赞
踩
2023 年我国网络空间安全人才数量缺口超过了 140 万,就业人数却只有 10 多万,缺口高达了 93%。这里就有人会问了:
1、网络安全行业为什么这么缺人?
2、明明人才那么稀缺,为什么招聘时招安全的人员却没有那么多呢?
首先来回答第一个问题,从政策背景、市场需求、行业现状来说。
自从斯诺登棱镜门事件曝光之后,网络空间站成为现代战场第一战场,网络安全能力也被各国列为了必要的发展战略。
上到政府、下到企业、个人,大家对网络安全的关注迅速提升。公安部推出了网络安全等级保护制度,网信办推出了《网络安全法》等诸多法规。并且对政府网站、政务系统到能源、电力、金融、医疗、教育、军工等所有行业都提出了规范制度,明确了要求。
解读一下:所有行业对于“网络安全”的规范,如果不按照规范实施,没有保护好自己的一亩三分地,甚至出现被入侵事件的话,相关单位是要被惩罚的、相关领导要被问责的、相关人员甚至要追究刑事责任的。
政策、经济、技术对人才的需求量都极大的提升了
为了合规和避险,要具备防范能力,甲方开始组建安全部门。
甲方迅速扩大,有市场、能赚钱,乙方开始拓展安全服务。
万物互联,各大巨头开始开发安全产品。
2022 年网络空间安全人才数量缺口超过 140 万。
人才输出最大的来源是高校。但是网络安全作为新兴技术,现有体质的教授虽然理论、基础非常杂事,但是对于安全的应用和实践经验非常缺乏。在老师们的大学时代,有几个人可以拥有一台自己的电脑?
所以,有能力且有应用实践经验的老师,非常缺乏。
接下来,解答第二个问题,为什么招聘时招安全的人员却没有那么多呢?
招聘时安全人员不多的原因有以下两大原因:
很多招聘方大都面向的是高校毕业生,但是据了解绝大多数的网络安全专业的毕业生并没有进入这个行业,各大院校的网络安全专业仍然面临着专业对口率低的窘境。
导致这个现象的主要原因是大学教育更重视的是理论知识,而在实践知识的传授上有所欠缺。学校里面的专业课拥有的是专业的教科书、丰富的理论知识,但是却缺少了网络安全的核心内容——具有说服力的实践操作。
很多老师上完课之后就吩咐一句,自己下课多练习,并没有把练习落到实处。老师教授的内容通常都需要学生去深度挖掘、积极操作,才可能获得相应的能力,而很多学生都忽略了这一点,要么就是有拖延症、要么就是想混一个学历拿到毕业证,然后再混一个工作。
殊不知,这其实是非常不现实的,没有实践能力,毕业证明就是纸上谈兵!
解决这个问题最好的办法就是提升学生的实践能力,提升实践能力的方法很简单。
有一个关于黑客的电视剧《亲爱的 热爱的》里面虽然都是训练打 CTF 比赛的,但是也和网络安全大同小异。里面的人都是集中封闭式训练,连休息时间也少的可怜。所以想要拥有强大的实战能力,还是需要像他们一样集中训练。一个好的培训机构就是一个比较好的选择,当然选择哪个培训机构也是一门学问要选择而真正教网络安全知识的,有自己靶场进行实战的。否则最终肯定是竹篮打水一场空。
很多小企业之前根本没有安全意识,觉得网络安全不够重要,网络安全的重要性没有得到重视。 而近几年来,政府、企业、个人,都对网络安全的关注大大提升!就在今年的 3.15 晚会上,还设置了一个信息安全实验室,进一步提升了我们对网络安全的关注度。国家近年来也对网络安全宣传作出了重要指示强调,举办网络安全宣传周、提升全民网络安全意识和技能。
网络安全方面的岗位才受到重视不久,正是由于学习并熟知这一专业的人才稀缺,这一人群就业的福利和薪资水涨船高,可很多人其实并没有与高薪水适配的能力,小的企业大多负担不起这方面的专业人才,也就不了了之。而大企业虽负担得起,但要求的能力相应也就越高,但是往往采取的都是内部互推的形式,或者到专业机构直接聘请优秀毕业学员,保守挖掘人才,而不会选择大海捞针。
关注的安全岗位类别少
如果你只关注了安全岗位的某一类,那么你会发现招聘的确实比较少。但是安全是一个非常大的分支,有很多职位分化。等保测评、渗透测试、安全研究、安全产品售前、安全产品售后、安全产品研发等等,都有着比较多的就业岗位。
很多公司都在招人,不过和第二条所说一样,喜欢“内部消化”,所以在一些招聘平台上看到的岗位就比较少。这印证着这行业还是需要有人辅助、需要人脉资源!那么,一些走了“捷径”的人就更加有优势,他们有老师推荐、有同学内推。
综上,网络安全方面就业前景依旧是十分可观的,只要有热情肯钻研,就会得到相应的回报。另外,纸上谈兵是学习网络安全的大忌!不论是学校学习、还是自学、或者培训,一定要重视自己的实践能力!
学前感言
1.这是一条需要坚持的道路,如果你只有三分钟的热情那么可以放弃往下看了。
2.多练多想,不要离开了教程什么都不会,最好看完教程自己独立完成技术方面的开发。
3.有问题多 google,baidu…我们往往都遇不到好心的大神,谁会无聊天天给你做解答。
4.遇到实在搞不懂的,可以先放放,以后再来解决。
如果你把每周要学的内容精细化到这种程度,你还会担心学不会,入不了门吗,其实说到底就是学了两个月,但都是东学一下,西学一下,什么内容都是浅尝辄止,没有深入进去,所以才会有学了 2 个月,入不了门这种感受。
了解网络安全相关法律法规
熟悉基本概念(SQL 注入、上传、XSS、CSRF、一句话木马等)。
通过关键字(SQL 注入、上传、XSS、CSRF、一句话木马等)进行 Google;
阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;
看一些渗透笔记/视频,了解渗透实战的整个过程,可以 Google(渗透笔记、渗透过程、入侵过程等);
熟悉 AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan 等相关工具的使用。
了解该类工具的用途和使用场景,先用软件名字 Google;
下载无后门版的这些软件进行安装;学习并进行使用,例如:Brup 的教程、sqlmap;待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱;
掌握渗透的整个阶段并能够独立渗透小型站点。网上找渗透视频看并思考其中的思路和原理,关键字(渗透、SQL 注入视频、文件上传入侵、数据库备份、dedecms 漏洞利用等等);
自己找站点/搭建测试环境进行测试,记住请隐藏好你自己;
思考渗透主要分为几个阶段,每个阶段需要做那些工作;
研究 SQL 注入的种类、注入原理、手动注入技巧;研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等;
研究 XSS 形成的原理和种类,具体学习方法可以 Google;研究 Windows/Linux 提权的方法和具体使用;
关注安全圈的最新漏洞、安全事件与技术文章。
浏览每日的安全技术文章/事件;
通过 Weibo/twitter 关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),天天抽时间刷一下
通过 feedly/鲜果订阅国内外安全技术博客(不要仅限于国内,平时多注意积累);
多关注下最新漏洞列表,推荐几个:exploit-db
学习 Windows/Kali Linux 基本命令、常用工具;
熟悉 Windows 下的常用的 cmd 命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill 等;
熟悉 Linux 下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo 等;
熟悉 Kali Linux 系统下的常用工具,可以参考 SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;
熟悉 metasploit 工具,可以参考 SecWiki、《Metasploit 渗透测试指南》。
学习服务器环境配置,并能通过思考发现配置存在的安全问题。Windows2003/2008 环境下的 IIS 配置,特别注意配置安全和运行权限,;Linux 环境下的 LAMP 的安全配置,主要考虑运行权限、跨目录、文件夹权限等;远程系统加固,限制用户名和口令登陆,通过 iptables 限制端口;配置软件 Waf 加强系统安全,在服务器配置 mod_security 等系统;通过 Nessus 软件对配置环境进行安全检测,发现未知安全威胁。
选择脚本语言 Perl/Python/PHP/Go/Java 中的一种,对常用库进行编程学习。搭建开发环境和选择 IDE,PHP 环境推荐 Wamp 和 XAMPP,IDE 强烈推荐 Sublime;Python 编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,推荐《Python 核心编程》,不要看完;用 Python 编写漏洞的 exp,然后写一个简单的网络爬虫;PHP 基本语法学习并书写一个简单的博客系统
能独立分析脚本源码程序并发现安全问题。熟悉源码审计的动态和静态方法,并知道如何去分析程序;从 Wooyun 上寻找开源程序的漏洞进行分析并试着自己分析;了解 Web 漏洞的形成原因,然后通过关键字进行查找分析;研究 Web 漏洞形成原理和如何从源码层面避免该类漏洞,并整理成 checklist。
能建立自己的安全体系,并能提出一些安全建议或者系统架构。开发一些实用的安全小工具并开源,体现个人实力;建立自己的安全体系,对公司安全有自己的一些认识和见解;提出或者加入大型安全系统的架构或者开发;
这个路线图已经详细到每周要学什么内容,学到什么程度,可以说我整理的这个 Web 安全路线图对新人是非常友好的,除此之外,我还给小伙伴整理了相对应的学习资料,如果你需要的话,我也可以分享一部分出来(涉密部分分享不了),需要的可以看我分享
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。