[

　　概述

　　]

　　之前的文章给各人阐发了平安行业今朝的开展趋势、平安进攻和渗透打击两头差别的技能栈需求。在这篇文章外面，我们聚焦以下常见的平安行业求职和职业开展问题：

　　平安行业如何辨别？平安岗亭到底有哪些？差别平安岗亭的技能需求和岗亭职责有什么区别？适合我们的平安岗亭又有哪些？有哪些公司在雇用平安人才？平安企业的排名环境大要是怎样的？XXX公司好，照旧YYY平安好？平安行业的薪酬规范是如何的？

　　平安行业大而杂，团体能力有限，尽所能将2013年到2017年拼客开展的这4年工夫中，差别企业在这边雇用或内推的平安岗亭需求、拼客结业学员的入职岗亭和薪酬环境、以及学员后续的职业道路（跳槽趋势）、团体在平安集成、等保平安、政务税务金融等平安名目教训和技能圈来做阐发。

　　平安行业到底有几何范畴？具体在做什么？区别与分割是什么？

　　依据差别的平安标准、利用场景、技能实现等，平安可以有许多分类办法，在这里我们复杂分为网络平安、Web平安、云平安、移动平安（手机）、桌面平安（电脑）、主机平安（办事器）、工控平安、无线平安、数据平安 等差别范畴。下面以团体地点行业和存眷点，重点探讨网络/Web/云这几个平安标的目的。

　　1

　　网络平安

　　[网络平安] 是平安行业最经典最根本的范畴，也是今朝国内平安公司发财致富的范畴，比方启明星辰、绿盟科技、天融信这几个企业（“老三大” ）。这个范畴研究的技能范围主要围绕防火墙/NGFW/UTM、网闸、入侵检测/进攻、VPN网关（IPsec/SSL）、抗DDOS、上网行为办理、负载平衡/利用交付、流量阐发、缝隙扫描等。经由过程以上网络平安产物和技能，我们可以设计并提供一个平安靠得住的网络架构，为当局/国企、互联网、银行、病院、学校等各行各行的网络根底举措措施保驾护航。

　　大的平安名目（肥肉…）主要会合在以当局/国企需求的政务网/税务网/社保网/电力网… 以经营商（移动/电信/联通）需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络，承载着百姓最中心的根底举措措施和敏感数据，一旦泄露或许遭到不法入侵，影响范畴就不只仅是一个企业/公司/组织的事情，比方政务或军工涉密数据、百姓社保身份信息、主干网络根底举措措施、金融买卖账户信息等。

　　固然，除了以上这些，另有其他的企业网、教诲网等也需要大量的平安产物和办事。网络平安名目个别会由网络平安企业、零碎集成商、网络与平安代办署理商、IT办事提供商等具备国度认定的计较机零碎集成资质、平安等保/分保等行业资质的技能单元来提供。

　　妙技需求

　　网络和谈：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…

　　主流网络与平安设备布置：思科/华为/华三/锐捷/Juniper/飞塔、路由器/互换机、防火墙、IDS/IPS、VPN、AC/AD…

　　网络平安架构与设计：企业网/电信网/政务网/教诲网/数据中心网设计与布置…

　　信息平安等保/分保理论、金土/金税工程…

　　……

　　增补阐明

　　1、不要被影戏和新闻等节拍带偏，战斗在这个范畴的平安工程师很是很是多，不是天天打击别人写打击代码写病毒的才叫做平安工程师；

　　2、这个平安范畴研究的内容除了defense（进攻）和security（平安），相关的Hacking（打击）技能包孕和谈平安（arp中间人打击、dhcp泛洪棍骗、STP棍骗、DNS挟制打击、HTTP/VPN弱版本或中间人打击…）、接入平安（MAC泛洪与棍骗、802.1x、WiFi暴力破解…）、硬件平安（操纵NSA泄露东西包打击出名防火墙、设备长途代码执行缝隙getshell、网络设备弱口令破解.. ）、配置平安（不平安的和谈被开启、不需要端口办事被开启…）…

　　3、进修这个平安标的目的不需要太多计较机编程功底，更多需要对网络和谈能抓包阐发，对网络和平安设备能熟悉配置；

　　2

　　Web平安

　　Web平安范畴从狭义的角度来看，便是一门研究[网站平安]的技能，相比[网络平安]范畴，普通用户可能愈加直不雅感知。比方，网站不克不及拜访了、网站页面被恶意窜改了、网站被黑客入侵并泄露中心数据（比方新浪微博或淘宝网用户账号泄露，这个时候就会引发发急且接踵点窜暗码等）。固然，大的平安名目外面，Web平安仅仅是一个分支，是需要跟[网络平安]是相辅相成的，只不外Web平安存眷上层利用和数据，网络平安存眷底层网络平安。

　　跟着Web技能的高速开展，从原来的[Web不便是几个静态网页吗？]到了此刻的[Web便是互联网]，越来越多的办事与利用直接基于Web利用来展开，而不再仅仅是一个企业网站或论坛。如今，社交、电商、游戏、网银、邮箱、OA…..等简直所有能联网的利用，都可以直接基于Web技能来提供。

　　由于Web所承载的意义越来越大，围绕Web平安对应的打击办法与进攻技能也屡见不鲜，比方WAF（网页防火墙）、Web缝隙扫描、网页防窜改、网站入侵防护等愈加细分垂直的Web平安产物也呈现了。

　　妙技需求

　　Web平安的妙技点同样多的数不外来，因为要搞Web标的目的的平安，意味初学者要对Web开辟技能有所理解，比方能经由过程前后端技能做一个Web网站出来，比如要搞[网络平安]，首先要懂如何搭建一个网络出来。那么，Web技能就涉及到以下内容：

　　通信和谈：TCP、HTTP、HTTPs

　　操纵零碎：Linux、Windows

　　办事架设：Apache、Nginx、LAMP、LNMP、MVC架构

　　数据库：MySQL、SQL Server、Oracle

　　编程语言：前端语言（HTML/CSS/Java）、后端语言（PHP/Java/ASP/Python）

　　如果依照上面的妙技全部学完，不只工夫周期很是长，估量大局部人连学前面平安的乐趣都没有了。所以，这就说到Web平安这个行业别的一个常态了：大局部做Web平安的，并不是刚开始就对Web开辟技能很是熟悉的，许多都是半路杀出来了，甚至连Web网站都没有架设过的，这种大有人在。因此有愈加狭义的Web平安技能点：

　　平安理论：OWASP TOP 10 、PETS、ISO 27001…

　　后端平安：SQL注入、文件上传、Webshell（木马）、文件包括、号令执行…

　　前端平安：XSS跨站剧本打击、CSRF跨站请求伪造…

　　平安产物：Web缝隙扫描（Burp/WVS/Appscan）、WAF（Web利用防火墙）、IDS/IPS（Web入侵进攻）、Web主机防护

　　因此，Web开辟技能和Web平安技能其实是相辅相成的，如果对Web开辟对照熟悉，意味着研究Web平安时可能愈加底层，而不止于平安东西和剧本层面。

　　增补阐明

　　1、进修Web平安标的目的需要有一定的编程根底，如果对代码没乐趣，倡议走[网络平安]标的目的；

　　2、[网络平安]和[Web平安]在平安范畴外面恰好是对抗面存在，一硬一软、一防一攻、一上（上层）一下（底层）；

　　3

　　终端平安（移动平安/桌面平安）

　　移动平安主要研究比方手机、平板、智能硬件等移动终端产物的平安，比方iOS和Android平安，我们常常提到的“越狱”其实便是移动平安的范围。而近期迸发的危机全球的Windows电脑蠕虫病毒 - “WannerCry讹诈病毒”，或许愈加长远的“熊猫烧香”，即是桌面平安的范围。桌面平安和移动平安研究的技能面都是终端平安范畴，说的复杂一些，一个研究电脑，一个研究手机。跟着我们任务和糊口，从PC端迁移到了移动端，终端平安也从桌面平安迁移到移动平安。最熟悉不外的终端平安产物，即是360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲McAfee、诺顿等全家桶……

　　从贸易的角度看，终端平安（移动平安加桌面平安）是一门to C的业务，更多面向最终团体和用户；而网络平安、Web平安、云平安更多是一门to B的业务，面向政企单元。举例：360这家公司便是典范的从to C平安业务延伸到to B平安业务的公司，比方360企业平安即是面向政企单元提供平安产物和办事，而我们熟悉的360平安卫士和杀毒则主要面向团体用户。

　　4

　　云平安

　　[云平安] 是基于云计较技能来开展的别的一个平安范畴，云平安研究的话题包孕：软件界说平安、超交融平安、虚拟化平安、呆板进修+大数据+平安….. 今朝，基于云计较所展开的平安产物已经很是多了，涵盖原有网络平安、Web平安、移动平安等标的目的，包孕云防火墙、云抗DDOS、云漏扫、云桌面等，国内的腾讯云、阿里云已经有很是成熟的商用处理计划呈现。

　　云平安在产物形态和商用交付上面，实现平安从硬件到软件再到云的革新，大大减低了传统中小型企业使用平安产物的门槛，以前一个平安名目动辄百万级别，而基于云平安，实现了真正的按需弹性采办，大大减低采购本钱。别的，云时代的平安也给原有行业的标准和实施带来更多挑战和革新，比方，托管在云真个商用办事，云办事商和客户各自承当的平安建立责任和界限如何辨别？云端平安名目如何做信息平安等保测评？

　　增补阐明

　　1、平安开展趋势：从硬件到软件再到云平安、从被动进攻到主动进攻、从单点到全局

　　2、平安的将来：“呆板进修+大数据+ 云平安” 或 “AI + 平安”，会不会成为行业终点？（举例：越来越多的办事直接基于云展开，以云办事商为代表的阿里云/腾讯云对其他平安企业的跨界冲击）

　　5

　　工控平安

　　以震网病毒（stuxnet）打击伊朗核电厂并使其瘫痪的全球事件，从平安范畴活生生撕开一道口并通知我们，工控病毒才是真正包办核兵器和平的代表。相比其他平安标的目的，工控平安研究的攻防工具是产业根底举措措施，真正影响人类糊口的方方面面，比方核电、电力、水力、都会交通等根底举措措施。跟着万物互联/物联网的历程不时推进，工控平安会成为我们继互联网和移动互联网平安之后研究的重心。

　　平安行业到底有几何岗亭？技能需求和岗亭职责是什么？适合我们的平安岗亭又有哪些？

　　1

　　平安岗亭

　　以平安公司雇用的环境来分，平安岗亭可以以研发系、工程系、发卖系来辨别，差别公司关于平安岗亭叫法有所辨别，这里以行业常见的叫法归类如下：

　　研发系：平安研发、平安攻防研究、逆向阐发

　　工程系：平安工程师、平安运维工程师、平安办事工程师、平安技能反对、平安售后、Web渗透测试工程师、Web平安工程师、利用平安审计、移动平安工程师

　　发卖系：平安发卖工程师、平安售前工程师、技能处理计划工程师

　　2

　　适合我们的岗亭有哪些？

　　拼客学院这边结业学员主要走平安工程系，我们今朝主要应聘的岗亭是：平安工程师、平安运维、平安办事工程师、Web渗透测试、Web平安工程师，固然，也有局部学员在做平安研发和平安售前岗亭。比方在平安公司如绿盟科技、深服气、360、天融信等做平安工程师、平安办事、渗透测试等岗亭，在甲地契位比方经营商（中国移动、中国电信）、金融类公司（安然科技、招商银行）等更多做平安运维、Web利用审计、Web渗透测试等岗亭

　　3

　　常见的平安岗亭职责

　　这里仅罗列局部，更多岗亭可以到各种雇用网站如[拉勾网]上搜索相关的岗亭，也可以理解差别范例公司对平安岗亭的要求；也可以到出名平安公司的官网、微信公家号上理解他们校招和社招的信息；以下是泛泛在拼客学院雇用/内推的对照多的岗亭，直接贴他们的雇用需求=>

　　平安工程师（产物与售后标的目的）

　　职位描绘

　　担任网络平安名目中的产物调试和交付

　　担任网络平安名目中的技能计划编写

　　担任客户的平安应急和售后驻场

　　职位要求

　　具备扎实的计较机与网络道理，熟悉各种网络与平安设备（路由、互换、防火墙、VPN、缝隙扫描）

　　对网络数据包具备阐发实践能力，纯熟使用数据包阐发东西；

　　熟悉常见网络通信和谈（TCP/IP、互换路由和谈、VPN和谈等）

　　熟悉防火墙道理，可能纯熟配置防火墙战略；

　　熟悉主流网络与平安厂商产物（思科/华为/华三/Juniper…）

　　较好的文档撰写能力、语言表白和与相同能力。

　　平安办事工程师

　　职位描绘

　　担任平安办事名目中的实施局部，包孕：缝隙扫描、渗透测试、平安基线查抄、代码审计、应急响应等；

　　迸发高危缝隙后时行缝隙的阐发应急；

　　对公司平安产物的后端反对；

　　把握专业文档编写本领；

　　存眷行业态势和热点。

　　职位要求

　　把握一门及以上编程语言；

　　熟悉常见平安攻防技能；

　　有较强进修能力，能快速进修新的技能；

　　熟悉危害评估、应急响应、渗透测试、平安加固等平安办事；具有精良的语言表白能力、文档组织能力。

　　平安运维工程师

　　职位描绘

　　办事器与网络根底设备的平安加固；

　　平安事件排查与阐发，共同按期编写平安阐发呈报，专注业内平安事件；

　　跟踪最新缝隙信息，停止业务产物的平安查抄；

　　担任信息平安战略/流程的制定,平安培训/宣传及推广；

　　担任Web缝隙和零碎缝隙修复任务推进，跟踪处理环境，问题收集。

　　职位要求

　　熟悉主流的Web平安技能，包孕SQL注入、XSS、CSRF等OWASP TOP 10平安危害；

　　熟悉TCP/IP和谈，路由互换、罕用的利用层和谈；

　　熟悉Linux/Windows下零碎和软件的平安配置与加固；

　　熟悉常见的平安产物及道理，比方IDS、IPS、防火墙等；

　　纯熟把握C/PHP/Python/Shell等一或多种语言；

　　较好的文档撰写能力、语言表白和与相同能力。

　　Web平安工程师/渗透测试

　　职位描绘

　　对公司各种零碎停止平安加固；

　　对公司网站、业务零碎停止平安评估测试（黑盒、白盒测试）；

　　对公司平安事件停止响应，清理后门，依据日志阐发打击路子；平安技能研究，包孕平安防备技能，黑客技能等；

　　跟踪最新缝隙信息，停止业务产物的平安查抄。

　　职位要求

　　熟悉Web渗透测试办法和攻防技能，包孕SQL注入、XSS跨站、CSRF伪造请求、号令执行等平安缝隙与进攻；

　　熟悉Linux、Windows差别平台的渗透测试，对网络平安、零碎平安、利用平安有深入的了解和自己的认识；

　　熟悉国表里主流平安东西，包孕Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等；

　　至少把握一门编程语言C/JS/Python/PHP/Java/JS等；

　　对Web平安整体有深刻了解，有一定的代码审计和缝隙阐发和挖掘能力；

　　具有较强的团队意识、高度的责任感，有精良的文档和相同能力；

　　4

　　平安岗亭总结

　　走平安行业的工程标的目的的，技能上面其实有很大的重叠性，抛开甲乙方、岗亭名称、岗亭职责等因素来看，作为学技能的，也依据以往我们给学员保举就业和入职环境来看，只要好好把握以下几种技能（网络和谈与平安设备、Linux操纵零碎、Web办事布置/开辟、主流渗透测试/平安东西、一门及以上的编程语言）中的2到3个，都可以较好的胜任任务需求。

　　固然，从行业新人入职到真正通往大神，这里是“0到1”和“1到100”的区别了，到了任务场景中，可否依据任务需求，再横向和纵向拓展团体技能栈，这块修行就完端赖团体了，比方，这边结业的学员，有从平安运维和售后转向平安渗透岗的，有从平安渗透岗转到平安研发的，有从平安公司跳到互联网公司的，有从互联网公司跳到平安草创企业的……）

　　有哪些公司在雇用平安人才？薪酬规范是如何的？平安行业的薪酬规范是如何的？

　　1

　　有哪些公司在雇用？

　　平安工程师已经成为一个必选项，所以已经没法再一一罗列出来了，无论是互联网公司，照旧网络与平安公司，照旧银行、经营商、当局等，都需要平安人才插手，所以，这里更多罗列拼客学院刚结业学员拿到过的校园雇用的岗亭。

　　网络平安公司：360企业平安、绿盟科技、天融信、启明星辰、深服气、蓝盾科技、网康、斗象科技（Freebuf）、华为、锐网络……

　　互联网公司：腾讯（安平部平安实施-DDOS标的目的）、YY（平安研发）、4399（平安运维）…..

　　经营商/国企：中国移动（平安运维）、中国电信（平安运维）、安然科技（平安运维）…….

　　零碎集成商：神州数码（F5工程师）、华讯网络（平安名目布置、亚信科技（平安运维）、中通服科技（平安售后与交付）…….

　　相关雇用链接和截图：

　　腾讯：https://join.qq.com/index.php

　　阿里：https://job.alibaba.com/zhaopin/index.htm

　　百度：https://www.lagou.com/jobs/2568043.html

　　知乎：https://www.lagou.com/jobs/2404127.html?source=position_rec&i=position_rec-1

　　小米：https://www.lagou.com/jobs/2869721.html?source=position_rec&i=position_rec-4

　　360：https://campus.chinahr.com/2017/360/

　　绿盟：https://campus.51job.com/lvmen0823_7058wh/3_5.html启明：https://www.lagou.com/gongsi/j9231.html

　　深服气：https://www.lagou.com/gongsi/182070.html#company_navs

　　2

　　平安行业薪酬环境

　　薪酬这块，依据岗亭的入职薪酬来看，个别都是遵循：【平安研发 > 平安办事/渗透测试/Web渗透 > 平安售后/平安技能反对】。

　　固然，差别范例的公司，开展进程中给出的薪酬也会有所差别，广深地域这边，依据学员入职平安岗亭的整体环境来看，【互联网公司> 网络/平安公司 ≈ 经营商/国企 > 零碎/平安集成商 】，薪酬上面主要分三个档（月薪）：6到8k，8到10k、10到12k；从这几年的平安薪酬趋势来看，应届刚入职的这个行业的起薪越来越高了，想起2013年广州这边的学员刚入职某出名平安公司，阿谁时候是5k，而此刻是9k，也有局部特例比方拿到某服气平安攻防岗18w年薪的….

　　除了入职薪酬，如果要看开展势头和将来增长性的话，倡议照旧直接到近似拉勾网（智联、51Job）之类的雇用网站，或许到企业的官网雇用页面，搜索以上所聊到的岗亭名称或许公司，看他们的雇用需求，比方1到3年和3到5年差别工程师品级的薪酬差异，也可以给自己定一个小方针。截图举例：

　　搜索[网络平安工程师]

　　搜索[平安工程师]

　　搜索[渗透测试工程师]

　　搜索[Web平安工程师]

　　

　　本文出自 “陈鑫杰讲网络与平安” 博客，请务必保存此出

　　https://chenxinjie.blog.51cto.com/7749507/1949465