吉祥知识星球
http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247485367&idx=1&sn=837891059c360ad60db7e9ac980a3321&chksm=c0e47eebf793f7fdb8fcd7eed8ce29160cf79ba303b59858ba3a6660c6dac536774afb2a6330#rd
《网安面试指南》
《Java代码审计》
《Web安全》
《应急响应》
《护网资料库》
具备基础的工程师素质是从业的基础,在攻防渗透和软件开发有较为扎实的基础,同时兼备兴趣驱动和良好的适应能力上比较亮眼,则能很好的适应工作挑战。
网络安全人才基础素质
基础:渗透测试和软件开发
首先要明确一个概念,术业有专攻在安全行业不是常态。安全本身就是一个覆盖了客户端、前端、网络、后端、服务器等涉及JavaScript、Python、PHP、Java等各语言的工作,如果非要讲究术业有专攻就没法做了,当你可以有擅长的方向,但前提是你都懂。这个“懂”不应该只停留在了解的层面,如果你是安全开发工程师,除了研发技能外,还必须知道常见漏洞的形成原因、利用方式和修复方案。如果你是渗透工程师,除了理解各种漏洞的攻击细节外,还必须有基本的开发能力。同时拥有攻防渗透和软件开发能力的人,在安全从业时的方方面面都会体现出极大的优势。
计算机基础技术要了解并持续学习,安全也是不断在进步的,几年前你很会挖漏洞就很厉害了,但今天你还是这样的话就没什么优势了。
摸黑前行最好的应对方法是你曾住过这个房子,或许你是一位资深研发工程师,但安全产品不同于用户产品,往往是没有经验也没有参照物的。所以往往需要有很强的安全背景与不断的试错调整才能开发出最好的安全产品。甚至在很多时候,沟通交流与思维方式都需要进行转变才能更好的协作,减少代沟和沟通成本。
安全行业的现状是大部分从业者都偏向于攻防渗透,如果同时拥有强大的开发技能,从业优势将非常明显。在安全产品开发、漏洞挖掘、代码审计上,不同技能的互补显得非常重要,做漏洞扫描器的同时如果在SRC挖过漏洞、做代码审计也能掌握软件开发、做合规审计的人也拥有CISP证书,工作中就会更加得心应手。
热情:兴趣驱动是最长久的
和安全产品开发一样,渗透测试也需要不断试错,我们往往在各种可能存在漏洞的地方测试数百个请求才有所收获,这需要经年累月的坚持下来,但这种坚持无法速成,而兴趣这位最好的老师就能够促使我们坚持。我对于安全的坚持就是兴趣驱动的。遇到一个线索,我会从傍晚折腾到黎明;又会因为一个突破点,从凌晨摸索到下午。我见过太多优秀的白帽子都是因为热爱,特别是他们能够跨行业地坚持热爱。
成果:没有结果的优秀是空谈
直观的成果是展示自己综合能力的最好方式,无论是在顶级期刊发表论文、知名比赛中获得好成绩、挖掘众多高质量的通用漏洞、研发Star数非常高的开源项目,还是在安全会议上分享先进理念,甚至突破了行业难题等等。
其它:优秀特质越多成长越快
- 适应能力,软件工程师普遍三年换一轮新技术,而安全工程师则是每年都有新的安全技术、安全防御手段、安全方向,而应对这些思念情况,别无他法,唯有不断学习,良好的自驱自学能力会让你更快成长。
- 智商高、情商高、乐观、沟通交流、逻辑、影响力等
网络安全人才能力分层
上一章节讲述了基础的安全从业者应具备的素质,如果你已经具备这些素质,那么已经踏入了安全行业的门槛。这一章将重点讲解下入门之上的能力分层,不同层级更重视需拥有怎样的特质。
各大公司层级情况
能力分层是一件非标准的事情,很难用特定的标准方式去判断一个人的能力。看哪些方面能力、各方面能力如何衡量、最终层次划分到什么程度,这些都不是本文讨论的内容。以通过各大厂面试并顺利拿到offer为诉求,我们需要搞清楚能力分层,就需要先了解各大厂的层级情况。由于作者能力和视野原因,仅讨论国内情况。
国内公认的层级体系首当阿里系,通过公开资料可以知道阿里层级体系分为14级,其中又分为P(专家)序列和M(管理)序列,两个序列有一对一对应关系。因此我们仅讨论P序列。
层级分布情况,各大公司的层级分布并不是正态比例的。有点像政府单位,绝大部分是科员(工程师)、科长(高级工程师)和处长(专家),再向上人数就极度减少。
| 层级代号 | 层级名称 | 人数比例 | 专业特点 | 人员特质 | 抽象能力 | 代表人物 | 层级要求 | 岗位职责 |
| P4 | 安全专员 | 技术岗位几乎为0 | - | - | - | - | - | 主要分布在职能支撑部门,比如财务、行政等 |
| P5 | 安全工程师 | 40% | 技术扎实 | 高效执行 | 点 | - | 应届研究生及优秀本科生 | 产品某个功能开发、一线渗透测试或安全运营人员 |
| P6 | 高级安全工程师 | 30% | 能力突出 | 独当一面 | 线 | - | 应届博士或优秀本科研究生或社招工作5年内 | 某个安全产品负责人,能够辅导工程师工作 |
| P7 | 安全专家 | 20% | 专业精深 | 系统思考 | 面+深度 | - | 应届凤毛麟角或工作10年内 | 某个安全细分方向负责人,虚线带领一些同学解决某方面问题。比如SDL负责人、某个重要产品负责人 |
| P8 | 高级安全专家 | 10% | - | 视野开阔、由线及面 | 体+深度+广度 | - | 一般十年以上工作经验 | 安全下某个大领域负责人,一般实线带人。应用安全负责人、移动安全负责人 |
| P9 | 资深安全专家 | 2% | - | 高瞻远瞩、引领变革 | 深度+广度+高度 | 猪猪侠 | - | BU CISO、某个大领域负责人 |
| P10 | 安全研究员 | 0.1% | - | 布局未来、创造机会 | - | 道哥 | - | 信息安全负责人 |
| P11-14 | 副总裁、总裁 | 0.1% | - | - | - | 韦韬 | - | 分管大安全领域高管 |
- 以上所有数据仅代表个人观点,非官方标准;
- 人数比例为个人观察的主观数据,在各部门存在误差。
推荐阅读:
学了这篇面试经,轻松收割网络安全的offer
护网主防资料库、护网设备讲解、护网初中高级别面试
Java代码审计零基础入门到整套代码审计
Web安全:靶场、渗透工具、信息收集、输入输出漏洞、业务逻辑漏洞
【护网必备技能】应急响应知识库
![解决docker一直出现“=> ERROR [internal] load metadata for docker.io/library/xxx“的问题](https://i-blog.csdnimg.cn/direct/b2fda996822d4a148707d37c346bd8e8.png)
