透1周①HTML、CSS和JavaScript简介②OWASP Top10③Web漏洞扫描工具④Web渗透工具Nmap、BurpSuite、SQLMap、其他菜刀、漏扫等恭喜你如果学到这里你基本可以从事一份网络安全相关的工作比如渗透测试、Web 渗透、安全服务、安全分析等岗位如果等保模块学的好还可以从事等保工程师。薪资区间6k-15k到此为止大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗【“脚本小子”成长进阶资源领取】7、脚本编程初级/中级/高级在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中面对复杂多变的网络环境当常用工具不能满足实际需求的时候往往需要对现有工具进行扩展或者编写符合我们要求的工具、自动化脚本这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中想要高效地使用自制的脚本工具来实现各种目的更是需要拥有编程能力.零基础入门建议选择脚本语言Python/PHP/Go/Java中的一种对常用库进行编程学习 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP IDE强烈推荐Sublime ·Python编程学习学习内容包含语法、正则、文件、 网络、多线程等常用库推荐《Python核心编程》不要看完 ·用Python编写漏洞的exp,然后写一个简单的网络爬虫 ·PHP基本语法学习并书写一个简单的博客系统 熟悉MVC架构并试着学习一个PHP框架或者Python框架 (可选) ·了解Bootstrap的布局或者CSS。8、超级网工这部分内容对零基础的同学来说还比较遥远就不展开细说了贴一个大概的路线。感兴趣的童鞋可以研究一下不懂得地方可以【点这里】加我耗油跟我学习交流一下。网络安全工程师企业级学习路线如图片过大被平台压缩导致看不清的话可以【点这里】加我耗油发给你大家也可以一起学习交流一下。一些我自己买的、其他平台白嫖不到的视频教程需要的话可以扫描下方卡片加我耗油发给你都是无偿分享的大家也可以一起学习交流一下。网络安全学习路线学习资源结语网络安全产业就像一个江湖各色人等聚集。相对于欧美国家基础扎实懂加密、会防护、能挖洞、擅工程的众多名门正派我国的人才更多的属于旁门左道很多白帽子可能会不服气因此在未来的人才培养和建设上需要调整结构鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”才能解人才之渴真正的为社会全面互联网化提供安全保障。特别声明此教程为纯技术分享本书的目的决不是为那些怀有不良动机的人提供及技术支持也不承担因为技术被滥用所产生的连带责任本书的目的在于最大限度地唤醒大家对网络安全的重视并采取相应的安全措施从而减少由网络安全而带来的经济损失