网络安全的现状如何？怎么看待如今的网络安全圈子？

最新推荐文章于 2025-12-13 20:07:22 发布

原创最新推荐文章于 2025-12-13 20:07:22 发布 · 996 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #安全 #人工智能 #服务器 #网络 #wireshark #数据库

1 网安行业现状

1.1 薪酬最高

互联网是计算机行业中薪酬最高的，而技术工程师是互联网中薪酬最高的，而安全工程师又是技术工程师中最高的。安全行业井喷式的爆发，使得每家互联网企业的安全部门成为标配并逐渐蔓延开来，而由于高校的安全专业才开始普及，安全从业人员紧缺且入门门槛较高从而导致了薪酬水涨船高。

1.2 良莠不齐

好处是会有更多的人投身于安全，当然坏处也很明显，着急的岗位和紧缺人员导致存在大量良莠不齐的人在其中浑水摸鱼，明显的特征是你跟他聊技术细节他跟你聊推进落地，你跟他聊推进落地他跟你聊方向把控，你跟他聊方向把控他跟你聊团队管理，你跟他聊团队管理他跟你聊行业空间，如果这些方面都能聊一点那也行，更多的人是答非所问又或者句句有理但空洞没有屁用，又或者是今天这里听到一个理论还没弄明白呢明天就来跟你拽个概念，虽然这么说会得罪一部分人。

1.3 圈子文化

安全是一个小圈子，圈内的事情传播的非常快，比如谁家数据库泄露了、谁家被薅羊毛了、谁被抓了、谁被处罚了，这也是小圈子最大的好处，圈内的人很快能知道这个行业的新技术、新方向、新政策。你也可以很容易的知道每家公司的安全建设情况，比如你可以和阿里的人聊他们的线下配合公安的手段有多强，也可以和腾讯的人聊他们的SRC如何运营的这么好，也可以和百度的安全人聊如何让机器学习赋能安全产品的，这一切在安全圈内非常的容易。也有很多的安全会议可以学习到每家公司的经验，不用所有的事情都自己摸索也用闭门造车。

弊端也很明显，搞所谓的”圈子文化“，混迹于各种会议去主动认识各种圈内的人（当然这里不是指各家SRC运营的同学，这些是运营同学的工作一部分），认识的各种人如果是交流技术那也行，加了微信除了打招呼的自我介绍那句话就再也没说过有意义的东西，以为这样就进入了圈中心，可笑可悲。

2 安全从业人员的必要素质

具备基础的工程师素质是一切的基础，在这个基础之上如果在攻防渗透和软件开发、兴趣驱动和适应能力上比较亮眼，则能很好的适应工作挑战。

2.1 攻防渗透和软件开发

首先要明确一个概念，术业有专攻在安全行业不是常态。安全本身就是一个覆盖了客户端、前端、网络、后端、服务器等涉及JavaScript、Python、PHP、Java等各语言的工作，如果非要讲究术业有专攻就没法做了，当你可以有擅长的方向，但前提是你都懂，这个懂不应该停留在了解的层面，如果你是安全开发工程师除了研发技能外还必须知道常见漏洞的形成原因、利用方式和修复方案，如果你是渗透工程师除了理解各种漏洞的攻击细节外，还必须有基本的开发能力。

同时拥有攻防渗透和软件开发的人，在后面做事的方方面面会体现出极大的优势。

我们有过很资深研发工程师，但安全产品不同于用户产品，往往是都没有经验也没有参照物的，摸黑前行最好的情况是你曾住过这个房子，所以往往需要有很强的安全背景/不断的试错调整才能开发最好的产品。甚至在很多时候，沟通交流/思维上都需要进行转变才能更好的协作，减少代沟和沟通成本。这个要求并不是非要精通各种。

现状是安全行业更多的人是偏向于攻防渗透，而如果同时拥有很强的开发技能，优势将非常明显。在安全产品开发/漏洞挖掘/代码审计上。

不同岗位间的互补显得非常重要，做漏洞扫描器的如果在SRC挖过漏洞、做代码审计如果会软件开发、做合规审计的如果有CISP证书就会得心应手。

2.2 兴趣驱动

像安全产品开发一样，渗透测试也需要不断的试错，不断的将各种可能存在漏洞的地方一一测试，往往测试数百个请求才有所收获，这需要很好的坚持，但坚持这种品质无法立刻学会，但往往有很多东西能促使我们坚持，比如兴趣。我对于安全的坚持就是兴趣所驱动的，我会遇到一个线索从早上折腾到凌晨，会因为一个突破点从晚上摸索到下午。我见过太多优秀的白帽子都是因为热爱，他们能跨行业的热爱。

2.3 适应能力

软件工程师是三年换一轮新技术，而安全工程师则是每年都有新的方向。每天都会有新的漏洞/新的攻击方式/新的语言漏洞，每年也会有新的安全技术、安全防御手段、安全方向，而应对别无他法唯学习，良好的自驱自学能力是一切的基础。

3 安全入门与学习

网安学习的过程中，每个模块的知识并不难，但涉及的知识面太广，如果没有方向，太容易走弯路了，效率也特别低。我以前就是吃了这个亏，浪费了太多时间。

好在现在已经上岸了，在求职过程中，根据各个岗位需求，总结了快速入门的学习路线，有兴趣的小伙伴可以参考下：

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。