首先说说关于学校和就业的问题,提到国内网络安全专业比较好的学校,“四邮四电”(北邮、南邮、西邮、重邮、电子科大、西安电子科大、桂林电子科大、杭州电子科大)必须拥有姓名。
而从现在的就业形势看,网络安全专业其实是比较容易就业的。毕竟随着产业互联网的发展和企业的上云,安全领域又衍生出新型终端安全、云原生安全、大数据安全、业务安全等新方向,所以也需要很多新鲜血液的加入。
其次,回到网络安全专业本身,网络安全到底是不是一个好的专业,应该一分为二地看。
人才市场层面,就像刚刚提到的,安全行业需要网络安全人才的加入。
据智联招聘发布的《2019网络安全人才市场状况研究报告》显示,网络安全人才市场需求增长速度惊人:2019年6月网络安全人才市场需求的规模达到2016年1月需求的24.6倍,相比2018年7月也增长了3倍,看得出,网络安全人才需求规模呈现大幅增长态势。
个人发展层面,看的是薪资和发展前景。
薪资方面,总体来看,用人单位提供给安全人员的薪酬是高于求职者预期的,政企机构提供的网络安全相关岗位的平均薪酬约为11728.9元/月,安全企业提供给网络安全相关岗位的平均薪酬约为12004.8元/月,相对来讲是较为可观的。
发展前景方面,在科学技术日益发达的今天,各个行业越来越追求在最短的时间内实现收益最大化,网络安全的特殊性就在于它的收益具有非即时性(也就是不能够立刻获益),但是,在网络安全方面所有的投入,都具有无比重要的价值。这也是网络空间安全概念提出的真正意义所在。
举一个最通俗易懂的例子——很多人身体出了问题,撑不住了才去看病。同样地,企业遇到安全问题(例如中了勒索病毒,或者数据遭到泄露)之后才想到防御和抵抗;
人为了预防生病,已经开始培养养生、体检或接种疫苗的意识。相应地,一些企业也开始提前打预防针,进行补丁更新、系统加固、威胁检测、数据加密等,防御外来威胁;
但是说到底,每个人都避免不了身体出现问题,所以便依靠各种方式来增强抵抗力,以维护长时间的身体健康,同时还会购买保险以备不时之需;
其实对于企业也是同样的道理——宜未雨而绸缪,毋临渴而掘井。不但要对已经感知到的威胁进行抵抗,而且要对未知威胁进行预防,做好顶层的安全规划和实时的态势感知,将风险评估常态化,并且保证持续性的安全运营,要像人们为自己购买保险一样购买网络保险。
话说回来,面对这样的现状,想要通过学习网络安全来找到一份相对体面的工作,除了以学校和学历作为敲门砖,自然还是要提高自身能力。
互联网时代的主流人才是复合型人才,包括知识、思维和能力的复合,在网络安全领域,复合的属性则更为凸显,因为网络安全本身就要兼顾各方面的安全性。
一点切入、触类旁通、建立系统的网络安全知识体系,同时不断强化全面思考的能力都是成为安全人才的必经之路。
对于目前即将进入大学的题主来说,一切才刚刚开始,既然对网络攻防感兴趣,不妨多多积累一些实战经验。
譬如在大学校园里可以申请加入安全小组、安全社团之类的组织,与有经验的前辈一起交流沟通,也可以参与各种安全类比赛或挑战杯等科技方向的赛事,迈出实战第一步。
社会上的安全竞赛就更丰富了,TCTF、GeekPwn都是非常锻炼能力的重磅赛事,与全球黑客同台竞技的过程中你的收获一定远超想象。
除了比赛,日常化实操也是夯实基础知识、快速提升学习效率的重要日程,比如挖掘网站漏洞并提交给企业src等。
最后回到问题本身,网络安全专业好不好,大家见仁见智,但是网络安全的地位正在日益提高,重要性也越发突显。最新发布的《IDC全球网络安全支出指南》数据显示,在新冠肺炎疫情的影响与推动下,2020年全球网络安全相关硬件、软件、服务市场的总投资将达到1252.1亿美元,较2019年同比增长6.0%。同时,根据日立(Hitachi)ID近日发布的企业首席信息官(CIO)调查,2020年下半年最高IT支出优先级是网络安全。
全球都在加大网络安全方面的支出,它的价值和重要性不言自明。至于专业,你选或不选,学或不学,它就在那里,优劣自在人心。
怎么入门网络安全?
我们落到具体的技术点上来,这份网络安全学习路线整体学习时间大概半年左右,具体视每个人的情况而定。
第一阶段:基础操作入门,学习基础知识
入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,一般来说这个过程在1个月左右比较合适。
在这个阶段,你已经对网络安全有了基本的了解。如果你学完了第一步,相信你已经在理论上明白了上面是SQL注入,什么是xss攻击,对burp、msf、cs等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!
所谓的“打地基”其实就是系统化的学习计算机基础知识。而想要学习好网络安全,首先要具备5个基础知识模块:
1.操作系统
2.协议/网络
3.数据库
4.开发语言
5.常见漏洞原理
学习这些基础知识有什么用呢?
计算机各领域的知识水平决定你渗透水平的上限。
【1】比如:你编程水平高,那你在代码审计的时候就会比别人强,写出的漏洞利用工具就会比别人的好用;
【2】比如:你数据库知识水平高,那你在进行SQL注入攻击的时候,你就可以写出更多更好的SQL注入语句,能绕过别人绕不过的WAF;
【3】比如:你网络水平高,那你在内网渗透的时候就可以比别人更容易了解目标的网络架构,拿到一张网络拓扑就能自己在哪个部位,拿到以一个路由器的配置文件,就知道人家做了哪些路由;
【4】再比如你操作系统玩的好,你提权就更加强,你的信息收集效率就会更加高,你就可以高效筛选出想要得到的信息
第二阶段:实战操作
1.挖SRC
挖SRC的目的主要是讲技能落在实处,学习网络安全最大的幻觉就是觉得自己什么都懂了,但是到了真的挖漏洞的时候却一筹莫展,而SRC是一个非常好的技能应用机会。
2.从技术分享帖(漏洞挖掘类型)学习
观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维
3.靶场练习
自己搭建靶场或者去免费的靶场网站练习,有条件的话可以去购买或者报靠谱的培训机构,一般就有配套的靶场练习
第三阶段:参加CTF比赛或者HVV行动
推荐:CTF比赛
CTF有三点:
【1】接近实战的机会。现在网络安全法很严格,不像之前大家能瞎搞
【2】题目紧跟技术前沿,而书籍很多落后了
【3】如果是大学生的话,以后对找工作也很有帮助
如果你想打CTF比赛,直接去看赛题,赛题看不懂,根据不懂的地方接着去看资料
推荐:HVV(护网)
HVV有四点:
【1】也能极大的锻炼你,提高自身的技术,最好是参加每年举行的HVV行动
【2】能认识许多圈内的大佬,扩大你的人脉
【3】HVV的工资也很高,所以参加的话也能让你赚到不少钱
【4】和CTF比赛一样如果是大学生的话,以后对找工作也很有帮助
最后,给大家整理了一个简单的学习方法,可以借鉴:
1. 多看书
阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。
例如:《黑客攻防---web安全实战详解》《Web前端黑客技术揭秘》《安全之路:Web渗透技术及实战案例解析(第2版)》
现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难,那就找自己能看得进的 Web 安全的书。
当然纸上谈兵终觉浅,不实践一下怎么好呢。
2.常用工具的学习
1.Burpsuite学习 Proxy 抓包改包学习 Intruder 爆破模块学习实用 Bapp 应用商店中的插件2.Nmap使用 Nmap 探测目标主机所开放的端口使用 Nmap 探测目标主机的网络服务,判断其服务名称及版本号3.SQLMap对 AWVS 中扫描出的 SQL 注入漏洞使用 SQLMap 进行数据获取实践常见漏洞类型的挖掘与利用方
3.学习开发
1.书籍《细说 PHP》
2.实践使用 PHP 写一个列目录的脚本,可以通过参数列出任意目录的列表使用 PHP 抓取一个网页的内容并输出使用 PHP 抓取一个网页的内容并写入到Mysql数据库再输出。
也可以找一培训班,系统的学习一下,都是可以的。
我也给大家整理了一份网络安全学习资料,可以省去大家去找其他资料的时间,大部分我都看过,都是很不错的
这份完整版的网安学习资料已经上传,朋友们如果需要可以微信扫描下方CSDN官方认证二维码或者点击链接免费领取【保证100%免费】
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费领取
https://mp.weixin.qq.com/s/rB52cfWsdBq57z1eaftQaQ
