网络安全求职指南

1. 安全行业到底有多少领域？具体在做什么？区别与联系是什么？

根据不同的安全规范、应用场景、技术实现等，安全可以有很多分类方法，在这里我们简单分为网络安全、Web安全、云安全、移动安全（手机）、桌面安全（电脑）、主机安全（服务器）、工控安全、无线安全、数据安全 等不同领域。下面以个人所在行业和关注点，重点探讨网络/Web/云这几个安全方向。

1.1 网络安全

[网络安全] 是安全行业最经典最基本的领域，也是目前国内安全公司发家致富的领域，例如启明星辰、绿盟科技、天融信这几个企业（“老三大” ）。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关（IPsec/SSL）、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术，我们可以设计并提供一个安全可靠的网络架构，为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。 
大的安全项目（肥肉…）主要集中在以政府/国企需求的政务网/税务网/社保网/电力网… 以运营商（移动/电信/联通）需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络，承载着国民最核心的基础设施和敏感数据，一旦泄露或者遭到非法入侵，影响范围就不仅仅是一个企业/公司/组织的事情，例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。 
当然，除了以上这些，还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT服务提供商等具备国家认定的计算机系统集成资质、安全等保/分保等行业资质的技术单位来提供。

[技能需求]

网络协议：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…

主流网络与安全设备部署：思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD…

网络安全架构与设计：企业网/电信网/政务网/教育网/数据中心网设计与部署…

信息安全等保/分保理论、金土/金税工程… 
……

[补充说明]

1、不要被电影和新闻等节奏带偏，战斗在这个领域的安全工程师非常非常多，不是天天攻击别人写攻击代码写病毒的才叫做安全工程师；

2、这个安全领域研究的内容除了defense（防御）和security（安全），相关的Hacking（攻击）技术包括协议安全（arp中间人攻击、dhcp泛洪欺骗、STP欺骗、DNS劫持攻击、HTTP/VPN弱版本或中间人攻击…）、接入安全（MAC泛洪与欺骗、802.1x、WiFi暴力破解…）、硬件安全（利用NSA泄露工具包攻击知名防火墙、设备远程代码执行漏洞getshell、网络设备弱口令破解.. ）、配置安全（不安全的协议被开启、不需要端口服务被开启…）…

3、学习这个安全方向不需要太多计算机编程功底，更多需要对网络协议能抓包分析，对网络和安全设备能熟悉配置；

4、参考课程：《拼客学院CCIE魔鬼训练营》。

1.2 Web安全

Web安全领域从狭义的角度来看，就是一门研究[网站安全]的技术，相比[网络安全]领域，普通用户能够更加直观感知。例如，网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据（例如新浪微博或淘宝网用户账号泄露，这个时候就会引发恐慌且相继修改密码等）。当然，大的安全项目里面，Web安全仅仅是一个分支，是需要跟[网络安全]是相辅相成的，只不过Web安全关注上层应用和数据，网络安全关注底层网络安全。 
随着Web技术的高速发展，从原来的[Web不就是几个静态网页吗？]到了现在的[Web就是互联网]，越来越多的服务与应用直接基于Web应用来展开，而不再仅仅是一个企业网站或论坛。如今，社交、电商、游戏、网银、邮箱、OA…..等几乎所有能联网的应用，都可以直接基于Web技术来提供。 
由于Web所承载的意义越来越大，围绕Web安全对应的攻击方法与防御技术也层出不穷，例如WAF（网页防火墙）、Web漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的Web安全产品也出现了。

[技能需求] 
Web安全的技能点同样多的数不过来，因为要搞Web方向的安全，意味初学者要对Web开发技术有所了解，例如能通过前后端技术做一个Web网站出来，好比要搞[网络安全]，首先要懂如何搭建一个网络出来。那么，Web技术就涉及到以下内容：

通信协议：TCP、HTTP、HTTPs

操作系统：Linux、Windows

服务架设：Apache、Nginx、LAMP、LNMP、MVC架构

数据库：MySQL、SQL Server、Oracle

编程语言：前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）

如果按照上面的技能全部学完，不仅时间周期非常长，估计大部分人连学后面安全的兴趣都没有了。所以，这就说到Web安全这个行业另外一个常态了：大部分做Web安全的，并不是刚开始就对Web开发技术非常熟悉的，很多都是半路杀出来了，甚至连Web网站都没有架设过的，这种大有人在。因此有更加狭义的Web安全技术点：

安全理论：OWASP TOP 10 、PETS、ISO 27001…

后端安全：SQL注入、文件上传、Webshell（木马）、文件包含、命令执行…

前端安全：XSS跨站脚本攻击、CSRF跨站请求伪造…

安全产品：Web漏洞扫描（Burp/WVS/Appscan）、WAF（Web应用防火墙）、IDS/IPS（Web入侵防御）、Web主机防护

因此，Web开发技术和Web安全技术其实是相辅相成的，如果对Web开发比较熟悉，意味着研究Web安全时能够更加底层，而不止于安全工具和脚本层面。

[补充说明]

1、学习Web安全方向需要有一定的编程基础，如果对代码没兴趣，建议走[网络安全]方向；

2、[网络安全]和[Web安全]在安全领域里面刚好是对立面存在，一硬一软、一防一攻、一上（上层）一下（底层）；

3、参考课程:《拼客学院Linux运维精品班》、《拼客学院Web安全渗透系列课》。