敲重点！零基础入门网络安全，这篇文章你一定要看【熬夜3天，万字长文】_hr 网络安全 应用

 

大家好，我是无涯，一个工作多年的网安老司机， 曾在奇安信集团担任高级渗透测试工程师，前后参与四届全国HVV行动、北京冬奥重保等活动。

由于我之前写了不少网络安全相关的文章，不少粉丝朋友知道我是从事网络安全工作，于是经常有朋友在后台私信问我网络安全相关的问题，比如以下这几个问题，都是具有代表性的：

• 我想自学网络安全，应该从哪一块入手？
• 网络安全对编程要求高吗，我编程基础薄弱怎么办？
• 我以前做的开发/测试，转网络安全好转吗？
• 网络安全就业方向有哪些，我应该如何选择？
• 网络安全岗位的工作好找吗，有没有年龄限制？
• 网络安全行业有哪些证件要考，考证难度大吗？

问这些问题的朋友，有正在学校读书的学生，有刚步入职场的菜鸟，也有已经工作多年的老司机。

为避免大家东一榔头、西一棒槌地了解这个行业，出现以偏概全的情况，今天我就针对这一系列问题，专门出一篇文章进行回答。

文章内容将围绕以下几个方面展开，大家可以根据自己的情况有选择性的阅读！

（友情提示：全文1W余字，为避免迷路，可以先点个赞收藏一下！）

目录

一、网络安全现状分析

1.1、行业特点

1.2、发展空间

1.3、增值潜力

二、网络安全入门指南

2.1、石器时代

1、Windows

2、计算机网络

3、Web基础

4、数据库基础

2.2、青铜时代

1、Web进阶

2、PHP编程

3、计算机网络进阶

4、加解密技术

2.2、白银时代

1、Web安全入门

2、网络扫描与注入

3、信息搜集 & 社会工程学

4、暴力破解

2.4、黄金时代

1、WAF技术

2、网络协议攻击 & 入侵检测

3、日志技术

4、Python编程

5、浏览器安全

2.5、铂金时代

1、第三方组件漏洞

2、内网渗透

3、操作系统安全技术 & 提权技术 & 虚拟化技术

2.6、王者时代

1、CobalStrike & MetaSploit

2、其他安全技术拓展

三、网络安全就业选择

3.1、安全研发

3.2、二进制安全

3.3、网络渗透

3.4、找工作的建议

四、网络安全考证明细

4.1、CISP（国家​注册信息安全专业人员​）

4.2、CISSP（​国际注册信息系统安全专家​）

4.3、CISP-PTE（国家注册渗透测试工程师）

4.4、CISP-PTS（国家注册渗透测试专家）

4.5、CISP-IRE（国家注册应急响应工程师）

 五、最后的几句话

---

因为我现在正在从事网络安全工作，所以我肯定是给大家介绍这个行业积极的一面，但作为一个负责任的博主，我也想在这里和大家说几句心里话：

1、这件事情，或者说这个职业。首先你的初衷不能是因为赚钱，因为太容易走歪了，黑产盛行，巨大的利益不断诱惑着通往技术的心，圈内这种沉不下心来浮躁的环境影响了太多的人，当初一起的朋友，现在还有在里面没出来的。

2、网络安全涉及的方面太广，对于我们来讲，不是因为这是个工作，而是因为浓厚的求知欲，浓厚的兴趣所引导。

3、而没有浓厚的兴趣引导很容易半途而废，原因大部分在于，这个东西并不是想象中的那么美好，学的东西太多 且枯燥 你要承担短时间内没有回报的结果，这很容易让人放弃。

一、网络安全现状分析

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

1.1、行业特点

1、就业薪资非常高，涨薪快

2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大高校每年培养的人员不到1.5W人。

 

猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

1.2、发展空间

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

1.3、增值潜力

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

二、网络安全入门指南

如何零基础入门网络安全，也是粉丝朋友问我的高频问题之一，通过后续的沟通不难发现，他们大部分人都是通过各种渠道了解到网络安全这一行现在比较吃香，想入门但又缺乏一个清晰明确的学习方向。

因此在和粉丝朋友们反复沟通调整、优化迭代之后，我整理了一个网络安全自学路线图，通过朋友们的反馈来看，这个学习路线图非常适合零基础的小白入门网络安全。

如果你自学能力强的话，这个学习路线对你会有非常大的指向作用。

 在这张图路线图中，一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第二个阶段就足矣。

同时我也根据这个路线图整理了一套网络安全自学籽料包，需要的朋友可以继续往下看。

只看路线图有些朋友可能会懵，那我就再围绕这个路线图，以文字形式展开告诉大家。

2.1、石器时代

第一个阶段——石器时代，针对的是纯新手小白刚刚入场。在这个阶段，主要是打基础，需要学习的有四部分内容：

1、Windows

Windows上基础的一些命令、PowerShell的使用和简单脚本编写，以及Windows以后经常会打交道的几个重要组件的使用：注册表、组策略管理器、​ 任务管理器、事件查看器等 ​。

除此之外，学习在Windows上面搭建虚拟机，学会安装系统，为接下来学习Linux做准备工作。

网络安全，必然要与Linux经常打交道，我看到很多新人一上来就跟着一些培训班学习Kali，学的云里雾里的。连基本的Linux概念都没建立起来，就急着学Kali，这属于还没学会走路就去学跑步，本末倒置了

在基础阶段，主要以使用为主，学习文本编辑、文件、网络、权限、磁盘、用户等相关的命令，对Linux有一个基本的认知。

2、计算机网络

网络安全，计算机网络肯定是非常重要的存在。作为基础阶段，这一小节主要从宏观上学习计算机网络，而不是死扣某一个协议的某些字段意义。

首先从局域网出发，了解计算机通信的基本网络——以太网，局域网内是如何通信的？集线器、交换机有什么区别？MAC地址、IP地址、子网、子网掩码分别是做什么用的？

随后引出更大的广域网、互联网，什么是网络通信协议，通信协议分层的问题，通过七层和四层模型快速建立起计算机网络的基础概念，各层协议的作用，分别有哪些协议，这些协议在当今的互联网中具体是怎么应用的。

3、Web基础

网络渗透中非常重要的一个组成部分就是Web安全，要学习Web安全，得先从Web前端基础开始入手。

这一小节非常简单，就是学习最原始的Web前端三板斧：HTML+CSS+JS的开发使用，为将来学习Web相关的安全知识打下基础。

这一小节是相对偏实际动手多一些，需要自己多动手进行一些网页编程，尤其是JavaScript的熟悉掌握，了解Ajax是什么东西，常用的jQuery库也学习一下，这都是Web前端中非常基础和常用的内容。

4、数据库基础

基础阶段的最后一部分，可以来接触一些数据库的基础知识了。

这个阶段主要学一些理论知识，重点掌握库、表、索引等概念，然后学习SQL的编写，学会增删改查数据。暂时不用编程来操作数据库。

2.2、青铜时代

度过了石器时代，你已经储备了一些计算机的基础知识：操作系统的使用，网络协议，前端基础，数据库初识，但这距离做网络安全还不够，在第二个青铜阶段，你还需要再进一步学习基础，在第一阶段之上，难度会开始慢慢上升。

这一阶段需要学习的知识有：

1、Web进阶

在前面的石器时代，咱们初步接触了网页编程，了解了网页的基本原理。不过那时候是纯前端的，纯静态的网页，没有接触后端。在这个进阶的阶段，你要开始接触Web后端的内容了。

首先从常用的两大主流Web服务器出发，学习Apache和Linux的基本知识，随后引出动态网页的基本原理，从CGI/Fast-CGI过渡到后来的ASP/PHP/ASPX/JSP等动态网页技术，了解它们的发展历史，演变过程和基础的工作原理。

最后再学习一些Web开发中的基础知识：表单的操作、Session/Cookie、JWT、LocalStorage等等，了解这些基本的术语都是什么意思，做什么用，解决了什么。

2、PHP编程