作者:陳鑫傑
概述
之前的文章給大家分析了安全行業目前的發展趨勢、安全防禦和******兩端不同的技術棧需求。在這篇文章裏面,我們聚焦以下常見的安全行業求職和職業發展問題:
安全行業如何區分?安全崗位到底有哪些?不同安全崗位的技術需求和崗位職責有什麼區別?適合我們的安全崗位又有哪些?有哪些公司在招聘安全人才?安全企業的排名情況大體是怎樣的?XXX公司好,還是YYY安全好?安全行業的薪酬標準是如何的?
安全行業大而雜,個人能力有限,盡所能將2013年到2017年拼客發展的這4年時間中,不同企業在這邊招聘或內推的安全崗位需求、拼客畢業學員的入職崗位和薪酬情況、以及學員後續的職業路線(跳槽趨勢)、個人在安全集成、等保安全、政務稅務金融等安全項目經驗和技術圈來做分析。
1. 安全行業到底有多少領域?具體在做什麼?區別與聯繫是什麼?
根據不同的安全規範、應用場景、技術實現等,安全可以有很多分類方法,在這裏我們簡單分爲網絡安全、Web安全、雲安全、移動安全(手機)、桌面安全(電腦)、主機安全(服務器)、工控安全、無線安全、數據安全 等不同領域。下面以個人所在行業和關注點,重點探討網絡/Web/雲這幾個安全方向。
1.1 網絡安全
[網絡安全] 是安全行業最經典最基本的領域,也是目前國內安全公司發家致富的領域,例如啓明星辰、綠盟科技、天融信這幾個企業(“老三大” )。這個領域研究的技術範疇主要圍繞防火牆/NGFW/UTM、網閘、***檢測/防禦、***網關(IPsec/SSL)、抗DDOS、上網行爲管理、負載均衡/應用交付、流量分析、漏洞掃描等。通過以上網絡安全產品和技術,我們可以設計並提供一個安全可靠的網絡架構,爲政府/國企、互聯網、銀行、醫院、學校等各行各行的網絡基礎設施保駕護航。
大的安全項目(肥肉…)主要集中在以政府/國企需求的政務網/稅務網/社保網/電力網… 以運營商(移動/電信/聯通)需求的電信網/城域網、以銀行爲主的金融網、以互聯網企業需求的數據中心網等。以上這些網絡,承載着國民最核心的基礎設施和敏感數據,一旦泄露或者遭到非法***,影響範圍就不僅僅是一個企業/公司/組織的事情,例如政務或軍工涉密數據、國民社保身份信息、骨幹網絡基礎設施、金融交易賬戶信息等。
當然,除了以上這些,還有其他的企業網、教育網等也需要大量的安全產品和服務。網絡安全項目一般會由網絡安全企業、系統集成商、網絡與安全代理商、IT服務提供商等具備國家認定的計算機系統集成資質、安全等保/分保等行業資質的技術單位來提供。
[技能需求]
網絡協議:TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…
主流網絡與安全設備部署:思科/華爲/華三/銳捷/Juniper/飛塔、路由器/交換機、防火牆、IDS/IPS、***、AC/AD…
網絡安全架構與設計:企業網/電信網/政務網/教育網/數據中心網設計與部署…
信息安全等保/分保理論、金土/金稅工程…
……
[補充說明]
1、不要被電影和新聞等節奏帶偏,戰鬥在這個領域的安全工程師非常非常多,不是天天***別人寫***代碼寫病毒的才叫做安全工程師;
2、這個安全領域研究的內容除了defense(防禦)和security(安全),相關的Hacking(***)技術包括協議安全(arp中間人***、dhcp泛洪欺騙、STP欺騙、DNS劫持***、HTTP/***弱版本或中間人***…)、接入安全(MAC泛洪與欺騙、802.1x、WiFi暴力破解…)、硬件安全(利用NSA泄露工具包***知名防火牆、設備遠程代碼執行漏洞getshell、網絡設備弱口令破解.. )、配置安全(不安全的協議被開啓、不需要端口服務被開啓…)…
3、學習這個安全方向不需要太多計算機編程功底,更多需要對網絡協議能抓包分析,對網絡和安全設備能熟悉配置;
4、參考課程:《拼客學院CCIE魔鬼訓練營》。
1.2 Web安全
Web安全領域從狹義的角度來看,就是一門研究[網站安全]的技術,相比[網絡安全]領域,普通用戶能夠更加直觀感知。例如,網站不能訪問了、網站頁面被惡意篡改了、網站被******並泄露核心數據(例如新浪微博或淘寶網用戶賬號泄露,這個時候就會引發恐慌且相繼修改密碼等)。當然,大的安全項目裏面,Web安全僅僅是一個分支,是需要跟[網絡安全]是相輔相成的,只不過Web安全關注上層應用和數據,網絡安全關注底層網絡安全。
隨着Web技術的高速發展,從原來的[Web不就是幾個靜態網頁嗎?]到了現在的[Web就是互聯網],越來越多的服務與應用直接基於Web應用來展開,而不再僅僅是一個企業網站或論壇。如今,社交、電商、遊戲、網銀、郵箱、OA…..等幾乎所有能聯網的應用,都可以直接基於Web技術來提供。
由於Web所承載的意義越來越大,圍繞Web安全對應的***方法與防禦技術也層出不窮,例如WAF(網頁防火牆)、Web漏洞掃描、網頁防篡改、網站***防護等更加細分垂直的Web安全產品也出現了。
[技能需求]
Web安全的技能點同樣多的數不過來,因爲要搞Web方向的安全,意味初學者要對Web開發技術有所瞭解,例如能通過前後端技術做一個Web網站出來,好比要搞[網絡安全],首先要懂如何搭建一個網絡出來。那麼,Web技術就涉及到以下內容:
通信協議:TCP、HTTP、HTTPs
操作系統:Linux、Windows
服務架設:Apache、Nginx、LAMP、LNMP、MVC架構
數據庫:MySQL、SQL Server、Oracle
編程語言:前端語言(HTML/CSS/JavaScript)、後端語言(PHP/Java/ASP/Python)
如果按照上面的技能全部學完,不僅時間週期非常長,估計大部分人連學後面安全的興趣都沒有了。所以,這就說到Web安全這個行業另外一個常態了:大部分做Web安全的,並不是剛開始就對Web開發技術非常熟悉的,很多都是半路殺出來了,甚至連Web網站都沒有架設過的,這種大有人在。因此有更加狹義的Web安全技術點:
安全理論:OWASP TOP 10 、PETS、ISO 27001…
後端安全:SQL注入、文件上傳、Webshell(***)、文件包含、命令執行…
前端安全:XSS跨站腳本***、CSRF跨站請求僞造…
安全產品:Web漏洞掃描(Burp/WVS/Appscan)、WAF(Web應用防火牆)、IDS/IPS(Web***防禦)、Web主機防護
因此,Web開發技術和Web安全技術其實是相輔相成的,如果對Web開發比較熟悉,意味着研究Web安全時能夠更加底層,而不止於安全工具和腳本層面。
[補充說明]
1、學習Web安全方向需要有一定的編程基礎,如果對代碼沒興趣,建議走[網絡安全]方向;
2、[網絡安全]和[Web安全]在安全領域裏面剛好是對立面存在,一硬一軟、一防一攻、一上(上層)一下(底層);
3、參考課程:《拼客學院Linux運維精品班》、《拼客學院Web安全***系列課》。
1.3 終端安全(移動安全/桌面安全)
移動安全主要研究例如手機、平板、智能硬件等移動終端產品的安全,例如iOS和Android安全,我們經常提到的“越獄”其實就是移動安全的範疇。而近期爆發的危機全球的Windows電腦蠕蟲病毒 - “WannerCry勒索病毒”,或者更加久遠的“熊貓燒香”,便是桌面安全的範疇。桌面安全和移動安全研究的技術面都是終端安全領域,說的簡單一些,一個研究電腦,一個研究手機。隨着我們工作和生活,從PC端遷移到了移動端,終端安全也從桌面安全遷移到移動安全。最熟悉不過的終端安全產品,便是360、騰訊、金山毒霸、瑞星、賽門鐵克、邁克菲McAfee、諾頓等全家桶……
從商業的角度看,終端安全(移動安全加桌面安全)是一門to C的業務,更多面向最終個人和用戶;而網絡安全、Web安全、雲安全更多是一門to B的業務,面向政企單位。舉例:360這家公司就是典型的從to C安全業務延伸到to B安全業務的公司,例如360企業安全便是面向政企單位提供安全產品和服務,而我們熟悉的360安全衛士和殺毒則主要面向個人用戶。
1.4 雲安全
[雲安全] 是基於雲計算技術來開展的另外一個安全領域,雲安全研究的話題包括:軟件定義安全、超融合安全、虛擬化安全、機器學習+大數據+安全….. 目前,基於雲計算所展開的安全產品已經非常多了,涵蓋原有網絡安全、Web安全、移動安全等方向,包括雲防火牆、雲抗DDOS、雲漏掃、雲桌面等,國內的騰訊雲、阿里雲已經有非常成熟的商用解決方案出現。
雲安全在產品形態和商用交付上面,實現安全從硬件到軟件再到雲的變革,大大減低了傳統中小型企業使用安全產品的門檻,以前一個安全項目動輒百萬級別,而基於雲安全,實現了真正的按需彈性購買,大大減低採購成本。另外,雲時代的安全也給原有行業的規範和實施帶來更多挑戰和變革,例如,託管在雲端的商用服務,雲服務商和客戶各自承擔的安全建設責任和邊界如何區分?雲端安全項目如何做信息安全等保測評?
[補充說明]
1、安全發展趨勢:從硬件到軟件再到雲安全、從被動防禦到主動防禦、從單點到全局
2、安全的未來:“機器學習+大數據+ 雲安全” 或 “AI + 安全”,會不會成爲行業終點?(舉例:越來越多的服務直接基於雲展開,以雲服務商爲代表的阿里雲/騰訊雲對其他安全企業的跨界打擊)
1.5 工控安全
以震網病毒(stuxnet)***伊朗核電廠並使其癱瘓的全球事件,從安全領域活生生撕開一道口並告訴我們,工控病毒纔是真正代替核武器戰爭的代表。相比其他安全方向,工控安全研究的***對象是工業基礎設施,真正影響人類生活的方方面面,例如核電、電力、水力、城市交通等基礎設施。隨着萬物互聯/物聯網的進程不斷推進,工控安全會成爲我們繼互聯網和移動互聯網安全之後研究的重心。
2. 安全行業到底有多少崗位?技術需求和崗位職責是什麼?適合我們的安全崗位又有哪些?
2.1 安全崗位
以安全公司招聘的情況來分,安全崗位可以以研發系、工程系、銷售系來區分,不同公司對於安全崗位叫法有所區分,這裏以行業常見的叫法歸類如下:
研發系:安全研發、安全***研究、逆向分析、
工程系:安全工程師、安全運維工程師、安全服務工程師、安全技術支持、安全售後、Web***測試工程師、Web安全工程師、應用安全審計、移動安全工程師
銷售系:安全銷售工程師、安全售前工程師、技術解決方案工程師、
2.2 適合我們的崗位有哪些?
拼客學院這邊畢業學員主要走安全工程系,我們目前主要應聘的崗位是:安全工程師、安全運維、安全服務工程師、Web***測試、Web安全工程師,當然,也有部分學員在做安全研發和安全售前崗位。例如在安全公司如綠盟科技、深信服、360、天融信等做安全工程師、安全服務、***測試等崗位,在甲方單位例如運營商(中國移動、中國電信)、金融類公司(平安科技、招商銀行)等更多做安全運維、Web應用審計、Web***測試等崗位
2.3 常見的安全崗位職責
這裏僅列舉部分,更多崗位可以到各類招聘網站如[拉勾網]上搜索相關的崗位,也可以瞭解不同類型公司對安全崗位的要求;也可以到知名安全公司的官網、微信公衆號上了解他們校招和社招的信息;以下是平常在拼客學院招聘/內推的比較多的崗位,直接貼他們的招聘需求=>
[安全工程師](產品與售後方向)
職位描述
負責網絡安全項目中的產品調試和交付
負責網絡安全項目中的技術方案編寫
負責客戶的安全應急和售後駐場
職位要求
具備紮實的計算機與網絡原理,熟悉各類網絡與安全設備(路由、交換、防火牆、***、漏洞掃描)
對網絡數據包具備分析實踐能力,熟練使用數據包分析工具;
熟悉常見網絡通信協議(TCP/IP、交換路由協議、***協議等)
熟悉防火牆原理,能夠熟練配置防火牆策略;
熟悉主流網絡與安全廠商產品(思科/華爲/華三/Juniper…)
較好的文檔撰寫能力、語言表達和與溝通能力。
[安全服務工程師]
職位描述
負責安全服務項目中的實施部分,包括:漏洞掃描、***測試、安全基線檢查、代碼審計、應急響應等;
爆發高危漏洞後時行漏洞的分析應急;
對公司安全產品的後端支持;
掌握專業文檔編寫技巧;
關注行業態勢和熱點。
職位要求
掌握一門及以上編程語言;
熟悉常見安全***技術;
有較強學習能力,能快速學習新的技術;
熟悉風險評估、應急響應、***測試、安全加固等安全服務;
具有良好的語言表達能力、文檔組織能力。
[安全運維工程師]
職位描述
服務器與網絡基礎設備的安全加固;
安全事件排查與分析,配合定期編寫安全分析報告,專注業內安全事件;
跟蹤最新漏洞信息,進行業務產品的安全檢查;
負責信息安全策略/流程的制定,安全培訓/宣傳及推廣;
負責Web漏洞和系統漏洞修復工作推進,跟蹤解決情況,問題收集。
職位要求
熟悉主流的Web安全技術,包括SQL注入、XSS、CSRF等OWASP TOP 10安全風險;
熟悉TCP/IP協議,路由交換、常用的應用層協議;
熟悉Linux/Windows下系統和軟件的安全配置與加固;
熟悉常見的安全產品及原理,例如IDS、IPS、防火牆等;
熟練掌握C/PHP/Python/Shell等一或多種語言;
較好的文檔撰寫能力、語言表達和與溝通能力。
[Web安全工程師/***測試]
職位描述
對公司各類系統進行安全加固;
對公司網站、業務系統進行安全評估測試(黑盒、白盒測試);
對公司安全事件進行響應,清理後門,根據日誌分析***途徑;
安全技術研究,包括安全防範技術,***技術等;
跟蹤最新漏洞信息,進行業務產品的安全檢查。
職位要求
熟悉Web***測試方法和***技術,包括SQL注入、XSS跨站、CSRF僞造請求、命令執行等安全漏洞與防禦;
熟悉Linux、Windows不同平臺的***測試,對網絡安全、系統安全、應用安全有深入的理解和自己的認識;
熟悉國內外主流安全工具,包括Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等;
至少掌握一門編程語言C/JS/Python/PHP/Java/JS等;
對Web安全整體有深刻理解,有一定的代碼審計和漏洞分析和挖掘能力;
具有較強的團隊意識、高度的責任感,有良好的文檔和溝通能力;
2.4 安全崗位總結
走安全行業的工程方向的,技術上面其實有很大的重疊性,拋開甲乙方、崗位名稱、崗位職責等因素來看,作爲學技術的,也根據以往我們給學員推薦就業和入職情況來看,只要好好掌握以下幾種技術(網絡協議與安全設備、Linux操作系統、Web服務部署/開發、主流***測試/安全工具、一門及以上的編程語言)中的2到3個,都可以較好的勝任工作需求。當然,從行業新人入職到真正通往大神,這裏是“0到1”和“1到100”的區別了,到了工作場景中,能否根據工作需求,再橫向和縱向拓展個人技術棧,這塊修行就完全靠個人了,例如,這邊畢業的學員,有從安全運維和售後轉向安全***崗的,有從安全***崗轉到安全研發的,有從安全公司跳到互聯網公司的,有從互聯網公司跳到安全初創企業的……)
3. 有哪些公司在招聘安全人才?薪酬標準是如何的?安全行業的薪酬標準是如何的?
3.1 有哪些公司在招聘?
安全工程師已經成爲一個必選項,所以已經沒法再一一列舉出來了,無論是互聯網公司,還是網絡與安全公司,還是銀行、運營商、政府等,都需要安全人才加入,所以,這裏更多列舉拼客學院剛畢業學員拿到過的校園招聘的崗位。
網絡安全公司:360企業安全、綠盟科技、天融信、啓明星辰、深信服、藍盾科技、網康、鬥象科技(Freebuf)、華爲、銳網絡……
互聯網公司:騰訊(安平部安全實施-DDOS方向)、YY(安全研發)、4399(安全運維)…..
運營商/國企:中國移動(安全運維)、中國電信(安全運維)、平安科技(安全運維)…….
系統集成商:神州數碼(F5工程師)、華訊網絡(安全項目部署、亞信科技(安全運維)、中通服科技(安全售後與交付)…….
相關招聘鏈接和截圖:
騰訊:http://join.qq.com/index.php
阿里:https://job.alibaba.com/zhaopin/index.htm
百度:https://www.lagou.com/jobs/2568043.html
知乎:https://www.lagou.com/jobs/2404127.html?source=position_rec&i=position_rec-1
小米:https://www.lagou.com/jobs/2869721.html?source=position_rec&i=position_rec-4
360:http://campus.chinahr.com/2017/360/
綠盟:http://campus.51job.com/lvmen0823_7058wh/3_5.html
啓明:https://www.lagou.com/gongsi/j9231.html
深信服:https://www.lagou.com/gongsi/182070.html#company_navs
3.2 安全行業薪酬情況
薪酬這塊,根據崗位的入職薪酬來看,一般都是遵循:【安全研發 > 安全服務/***測試/Web*** > 安全售後/安全技術支持】。當然,不同類型的公司,發展過程中給出的薪酬也會有所差異,廣深地區這邊,根據學員入職安全崗位的整體情況來看,【互聯網公司> 網絡/安全公司 ≈ 運營商/國企 > 系統/安全集成商 】,薪酬上面主要分三個檔(月薪):6到8k,8到10k、10到12k;從這幾年的安全薪酬趨勢來看,應屆剛入職的這個行業的起薪越來越高了,想起2013年廣州這邊的學員剛入職某知名安全公司,那個時候是5k,而現在是9k,也有部分特例例如拿到某信服安全***崗18w年薪的…. 除了入職薪酬,如果要看發展勢頭和未來增長性的話,建議還是直接到類似拉勾網(智聯、51Job)之類的招聘網站,或者到企業的官網招聘頁面,搜索以上所聊到的崗位名稱或者公司,看他們的招聘需求,例如1到3年和3到5年不同工程師等級的薪酬差別,也可以給自己定一個小目標。
截圖舉例:
搜索[網絡安全工程師]
搜索[安全工程師]
搜索[***測試工程師]
搜索[Web安全工程師]
相關課程:
《Web安全工程師》:http://edu.51cto.com/topic/1181.html
《高級Web安全工程師》:http://edu.51cto.com/topic/1183.html
《CCIE魔鬼訓練營》:http://edu.51cto.com/topic/255.html