网络安全求职指南

网络安全行业如何区分？安全岗位到底有哪些？不同安全岗位的技术需求和岗位职责有什么区别？适合我们的安全岗位又有哪些？哪些公司需要安全人才？安全企业排名如何？安全行业的薪酬标准是如何的？

这篇文章会涉及到很多关于网络安全的内容，内容大而杂。先列一个大纲，方便阅读。

• 网络安全行业有多少方向？具体做什么？

1. 网络安全
2. Web安全
3. 终端安全（移动/桌面安全）
4. 云安全
5. 工控安全

• 网络安全有多少岗位？技能需求和岗位职责是什么？

1. 安全岗位
2. 常见的安全岗位职责
3. 岗位总结

• 有哪些公司需要安全人才？薪资标准如何？

1. 有哪些公司在招聘？
2. 安全行业薪酬情况

• 网络安全喊个与有多少方向？具体做什么？

根据不同的安全规范、应用场景、技术实现等，安全可以有很多分类方法，在这里简单分为网络安全、web安全、云安全、移动（手机）安全、桌面（电脑）安全、主机（服务器）安全、工控安全、无线安全、数据安全等不同领域。

1. 网络安全

网络安全是安全行业里最经典最基本的领域，也是目前国内安全公司的主要业务。比如启明星辰、绿盟科技、天融信等等。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM/、网闸、入侵检测/防御、VPN网关、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术，可以设计并提供一个安全可靠的网络架构，为政府/国企、互联网、银行、医院、学校等各行各业 的网络基础设施保驾护航。

大的安全项目主要集中在以政府/国企需求的政务网/税务网/社保网/电力网… 以运营商（移动/电信/联通）需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络，承载着国民最核心的基础设施和敏感数据，一旦泄露或者遭到非法入侵，影响范围就不仅仅是一个企业/公司/组织的事情，例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。

当然，除了以上这些，还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT服务提供商等具备国家认定的计算机系统集成资质、安全等保/分保等行业资质的技术单位来提供。

技能需求：

网络协议：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…

主流网络与安全设备部署：思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD…

网络安全架构与设计：企业网/电信网/政务网/教育网/数据中心网设计与部署…

信息安全等保/分保理论、金土/金税工程…

1. web安全

狭义的角度来说，web安全是一门研究“网站安全”的技术，相比“网络安全”领域，普通用户更能直观感知。而大的安全项目里面，web安全仅仅是一个分支，是需要跟“网络安全”相辅相成的，只不过web安全关注上层应用和数据，网络安全关注底层网络安全。

随着Web技术的高速发展，从原来的[Web不就是几个静态网页吗？]到了现在的[Web就是互联网]，越来越多的服务与应用直接基于Web应用来展开，而不再仅仅是一个企业网站或论坛。如今，社交、电商、游戏、网银、邮箱、OA…..等几乎所有能联网的应用，都可以直接基于Web技术来提供。

由于Web所承载的意义越来越大，围绕Web安全对应的攻击方法与防御技术也层出不穷，例如WAF（网页防火墙）、Web漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的Web安全产品也出现了。

技能需求

Web安全的技能点同样多的数不过来，因为要搞Web方向的安全，意味初学者要对Web开发技术有所了解。通常需要知道基本的web技术：

通信协议：TCP、HTTP、HTTPs

操作系统：Linux、Windows

服务假设：Apache、Nginx、LAMP、LNMP、MVC架构

数据库：MySQL、SQL Server、Oracle

编程语言：前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）

以上技能全部学完所需的时间周期长，而且大部分做web安全的刚开始对web开发都不是非常熟悉。因此产生了更加狭义的web安全技术点：

安全理论：OWASP TOP 10 、PETS、ISO 27001…

后端安全：SQL注入、文件上传、Webshell（木马）、文件包含、命令执行…

前端安全：XSS跨站脚本攻击、CSRF跨站请求伪造…

安全产品：Web漏洞扫描（Burp/WVS/Appscan）、WAF（Web应用防火墙）、IDS/IPS（Web入侵防御）、Web主机防护

1. 终端安全（移动安全/桌面安全）

移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全，例如iOS和Android安全，我们经常提到的“越狱”其实就是移动安全的范畴。“熊猫烧香”之类的病毒就是桌面安全的范畴。

桌面安全和移动安全研究的技术面都是终端安全领域，说的简单一些，一个研究电脑，一个研究手机。随着我们工作和生活，从PC端迁移到了移动端，终端安全也从桌面安全迁移到移动安全。最熟悉不过的终端安全产品，便是360、腾讯、金山毒霸等等

4、云安全

云安全是基于云计算技术来开展的另外一个安全领域，云安全研究的话题包括：软件定义安全、超融合安全、虚拟化安全、机器学习+大数据+安全…目前，基于云计算所展开的安全产品已经非常多了，涵盖原有网络安全、Web安全、移动安全等方向，包括云防火墙、云抗DDOS、云漏扫、云桌面等，国内的腾讯云、阿里云已经有相对成熟的商用解决方案出现。

云时代的安全也给原有行业的规范和实施带来更多挑战和变革，例如，托管在云端的商用服务，云服务商和客户各自承担的安全建设责任和边界如何区分？云端安全项目如何做信息安全等保测评？

5、工控安全

以震网病毒（stuxnet）攻击伊朗核电厂并使其瘫痪的全球事件，从安全领域活生生撕开一道口并告诉我们，工控病毒才是真正代替核武器战争的代表。相比其他安全方向，工控安全研究的攻防对象是工业基础设施，真正影响人类生活的方方面面，例如核电、电力、水力、城市交通等基础设施。随着万物互联/物联网的进程不断推进，工控安全会成为我们继互联网和移动互联网安全之后研究的重心。

• 网络安全有多少岗位？技能需求和岗位职责是什么？

1. 安全岗位

以安全公司招聘的情况来分，安全岗位可以以研发系、工程系、销售系来区分

研发系：安全研发、安全攻防研究、逆向分析

工程系：安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、Web渗透测试工程师、Web安全工程师、应用安全审计、移动安全工程师

销售系：安全销售工程师、安全售前工程师、技术解决方案工程师

1. 常见的安全岗位职责

安全工程师（产品和售后方向）职位描述

负责网络安全项目中的产品调试和交付
负责网络安全项目中的技术方案编写
负责客户的安全应急和售后驻场

职位要求

具备扎实的计算机与网络原理，熟悉各类网络与安全设备（路由、交换、防火墙、VPN、漏洞扫描）

对网络数据包具备分析实践能力，熟练使用数据包分析工具；

熟悉常见网络通信协议（TCP/IP、交换路由协议、VPN协议等）

熟悉防火墙原理，能够熟练配置防火墙策略；

熟悉主流网络与安全厂商产品（思科/华为/华三/Juniper…）

较好的文档撰写能力、语言表达和与沟通能力。

安全服务工程师职位描述

负责安全服务项目中的实施部分，包括：漏洞扫描、渗透测试、安全基线检查、代码审计、应急响应等；

爆发高危漏洞后时行漏洞的分析应急；
对公司安全产品的后端支持

掌握专业文档编写技巧；
关注行业态势和热点。

职位要求

掌握一门及以上编程语言；
熟悉常见安全攻防技术；

有较强学习能力，能快速学习新的技术；
熟悉风险评估、应急响应、渗透测试、安全加固等安全服务；

具有良好的语言表达能力、文档组织能力。

安全运维工程师职位描述

服务器与网络基础设备的安全加固；
安全事件排查与分析，配合定期编写安全分析报告，专注业内安全事件；

跟踪最新漏洞信息，进行业务产品的安全检查；
负责信息安全策略/流程的制定,安全培训/宣传及推广；

负责Web漏洞和系统漏洞修复工作推进，跟踪解决情况，问题收集。

职位要求

熟悉主流的Web安全技术，包括SQL注入、XSS、CSRF等OWASP TOP 10安全风险；

熟悉TCP/IP协议，路由交换、常用的应用层协议；

熟悉Linux/Windows下系统和软件的安全配置与加固；

熟悉常见的安全产品及原理，例如IDS、IPS、防火墙等；

熟练掌握C/PHP/Python/Shell等一或多种语言；

较好的文档撰写能力、语言表达和与沟通能力。

Web安全工程师/渗透测试职位描述

对公司各类系统进行安全加固；

对公司网站、业务系统进行安全评估测试（黑盒、白盒测试）；
对公司安全事件进行响应，清理后门，根据日志分析攻击途径；

安全技术研究，包括安全防范技术，黑客技术等；
跟踪最新漏洞信息，进行业务产品的安全检查。

职位要求

熟悉Web渗透测试方法和攻防技术，包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等安全漏洞与防御；

熟悉Linux、Windows不同平台的渗透测试，对网络安全、系统安全、应用安全有深入的理解和自己的认识；

熟悉国内外主流安全工具，包括Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等；

至少掌握一门编程语言C/JS/Python/PHP/Java/JS等；

对Web安全整体有深刻理解，有一定的代码审计和漏洞分析和挖掘能力；

具有较强的团队意识、高度的责任感，有良好的文档和沟通能力；

1. 安全岗位总结

走安全行业，技术上面其实有很大的重叠性，抛开公司、岗位名称及职责等因素来说。只要掌握好网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言中的2到3个，都可以较好的胜任工作需求。

• 有哪些公司需要安全人才？薪资标准如何？

1. 有哪些公司在招聘？

安全工程师已经成为一个必选项，所以已经没法再一一列举出来了，无论是互联网公司，还是网络与安全公司，还是银行、运营商、政府等，都需要安全人才加入。

1. 安全行业薪酬情况

根据岗位的入职薪酬来看，一般是遵循：【安全研发 > 安全服务/渗透测试/Web渗透 > 安全售后/安全技术支持】当然，不同类型的公司，发展过程中给出的薪酬也会有所差异。薪酬上面主要分为三个档：6-8k、8-10k、10-12K，从近几年的安全薪酬趋势来看，进入这个行业的起薪越来越高了。