近幾年，隨著網(wǎng)絡(luò)安全被列為國家安全戰(zhàn)略的一部分，這個(gè)曾經(jīng)的細(xì)分領(lǐng)域發(fā)展速度提升了不少，除了一些傳統(tǒng)安全廠商之外，越來越多的互聯(lián)網(wǎng)公司開始投入安全行業(yè)，隨之而來也吸引了更多的新鮮血液涌入。

Cybersecurity Ventures 發(fā)布的報(bào)告估測，2021年，網(wǎng)絡(luò)安全人才短缺將進(jìn)一步擴(kuò)大，增長至350萬。同時(shí)，互聯(lián)網(wǎng)、通信、新能源、房地產(chǎn)、金融證券、電子技術(shù)等行業(yè)隨著技術(shù)的不斷發(fā)展，以及網(wǎng)絡(luò)安全的重要性，也開始迫切需要網(wǎng)安人員。

那么，網(wǎng)絡(luò)安全行業(yè)主要有哪些工作崗位呢？

崗位職責(zé)：服務(wù)器與網(wǎng)絡(luò)基礎(chǔ)設(shè)備的安全加固；安全事件排查與分析，配合定期編寫安全分析報(bào)告，專注業(yè)內(nèi)安全事件；

跟蹤最新漏洞信息，進(jìn)行業(yè)務(wù)產(chǎn)品的安全檢查；

負(fù)責(zé)信息安全策略/流程的制定,安全培訓(xùn)/宣傳及推廣；

負(fù)責(zé)Web漏洞和系統(tǒng)漏洞修復(fù)工作推進(jìn)，跟蹤解決情況，問題收集。

技術(shù)要求：

熟悉主流的Web安全技術(shù)，包括SQL注入、XSS、CSRF等OWASP TOP 10安全風(fēng)險(xiǎn)；

熟悉TCP/IP協(xié)議，路由交換、常用的應(yīng)用層協(xié)議；

熟悉Linux/Windows下系統(tǒng)和軟件的安全配置與加固；

熟悉常見的安全產(chǎn)品及原理，例如IDS、IPS、防火墻等；

熟練掌握C/PHP/Python/Shell等一或多種語言；

較好的文檔撰寫能力、語言表達(dá)和與溝通能力。

為了防止黑客入侵盜取公司機(jī)密資料和保護(hù)用戶的信息，許多公司都需要建設(shè)自己的網(wǎng)絡(luò)安全工作，而網(wǎng)絡(luò)安全工程師就是直接負(fù)責(zé)保護(hù)公司網(wǎng)絡(luò)安全的核心人員。

崗位職責(zé)：

負(fù)責(zé)網(wǎng)絡(luò)安全項(xiàng)目中的產(chǎn)品調(diào)試和交付；

負(fù)責(zé)網(wǎng)絡(luò)安全項(xiàng)目中的技術(shù)方案編寫；

負(fù)責(zé)客戶的安全應(yīng)急和售后駐場。

技術(shù)要求：

具備扎實(shí)的計(jì)算機(jī)與網(wǎng)絡(luò)原理，熟悉各類網(wǎng)絡(luò)與安全設(shè)備（路由、交換、防火墻、VPN、漏洞掃描）；

對(duì)網(wǎng)絡(luò)數(shù)據(jù)包具備分析實(shí)踐能力，熟練使用數(shù)據(jù)包分析工具；

熟悉常見網(wǎng)絡(luò)通信協(xié)議（TCP/IP、交換路由協(xié)議、VPN協(xié)議等）；

熟悉防火墻原理，能夠熟練配置防火墻策略；

熟悉主流網(wǎng)絡(luò)與安全廠商產(chǎn)品（思科/華為/華三/Juniper…）；

較好的文檔撰寫能力、語言表達(dá)和與溝通能力。

滲透測試崗位主要是模擬黑客攻擊，利用黑客技術(shù)，挖掘漏洞，提出修復(fù)建議。需要用到數(shù)據(jù)庫，網(wǎng)絡(luò)技術(shù)，編程技術(shù)，操作系統(tǒng)，滲透技術(shù)、攻防技術(shù)、逆向技術(shù)等。

崗位職責(zé)：

對(duì)公司各類系統(tǒng)進(jìn)行安全加固；對(duì)公司網(wǎng)站、業(yè)務(wù)系統(tǒng)進(jìn)行安全評(píng)估測試（黑盒、白盒測試）；

對(duì)公司安全事件進(jìn)行響應(yīng)，清理后門，根據(jù)日志分析攻擊途徑；

安全技術(shù)研究，包括安全防范技術(shù)，黑客技術(shù)等；

跟蹤最新漏洞信息，進(jìn)行業(yè)務(wù)產(chǎn)品的安全檢查。

技術(shù)要求：

熟悉Web滲透測試方法和攻防技術(shù)，包括SQL注入、XSS跨站、CSRF偽造請(qǐng)求、命令執(zhí)行等安全漏洞與防御；

熟悉Linux、Windows不同平臺(tái)的滲透測試，對(duì)網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全有深入的理解和自己的認(rèn)識(shí)；

熟悉國內(nèi)外主流安全工具，包括Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等；

至少掌握一門編程語言C/JS/Python/PHP/Java/JS等；

對(duì)Web安全整體有深刻理解，有一定的代碼審計(jì)和漏洞分析和挖掘能力；

具有較強(qiáng)的團(tuán)隊(duì)意識(shí)、高度的責(zé)任感，有良好的文檔和溝通能力。

職位描述：

負(fù)責(zé)安全服務(wù)項(xiàng)目中的實(shí)施部分，包括：漏洞掃描、滲透測試、安全基線檢查、代碼審計(jì)、應(yīng)急響應(yīng)等；

爆發(fā)高危漏洞后實(shí)行漏洞的分析應(yīng)急；對(duì)公司安全產(chǎn)品的后端支持；

掌握專業(yè)文檔編寫技巧；關(guān)注行業(yè)態(tài)勢和熱點(diǎn)。

技術(shù)要求：

掌握一門及以上編程語言；

熟悉常見安全攻防技術(shù)；

有較強(qiáng)學(xué)習(xí)能力，能快速學(xué)習(xí)新的技術(shù)；

熟悉風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)、滲透測試、安全加固等安全服務(wù)；

具有良好的語言表達(dá)能力、文檔組織能力。

以上只羅列出了幾個(gè)較為常見的安全崗位，另外還有安全開發(fā)、安全架構(gòu)、安全服務(wù)、安全售后、安全技術(shù)支持等多個(gè)細(xì)分崗位。

網(wǎng)絡(luò)安全從業(yè)人員有什么樣的職業(yè)優(yōu)勢呢？

1.職業(yè)壽命長：網(wǎng)安工程師的工作重點(diǎn)在于對(duì)企業(yè)信息化建設(shè)和維護(hù)，其中包含技術(shù)及管理等方面的工作，工作相對(duì)穩(wěn)定，隨著項(xiàng)目經(jīng)驗(yàn)的不斷增長和對(duì)行業(yè)背景的深入了解，會(huì)越老越吃香。

2.發(fā)展空間大：在企業(yè)中，網(wǎng)絡(luò)工程師基本處于“雙高”地位，即地位高、待遇高。就業(yè)面廣，一專多能，實(shí)踐經(jīng)驗(yàn)適用于各個(gè)領(lǐng)域。

3.增值潛力大：掌握企業(yè)核心網(wǎng)絡(luò)架構(gòu)、安全技術(shù)，具有不可替代的競爭優(yōu)勢。職業(yè)價(jià)值隨著自身經(jīng)驗(yàn)的豐富以及項(xiàng)目運(yùn)作的成熟，升值空間一路看漲。

4.人才需求大：國內(nèi)3000所高校僅120所開設(shè)相關(guān)專業(yè)，年培養(yǎng)1-2萬人,加上10-20家社會(huì)機(jī)構(gòu)，全國每年相關(guān)人才輸送量也才約3萬多人。如果隨著國內(nèi)“新基建”的不斷發(fā)展，網(wǎng)安人才缺口勢必將會(huì)越來越大。

最后在說一句，網(wǎng)絡(luò)安全雖然需求大，但要求也不低，由于網(wǎng)安不同于Java、C/C++等后端開發(fā)崗位有非常明晰的學(xué)習(xí)路線，需要學(xué)習(xí)的東西又雜又多，很難只是一個(gè)體系，所以對(duì)人員的學(xué)歷和學(xué)習(xí)能力要求較高，更多的時(shí)候，網(wǎng)安人員是需要工作后再自己摸索學(xué)習(xí)的。

文章部分內(nèi)容由濤哥撰寫，部分內(nèi)容來源自網(wǎng)絡(luò)，侵刪，附鏈接：

https://zhuanlan.zhihu.com/p/345414680https://zhuanlan.zhihu.com/p/85986539