AI诈骗频出，你是一名合格的安全技术员吗？

作者：盐析白兔 | 2024-05-30 09:07:17

踩

据我国教育部指导的《网络安全人才实战能力白皮书》（以下简称“白皮书”）介绍。当前我国网络安全人才“高薪难求”：即使给出高额薪资，企业也招不够人。社会需要的攻防实用型人才，高校培养又明显跟不上。缺质又少量的情况下，企业提供平均薪酬连续6年上升。

后文将从白皮书出发，为大家一一解读：

网络安全行业发展趋势如何？还能火多久？
当前紧缺什么样的安全人才？如何低成本学习相关技术？
网络安全职场竞争力有哪些？如何快速提升？
如何正确学习网络安全？

327万人才缺口，网络安全人才为什么难招？

白皮书数据显示，2020年我国网络安全从业人员需求数量为155万人，到2027年，我国网络安全人员缺口将达327万，而高校人才培养规模仅为3万/年，当前人才缺口高达93%，安全的发展势头依然迅猛。

网络安全人才缺口为什么这么大？白皮书里给大家阐述了几个核心原因：网络安全学科建设较晚，开设院校少，懂攻防实战的老师少。时间、数量、质量，三方面因素的欠缺让网络安全人才供不应求。

虽然人才缺口巨大，实战型人才缺乏的问题更为突出。其中，渗透测试、漏洞发现与利用和逆向分析方向，是用人单位紧缺的攻防实战技能方向，分别占比40%、33%和32%。

高校给不齐企业想要的人才。一份调查显示，网络安全从业者中，网络工程专业学生都多于对口专业学生。硬核的技术能力、丰富的实战能力才是吃饭的根本。

企业紧缺，攻防实战能力如何提升？

安全的本质是攻防实战。无论是研究研发，还是安全服务，实战才是硬道理。安全领域的攻防两方，无论哪一端真正深入进去其实都探不到底，学安全技术的，都应该心怀敬畏。

例如防御端涉及到的包括安全架构（接入、汇聚、核心、DMZ、出口区、双活冗余、负载均衡…）、安全产品（防火墙、入侵检测/防御、UTM、VPN、网闸、防病毒…）、安全项目（等级保护、分级保护、安全集成…）。而攻击端（渗透测试）这个领域也在不断细分，例如Web渗透测试、移动渗透测试、工控渗透测试 …… 总之，应用、服务、流量在哪里，渗透和攻击就在那里。

普通学习者没有数十万、上百万的经费搭建实验室，想要学习攻防实战技术，我推荐大家通过免费开源优秀的网络安全项目，构建自己的虚拟化的安全实验室：

要研究态势感知或安全运营中心，可以采用OSSIM

要研究入侵防御技术，可以采用Snort或Security Onion

要研究防火墙技术，可以采用pfSense或OPNsense

要研究Web应用防火墙（WAF ），可以采用ModSecurity

要研究威胁情报技术，可以采用MISP或OpenCTI

要研究漏洞扫描技术，可以采用OpenVAS或W3AF

要研究堡垒机技术，可以采用JumpServer

要研究蜜罐技术，可以采用T-Pot或Hfish

……

当然，在网络安全领域，还有很多很多类似优秀的开源项目，我认为比较快速的学习方法，其实是找到这个领域的开源项目，通过构建攻防场景，在动手实践中成长。