此篇是结合《网络安全面试指南》一文章进行扩充,欢迎指正。
目录
1 ⽹络安全现状
1.1 理解⽹络安全⾏业现状
1.2 安全从业⼈员如何选择公司
1.3 安全从业⼈员必备素质
1.3.1 红队技术
1.3.2 蓝队运营
1.3.3 安全开发
1.3.4 项目管理
1.3.5 安全咨询
1.3.6 安全研究及培训
1.4 安全从业人员能力分级
2 ⽹络安全⾏业趋势****与岗位趋势
1 ⽹络安全现状
1.1 理解⽹络安全⾏业现状
1.1.1 ⾏业处于起步阶段@2019
现代⽹络安全⾏业发展的时间相对较短,许多企业由于资源投⼊和建设时间限制,导致安全建设的⼴度和深度还有挺⼤提升空间。甚⾄⼀些国内⼤⼚的安全⽔平可能并不如我们所想象的那样⾼。很多企业的安全⽔平仅能够对抗⼀些初级⽩帽⼦级别的攻击,⽽⾯对专业的⿊客团伙持续定向攻击,
⼤多数企业则⽆法有效防御。在HW以及各家SRC的数据中能反应出⽬前的安全状况。
1.1.2 从业⼈员薪酬⾼
由于安全⾏业起步较晚,安全⼈才供不应求,导致安全从业者的薪资⽔平不断攀升。在所有⾏业中,互联⽹⾏业被公认为薪资最⾼的领域之⼀,⽽在技术类岗位中,安全⼯程师的薪资⽔平更是普遍⾼于其他技术⼈才,与当前发展迅猛的AI⾏业能⼀较⾼下。优秀的信息安全本科毕业⽣可以获得每⽉2万到3.5万的起薪(当然这⾥可能受到⾏业内部竞争的因素影响,⼀些公司采⽤⼊职即巅峰的招聘策略,后续薪资增⻓有限)。努⼒⼯作三四年后,薪资可能达到每⽉4万到6万。成为安全团队的管理者后,年薪可达百万⽔平,成为⾏业顶尖⼈才后,年薪可达千万(后⾯章节中,会解释不同薪资⽔平对应的能⼒结构需求)。随着越来越多的学校开设信息安全相关专业,越来越多的培训机构提供信息安全课程,以及越来越多的⼈选择学习或转⾏从事信息安全⼯作,整体安全⼈才供需状况将会得到改善。
1.1.3 从业⼈员良莠不****齐
安全⾏业的迅速发展带来了⼀些利好,例如吸引了更多⼈加⼊安全领域、整体安全⽔位明显提升。
然⽽,这也带来了⼀些明显的不利因素,⽐如⼈员紧缺和急需填补的岗位。这导致了许多能⼒参差不⻬的⼈涌⼊⾏业,他们的明显特征是在技术细节⽅⾯⽆法进⾏深⼊交流。当你谈论技术细节时,他们只会谈论⾏业热点;当你谈论⾏业热点时,他们只会谈论合规套话;当你谈论监管合规时,他们只会谈论⾏业⼋卦。更甚者,他们可能只是照搬理论⽽并未深⼊理解就拿来卖弄。尽管这么说可能会得罪⼀部分⼈,但这是⽬前存在的现实。有⼈会问,难道⼊职后他们的真实⽔平不会暴露吗?在⽼板⾮技术⼈⼠前提下,很难察觉到。主要原因是前⾯提到的安全⽔位很难衡量,⽽实际的安全⻛险通常是⼩概率事件。在许多情况下,运⽓成为了实现⽬标的关键因素。
1.1.4 安全⽔位难衡量
很多情况下,我们可以通过结果来判断安全建设的⽔平,但在安全领域,这种判断变得困难。许多
团队的绩效指标是零安全事故,也就是不出现任何安全问题。这种指标导致了吹嘘拍马的⼈混的风⽣水起。然⽽,随着实战红蓝演练的普及以及国家级别实战攻防演练的规模和范围扩⼤,逐渐借助模拟实战的⽅式来评估防护和应急的效果。这种趋势在⼀定程度上有助于改善上述情况。
1.1.5 安全建设驱动因素转变中
在早期,安全是个奢侈品。仅在⾦融、电商、游戏等少数⾏业存在,它们都⾯临着⿊灰产的威胁,
对安全有天然的需求,属于实际业务安全威胁驱动安全建设。在前些年,陆续各类安全法律、法规、标准出台,许多企业开始了满⾜合规要求⽽进⾏安全建设,甚⾄有些企业会购买⼤量安全产品,但只是为了应付监管检查⽽不真正使⽤这些产品来提升安全⽔位。随着乌云等公共漏洞报告平台的兴起,各家企业的安全建设⼜上了⼀个台阶,这种模式属于⽩帽⼦安全漏洞驱动。在最近⼏年的⾏业中,由于国家攻防演练的普及,⾏业风⽓逐渐变得更加务实,并且逐渐演变为由实际⻛险驱动的安全。
1.1.6 安全圈⼦⽂化氛围浓厚
安全领域是⼀个⼩圈⼦,圈内的事件传播⾮常迅速。例如,哪家企业的数据库泄露了、哪家企业遭受了薅⽺⽑⾏为、哪个安全专业⼈⼠被抓等负⾯新闻,圈内⼈很容易得知。同样,在这个⼩圈⼦⾥,⼈们可以快速了解⾏业中的新技术、新⽅向和新政策,也能轻松获悉每家公司的安全建设情况。你可以了解到阿⾥安全与公安部⻔合作的强⼤⼿段,了解腾讯的安全响应中⼼如何运作得如此出⾊,还可以与百度的安全专家讨论如何将机器学习应⽤于安全产品。在安全圈内,这些交流都⾮常容易实现。此外,众多安全会议的举办也使你能够学习到每家公司的经验,⽆需⾃⼰摸索。这些都是⼩圈⼦的好处。
当然,⼩圈⼦也存在明显的弊端。总有⼀些⼈追求所谓的“圈⼦⽂化”,他们经常参加各种安全会议,主动结识圈内⼈(这⾥并不是指SRC运营同学,他们的⼯作本来就是去结识不同公司的⼈)。往往以⾃⼰认识谁、和谁熟为荣,不断形成各种更⼩的圈⼦(往往都是同⼀批⼈),很难看到开放、包容和共享。
1.1.7 学历相对不重要
安全圈内存在许多没有学历或学历较低的⽜⼈。这些⼈可能年龄较⼩,⼯作经验也不⻓,但他们通常是出于兴趣驱动,早期就投⼊了⼤量时间和精⼒在安全领域。因此,他们在安全⽅⾯取得了显著的成就。当他们的⻓处特别突出时,往往能够突破企业对学历的⼀些要求限制。例如,在岗位学历要求为本科学历时,候选⼈出⾊的安全能⼒可以降低对学历的要求。
然⽽,我们也必须正确认识低学历对⼯作的影响。在当前安全⾏业逐渐细分、安全建设越来越深⼊的趋势下,安全从业者不再只需要擅⻓挖掘漏洞。随着越来越多的院校开设信息安全专业,越来越多的⼈进⼊安全⾏业。未来企业在招聘安全⼈才时,学历要求肯定会像其他⾏业⼀样成为基本筛选要求,以降低招聘成本。因此,我建议低学历的候选⼈可以尽早通过⾃考等⽅式系统学习英语、数学、计算机基础等学科,并获得国家认可的成⼈教育学历。这样,学历问题的影响就不再成为问题。
1.2 安全从业⼈员如何选择公司
我们都知道选择⽐努⼒重要。在⼈⽣中,我们不断⾯临⼤⼤⼩⼩的选择,⽽选择下⼀家公司则是其中最重要的之⼀。这个选择将关系到你未来⼏年甚⾄整个职业⽣涯的成功与否。不论是技术能⼒、管理经验、薪资⽔平,甚⾄与另⼀半的关系,都会受到这个选择的影响。选择⼀家合适的公司将让我们在接下来的⼏年⾥获得事半功倍的成⻓。
1.2.1 业务对安全是否强诉求
在选择公司时,如果只保留⼀条原则,最关键的⼀点是要考虑公司业务对安全的强诉求程度。
那么如何判断公司业务是否对安全有强烈的需求呢?从安全的⻆度来看,⼏乎所有公司都有敏感数据,都会提供⽹络服务,都需要安全⼈员来保护。然⽽,实际情况往往并不像我们期望的那样,尤其在公司快速发展的情况下。在业务对安全⾮强诉求的公司中,安全部⻔往往被视为⽀撑部⻔,⼀旦公司⾯临困境需要裁员时,安全部⻔往往是⾸先被裁减的部⻔。同时,从资源投⼊的⻆度来看,这类公司对安全的投⼊相对较低。
⼀般来说,那些管理⼤量资⾦或数据的公司对安全有强烈的诉求。这些公司也受到政府监管,安全被要求成为必备部⻔,⽐如⼤型互联⽹公司和⾦融⾏业。或者哪些容易拿到投融资的新型⾏业,⽐如新能源、AI等。这些⾏业的公司赚钱相较于其它⾏业更加容易,这也导致加⼊这些公司更容易拿到⾼薪。这些公司通常⾮常重视安全,并愿意持续、⼤量地投⼊资源。对于从事安全⾏业的⼈来说,这意味着我们可以更深⼊地更⻓期地从事更具挑战性的⼯作。
1.2.2 优先选择互联⽹⾏业
从⾏业历史发展的⻆度来看,计算机⽆疑是发展最快的⾏业之⼀。尽管近年来受到996⼯作制、价值观冲突、裁员、反垄断等负⾯事件的影响,但我们不能否认计算机⾏业仍然是⼀个朝阳⾏业,发展趋势持续向好。这⼀切的核⼼在于计算机技术的边际成本可以降低到近乎为零的程度,只需要⼏⼗⼈就可以服务⼏百上千万⼈,同⼀份软件可以卖出⼀百份⽽成本差异并不⼤。同时,随着万物互联的发展,计算机技术的应⽤范围也越来越⼴泛,从最开始的计算机,到⼿机、电视机、⾳箱,再到汽⻋、商店甚⾄⼯⼚机器⼈,计算机的渗透程度越来越⾼。可以预⻅,计算机⾏业将继续不断地进化。
相⽐之下,在传统⾏业⼯作五年后,⼈们的情况并不会有太⼤的差别。然⽽,在互联⽹⾏业,你永远⽆法想象⾃⼰五年后会是怎样的。互联⽹⾏业给予了你⽆限的可能性。⼆⼗多年前,我家⾥开了⼀家服装加⼯⼚。除了在我还⼩的时候,那时服装产业⾮常⽕热,⼯⼚赚了⼀些钱外,就再也没有取得太⼤的发展。其他⼀些开⼚的亲戚朋友也没有赚到什么钱,反⽽是通过卖掉⼚房赚了不少钱。在这些⼯⼚中,⽆论是⼀线专业⼯⼈或管理者,他们的投⼊产出和⼯资增⻓速度是⽆法拿来和计算机⾏业对⽐的。我的哥哥是⼀名公务员,很多⼈都会羡慕他的⼯作轻松稳定,但⼯资的涨幅和职位的升迁都是可以预料到的,职业空间的发展有限,并不是每个⼈都能接受的。
1.2.3 甲⽅好于⼄⽅,公司赚钱才能更容易⾼薪
互联⽹⾏业可以分为甲⽅和⼄⽅。由于⼄⽅主要以销售为导向,所以在员⼯的技术深度和薪资⽔平上相对甲⽅会有明显差距。同时,由于⼄⽅赚钱都不那么容易,对⽀出⽐较敏感,普通员⼯的薪资上限较低,⾼薪的⼈才往往⽐较少。因此,优先选择甲⽅是⼀个明智的选择。我⾯试和接触过很多⼄⽅⼈员,虽然不可否认其中有很优秀的⼈才,但受限于⼄⽅的⼯作形态,⼤多数⼈还是在做⼀些基础且重复性的⼯作。⻓期在这种环境下⼯作只会破坏个⼈的发展。
在选择公司时,可以考虑选择巨头或潜⼒股。互联⽹甲⽅可以⼤致分为综合体巨头、⼤型平台经济公司、细分独⻆兽和初创公司。对于多数⼈来说,按照从左到右的优先顺序选择是最佳选择。这些公司往往⾃身业务赚钱⽐较容易,因此员⼯也能更加容易拿到⾼薪。收⼊的天花板⽐较⾼,可以更加⻓期持续的⼯作。然⽽,也存在例外情况。选择独⻆兽公司有可能为你带来更⼤的资⾦收益(期权价值增⻓)和综合能⼒的成⻓(安全⼴度和空间)。通常,在热⻔的细分领域,明星初创团队更容易取得成功,但也有可能成为过⽓的独⻆兽。
努⼒提升⾃⼰,尽早离开⼩且没有潜⼒的公司,否则不要期望⼈⽣有什么改变。
1.2.4 钱和成⻓兼得
钱不多的地⽅,往往也学不到什么。很多刚毕业或⽼⼀辈的⼈认为只要能够学到东西并得到锻炼,薪资多少并不重要。然⽽,对于互联⽹安全岗位来说,这种想法是错误的。如果⼀家企业对安全⼈员的薪资并不⾼,那往往意味着安全在这家企业并不被重视,那⼜如何学到东⻄得到锻炼。
⾦融、电商和游戏等⾏业很早就开始设⽴安全岗位,这是因为他们在业务上对安全有很强的需求。这些⾏业的企业往往盈利较多,因此对员⼯的待遇也相对较好。这些⾏业的安全岗位薪资的上限也较⾼,可以⻓期稳定地⼯作。另外,由于对安全的重视程度⾼,这些⾏业企业会投⼊更多的资源来提升安全,更容易有机会去建设更加深⼊的安全能⼒。
然⽽,我见过很多公司的安全建设并不是基于解决实际安全⻛险的出发点,⽽是开拓了⼀些伪需求。所做的事情对最终的风险控制没有任何帮助。我们不应该只服务于伪需求,因为这既会伤害公司,也会伤害我们⾃⼰。
1.2.5 ⽂化氛围⾄关重要
在选择⼯作时,我们应该先排除掉从事⿊灰产业务的公司,以及那些在法律上打擦边球的公司。如果公司的⽂化不正,就会出现⼀些让安全⼈员做违法事情的情况,虽然短期内可能赚到⼀些钱,但习惯于赚取这种⾮法收⼊后很难再回到正常的轨道上,⽽且很容易就得研究监狱的安全性。
团队氛围是⼀个⾮常重要的因素是⼯作开⼼与否,它决定了我们能否⻓期从事这份⼯作。包括⼤家相处的融洽程度、领导能⼒、安全建设深度、⼯作⽅式⽅法以及团队⼈员优秀程度等等。提前向他⼈打听这个团队的氛围是⾮常有效的⽅法。我很庆幸⾃⼰的兴趣和⼯作是⼀致的,这让我每天都能愉快地⼯作。然⽽,如果团队氛围不好,就像跟不喜欢的⼈⼀起玩游戏⼀样,⼯作会变得⾮常痛苦。正向的⽂化和氛围有助于我们在⼯作中更⻓久地待下去,这样我们的技术也会⼀并深⼊。
1.2.6 岗位契合度是重中之重
在选择岗位时,⾸要考虑的是岗位是否与⾃⼰未来的职业发展规划相匹配。如果选择了不合适的岗位,就⽆法发挥出⾃⼰的才能,从⽽导致成⻓相对较为困难。其次,还需要关注⾃⼰擅⻓的技能是否与公司的需求相匹配,这样才能发挥出最⼤的⽣产⼒。
我⻅过许多上班如上坟的同事,也⻅过之前很优秀的⼈到了某个公司后突然沉寂了。当然,也有⼀些团队能够根据⼈员的特⻓来安排岗位,充分发挥出最⼤的效率,这样可以弥补企业中的短板,发挥最⼤⽣产⼒。
适合的岗位往往⽐较稀少,对于⼤部分成熟的公司,其核⼼岗位基本没有空缺或不会空缺很久,因此不要将找⼯作当成百⽶速跑,⽽应该当成⼀场⻢拉松,持续关注并等待那个合适的岗位到来。
1.2.7 反向调查公司
类似公司对⾃⼰进⾏背景调查,在接受⼀家公司offer前,也可以通过各种渠道背调该公司,主要集中在该公司的实⼒、⻛险、氛围。
●财报,重点看看其业务增⻓、营收、⼈员薪资投⼊等。避免加⼊未盈利且未来发展预期不⼤的企业。
●脉脉/微博,慎重加⼊在该公司普遍负⾯情绪公司。
●企查查/天眼查,重点关注企业纠纷数量,尤其和员⼯存在劳动纠纷案件。
●996.ICU,慎重加⼊⿊名单公司。
●搜索引擎,查询创始⼈介绍,慎重加⼊创始⼈为销售背景公司;避免加⼊⻩昏产业;
●⾯试,慎重加⼊通过⾯试套取解决⽅案的公司(如果⼀个企业靠这种⽅式去解决问题,可想其能⼒与氛围状态);慎重加⼊⾯试过程中套取前公司保密信息公司;慎重加⼊⾯试官技术能⼒不⾏的公司(往往是你之后的⽼板);慎重加⼊发薪⽇在次⽉中旬之后的公司;慎重加⼊办公环境和氛围让⼈不悦的公司;避免加⼊试岗的公司;避免加⼊试⽤期超过3个⽉的公司;避免加⼊⽆背景的⼩微创业公司(<20⼈,⽆任何优势资源);
1.3 安全从业⼈员必备素质
根据之前的经验。技能树如下:
序号 | 专业技能树 | |
技能点 | 技能描述 | |
1 | 漏洞扫描 | 包括主流的自动化扫描工具的使用,进行漏洞验证,提出改进建议,编写漏洞评估报告的能力 |
2 | 渗透测试 | 包括模拟黑客发现网络和业务系统中网络和系统存在的安全缺陷,提出改进建议,编写渗透测试报告的能力 |
3 | 操作系统运维 | 包括操作系统的原理和结构的理解和应用,对Windows/Linux等操作系统的配置操作、常规命令及系统管理/监控等工具的使用的能力 |
4 | 网络安全运维 | 包括网络协议和网络故障排查,对路由、防火墙、网络协议、数据传输、NAT、VPN进行安全评估、安全攻击和安全防护的能力 |
5 | 数据库运维 | 包括多种数据库及数据库工具的使用能力,对数据库进行安全评估、安全攻击和安全防护的能力 |
6 | 网络架构安全评估 | 包括主流网络架构的设计,安全域的划分,对网络架构中存在安全风险的不合理的地方进行安全分析,提出改进建议,编写评估报告的能力 |
7 | 移动客户端安全评估 | 包括移动客户端(包括Android\IOS)安全评估,发现安全缺陷,提出改进建议,编写评估报告的能力 |
8 | 云计算与大数据安全分析 | 包括虚拟化技术、OpenStack、云计算常见安全风险识别与分析、编写私有云公有云安全解决方案的能力 |
9 | 物联网安全评估 | 包括IOT设备的常见架构及IOT常见通讯协议(蓝牙、红外等)的理解与应用,对常见的IOT设备进行安全评估的能力 |
10 | 工业控制系统安全评估 | 包括常见工控系统架构(石油管网、电网和核电站核心软硬件等)的理解与应用,对工控系统进行有针对性的安全评估的能力 |
11 | 业务安全评估 | 包括业务系统运营中对业务流程的梳理,结合风险评估技术,开展业务安全威胁的识别、业务安全脆弱性的识别与验证、风险计算与分析、风险处置,编写业务安全评估报告的能力 |
12 | 漏洞加固 | 包括对安全漏洞和安全配置评估中发现的安全漏洞和配置缺陷的加固,加固后进行安全验证的能力 |
13 | 风险评估 | 依据安全风险评估国家标准GB/T20984,包括信息系统的资产状况、面临安全威胁状况、安全脆弱性状况、及安全控制措施状况进行评估和分析,提出风险处置建议,编写风险评估报告的能力 |
14 | 政策规范解读 | 包括对国际、国内及特定行业的政策法规、标准规范(GDPR\ISO27001\等级保护)进行解读和运用的能力;包括对新兴技术的安全要求进行解读和运用的能力 |
15 | 售前综合能力 | 包括需求调查、分析、引导;方案设计、编写与沟通确认;招投标系列工作的执行能力。 |
16 | 安全规划 | 包括确定安全目标,设计安全管理体系,结合目标、成本、时间和人力资源等因素选择安全措施、制定安全工作开展进度和计划的能力 |
17 | 安全培训 | 包括特定方向的培训需求调研、课程设计、课程开发、培训等能力 |
18 | 安全演讲 | |
19 | 项目管理 | 包括项目实施计划、人员组织、干系人沟通、领导管理、资源协调、过程监控、质量控制、项目收尾等项目管理能力 |
20 | 源代码审计 | 包括自动化代码审计工具的使用,人工代码分析与审计,发现开发过程中存在的源代码层面的安全缺陷,提出代码改进建议,编写源代码审计报告的能力 |
21 | 灰度测试 | 测试过程中发现功能及流程逻辑性问题的能力 |
22 | 脚本编写 | 具备根据Poc独立编写(多个)漏洞测试脚本、开发自动化安全工具和平台的能力 |
23 | 工具开发 | 多语言混合开发(如:熟悉使用C来写脚本扩展)的能力,能够进行安全检测及渗透测试工具开发,包括但不限于远程控制类、Web渗透类、内网渗透类工具 |
24 | 平台开发 | 具备开发应用软件的能力,包括安全需求管理、安全功能设计、软件架构/逻辑/数据流转/接口设计等 |
25 | 漏洞挖掘 | 挖掘常见系统、应用(Web/App)、框架、平台等的漏洞的能力 |
26 | 安全分析 | 包括各类日志分析、流量抓包分析、网络行为分析、服务器可疑进程分析、木马分析、溯源分析的能力 |
27 | 逆向分析 | 利用反编译工具,进行病毒、木马及其他恶意代码分析、二进制分析以及漏洞分析的能力 |
28 | 环境模拟和搭建 | 根据实际需要,模拟各类网络环境、系统环境进行设计和搭建的能力 |
29 | 安全产品 | 公司产品列表、公司的产品竞争力、公司产品进行讲解、整合规划的能力 |
30 | 管理咨询实施能力 | 组织多个标准类【例如等级保护、ISO27001等】安全管理“制度”的编写能力;能够形成多类标准化安全管理能力 |
31 | 对客户环境的理解程度 | 能阐述政府、企业、金融等某1-2个行业(大客户)的网络、系统和应用情况,精通行业(大客户)主要业务应用情况的能力 |
32 | APP开发 | 能够编写APP安全检测工具,具备开发方法论以及如MVVM、MVC之类优秀框架的开发能力 |
33 | APP测试 | 使用工具对APP进行动态内存调试和接口调试,具备通过查看反编译源代码以及还原APP网络流量查找APP漏洞的能力 |
34 | 加密解密 | 对各种通用加密算法,对PE或者ELF熟悉,熟悉脱壳 |
1.3.1 红队技术
技术服务方向 | ||
序号 | 技能点 | 技能描述 |
1 | 漏洞扫描 | 包括主流的自动化扫描工具的使用,进行漏洞验证,提出改进建议,编写漏洞评估报告的能力 |
2 | 渗透测试 | 包括模拟黑客发现网络和业务系统中网络和系统存在的安全缺陷,提出改进建议,编写渗透测试报告的能力 |
3 | 操作系统运维 | 包括操作系统的原理和结构的理解和应用,对Windows/Linux等操作系统的配置操作、常规命令及系统管理/监控等工具的使用的能力 |
4 | 网络安全运维 | 包括网络协议和网络故障排查,对路由、防火墙、网络协议、数据传输、NAT、VPN进行安全评估、安全攻击和安全防护的能力 |
5 | 网络架构安全评估 | 包括主流网络架构的设计,安全域的划分,对网络架构中存在安全风险的不合理的地方进行安全分析,提出改进建议,编写评估报告的能力 |
6 | 移动客户端安全评估 | 包括移动客户端(包括Android\IOS)安全评估,发现安全缺陷,提出改进建议,编写评估报告的能力 |
7 | 云计算与大数据安全分析 | 包括虚拟化技术、OpenStack、云计算常见安全风险识别与分析、编写私有云公有云安全解决方案的能力 |
8 | 物联网安全评估 | 包括IOT设备的常见架构及IOT常见通讯协议(蓝牙、红外等)的理解与应用,对常见的IOT设备进行安全评估的能力 |
9 | 工业控制系统安全评估 | 包括常见工控系统架构(石油管网、电网和核电站核心软硬件等)的理解与应用,对工控系统进行有针对性的安全评估的能力 |
10 | 业务安全评估 | 包括业务系统运营中对业务流程的梳理,结合风险评估技术,开展业务安全威胁的识别、业务安全脆弱性的识别与验证、风险计算与分析、风险处置,编写业务安全评估报告的能力 |
11 | 漏洞加固 | 包括对安全漏洞和安全配置评估中发现的安全漏洞和配置缺陷的加固,加固后进行安全验证的能力 |
12 | 风险评估 | 依据安全风险评估国家标准GB/T20984,包括信息系统的资产状况、面临安全威胁状况、安全脆弱性状况、及安全控制措施状况进行评估和分析,提出风险处置建议,编写风险评估报告的能力 |
13 | 安全规划 | 包括确定安全目标,设计安全管理体系,结合目标、成本、时间和人力资源等因素选择安全措施、制定安全工作开展进度和计划的能力 |
14 | 安全培训 | 包括特定方向的培训需求调研、课程设计、课程开发、培训等邓丽 |
15 | 项目管理 | 包括项目实施计划、人员组织、干系人沟通、领导管理、资源协调、过程监控、质量控制、项目收尾等项目管理能力 |
1.3.2 蓝队运营
技术服务方向 | ||
序号 | 技能点 | 技能描述 |
1 | 漏洞扫描 | 包括主流的自动化扫描工具的使用,进行漏洞验证,提出改进建议,编写漏洞评估报告的能力 |
2 | 渗透测试 | 包括模拟黑客发现网络和业务系统中网络和系统存在的安全缺陷,提出改进建议,编写渗透测试报告的能力 |
3 | 操作系统运维 | 包括操作系统的原理和结构的理解和应用,对Windows/Linux等操作系统的配置操作、常规命令及系统管理/监控等工具的使用的能力 |
4 | 网络安全运维 | 包括网络协议和网络故障排查,对路由、防火墙、网络协议、数据传输、NAT、VPN进行安全评估、安全攻击和安全防护的能力 |
5 | 网络架构安全评估 | 包括主流网络架构的设计,安全域的划分,对网络架构中存在安全风险的不合理的地方进行安全分析,提出改进建议,编写评估报告的能力 |
6 | 移动客户端安全评估 | 包括移动客户端(包括Android\IOS)安全评估,发现安全缺陷,提出改进建议,编写评估报告的能力 |
7 | 云计算与大数据安全分析 | 包括虚拟化技术、OpenStack、云计算常见安全风险识别与分析、编写私有云公有云安全解决方案的能力 |
8 | 物联网安全评估 | 包括IOT设备的常见架构及IOT常见通讯协议(蓝牙、红外等)的理解与应用,对常见的IOT设备进行安全评估的能力 |
9 | 工业控制系统安全评估 | 包括常见工控系统架构(石油管网、电网和核电站核心软硬件等)的理解与应用,对工控系统进行有针对性的安全评估的能力 |
10 | 业务安全评估 | 包括业务系统运营中对业务流程的梳理,结合风险评估技术,开展业务安全威胁的识别、业务安全脆弱性的识别与验证、风险计算与分析、风险处置,编写业务安全评估报告的能力 |
11 | 漏洞加固 | 包括对安全漏洞和安全配置评估中发现的安全漏洞和配置缺陷的加固,加固后进行安全验证的能力 |
12 | 风险评估 | 依据安全风险评估国家标准GB/T20984,包括信息系统的资产状况、面临安全威胁状况、安全脆弱性状况、及安全控制措施状况进行评估和分析,提出风险处置建议,编写风险评估报告的能力 |
13 | 安全规划 | 包括确定安全目标,设计安全管理体系,结合目标、成本、时间和人力资源等因素选择安全措施、制定安全工作开展进度和计划的能力 |
14 | 安全培训 | 包括特定方向的培训需求调研、课程设计、课程开发、培训等邓丽 |
15 | 项目管理 | 包括项目实施计划、人员组织、干系人沟通、领导管理、资源协调、过程监控、质量控制、项目收尾等项目管理能力 |
1.3.3 安全开发
序号 | 安全开发方向 | |
技能点 | 技能描述 | |
1 | 渗透测试 | 包括模拟黑客发现网络和业务系统中网络和系统存在的安全缺陷,提出改进建议,编写渗透测试报告的能力 |
2 | 源代码审计 | 包括自动化代码审计工具的使用,人工代码分析与审计,发现开发过程中存在的源代码层面的安全缺陷,提出代码改进建议,编写源代码审计报告的能力 |
3 | 灰度测试 | 测试过程中发现功能及流程逻辑性问题的能力 |
4 | 安全工具/脚本编写 | 根据Poc独立编写漏洞发现脚本,开发自动化安全工具和平台的能力 |
5 | 漏洞挖掘 | 挖掘常见系统、应用、框架、平台等的漏洞的能力 |
6 | 安全分析 | 包括各类日志分析、流量抓包分析、服务器可疑进程分析、溯源分析的能力 |
7 | 环境模拟和搭建 | 根据实际需要,模拟各类网络环境、系统环境进行设计和搭建的能力 |
8 | 逆向分析 | 利用反编译工具,进行病毒、木马及其他恶意代码分析、二进制分析以及漏洞分析的能力 |
1.3.4 项目管理
序号 | 项目管理方向 | |
技能点 | 技能描述 | |
1 | 政策规范解读 | 包括对国际、国内及特定行业的政策法规、标准规范(GDPR\ISO27001\等级保护)进行解读和运用的能力;包括对新兴技术的安全要求进行解读和运用的能力 |
2 | 风险评估 | 依据安全风险评估国家标准GB/T20984,包括信息系统的资产状况、面临安全威胁状况、安全脆弱性状况、及安全控制措施状况进行评估和分析,提出风险处置建议,编写风险评估报告的能力 |
3 | 售前综合能力 | 包括需求调查、分析、引导;方案设计、编写与沟通确认;招投标系列工作的执行能力。 |
4 | 安全规划 | 包括确定安全目标,设计安全管理体系,结合目标、成本、时间和人力资源等因素选择安全措施、制定安全工作开展进度和计划的能力 |
5 | 安全培训 | 包括特定方向的培训需求调研、课程设计、课程开发、培训等能力 |
6 | 项目管理 | 包括项目实施计划、人员组织、干系人沟通、领导管理、资源协调、过程监控、质量控制、项目收尾等项目管理能力 |
7 | 安全产品 | 包括清楚公司产品列表、清楚公司的产品竞争力、能够通过公司产品PPT进行讲解的能力。 |
8 | 管理咨询实施能力 | 组织多个标准类【例如等级保护、ISO27001等】安全管理“制度”的编写能力;能够形成多类标准化安全管理能力。 |
9 | 对客户环境的理解程度 | 能阐述政府、企业、金融等某1-2个行业(大客户)的网络、系统和应用情况,精通行业(大客户)主要业务应用情况的能力。 |
1.3.5 安全咨询
序号 | 安全咨询方向 | |
技能点 | 技能描述 | |
1 | 云计算与大数据安全分析 | 包括虚拟化技术、OpenStack、云计算常见安全风险识别与分析、编写私有云公有云安全解决方案的能力 |
2 | 业务安全评估 | 包括业务系统运营中对业务流程的梳理,结合风险评估技术,开展业务安全威胁的识别、业务安全脆弱性的识别与验证、风险计算与分析、风险处置,编写业务安全评估报告的能力 |
3 | 风险评估 | 依据安全风险评估国家标准GB/T20984,包括信息系统的资产状况、面临安全威胁状况、安全脆弱性状况、及安全控制措施状况进行评估和分析,提出风险处置建议,编写风险评估报告的能力 |
4 | 政策规范解读 | 包括对国际、国内及特定行业的政策法规、标准规范(GDPR\ISO27001\等级保护)进行解读和运用的能力;包括对新兴技术的安全要求进行解读和运用的能力 |
5 | 售前综合能力 | 包括需求调查、分析、引导;方案设计、编写与沟通确认;招投标系列工作的执行能力。 |
6 | 安全规划 | 包括确定安全目标,设计安全管理体系,结合目标、成本、时间和人力资源等因素选择安全措施、制定安全工作开展进度和计划的能力 |
7 | 安全培训 | 包括特定方向的培训需求调研、课程设计、课程开发、培训等能力 |
8 | 项目管理 | 包括项目实施计划、人员组织、干系人沟通、领导管理、资源协调、过程监控、质量控制、项目收尾等项目管理能力 |
9 | 安全产品 | 包括清楚公司产品列表、清楚公司的产品竞争力、能够通过公司产品PPT进行讲解的能力。 |
10 | 管理咨询实施能力 | 组织多个标准类【例如等级保护、ISO27001等】安全管理“制度”的编写能力;能够形成多类标准化安全管理能力。 |
11 | 对客户环境的理解程度 | 能阐述政府、企业、金融等某1-2个行业(大客户)的网络、系统和应用情况,精通行业(大客户)主要业务应用情况的能力。 |
1.3.6 安全研究及培训
序号 | 安全研究方向 | |
技能点 | 技能描述 | |
1 | 网络架构安全评估 | 包括主流网络架构的设计,安全域的划分,对网络架构中存在安全风险的不合理的地方进行安全分析,提出改进建议,编写评估报告的能力,包括DNS、CDN等最终用户客户端到服务端数据的完整网络架构评估。 |
2 | 移动客户端安全评估 | 包括移动客户端(包括Android\IOS)安全评估,发现安全缺陷,提出改进建议,编写评估报告的能力,能搭建APP自动分析平台,熟悉APP脱壳分析、Android调试、iOS调试、Root和越狱技术、APP后门实现等技术。 |
3 | 云计算与大数据安全分析 | 包括虚拟化技术、OpenStack、云计算常见安全风险识别与分析、编写私有云公有云安全解决方案的能力,了解虚拟机逃逸技术、威胁关联建模相关思路和方法。 |
4 | 物联网安全评估 | 包括IOT设备的常见架构及IOT常见通讯协议(蓝牙、红外等)的理解与应用,对常见的IOT设备进行安全评估的能力,熟悉行业安全设备防护思路,对网络隔离设备绕过测试、对整体解决方案技术部分包括技术培训做支持。 |
5 | 工业控制系统安全评估 | 包括常见工控系统架构(石油管网、电网和核电站核心软硬件等)的理解与应用,对工控系统进行有针对性的安全评估的能力,熟悉行业安全设备防护思路,对网络隔离设备绕过测试、对整体解决方案技术部分包括技术培训做支持。 |
6 | 业务安全评估 | 包括业务系统运营中对业务流程的梳理,结合风险评估技术,开展业务安全威胁的识别、业务安全脆弱性的识别与验证、风险计算与分析、风险处置,编写业务安全评估报告的能力,企业定制化SDL流程方案,威胁情报分析、CTF专项培训支持等。 |
7 | 安全工具/脚本编写 | 根据Poc独立编写漏洞发现脚本,开发自动化安全工具和平台的能力,自实现Web漏洞扫描器、Burp插件编写、绕过WAF技术、自实现Webshell、灰盒测试方案、源码分析规则编写、MSF利用模块编写等。 |
8 | 漏洞挖掘 | 挖掘常见系统、应用、框架、平台等的漏洞的能力,自实现Fuzzing工具,AFL搭建和测试、DBI技术方案、Trinity二次开发、PeachFuzzer规则编写、协议分析等。 |
9 | 安全分析 | 包括各类日志分析、流量抓包分析、服务器可疑进程分析、溯源分析的能力,熟练使用Volatility进行内存分析,对删除文件进行恢复,理解蜜罐技术,能借助沙箱自动分析样本,能针对日志分析编写脚本和内存分析工具。 |
10 | 逆向分析 | 利用反编译工具,进行病毒、木马及其他恶意代码分析、二进制分析以及漏洞分析的能力,熟悉缓冲区溢出漏洞和利用原理,包括但不限于:Flash内存堆分配机制、VBScript堆分配机制、JS虚表覆盖、ASLR等缓解措施绕过、浏览器漏洞利用、Office漏洞利用技术等。 |
11 | 环境模拟和搭建 | 根据实际需要,模拟各类网络环境、系统环境进行设计和搭建的能力,包括各黑盒测试工具平台搭建、源码审计工具平台的对接、以及DevSecOps平台的整体对接等。 |
12 | 安全培训 | 包括特定方向的培训需求调研、课程设计、课程开发、培训等能力,培训方向包括但不限于 |
1.4 安全从业人员能力分级
甲方与乙方对此部分的定义差距较大,不进阐述。
2 ⽹络安全⾏业趋势****与岗位趋势
IT转向DT、万物互联和地缘政治摩擦的⼤趋势下,安全问题在国家、企业和个⼈层⾯都受到了前所未有的⼴泛重视。各种细分严苛的安全法律、监管要求、⾏业标准、认证测评以及实战赛事相继出台,个⼈对隐私保护的意识也不断提⾼,产品的安全性逐渐成为企业间的竞争优势。随之⽽来,对安全岗位的需求将越来越多,安全从业⼈员的数量也⼤幅增⻓,安全对抗的深⼊也导致了安全细分领域的增多。
攻击方面能看到各种自动化攻击套件的出现及机器人社会工程学的普及。在甲方出现了更加智能化的溯源及应急取证及调度的岗位。所谓让安全更加傻瓜化。
防御方面,能看到各种安全大模型的出现,无论是否OGPT还是自研,结合MSSP解放企业的双手及心理负担。
合规方面,不尽理想,没有国外那么多GRC岗位,更多是乙方免费给做了。
`黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
803
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
