????????如何成為一名黑客，很多朋友在學(xué)習(xí)安全方面都會(huì)半路轉(zhuǎn)行，因?yàn)椴恢绾稳W(xué)，今天在知乎看到個(gè)不錯(cuò)的，果斷收藏學(xué)習(xí)下路線。此篇博客講的非常細(xì)，有興趣的同學(xué)可以參考（片尾有整理好的學(xué)習(xí)路線圖哦~）。

在這里，我將這個(gè)整份答案分為?黑客（網(wǎng)絡(luò)安全）入門必備、黑客（網(wǎng)絡(luò)安全）職業(yè)指南、黑客（網(wǎng)絡(luò)安全）學(xué)習(xí)導(dǎo)航?三大章節(jié)，涉及價(jià)值觀、方法論、執(zhí)行力、行業(yè)分類、職位解讀、法律法規(guī)政策、國(guó)家政府機(jī)構(gòu)、安全企業(yè)、安全媒體、安全工具、安全標(biāo)準(zhǔn)、書籍教材、視頻教程、學(xué)習(xí)路線、面試題、靶場(chǎng)、SRC、CTF 等 20+ 細(xì)分專題。

1. 黑客（網(wǎng)絡(luò)安全）入門必備關(guān)于「黑客」，每個(gè)人都有自己的定義和理解。我認(rèn)為，一名合格的黑客，拋開技術(shù)層面，首先應(yīng)該具備以下這些能力或品質(zhì)：

正直善良的價(jià)值觀：遵法守紀(jì)、嚴(yán)守底線、拒絕黑灰產(chǎn)

科學(xué)合理的方法論：終身成長(zhǎng)、知識(shí)管理、第一性原理

持續(xù)有效的執(zhí)行力：自我驅(qū)動(dòng)、實(shí)踐為先、結(jié)果導(dǎo)向

以上排序，權(quán)重應(yīng)該是從上到下的。畢竟，一個(gè)人的價(jià)值觀會(huì)影響他（她）選擇的方法論，而一個(gè)人的方法論則會(huì)決定他（她）做事的結(jié)果。

1.1 首先，黑客需要有「正直善良的價(jià)值觀」。?

學(xué)習(xí)并掌握了所謂的「黑客技術(shù)」之后，即便從事的不是保家衛(wèi)國(guó)護(hù)網(wǎng)之類的網(wǎng)絡(luò)安全職位，你仍有較大幾率聽聞或接觸到這些關(guān)鍵詞：拿站、脫褲、掛馬、菠菜、資金盤、黑帽 SEO、殺豬盤、薅羊毛……

相信我，在互聯(lián)網(wǎng)上，拒絕黑灰產(chǎn)要跟拒絕黃賭毒一樣堅(jiān)決，一旦你碰了，是很難回頭的。人性在巨大的金額回報(bào)誘惑下，是很容易搖擺的。到底向左還是向右走，真的取決于你的價(jià)值觀取向。

因此，秉持正直善良的價(jià)值觀、遵法守紀(jì)、嚴(yán)守底線，是你進(jìn)入黑客之旅務(wù)必要攜帶的護(hù)符，它能為你驅(qū)除雜念、為你的職業(yè)生涯保衛(wèi)護(hù)航。

1.2 其次，黑客需要有「科學(xué)合理的方法論」。黑客或網(wǎng)絡(luò)安全學(xué)科，起源計(jì)算機(jī)科學(xué)，但又不止于計(jì)算機(jī)，還涉及社會(huì)工程學(xué)、心理學(xué)、信息戰(zhàn)等多個(gè)領(lǐng)域，學(xué)習(xí)曲線屬于典型的「入門易精深難」。

進(jìn)入這個(gè)圈子之前，相信聰明的你已經(jīng)積累了很多關(guān)于「如何學(xué)習(xí)」「如何堅(jiān)持」等各種方法，但當(dāng)面對(duì)的是海量涌來的知識(shí)、敲不完的代碼、無法窮盡的漏洞時(shí)，你真的能堅(jiān)持下來嗎？

大部分人走著走著就迷路了，本質(zhì)是缺少方法論的支撐，各行各業(yè)的方法論很多，這里僅分享對(duì)我個(gè)人影響最為深刻的 3 個(gè)：

終身成長(zhǎng)，即采用持續(xù)成長(zhǎng)的心態(tài)，將學(xué)習(xí)與成長(zhǎng)周期無限拉長(zhǎng)到一生。?很多人喜歡將 “過了 xx 歲就學(xué)不動(dòng)了” 之類的掛在嘴別，在我看來要么是誤區(qū)要么是借口，這樣觀念無非是用來掩飾自己懶惰不愿成長(zhǎng)不想改變的心態(tài)。如果你接受這些傳統(tǒng)觀念，那只能說明你不適合做一名黑客。相反地，采用終身成長(zhǎng)這套方法論，將「做一名黑客」的時(shí)間跨度無限拉長(zhǎng)到一生，把它當(dāng)成一生的事業(yè)而不是一個(gè)短暫的職位，那么，我們的學(xué)習(xí)耐心、學(xué)習(xí)深度、學(xué)習(xí)廣度也將會(huì)無限放大。不要跟任何人比較，給自己多點(diǎn)時(shí)間和耐心，3 個(gè)月不行就 6 個(gè)月， 6 個(gè)月不行就 1 年，1 年不行就 2 年……?這個(gè)方法論的實(shí)踐，可以讓我們?cè)诔砷L(zhǎng)路上戒驕戒躁并持續(xù)精進(jìn)，不妄求短時(shí)間內(nèi)“大躍進(jìn)”，也拋棄了“一口吃撐”的激進(jìn)做法。

知識(shí)管理，即 PKM（Personal Knowledge Management ），是研究如何科學(xué)高效管理知識(shí)的一套方法論。考慮到黑客或網(wǎng)絡(luò)安全領(lǐng)域的跨學(xué)科特性，需要掌握的知識(shí)量非常繁雜，超過了大部分人的承載能力。因此，如果你要做黑客，那么我推薦你采用 PKM 來構(gòu)建自己的知識(shí)管理系統(tǒng)，持續(xù)優(yōu)化輸入輸出路徑，打造最優(yōu)學(xué)習(xí)閉環(huán)。采用這個(gè)方法論，最終可以讓我們得到這個(gè)結(jié)果：學(xué)習(xí)能力比別人強(qiáng)一點(diǎn)、成長(zhǎng)速度比別人快一點(diǎn)。?

第一性原理，即 First Principle Thinking，簡(jiǎn)單來說就是透過事物現(xiàn)象看本質(zhì)。很多人在剛學(xué)習(xí)黑客或網(wǎng)絡(luò)安全技術(shù)時(shí)，經(jīng)常會(huì)有這些問題：我在學(xué)校學(xué)的編程語(yǔ)言是 C/C++，Java / Python 這些能學(xué)會(huì)嗎？我是做軟件開發(fā)的，能從事網(wǎng)絡(luò)安全方向嗎？我是搞 Web 安全的，能轉(zhuǎn)移動(dòng)安全嗎？…… 有這些問題的人，大體缺乏這套方法論的使用經(jīng)驗(yàn)。例如，學(xué)編程，以第一性原理的視角來看，核心不是學(xué)語(yǔ)法，而更應(yīng)重視算法、數(shù)據(jù)結(jié)構(gòu)、代碼邏輯這些，搞定這些底層，其實(shí)根本不存在語(yǔ)言切換的問題。同理，做軟件開發(fā)就是用代碼研制出產(chǎn)品（網(wǎng)站/業(yè)務(wù)系統(tǒng)/APP等），而做網(wǎng)絡(luò)安全就是給產(chǎn)品找bug，兩者相輔相成，即「不懂軟件開發(fā)的程序員不是一個(gè)合格的黑客」。以上僅是這套方法論的粗淺舉例，在此先不展開。我更想說的是，作為一名黑客，采用這套方法論，可以讓我們：習(xí)慣用why而不是what、思考更深入一點(diǎn)、知識(shí)更通透一點(diǎn)。

價(jià)值觀再正，方法論再好，若沒有執(zhí)行力，那便是紙上談兵。例如，看書學(xué)習(xí)處于“三天打魚兩天曬網(wǎng)”的狀態(tài)，這就是典型的執(zhí)行力出了問題。

1.3 因此，「持續(xù)有效的執(zhí)行力」也是黑客必備的能力。那么，如何做到持續(xù)有效執(zhí)行（學(xué)習(xí)/工作/成長(zhǎng)）？我認(rèn)為有 3 個(gè)點(diǎn)：

自我驅(qū)動(dòng)。對(duì)各類技術(shù)知識(shí)足夠狂熱、有強(qiáng)烈的興趣和好奇心、遇到問題刨根問底、有較強(qiáng)的自律能力…… 只有保持這樣的自我驅(qū)動(dòng)，才能真正做到持續(xù)穩(wěn)定。

實(shí)踐為先。學(xué)到的知識(shí)是否真的有用，先動(dòng)手再說，所謂“實(shí)踐出真知”。

結(jié)果導(dǎo)向。同樣是干活，也有“干了”和“干好”的差別。因此，無論看書做實(shí)驗(yàn)搞項(xiàng)目，一定要結(jié)果導(dǎo)向，用數(shù)據(jù)和效果說話。

簡(jiǎn)單來說，保持自我驅(qū)動(dòng)的狀態(tài)，多動(dòng)手實(shí)踐，以結(jié)果為依據(jù)，以此獲得持續(xù)有效的執(zhí)行力，這是學(xué)習(xí)或從事黑客（網(wǎng)絡(luò)安全）工作的基石。

2. 黑客（網(wǎng)絡(luò)安全）職業(yè)指南

在 2017 年 6 月 1 號(hào)之前，即網(wǎng)絡(luò)安全法出臺(tái)之前，黑客在公眾眼里甚至是個(gè)貶義詞，在企業(yè)里面，安全工程師甚至是可有可無的“消耗型”崗位。

而隨著《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》《等保2.0》等一系列政策/法規(guī)/標(biāo)準(zhǔn)的持續(xù)落地，網(wǎng)絡(luò)安全產(chǎn)業(yè)從小眾產(chǎn)業(yè)逐步發(fā)展成為國(guó)家戰(zhàn)略性新興產(chǎn)業(yè)，與人工智能、大數(shù)據(jù)、云計(jì)算等領(lǐng)域并駕齊驅(qū)。

政企單位的網(wǎng)絡(luò)安全建設(shè)也從以往的“可選項(xiàng)”逐步變?yōu)椤氨剡x項(xiàng)”甚至是“強(qiáng)制項(xiàng)”，很多企業(yè)在進(jìn)行 IT 部門及崗位劃分時(shí)，以往往往只有研發(fā)和運(yùn)維部門，安全人員直接歸屬到基礎(chǔ)運(yùn)維部；而現(xiàn)在，越來越多企業(yè)成立獨(dú)立的安全部門，拉攏各方安全人才、組建 SRC（安全響應(yīng)中心），為自己的產(chǎn)品、應(yīng)用、數(shù)據(jù)保衛(wèi)護(hù)航。

越來越多高校也陸續(xù)開設(shè)了網(wǎng)絡(luò)空間安全 / 信息安全學(xué)科，為互聯(lián)網(wǎng)、金融、電商、運(yùn)營(yíng)商、政企等各行各業(yè)輸送人才。

短短幾年間，黑客不僅成為了正規(guī)軍，還直接躍升為國(guó)家戰(zhàn)略型資源，成為企業(yè)“一將難求”的稀缺資源。

因此，要想體系化的了解黑客的職業(yè)發(fā)展道路，那我們就必須了解網(wǎng)絡(luò)安全行業(yè)的方方面面，包括：

網(wǎng)絡(luò)安全行業(yè)分類、技能需求

網(wǎng)絡(luò)安全職位分類、招聘需求

網(wǎng)絡(luò)安全招聘企業(yè)、薪酬標(biāo)準(zhǔn)

2.1 網(wǎng)絡(luò)安全行業(yè)分類、技能需求根據(jù)不同的安全規(guī)范、應(yīng)用場(chǎng)景、技術(shù)實(shí)現(xiàn)等，安全可以有很多分類方法，在這里我們簡(jiǎn)單分為網(wǎng)絡(luò)安全、Web安全、云安全、移動(dòng)安全（手機(jī)）、桌面安全（電腦）、主機(jī)安全（服務(wù)器）、工控安全、無線安全、數(shù)據(jù)安全?等不同領(lǐng)域。下面以個(gè)人所在行業(yè)和關(guān)注點(diǎn)，重點(diǎn)探討 網(wǎng)絡(luò) / Web / 云這幾個(gè)安全方向。

① 網(wǎng)絡(luò)安全

[網(wǎng)絡(luò)安全] 是安全行業(yè)最經(jīng)典最基本的領(lǐng)域，也是目前國(guó)內(nèi)安全公司發(fā)家致富的領(lǐng)域，例如啟明星辰、綠盟科技、天融信這幾個(gè)企業(yè)（“老三大” ）。這個(gè)領(lǐng)域研究的技術(shù)范疇主要圍繞防火墻/NGFW/UTM、網(wǎng)閘、入侵檢測(cè)/防御、VPN網(wǎng)關(guān)（IPsec/SSL）、抗DDOS、上網(wǎng)行為管理、負(fù)載均衡/應(yīng)用交付、流量分析、漏洞掃描等。通過以上網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)，我們可以設(shè)計(jì)并提供一個(gè)安全可靠的網(wǎng)絡(luò)架構(gòu)，為政府/國(guó)企、互聯(lián)網(wǎng)、銀行、醫(yī)院、學(xué)校等各行各行的網(wǎng)絡(luò)基礎(chǔ)設(shè)施保駕護(hù)航。

大的安全項(xiàng)目（肥肉…）主要集中在以政府/國(guó)企需求的政務(wù)網(wǎng)/稅務(wù)網(wǎng)/社保網(wǎng)/電力網(wǎng)… 以運(yùn)營(yíng)商（移動(dòng)/電信/聯(lián)通）需求的電信網(wǎng)/城域網(wǎng)、以銀行為主的金融網(wǎng)、以互聯(lián)網(wǎng)企業(yè)需求的數(shù)據(jù)中心網(wǎng)等。以上這些網(wǎng)絡(luò)，承載著國(guó)民最核心的基礎(chǔ)設(shè)施和敏感數(shù)據(jù)，一旦泄露或者遭到非法入侵，影響范圍就不僅僅是一個(gè)企業(yè)/公司/組織的事情，例如政務(wù)或軍工涉密數(shù)據(jù)、國(guó)民社保身份信息、骨干網(wǎng)絡(luò)基礎(chǔ)設(shè)施、金融交易賬戶信息等。

當(dāng)然，除了以上這些，還有其他的企業(yè)網(wǎng)、教育網(wǎng)等也需要大量的安全產(chǎn)品和服務(wù)。網(wǎng)絡(luò)安全項(xiàng)目一般會(huì)由網(wǎng)絡(luò)安全企業(yè)、系統(tǒng)集成商、網(wǎng)絡(luò)與安全代理商、IT服務(wù)提供商等具備國(guó)家認(rèn)定的計(jì)算機(jī)系統(tǒng)集成資質(zhì)、安全等保等行業(yè)資質(zhì)的技術(shù)單位來提供。

[技能需求]

網(wǎng)絡(luò)協(xié)議：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…

主流網(wǎng)絡(luò)與安全設(shè)備部署：思科/華為/華三/銳捷/Juniper/飛塔、路由器/交換機(jī)、防火墻、IDS/IPS、VPN、AC/AD…

網(wǎng)絡(luò)安全架構(gòu)與設(shè)計(jì)：企業(yè)網(wǎng)/電信網(wǎng)/政務(wù)網(wǎng)/教育網(wǎng)/數(shù)據(jù)中心網(wǎng)設(shè)計(jì)與部署…

信息安全等保標(biāo)準(zhǔn)、金土/金稅工程… ……

[補(bǔ)充說明]

不要被電影和新聞等節(jié)奏帶偏，戰(zhàn)斗在這個(gè)領(lǐng)域的安全工程師非常非常多，不是天天攻擊別人寫攻擊代碼寫病毒的才叫做安全工程師；

這個(gè)安全領(lǐng)域研究的內(nèi)容除了defense（防御）和security（安全），相關(guān)的Hacking（攻擊）技術(shù)包括協(xié)議安全（arp中間人攻擊、dhcp泛洪欺騙、STP欺騙、DNS劫持攻擊、HTTP/VPN弱版本或中間人攻擊…）、接入安全（MAC泛洪與欺騙、802.1x、WiFi暴力破解…）、硬件安全（利用NSA泄露工具包攻擊知名防火墻、設(shè)備遠(yuǎn)程代碼執(zhí)行漏洞getshell、網(wǎng)絡(luò)設(shè)備弱口令破解.. ）、配置安全（不安全的協(xié)議被開啟、不需要端口服務(wù)被開啟…）…

學(xué)習(xí)這個(gè)安全方向不需要太多計(jì)算機(jī)編程功底（不是走研發(fā)路線而是走安全服務(wù)工程師路線），更多需要掌握常見安全網(wǎng)絡(luò)架構(gòu)、對(duì)網(wǎng)絡(luò)協(xié)議和故障能抓包分析，對(duì)網(wǎng)絡(luò)和安全設(shè)備能熟悉配置；

② Web安全

Web安全領(lǐng)域從狹義的角度來看，就是一門研究[網(wǎng)站安全]的技術(shù)，相比[網(wǎng)絡(luò)安全]領(lǐng)域，普通用戶能夠更加直觀感知。例如，網(wǎng)站不能訪問了、網(wǎng)站頁(yè)面被惡意篡改了、網(wǎng)站被黑客入侵并泄露核心數(shù)據(jù)（例如新浪微博或淘寶網(wǎng)用戶賬號(hào)泄露，這個(gè)時(shí)候就會(huì)引發(fā)恐慌且相繼修改密碼等）。當(dāng)然，大的安全項(xiàng)目里面，Web安全僅僅是一個(gè)分支，是需要跟[網(wǎng)絡(luò)安全]是相輔相成的，只不過Web安全關(guān)注上層應(yīng)用和數(shù)據(jù)，網(wǎng)絡(luò)安全關(guān)注底層網(wǎng)絡(luò)安全。

隨著Web技術(shù)的高速發(fā)展，從原來的[Web不就是幾個(gè)靜態(tài)網(wǎng)頁(yè)嗎？]到了現(xiàn)在的[Web就是互聯(lián)網(wǎng)]，越來越多的服務(wù)與應(yīng)用直接基于Web應(yīng)用來展開，而不再僅僅是一個(gè)企業(yè)網(wǎng)站或論壇。如今，社交、電商、游戲、網(wǎng)銀、郵箱、OA…..等幾乎所有能聯(lián)網(wǎng)的應(yīng)用，都可以直接基于Web技術(shù)來提供。

由于Web所承載的意義越來越大，圍繞Web安全對(duì)應(yīng)的攻擊方法與防御技術(shù)也層出不窮，例如WAF（網(wǎng)頁(yè)防火墻）、Web漏洞掃描、網(wǎng)頁(yè)防篡改、網(wǎng)站入侵防護(hù)等更加細(xì)分垂直的Web安全產(chǎn)品也出現(xiàn)了。

[技能需求]?Web安全的技能點(diǎn)同樣多的數(shù)不過來，因?yàn)橐鉝eb方向的安全，意味初學(xué)者要對(duì)Web開發(fā)技術(shù)有所了解，例如能通過前后端技術(shù)做一個(gè)Web網(wǎng)站出來，好比要搞[網(wǎng)絡(luò)安全]，首先要懂如何搭建一個(gè)網(wǎng)絡(luò)出來。那么，Web技術(shù)就涉及到以下內(nèi)容：

通信協(xié)議：TCP、HTTP、HTTPs

操作系統(tǒng)：Linux、Windows

服務(wù)架設(shè)：Apache、Nginx、LAMP、LNMP、MVC架構(gòu)

數(shù)據(jù)庫(kù)：MySQL、SQL Server、Oracle

編程語(yǔ)言：前端語(yǔ)言（HTML/CSS/JavaScript）、后端語(yǔ)言（PHP/Java/ASP/Python）

如果按照上面的技能全部學(xué)完，不僅時(shí)間周期非常長(zhǎng)，估計(jì)大部分人連學(xué)后面安全的興趣都沒有了。所以，這就說到Web安全這個(gè)行業(yè)另外一個(gè)常態(tài)了：大部分做Web安全的，并不是剛開始就對(duì)Web開發(fā)技術(shù)非常熟悉的，很多都是半路殺出來了，甚至連Web網(wǎng)站都沒有架設(shè)過的，這種大有人在。因此有更加狹義的Web安全技術(shù)點(diǎn)：

安全理論：OWASP TOP 10 、PETS、ISO 27001…

后端安全：SQL注入、文件上傳、Webshell（木馬）、文件包含、命令執(zhí)行…

前端安全：XSS跨站腳本攻擊、CSRF跨站請(qǐng)求偽造…

安全產(chǎn)品：Web漏洞掃描（Burp/WVS/Appscan）、WAF（Web應(yīng)用防火墻）、IDS/IPS（Web入侵防御）、Web主機(jī)防護(hù)

因此，Web開發(fā)技術(shù)和Web安全技術(shù)其實(shí)是相輔相成的，如果對(duì)Web開發(fā)比較熟悉，意味著研究Web安全時(shí)能夠更加底層，而不止于安全工具和腳本層面。

[補(bǔ)充說明]

學(xué)習(xí) Web 安全方向需要有一定的編程基礎(chǔ)，如果對(duì)代碼沒興趣，建議走[網(wǎng)絡(luò)安全]方向；

[網(wǎng)絡(luò)安全]和[Web安全]在安全領(lǐng)域里面剛好是對(duì)立面存在，一硬一軟、一防一攻、一上（上層）一下（底層）；

③ 終端安全（移動(dòng)安全/桌面安全）

移動(dòng)安全主要研究例如手機(jī)、平板、智能硬件等移動(dòng)終端產(chǎn)品的安全，例如iOS和Android安全，我們經(jīng)常提到的“越獄”其實(shí)就是移動(dòng)安全的范疇。而近期爆發(fā)的危機(jī)全球的Windows電腦蠕蟲病毒 - “WannerCry勒索病毒”，或者更加久遠(yuǎn)的“熊貓燒香”，便是桌面安全的范疇。

桌面安全和移動(dòng)安全研究的技術(shù)面都是終端安全領(lǐng)域，說的簡(jiǎn)單一些，一個(gè)研究電腦，一個(gè)研究手機(jī)。隨著我們工作和生活，從PC端遷移到了移動(dòng)端，終端安全也從桌面安全遷移到移動(dòng)安全。最熟悉不過的終端安全產(chǎn)品，便是360、騰訊、金山毒霸、瑞星、賽門鐵克、邁克菲McAfee、諾頓等全家桶……

從商業(yè)的角度看，終端安全（移動(dòng)安全加桌面安全）是一門to C的業(yè)務(wù)，更多面向最終個(gè)人和用戶；而網(wǎng)絡(luò)安全、Web安全、云安全更多是一門to B的業(yè)務(wù)，面向政企單位。舉例：360這家公司就是典型的從to C安全業(yè)務(wù)延伸到to B安全業(yè)務(wù)的公司，例如360企業(yè)安全便是面向政企單位提供安全產(chǎn)品和服務(wù)，而我們熟悉的360安全衛(wèi)士和殺毒則主要面向個(gè)人用戶。

④ 云安全

[云安全]?是基于云計(jì)算技術(shù)來開展的另外一個(gè)安全領(lǐng)域，云安全研究的話題包括：軟件定義安全、超融合安全、虛擬化安全、機(jī)器學(xué)習(xí)+大數(shù)據(jù)+安全….. 目前，基于云計(jì)算所展開的安全產(chǎn)品已經(jīng)非常多了，涵蓋原有網(wǎng)絡(luò)安全、Web安全、移動(dòng)安全等方向，包括云防火墻、云抗DDOS、云漏掃、云桌面等，國(guó)內(nèi)的騰訊云、阿里云已經(jīng)有相對(duì)成熟的商用解決方案出現(xiàn)。

云安全在產(chǎn)品形態(tài)和商用交付上面，實(shí)現(xiàn)安全從硬件到軟件再到云的變革，大大減低了傳統(tǒng)中小型企業(yè)使用安全產(chǎn)品的門檻，以前一個(gè)安全項(xiàng)目動(dòng)輒百萬級(jí)別，而基于云安全，實(shí)現(xiàn)了真正的按需彈性購(gòu)買，大大減低采購(gòu)成本。另外，云時(shí)代的安全也給原有行業(yè)的規(guī)范和實(shí)施帶來更多挑戰(zhàn)和變革，例如，托管在云端的商用服務(wù)，云服務(wù)商和客戶各自承擔(dān)的安全建設(shè)責(zé)任和邊界如何區(qū)分？云端安全項(xiàng)目如何做信息安全等保測(cè)評(píng)？

[補(bǔ)充說明]

安全趨勢(shì)：從硬件到軟件再到云安全、從被動(dòng)防御到主動(dòng)防御、從單點(diǎn)到全局

安全的未來：“機(jī)器學(xué)習(xí)+大數(shù)據(jù)+ 云安全” 或 “AI + 安全”，會(huì)不會(huì)成為行業(yè)終點(diǎn)？（舉例：越來越多的服務(wù)直接基于云展開，以云服務(wù)商為代表的阿里云/騰訊云對(duì)其他安全企業(yè)的跨界打擊）

求職情況：目前國(guó)內(nèi)的云服務(wù)廠商在不斷挖角傳統(tǒng)網(wǎng)絡(luò)安全廠商的人才（無論是研發(fā)還是工程實(shí)施），而且已經(jīng)到了批量挖角的局面（具體哪里的，這里暫時(shí)就不提了...）

⑤ 工控安全

以震網(wǎng)病毒（stuxnet）攻擊伊朗核電廠并使其癱瘓的全球事件，從安全領(lǐng)域活生生撕開一道口并告訴我們，工控病毒才是真正代替核武器戰(zhàn)爭(zhēng)的代表。相比其他安全方向，工控安全研究的攻防對(duì)象是工業(yè)基礎(chǔ)設(shè)施，真正影響人類生活的方方面面，例如核電、電力、水力、城市交通等基礎(chǔ)設(shè)施。隨著萬物互聯(lián)/物聯(lián)網(wǎng)的進(jìn)程不斷推進(jìn)，工控安全會(huì)成為我們繼互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)安全之后研究的重心。

2.2 網(wǎng)絡(luò)安全職位分類、招聘需求

① 安全崗位

以安全公司招聘的情況來分，安全崗位可以以研發(fā)系、工程系、銷售系來區(qū)分，不同公司對(duì)于安全崗位叫法有所區(qū)分，這里以行業(yè)常見的叫法歸類如下：

研發(fā)系：安全研發(fā)、安全攻防研究、逆向分析

工程系：安全工程師、安全運(yùn)維工程師、安全服務(wù)工程師、安全技術(shù)支持、安全售后、滲透測(cè)試工程師、Web安全工程師、應(yīng)用安全審計(jì)、移動(dòng)安全工程師

銷售系：安全銷售工程師、安全售前工程師、技術(shù)解決方案工程師

② 適合我們的崗位有哪些？

拼客學(xué)院這邊畢業(yè)學(xué)員主要走安全工程系，我們目前主要應(yīng)聘的崗位是：安全工程師、安全運(yùn)維、安全服務(wù)工程師、滲透測(cè)試工程師、Web安全工程師，當(dāng)然，也有部分學(xué)員在做安全研發(fā)和安全售前崗位。

例如在安全公司如綠盟科技、深信服、360、天融信等做安全工程師、安全服務(wù)、滲透測(cè)試等崗位，在甲方單位例如運(yùn)營(yíng)商（中國(guó)移動(dòng)、中國(guó)電信）、金融類公司（平安科技、招商銀行）等更多做安全運(yùn)維、Web應(yīng)用審計(jì)、Web滲透測(cè)試等崗位

③ 常見的安全崗位職責(zé)

這里僅列舉部分，更多崗位可以到各類招聘網(wǎng)站如[拉勾網(wǎng)]上搜索相關(guān)的崗位，也可以了解不同類型公司對(duì)安全崗位的要求；也可以到知名安全公司的官網(wǎng)、微信公眾號(hào)上了解他們校招和社招的信息；以下是平常在拼客學(xué)院招聘/內(nèi)推的比較多的崗位，直接貼他們的招聘需求=>?

[安全工程師]（產(chǎn)品與售后方向）?職位描述?負(fù)責(zé)網(wǎng)絡(luò)安全項(xiàng)目中的產(chǎn)品調(diào)試和交付 負(fù)責(zé)網(wǎng)絡(luò)安全項(xiàng)目中的技術(shù)方案編寫 負(fù)責(zé)客戶的安全應(yīng)急和售后駐場(chǎng)

職位要求?具備扎實(shí)的計(jì)算機(jī)與網(wǎng)絡(luò)原理，熟悉各類網(wǎng)絡(luò)與安全設(shè)備（路由、交換、防火墻、VPN、漏洞掃描） 對(duì)網(wǎng)絡(luò)數(shù)據(jù)包具備分析實(shí)踐能力，熟練使用數(shù)據(jù)包分析工具； 熟悉常見網(wǎng)絡(luò)通信協(xié)議（TCP/IP、交換路由協(xié)議、VPN協(xié)議等） 熟悉防火墻原理，能夠熟練配置防火墻策略； 熟悉主流網(wǎng)絡(luò)與安全廠商產(chǎn)品（思科/華為/華三/Juniper…） 較好的文檔撰寫能力、語(yǔ)言表達(dá)和與溝通能力。

[安全服務(wù)工程師]?職位描述?負(fù)責(zé)安全服務(wù)項(xiàng)目中的實(shí)施部分，包括：漏洞掃描、滲透測(cè)試、安全基線檢查、代碼審計(jì)、應(yīng)急響應(yīng)等； 爆發(fā)高危漏洞后時(shí)行漏洞的分析應(yīng)急； 對(duì)公司安全產(chǎn)品的后端支持； 掌握專業(yè)文檔編寫技巧； 關(guān)注行業(yè)態(tài)勢(shì)和熱點(diǎn)。

職位要求?掌握一門及以上編程語(yǔ)言； 熟悉常見安全攻防技術(shù)； 有較強(qiáng)學(xué)習(xí)能力，能快速學(xué)習(xí)新的技術(shù)； 熟悉風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)、滲透測(cè)試、安全加固等安全服務(wù)； 具有良好的語(yǔ)言表達(dá)能力、文檔組織能力。

[安全運(yùn)維工程師]?職位描述?服務(wù)器與網(wǎng)絡(luò)基礎(chǔ)設(shè)備的安全加固； 安全事件排查與分析，配合定期編寫安全分析報(bào)告，專注業(yè)內(nèi)安全事件； 跟蹤最新漏洞信息，進(jìn)行業(yè)務(wù)產(chǎn)品的安全檢查； 負(fù)責(zé)信息安全策略/流程的制定,安全培訓(xùn)/宣傳及推廣； 負(fù)責(zé)Web漏洞和系統(tǒng)漏洞修復(fù)工作推進(jìn)，跟蹤解決情況，問題收集。

職位要求?熟悉主流的Web安全技術(shù)，包括SQL注入、XSS、CSRF等OWASP TOP 10安全風(fēng)險(xiǎn)； 熟悉TCP/IP協(xié)議，路由交換、常用的應(yīng)用層協(xié)議； 熟悉Linux/Windows下系統(tǒng)和軟件的安全配置與加固； 熟悉常見的安全產(chǎn)品及原理，例如IDS、IPS、防火墻等； 熟練掌握C/PHP/Python/Shell等一或多種語(yǔ)言； 較好的文檔撰寫能力、語(yǔ)言表達(dá)和與溝通能力。

[Web安全工程師/滲透測(cè)試]?職位描述?對(duì)公司各類系統(tǒng)進(jìn)行安全加固； 對(duì)公司網(wǎng)站、業(yè)務(wù)系統(tǒng)進(jìn)行安全評(píng)估測(cè)試（黑盒、白盒測(cè)試）； 對(duì)公司安全事件進(jìn)行響應(yīng)，清理后門，根據(jù)日志分析攻擊途徑； 安全技術(shù)研究，包括安全防范技術(shù)，黑客技術(shù)等； 跟蹤最新漏洞信息，進(jìn)行業(yè)務(wù)產(chǎn)品的安全檢查。

職位要求?熟悉Web滲透測(cè)試方法和攻防技術(shù)，包括SQL注入、XSS跨站、CSRF偽造請(qǐng)求、命令執(zhí)行等安全漏洞與防御； 熟悉Linux、Windows不同平臺(tái)的滲透測(cè)試，對(duì)網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全有深入的理解和自己的認(rèn)識(shí)； 熟悉國(guó)內(nèi)外主流安全工具，包括Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等； 至少掌握一門編程語(yǔ)言C/JS/Python/PHP/Java/JS等； 對(duì)Web安全整體有深刻理解，有一定的代碼審計(jì)和漏洞分析和挖掘能力； 具有較強(qiáng)的團(tuán)隊(duì)意識(shí)、高度的責(zé)任感，有良好的文檔和溝通能力；

④ 安全崗位總結(jié)

走安全行業(yè)的工程方向的，技術(shù)上面其實(shí)有很大的重疊性，拋開甲乙方、崗位名稱、崗位職責(zé)等因素來看，作為學(xué)技術(shù)的，也根據(jù)以往我們給學(xué)員推薦就業(yè)和入職情況來看，只要好好掌握以下幾種技術(shù)（網(wǎng)絡(luò)協(xié)議與安全設(shè)備、Linux操作系統(tǒng)、Web服務(wù)部署/開發(fā)、主流滲透測(cè)試/安全工具、一門及以上的編程語(yǔ)言）中的2到3個(gè)，都可以較好的勝任工作需求。

當(dāng)然，從行業(yè)新人入職到真正通往大神，這里是“0到1”和“1到100”的區(qū)別了，到了工作場(chǎng)景中，能否根據(jù)工作需求，再橫向和縱向拓展個(gè)人技術(shù)棧，這塊修行就完全靠個(gè)人了，例如，這邊畢業(yè)的學(xué)員，有從安全運(yùn)維和售后轉(zhuǎn)向安全滲透崗的，有從安全滲透崗轉(zhuǎn)到安全研發(fā)的，有從安全公司跳到互聯(lián)網(wǎng)公司的，有從互聯(lián)網(wǎng)公司跳到安全初創(chuàng)企業(yè)的……）

3. 網(wǎng)絡(luò)安全學(xué)習(xí)導(dǎo)航

3.1 法律法規(guī)政策知道在什么框架下行事《中華人民共和國(guó)刑法》

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0》

3.2 國(guó)家政府機(jī)構(gòu)知道誰(shuí)在管事中央網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組：http://www.cac.gov.cn/

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心：http://www.cert.org.cn/

中國(guó)國(guó)家信息安全漏洞庫(kù)：http://www.cnnvd.org.cn/

國(guó)家信息安全漏洞共享中心：http://www.cnvd.org.cn/

中國(guó)信息安全測(cè)評(píng)中心：http://www.itsec.gov.cn/

中國(guó)信息安全等級(jí)保護(hù)網(wǎng)：http://www.djbh.net/

中國(guó)反網(wǎng)絡(luò)病毒聯(lián)盟：https://www.anva.org.cn/

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心：http://www.cnnic.net.cn/

3.3 安全企業(yè)站點(diǎn)知道安全圈的主要玩家都有誰(shuí)國(guó)外安全公司：

Fireeye：https://www.fireeye.com/

Checkpoint：https://www.checkpoint.com/

Fortinet（飛塔）：http://www.fortinet.com.cn/

Palo Alto：https://www.paloaltonetworks.cn/

思科（安全）：http://www.cisco.com/c/zh_cn/products/security/index.html

Juniper（瞻博網(wǎng)絡(luò)）：http://www.juniper.net/cn/zh/

國(guó)內(nèi)安全公司：

綠盟科技：https://www.nsfocus.com/

啟明星辰：https://www.venustech.com.cn/

深信服：http://www.sangfor.com.cn/

奇虎360：https://#/

奇安信：https://www.qianxin.com/

天融信：https://www.topsec.com.cn/

山石網(wǎng)科：https://www.hillstonenet.com.cn/

知道創(chuàng)宇：https://www.yunaq.com/

安恒信息：https://www.dbappsecurity.com.cn/

火絨安全：https://www.huorong.cn/

藍(lán)盾科技：http://www.bluedon.com/

科來：http://www.colasoft.com.cn/

3.4 安全媒體安全客：https://www.anquanke.com/

FreeBuf：https://www.freebuf.com/

E安全：https://www.easyaq.com/

3.5 安全工具sectool：http://sectools.org/

kali：https://www.kali.org/

nmap：https://nmap.org/

wireshark：https://www.wireshark.org/

metaspolit：https://www.metasploit.com/

nessus：http://www.tenable.com/

openvas：http://www.openvas.org/

sqlmap：http://sqlmap.org/

w3af：http://w3af.org/

burpsuite：https://portswigger.net/burp/

awvs：https://www.acunetix.com/

appscan：https://www.ibm.com/developerworks/cn/downloads/r/appscan/

shodan：https://www.shodan.io/

cobaltstrike：https://www.cobaltstrike.com/

masscan：https://github.com/robertdavidgraham/masscan

hydra：https://www.thc.org/thc-hydra/

John the Ripper：http://www.openwall.com/john

modsecurity：http://www.modsecurity.org/

3.6 安全標(biāo)準(zhǔn)/框架OWASP TOP10

PTES滲透測(cè)試標(biāo)準(zhǔn)

ISO 27001

信息安全等級(jí)保護(hù)

3.7 書籍教材網(wǎng)絡(luò)安全推薦書單：

《CCNA學(xué)習(xí)指南》

《TCP/IP詳解卷一》

《局域網(wǎng)交換機(jī)安全》

《Cisco防火墻》

《網(wǎng)絡(luò)安全原理與實(shí)踐》

《網(wǎng)絡(luò)安全技術(shù)與解決方案》

《華為防火墻技術(shù)漫談》

《Cisco網(wǎng)絡(luò)黑客大曝光》

《Wireshark網(wǎng)絡(luò)分析實(shí)戰(zhàn)》

《Wireshark數(shù)據(jù)包分析實(shí)戰(zhàn)》

《DDoS攻擊與防范深度剖析》

《Cisco VPN完全配置指南》

《Cisco安全入侵檢測(cè)系統(tǒng)》

Web安全/滲透測(cè)試推薦書單：

《白帽子講Web安全》

《Web安全深度剖析》

《Metaspolit滲透測(cè)試魔鬼訓(xùn)練營(yíng)》

《Web前端安全揭秘》

《Web滲透測(cè)試使用Kali Linux》

《黑客攻防技術(shù)寶典Web實(shí)戰(zhàn)篇》

《BurpSuite實(shí)戰(zhàn)指南》

《SQL注入攻擊與防御》

《XSS跨站腳本攻擊剖析與防御》

《互聯(lián)網(wǎng)企業(yè)安全高級(jí)指南》

云計(jì)算安全推薦書單：

《云安全原理與實(shí)踐》

《云安全深度剖析》

《軟件定義安全》

《軟件定義數(shù)據(jù)中心》

《云數(shù)據(jù)中心構(gòu)建實(shí)戰(zhàn)》

《騰云：云計(jì)算和大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)技術(shù)揭秘》

《大數(shù)據(jù)時(shí)代下的云安全》

《云安全基礎(chǔ)設(shè)施構(gòu)建》

4.1網(wǎng)絡(luò)安全學(xué)習(xí)路線：

對(duì)于從來沒有接觸過網(wǎng)絡(luò)安全的同學(xué)，我們幫你準(zhǔn)備了詳細(xì)的學(xué)習(xí)成長(zhǎng)路線圖?？梢哉f是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線，大家跟著這個(gè)大的方向?qū)W習(xí)準(zhǔn)沒問題。

?

同時(shí)每個(gè)成長(zhǎng)路線對(duì)應(yīng)的板塊都有配套的視頻提供：?

需要網(wǎng)絡(luò)安全學(xué)習(xí)路線和視頻教程的可以在評(píng)論區(qū)留言哦~?文章來源地址http://www.zghlxwxcb.cn/news/detail-697785.html

到了這里，關(guān)于2023最新網(wǎng)絡(luò)安全學(xué)習(xí)路線（完整版）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！