1.网络安全为什么缺人?
缺人的原因是有了新的需求
以前的时候,所有企业是以产品为核心的,管你有啥漏洞,管你用户信息泄露不泄露,我只要做出来的产品火爆就行。
这一切随着《网络安全法》、《数据安全法》、《网络安全审查办法》等一系列有关网络安全的法律法规出台戛然而止,上到国家下到个人都开始重视网络安全,你看最近的国家对滴滴进行网络安全审查就引发的大家的强烈关注就能感受到。
按照新的网络安全法律法规要求,你的企业出了网络安全问题,不仅要处罚企业,还要连带处罚企业负责人,甚至入刑。你想想哪个老板知道了这个问题的严重性能坐的住?
所以就产生了网络安全人员缺口。
2.缺什么样的人?
**A.**大部分企业需要懂常规安全防护的人。具体需求是能至少确保企业的门户网站不出漏洞,能确保企业内部信息不发生外泄,能确保不被相关部门追责。这里说的企业指的是有一定规模的且信息化需求的企业,不包括小作坊、小加工厂之类的。
**B.**提供互联网产品的企业需要懂研发安全的人。由于以前大环境原因,大部分研发人员都没有涉及网络安全方面的知识,导致了目前懂研发的不懂安全,懂安全的不懂研发,这里的懂不是指一点不懂,而是指不完全懂。虽然这种情况正在逐渐改善,但是仍然是该类企业面临的极大困境。
**C.**提供互联网服务的企业需要懂业务安全的人。个人私认为业务安全其实才是最难的地方,因为这和研发安全还不一样。毕竟研发人员是有一定网络与信息知识的,和网络安全有很多相通的地方,很多地方—点即通。而业务安全需要对业务流程非常熟悉,然而大部分对业务非常熟悉的人都是业务骨干,一般没有太多精力深入学习网络安全,这也导致了很多业务逻辑漏洞的发生。
**D.**规模很大的企业(如大型国企、跨国企业)需要懂网络安全溯源 Q 与应急处置的人。这类企业往往信息资产众多、网络架构复杂,需要专门的部门对企业内部进行管控巡查,同时发现问题后进行溯源和处置。
**E.**网络安全产品°和服务提供商需要的才是我们所说的懂攻防的网络安全人员。要想要甲方爸爸给你项目给你资金,网络安全产品和服务提供商就需要证明自己的实力,证明实力最好的办法就是纳“投名状 Q”,投名状就是你挖掘漏洞的服务能力和你的产品的防护能力。
我上面所列只是大体分类,不能涵盖所有情况,而且所列每种类型的企业需求不是单独的,仅仅是侧重方向的需求。比如一个跨国互联网公司,他们需要懂常规安全防护的人、需要懂研发安全的人、需要懂业务安全的人、需要溯源与处置的人等等。。
3.安全人员缺口解决途径
根据上面的内容我们逐条分析。
**A.**懂常规安全防护的人:一般企业都会由信息化部门自行解决,这个时候企业信息化部门就会根据成本和需求考虑到底有没有必要单独招—个搞安全的。毕竟很多常规安全防护,一般的信息化运维人员就能自行解决,比如打补丁、关闭高危端口 Q、修改弱口令等。
**B.**懂研发安全的人:既懂研发又懂安全的人少之又少,目前普遍采用的方法是通过相关网络安全产品对代码进行检测,也有有能力的企业对研发人员进行网络安全培训,这方面业界也有了不少案例可以借鉴。
**C.**懂业务安全的人:这种人几乎没法直接招聘,如果确需,只能从业务部门内部培养。
**D.**懂安全溯源与应急处置的人:这种类型的人几乎只有大型公司才有需求,而且只需要一个团队即可,团队规模也并不需要特别大,一般也是由内部培养与外部招聘相结合,招聘的也是有较高技术实力的人。
**E.**懂攻防的网络安全人员:这一部分才是我们经常说的网络安全人员。
4.如何学习安全
那么零基础入门网络安全,能成为网络安全工程师,需要掌握哪些技能呢?不管自学也好还是找培训班也罢,作为零基础小白想入门网络安全是否会很有难度呢?一般来说,入门网络安全大致上需要具备以下知识,可以参考一下路线图:
(每个模块都是可以展开,这里就不一一展开,篇幅 1 有点长,内容比较多)
如果你是学习其他技术,又有很强的自律性,那么自己学习完全足够,否则不建议自己学习。由于网络安全本身就是一个攻防实战性很强的专业,网络安全领域必须实战,实践出真知!需要实践的情况,不是自己学习能够接触到的,还需要其他进行辅助。
怎么入门?
我们落到具体的技术点上来,网络安全学习路线,整体学习时间大概半年左右,具体视每个人的情况而定。
如果你把每周要学的内容精细化到这种程度,你还会担心学不会,入不了门吗,其实说到底就是学了两个月,但都是东学一下,西学一下,什么内容都是浅尝辄止,没有深入进去,所以才会有学了 2 个月,入不了门这种感受。
第一步:计算机基础
这第一步,其实跟网络安全关系都不太大,而是进入 IT 领域的任何一个人都要掌握的基础能力。下面五大课程,是大学老师当年教给我们的,不管你是什么技术方向最好都好好学的技术,如今看来,仍然不过时:
- 计算机网络
- 计算机组成原理
- 操作系统
- 算法与数据结构
- 数据
这每一门课程其实都内有乾坤,基本都不能做到一次学习就能掌握,而是伴随每个人的职业生涯,不同的技术阶段都会有不一样的认识和感受。具体学起来建议参考敏捷开发,不断迭代:有一个粗略的认识**->有了进一步的认识->彻底掌握->温故而知新。**不用纠缠于把一门课程全部学完学懂才进入下一门课程。
第二步:编程能力
有了上面的一些基本功后,这个时候就需要动手,来写点代码,锤炼一下编程的功底。下面三项,是安全行业的从业者都最好能掌握的语言:
- Shell 脚本:掌握常用的 Linux 命令,能编写简单的 Shell 脚本,处理一些简单的事务。
- C 语言(C++可选):C 语言没有复杂的特性,是现代编程语言的祖师爷,适合编写底层软件,还能帮助你理解内存、算法、操作系统等计算机知识,建议学一下。
- Python:C 语言帮助你理解底层,Python 则助你编写网络、爬虫、数据处理、图像处理等功能性的软件。是程序员,尤其是黑客们非常钟爱的编程语言,不得不学。
第三步:安全初体验
有了前面两步的打底,是时候接触一些网络安全的技术了,刚刚开始这个阶段,仍然不要把自己圈起来只学某一个方向的技术。这个阶段,我的建议是:但当涉猎,见往事耳。网络协议攻击、Web 服务攻击、浏览器安全、漏洞攻击、逆向破解、工具开发都去接触一下,知道这是做什么的,在这个过程中去发现自己的兴趣,让自己对网络安全各种领域的技术都有一个初步的认识。
第四步:分方向
在第三步中,慢慢发现自己的兴趣点,是喜欢做各种工具的开发,还是喜欢攻破网站,还是痴迷于主机电脑的攻击···这个时候就可以思考自己后面的方向,然后精力开始聚焦在这个方向上,通过上面思维导图中各自方向的技术去持续深耕,成为某一个领域的大拿。
我也给大家整理了一些学习资料笔记等,大部分都是比较不错的,希望对大家有帮助!
以上资源的获取毫无门槛,只要你是真心想学习网络安全,就大胆去做!
5、总结
网络安全领域就像是一棵硕果累累的参天大树,底下站着无数观望者,他们都声称自己喜欢网络安全,想上树摘果,但面对时不时垂下来的藤枝,他们却踌躇不前,犹豫不决。
实际上,只要任意抓住一根藤枝,都能爬上这棵树。 大部分人缺的,就是这么一个开端。