まず、学校と雇用の問題について話しましょう。中国にはサイバーセキュリティを専攻するのに比較的良い学校があると言いました。杭州典子大学)の名前はあるはずです。
現在の雇用情勢を見ると、実はネットワークセキュリティ専攻は比較的就職しやすいのです。結局のところ、産業用インターネットの発展と企業のクラウドへの移行に伴い、セキュリティ分野では新しい端末セキュリティ、クラウドネイティブ セキュリティ、ビッグデータ セキュリティ、ビジネス セキュリティなどの新しい方向性が生まれており、多くの新鮮な血液も必要です。
次に、ネットワーク セキュリティ専攻そのものに戻りますが、ネットワーク セキュリティが優れた専攻であるかどうかは 2 つの部分に分けられる必要があります。
人材市場レベルでは、先ほど述べたように、セキュリティ業界はネットワーク セキュリティの人材を必要としています。
Zhaopinが発表した「2019年ネットワークセキュリティ人材市場調査報告書」によると、ネットワークセキュリティ人材市場の需要の成長率は驚くべきもので、2019年6月のネットワークセキュリティ人材市場の需要規模は2016年1月の需要の24.6倍に達しました。 2018年との比較、2019年7月にも3倍に増加しており、ネットワークセキュリティ人材の需要が大幅に増加傾向にあることが分かります。
個人的な成長のレベルでは、給与と成長の見通しによって異なります。
給与面では、一般に雇用主がセキュリティ担当者に提供する給与は求職者の期待よりも高く、政府や企業組織が提供するネットワークセキュリティ関連職の平均給与は約11,728.9元/月であり、セキュリティ会社は給与を提供している。ネットワークセキュリティ関連の職で、平均給与は月額約 12004.8 元で、比較的高額です。
発展の見通しとしては、科学技術がますます高度化する今日、さまざまな産業が短期間で利益を最大化することをますます追求していますが、ネットワークセキュリティの特殊性は、その利益が即時ではない(つまり、すぐには利益を得られない)ことにあります。ただし、ネットワーク セキュリティへのすべての投資は非常に価値があります。これがサイバー空間セキュリティの概念の本当の意味でもあります。
わかりやすい例を挙げましょう。多くの人は身体に問題を抱え、我慢できなくなったときに医者に行きます。同様に、企業はセキュリティ上の問題 (ランサムウェアやデータ漏洩など) に遭遇した後にのみ防御と抵抗を考えます。
人々は病気を防ぐために、健康診断や予防接種など、健康を守る意識を持ち始めています。これに対応して、一部の企業は、外部の脅威から防御するために、パッチの更新、システムの強化、脅威の検出、データの暗号化などを実行して、予防ワクチンを事前に接種し始めています。
しかし、結局のところ、誰もが体のトラブルを避けることはできません。そのため、長期的な健康を維持するためにさまざまな方法で抵抗力を強化し、同時に緊急事態に備えて保険にも加入します。
実際、企業にも同じことが当てはまります。喉が渇いたときに井戸を掘るのではなく、雨に備えて事前に計画を立てることをお勧めします。認識された脅威に抵抗するだけでなく、未知の脅威を防止し、トップレベルのセキュリティ計画とリアルタイムの状況認識を適切に実行し、リスク評価を標準化し、継続的な安全な運用を確保することも必要です。これは人々が自分自身のために行うのと同じです。保険を購入することは、サイバー保険を購入することと同じです。
とはいえ、そのような状況の中で、ネットワークセキュリティを学んで比較的まともな仕事に就きたければ、学校や教育を足がかりにするだけでなく、当然のことながら自分自身の能力を向上させる必要があります。
インターネット時代の人材の主流は、知識、思考、能力の複合化を含む複合型人材ですが、ネットワークセキュリティの分野では、ネットワークセキュリティ自体がセキュリティのあらゆる側面を考慮する必要があるため、複合型の性質がより顕著になります。
ワンポイントカット、類推理解、体系的なネットワークセキュリティ知識体系の確立、そして総合的思考力の継続的な強化こそがセキュリティ人材への道である。
大学入学を控えた話題の被験者にとっては、まだ始まったばかりですが、ネットワークの攻撃や防御に興味があるので、実務経験を積んでおいたほうが良いかもしれません。
例えば、大学のキャンパス内でセキュリティチームやセキュリティクラブなどの組織に応募して経験豊富な先輩とコミュニケーションを図ったり、各種セキュリティ競技会やチャレンジカップなどの技術イベントに参加して実際の一歩を踏み出したりすることができます。戦闘。
社会にはさらに多くのセキュリティ競技会が存在しており、TCTFやGeekPwnは自分の実力を発揮するための非常に重要な競技会であり、世界的なハッカーたちと同じ舞台で競い合うことで得られるものは想像をはるかに超えているはずです。
競技会だけでなく、ウェブサイトの脆弱性を掘り出してエンタープライズSRCに提出するなど、基礎知識を定着させ、学習効率を迅速に高めるための日常の実践業務も重要な課題です。
最後に、質問自体に戻りますが、ネットワーク セキュリティ専攻が良いかどうかについては人によって意見が異なりますが、ネットワーク セキュリティの状況は日に日に高まっており、その重要性はますます高まっています。「IDC Global Cybersecurity Spending Guide」の最新データによると、新型コロナウイルス流行の影響と促進により、世界のサイバーセキュリティ関連のハードウェア、ソフトウェア、およびサービス市場への投資総額は、2020 年に 1,252 億 1,000 万米ドルに達すると予想されています。2019年から前年比6.0%増加。一方、 Hitachi ID が企業の最高情報責任者 (CIO) を対象に行った最近の調査によると、2020 年下半期の IT 支出の最優先事項はサイバーセキュリティです。
世界がサイバーセキュリティに費やす支出が増えるにつれ、その価値と重要性は自明の理となります。専攻に関しては、それを選ぶか選ばないか、習うか習わないかは関係なく、そこにあり、メリットもデメリットも自分の裁量に任されています。
ネットワーク セキュリティを始めるにはどうすればよいですか?
具体的な技術的なポイントに入りますが、このネットワーク セキュリティ学習ルートの全体的な学習時間は、個人の状況にもよりますが、約半年です。
第一段階:基本操作を始め、基礎知識を学ぶ
始めるための最初のステップは、現在主流のセキュリティ ツール コースと基本原則に関するサポート書籍を学ぶことであり、一般に、このプロセスには約 1 か月かかります。
この段階で、サイバーセキュリティについての基本的な理解はすでに得ています。最初のステップを終えた方は、上記の SQL インジェクションや xss 攻撃とは何かを理論的に理解し、burp、msf、cs などのセキュリティ ツールの基本操作をマスターしていると思います。この時点で最も重要なことは、基礎を築き始めることです。
いわゆる「基礎」とは、実はコンピュータの基礎知識を体系的に学ぶことです。ネットワーク セキュリティをしっかり学びたい場合は、まず次の 5 つの基本知識モジュールを習得する必要があります。
1. オペレーティングシステム
2. プロトコル/ネットワーク
3. データベース
4. 開発言語
5. 一般的な脆弱性の原則
これらの基本を学ぶことが何の役に立つのでしょうか?
コンピューターのさまざまな分野の知識レベルによって、浸透レベルの上限が決まります。
[1] たとえば、高いレベルのプログラミングを持っている場合、コード監査では他の人よりも優れており、作成したエクスプロイト ツールは他の人よりも使いやすくなります。
[2] たとえば、データベースに関する高度な知識があれば、SQL インジェクション攻撃を実行するときに、他の人がバイパスできない WAF をバイパスできる、より優れた SQL インジェクション ステートメントを作成できます。
【3】例:ネットワークレベルが高いと、内部ネットワークに侵入する際に他のネットワーク構造よりも容易に対象のネットワーク構造を把握でき、自分がどこにいるのかを把握するためのネットワークトポロジーを取得したり、構成を取得したりすることができます。 router. ファイルの内容を確認すると、どのようなルートが作成されたかがわかります。
【4】別の例として、OSが良いと権限が強化され、情報収集効率が上がり、欲しい情報を効率的に絞り込むことができます。
第2段階:実際の運用
1. SRC の採掘
SRC を掘る目的は、主にスキルを実践することです。ネットワーク セキュリティを学ぶことの最大の幻想は、すべてを知っていると感じることですが、穴を掘ることになると何もできません。SRC は非常に良い機会です。スキルを適用するため。
2. 技術共有投稿から学ぶ(脆弱性マイニングタイプ)
過去10年間のゼロデイマイニング投稿をすべて見て学び、抜け穴を再現する環境を構築し、作者の掘り下げ思考を考え学び、自分自身の突き抜けた思考を養います。
3. 範囲練習
射撃場を自分で建設するか、無料の射撃場のウェブサイトにアクセスして練習するか、条件が整えば購入するか、信頼できる訓練機関に申し込むことができます。一般に、射撃場の練習をサポートするものがあります。
フェーズ 3: CTF 競技会または HVV 運用に参加する
推奨:CTFコンペティション
CTFには3つのポイントがあります。
【1】実戦に近いチャンス。今はネットワークセキュリティ法が非常に厳しくなったので、以前と違って誰でも自由に遊べるようになりました。
[2] トピックはテクノロジーの最前線に遅れをとっていますが、多くの本は遅れをとっています
【3】大学生であれば将来の就職にとても役立ちます
CTFの大会をプレイしたい場合は直接大会の質問へ、大会の質問が分からない場合は分からない内容に応じた情報へアクセスしてください
推奨:HVV(ガードネット)
HVV には次の 4 つのポイントがあります。
[1] 運動量も多く、自分自身のスキルアップにもなりますので、毎年開催されるHVVアクションに参加するのがベストです
【2】サークル内で多くの偉人と出会い、人脈が広がる
【3】HVVは給料も非常に高いので参加すればかなり稼げます
【4】CTFコンテストと同様、大学生であれば将来の就職にも非常に役立ちます
最後に、誰でも簡単に学習できる方法をまとめましたので、参考にしてください。
1. もっと本を読む
読書は常に最も効果的な方法です。本を理解するには一定の基礎が必要であるため、本が必ずしも最良の方法であるとは限りませんが、今のところ、本はより信頼できる方法です。
例:『ハッキングと防御――徹底解説 Webセキュリティ実戦』、『Webフロントエンドハッキング技術の秘密』、『セキュリティへの道:Web侵入技術の分析と実践事例(第2版)』
現在では、Web セキュリティに関する書籍が数多く出版されているため、学習の過程で多くの回り道を避けることができます。上記の推奨書籍を読むのが難しい場合は、読める Web セキュリティに関する書籍を探してください。
もちろん机上の話では浅いので、実践しないとどうなるか。
2. 共通ツールの学習
1. Burpsuite はプロキシを学習し、パケットをキャプチャして変更し、侵入者ブラスト モジュールを学習し、実用的な Bappアプリケーション ストアのプラグインを学習します。 2. Nmap は Nmap を使用してターゲット ホストによって開かれたポートを検出し、Nmap を使用してターゲット ホストのネットワーク サービスを検出します。 3.SQLMap は、SQLMap を使用して、データ取得の実践のために AWVS でスキャンされた SQL インジェクションの脆弱性をマイニングし、一般的なタイプの脆弱性を悪用します。
3. 学習と発達
1. 書籍「詳解PHP」
2. PHP を使用してディレクトリを一覧表示するスクリプトを作成する練習をします。パラメータを使用して任意のディレクトリを一覧表示できます。PHP を使用して Web ページのコンテンツを取得し、出力します。PHP を使用して Web ページのコンテンツを取得し、それを書き込みます。出力用の MySQL データベース。
養成講座を見つけて計画的に勉強することも可能です。
また、ネットワーク セキュリティ学習教材のセットも作成しました。これにより、他の教材を探す時間を節約できます。私はそのほとんどを読みましたが、どれも非常に優れています。
このオンライン セキュリティ学習教材の完全版がアップロードされました。必要な場合は、WeChat で以下の CSDN 公式認定の QR コードをスキャンするか、リンクをクリックして無料で取得できます [100% 無料を保証]
https://mp.weixin.qq.com/s/rB52cfWsdBq57z1eaftQaQ