EqLlyHJ5w6,694hQRgLWm
网络安全求职指南须知网络安全求职指南须知 概述 之前的文章给大家分析了安全行业目前的发展趋势、安全防御和******两端不同的技术栈需求。在这篇文章里面,我们聚焦以下常见的安全行业求职和职业发展问题: 安全行业如何区分?安全岗位到底有哪些?不同安全岗位的技术需求和岗位职责有什么区别?适合我们的安全岗位又有哪些?有哪些公司在招聘安全人才?安全企业的排名情况大体是怎样的?XXX公司好,还是YYY安全好?安全行业的薪酬标准是如何的? 安全行业大而杂,个人能力有限,尽所能将2013年到2017年拼客发展的这4年时间中,不同企业在这边招聘或内推的安全岗位需求、拼客毕业学员的入职岗位和薪酬情况、以及学员后续的职业路线(跳槽趋势)、个人在安全集成、等保安全、政务税务金融等安全项目经验和技术圈来做分析。 1. 安全行业到底有多少领域?具体在做什么?区别与联系是什么? 根据不同的安全规范、应用场景、技术实现等,安全可以有很多分类方法,在这里我们简单分为网络安全、Web安全、云安全、移动安全(手机)、桌面安全(电脑)、主机安全(服务器)、工控安全、无线安全、数据安全 1.1 网络安全 [网络安全] 是安全行业最经典最基本的领域,也是目前国内安全公司发家致富的领域,例如启明星辰、绿盟科技、天融信这几个企业(“老三大” )。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、***检测/防御、***网关(IPsec/SSL)、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术,我们可以设计并提供一个安全可靠的网络架构,为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。 [技能需求] 网络协议:TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow… 主流网络与安全设备部署:思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、***、AC/AD… 网络安全架构与设计:企业网/电信网/政务网/教育网/数据中心网设计与部署… 信息安全等保/分保理论、金土/金税工程… [补充说明] 1、不要被电影和新闻等节奏带偏,战斗在这个领域的安全工程师非常非常多,不是天天***别人写***代码写病毒的才叫做安全工程师; 2、这个安全领域研究的内容除了defense(防御)和security(安全),相关的Hacking(***)技术包括协议安全(arp中间人***、dhcp泛洪欺骗、STP欺骗、DNS劫持***、HTTP/***弱版本或中间人***…)、接入安全(MAC泛洪与欺骗、802.1x、WiFi暴力破解…)、硬件安全(利用NSA泄露工具包***知名防火墙、设备远程代码执行漏洞getshell、网络设备弱口令破解.. )、配置安全(不安全的协议被开启、不需要端口服务被开启…)… 3、学习这个安全方向不需要太多计算机编程功底,更多需要对网络协议能抓包分析,对网络和安全设备能熟悉配置; 4、参考课程:《拼客学院CCIE魔鬼训练营》。 1.2 Web安全 Web安全领域从狭义的角度来看,就是一门研究[网站安全]的技术,相比[网络安全]领域,普通用户能够更加直观感知。例如,网站不能访问了、网站页面被恶意篡改了、网站被******并泄露核心数据(例如新浪微博或淘宝网用户账号泄露,这个时候就会引发恐慌且相继修改密码等)。当然,大的安全项目里面,Web安全仅仅是一个分支,是需要跟[网络安全]是相辅相成的,只不过Web安全关注上层应用和数据,网络安全关注底层网络安全。 [技能需求] 通信协议:TCP、HTTP、HTTPs 操作系统:Linux、Windows 服务架设:Apache、Nginx、LAMP、LNMP、MVC架构 数据库:MySQL、SQL Server、Oracle 编程语言:前端语言(HTML/CSS/JavaScript)、后端语言(PHP/Java/ASP/Python) 如果按照上面的技能全部学完,不仅时间周期非常长,估计大部分人连学后面安全的兴趣都没有了。所以,这就说到Web安全这个行业另外一个常态了:大部分做Web安全的,并不是刚开始就对Web开发技术非常熟悉的,很多都是半路杀出来了,甚至连Web网站都没有架设过的,这种大有人在。因此有更加狭义的Web安全技术点: 安全理论:OWASP TOP 10 、PETS、ISO 27001… 后端安全:SQL注入、文件上传、Webshell(***)、文件包含、命令执行… 前端安全:XSS跨站脚本***、CSRF跨站请求伪造… 安全产品:Web漏洞扫描(Burp/WVS/Appscan)、WAF(Web应用防火墙)、IDS/IPS(Web***防御)、Web主机防护 因此,Web开发技术和Web安全技术其实是相辅相成的,如果对Web开发比较熟悉,意味着研究Web安全时能够更加底层,而不止于安全工具和脚本层面。 [补充说明] 1、学习Web安全方向需要有一定的编程基础,如果对代码没兴趣,建议走[网络安全]方向; 2、[网络安全]和[Web安全]在安全领域里面刚好是对立面存在,一硬一软、一防一攻、一上(上层)一下(底层); 3、参考课程:《拼客学院Linux运维精品班》、《拼客学院Web安全***系列课》。 1.3 终端安全(移动安全/桌面安全) 移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全,例如iOS和Android安全,我们经常提到的“越狱”其实就是移动安全的范畴。而近期爆发的危机全球的Windows电脑蠕虫病毒 - “WannerCry勒索病毒”,或者更加久远的“熊猫烧香”,便是桌面安全的范畴。桌面安全和移动安全研究的技术面都是终端安全领域,说的简单一些,一个研究电脑,一个研究手机。随着我们工作和生活,从PC端迁移到了移动端,终端安全也从桌面安全迁移到移动安全。最熟悉不过的终端安全产品,便是360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲McAfee、诺顿等全家桶…… 1.4 云安全 [云安全] 是基于云计算技术来开展的另外一个安全领域,云安全研究的话题包括:软件定义安全、超融合安全、虚拟化安全、机器学习+大数据+安全….. 目前,基于云计算所展开的安全产品已经非常多了,涵盖原有网络安全、Web安全、移动安全等方向,包括云防火墙、云抗DDOS、云漏扫、云桌面等,国内的腾讯云、阿里云已经有非常成熟的商用解决方案出现。 [补充说明] 1.5 工控安全 以震网病毒(stuxnet)***伊朗核电厂并使其瘫痪的全球事件,从安全领域活生生撕开一道口并告诉我们,工控病毒才是真正代替核武器战争的代表。相比其他安全方向,工控安全研究的***对象是工业基础设施,真正影响人类生活的方方面面,例如核电、电力、水力、城市交通等基础设施。随着万物互联/物联网的进程不断推进,工控安全会成为我们继互联网和移动互联网安全之后研究的重心。 2. 安全行业到底有多少岗位?技术需求和岗位职责是什么?适合我们的安全岗位又有哪些? 2.1 安全岗位 以安全公司招聘的情况来分,安全岗位可以以研发系、工程系、销售系来区分,不同公司对于安全岗位叫法有所区分,这里以行业常见的叫法归类如下: 研发系:安全研发、安全***研究、逆向分析、 工程系:安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、Web***测试工程师、Web安全工程师、应用安全审计、移动安全工程师 销售系:安全销售工程师、安全售前工程师、技术解决方案工程师、 2.2 适合我们的岗位有哪些? 拼客学院这边毕业学员主要走安全工程系,我们目前主要应聘的岗位是:安全工程师、安全运维、安全服务工程师、Web***测试、Web安全工程师,当然,也有部分学员在做安全研发和安全售前岗位。例如在安全公司如绿盟科技、深信服、360、天融信等做安全工程师、安全服务、***测试等岗位,在甲方单位例如运营商(中国移动、中国电信)、金融类公司(平安科技、招商银行)等更多做安全运维、Web应用审计、Web***测试等岗位 2.3 常见的安全岗位职责 这里仅列举部分,更多岗位可以到各类招聘网站如[拉勾网]上搜索相关的岗位,也可以了解不同类型公司对安全岗位的要求;也可以到知名安全公司的官网、微信公众号上了解他们校招和社招的信息;以下是平常在拼客学院招聘/内推的比较多的岗位,直接贴他们的招聘需求=> [安全工程师](产品与售后方向) [安全服务工程师] [安全运维工程师] [Web安全工程师/***测试] 2.4 安全岗位总结 走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流***测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。当然,从行业新人入职到真正通往大神,这里是“0到1”和“1到100”的区别了,到了工作场景中,能否根据工作需求,再横向和纵向拓展个人技术栈,这块修行就完全靠个人了,例如,这边毕业的学员,有从安全运维和售后转向安全***岗的,有从安全***岗转到安全研发的,有从安全公司跳到互联网公司的,有从互联网公司跳到安全初创企业的……) 3. 有哪些公司在招聘安全人才?薪酬标准是如何的?安全行业的薪酬标准是如何的? 3.1 有哪些公司在招聘? 安全工程师已经成为一个必选项,所以已经没法再一一列举出来了,无论是互联网公司,还是网络与安全公司,还是银行、运营商、政府等,都需要安全人才加入,所以,这里更多列举拼客学院刚毕业学员拿到过的校园招聘的岗位。 网络安全公司:360企业安全、绿盟科技、天融信、启明星辰、深信服、蓝盾科技、网康、斗象科技(Freebuf)、华为、锐网络…… 互联网公司:腾讯(安平部安全实施-DDOS方向)、YY(安全研发)、4399(安全运维)….. 运营商/国企:中国移动(安全运维)、中国电信(安全运维)、平安科技(安全运维)……. 系统集成商:神州数码(F5工程师)、华讯网络(安全项目部署、亚信科技(安全运维)、中通服科技(安全售后与交付)……. 相关招聘链接和截图: 3.2 安全行业薪酬情况 薪酬这块,根据岗位的入职薪酬来看,一般都是遵循:【安全研发 > 安全服务/***测试/Web*** > 安全售后/安全技术支持】。当然,不同类型的公司,发展过程中给出的薪酬也会有所差异,广深地区这边,根据学员入职安全岗位的整体情况来看,【互联网公司> 网络/安全公司 ≈ 运营商/国企 > 系统/安全集成商 】,薪酬上面主要分三个档(月薪):6到8k,8到10k、10到12k;从这几年的安全薪酬趋势来看,应届刚入职的这个行业的起薪越来越高了,想起2013年广州这边的学员刚入职某知名安全公司,那个时候是5k,而现在是9k,也有部分特例例如拿到某信服安全***岗18w年薪的…. 除了入职薪酬,如果要看发展势头和未来增长性的话,建议还是直接到类似拉勾网(智联、51Job)之类的招聘网站,或者到企业的官网招聘页面,搜索以上所聊到的岗位名称或者公司,看他们的招聘需求,例如1到3年和3到5年不同工程师等级的薪酬差别,也可以给自己定一个小目标。 截图举例: 搜索[网络安全工程师] 搜索[安全工程师] 搜索[***测试工程师] 搜索[Web安全工程师] 济南磐龙笔记本交换机维修,专业芯片级维修服务商 www.pldtwx.com |