2023 年我国网络空间安全人才数量缺口超过了 140 万,就业人数却只有 10 多万,缺口高达了 93%。这里就有人会问了:
1、网络安全行业为什么这么缺人?
2、明明人才那么稀缺,为什么招聘时招安全的人员却没有那么多呢?
首先来回答第一个问题,从政策背景、市场需求、行业现状来说。
政策背景
自从斯诺登棱镜门事件曝光之后,网络空间站成为现代战场第一战场,网络安全能力也被各国列为了必要的发展战略。
上到政府、下到企业、个人,大家对网络安全的关注迅速提升。公安部推出了网络安全等级保护制度,网信办推出了《网络安全法》等诸多法规。并且对政府网站、政务系统到能源、电力、金融、医疗、教育、军工等所有行业都提出了规范制度,明确了要求。
解读一下:所有行业对于“网络安全”的规范,如果不按照规范实施,没有保护好自己的一亩三分地,甚至出现被入侵事件的话,相关单位是要被惩罚的、相关领导要被问责的、相关人员甚至要追究刑事责任的。
市场需求
政策、经济、技术对人才的需求量都极大的提升了
为了合规和避险,要具备防范能力,甲方开始组建安全部门。
甲方迅速扩大,有市场、能赚钱,乙方开始拓展安全服务。
万物互联,各大巨头开始开发安全产品。
行业现状
2022 年网络空间安全人才数量缺口超过 140 万。
人才输出最大的来源是高校。但是网络安全作为新兴技术,现有体质的教授虽然理论、基础非常杂事,但是对于安全的应用和实践经验非常缺乏。在老师们的大学时代,有几个人可以拥有一台自己的电脑?
所以,有能力且有应用实践经验的老师,非常缺乏。
接下来,解答第二个问题,为什么招聘时招安全的人员却没有那么多呢?
招聘时安全人员不多的原因有以下两大原因:
很多招聘方大都面向的是高校毕业生,但是据了解绝大多数的网络安全专业的毕业生并没有进入这个行业,各大院校的网络安全专业仍然面临着专业对口率低的窘境。
导致这个现象的主要原因是大学教育更重视的是理论知识,而在实践知识的传授上有所欠缺。学校里面的专业课拥有的是专业的教科书、丰富的理论知识,但是却缺少了网络安全的核心内容——具有说服力的实践操作。
很多老师上完课之后就吩咐一句,自己下课多练习,并没有把练习落到实处。老师教授的内容通常都需要学生去深度挖掘、积极操作,才可能获得相应的能力,而很多学生都忽略了这一点,要么就是有拖延症、要么就是想混一个学历拿到毕业证,然后再混一个工作。
殊不知,这其实是非常不现实的,没有实践能力,毕业证明就是纸上谈兵!
解决这个问题最好的办法就是提升学生的实践能力,提升实践能力的方法很简单。
有一个关于黑客的电视剧《亲爱的 热爱的》里面虽然都是训练打 CTF 比赛的,但是也和网络安全大同小异。里面的人都是集中封闭式训练,连休息时间也少的可怜。所以想要拥有强大的实战能力,还是需要像他们一样集中训练。一个好的培训机构就是一个比较好的选择,当然选择哪个培训机构也是一门学问要选择而真正教网络安全知识的,有自己靶场进行实战的。否则最终肯定是竹篮打水一场空。
很多小企业之前根本没有安全意识,觉得网络安全不够重要,网络安全的重要性没有得到重视。 而近几年来,政府、企业、个人,都对网络安全的关注大大提升!就在今年的 3.15 晚会上,还设置了一个信息安全实验室,进一步提升了我们对网络安全的关注度。国家近年来也对网络安全宣传作出了重要指示强调,举办网络安全宣传周、提升全民网络安全意识和技能。
网络安全方面的岗位才受到重视不久,正是由于学习并熟知这一专业的人才稀缺,这一人群就业的福利和薪资水涨船高,可很多人其实并没有与高薪水适配的能力,小的企业大多负担不起这方面的专业人才,也就不了了之。而大企业虽负担得起,但要求的能力相应也就越高,但是往往采取的都是内部互推的形式,或者到专业机构直接聘请优秀毕业学员,保守挖掘人才,而不会选择大海捞针。
关注的安全岗位类别少
如果你只关注了安全岗位的某一类,那么你会发现招聘的确实比较少。但是安全是一个非常大的分支,有很多职位分化。等保测评、渗透测试、安全研究、安全产品售前、安全产品售后、安全产品研发等等,都有着比较多的就业岗位。
很多公司都在招人,不过和第二条所说一样,喜欢“内部消化”,所以在一些招聘平台上看到的岗位就比较少。这印证着这行业还是需要有人辅助、需要人脉资源!那么,一些走了“捷径”的人就更加有优势,他们有老师推荐、有同学内推。
综上,网络安全方面就业前景依旧是十分可观的,只要有热情肯钻研,就会得到相应的回报。另外,纸上谈兵是学习网络安全的大忌!不论是学校学习、还是自学、或者培训,一定要重视自己的实践能力!
如何入门学习网络安全
学前感言
1.这是一条需要坚持的道路,如果你只有三分钟的热情那么可以放弃往下看了。
2.多练多想,不要离开了教程什么都不会,最好看完教程自己独立完成技术方面的开发。
3.有问题多 google,baidu…我们往往都遇不到好心的大神,谁会无聊天天给你做解答。
4.遇到实在搞不懂的,可以先放放,以后再来解决。
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
高清可展开脑图点击获取:https://mp.weixin.qq.com/s/Y3CCqQmoAcqWvwslUk7r3g👆
第一阶段:基础操作入门,学习基础知识
入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,一般来说这个过程在 1 个月左右比较合适。
在这个阶段,你已经对网络安全有了基本的了解。如果你学完了第一步,相信你已经在理论上明白了上面是 sql 注入,什么是 xss 攻击,对 burp、msf、cs 等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!
所谓的“打地基”其实就是系统化的学习计算机基础知识。而想要学习好网络安全,首先要具备 5 个基础知识模块:
1.操作系统
2.协议/网络
3.数据库
4.开发语言
5.常见漏洞原理
学习这些基础知识有什么用呢?
计算机各领域的知识水平决定你渗透水平的上限。
【1】比如:你编程水平高,那你在代码审计的时候就会比别人强,写出的漏洞利用工具就会比别人的好用;
【2】比如:你数据库知识水平高,那你在进行 SQL 注入攻击的时候,你就可以写出更多更好的 SQL 注入语句,能绕过别人绕不过的 WAF;
【3】比如:你网络水平高,那你在内网渗透的时候就可以比别人更容易了解目标的网络架构,拿到一张网络拓扑就能自己在哪个部位,拿到以一个路由器的配置文件,就知道人家做了哪些路由;
【4】再比如你操作系统玩的好,你提权就更加强,你的信息收集效率就会更加高,你就可以高效筛选出想要得到的信息
第二阶段:实战操作
1.挖 SRC
挖 SRC 的目的主要是讲技能落在实处,学习网络安全最大的幻觉就是觉得自己什么都懂了,但是到了真的挖漏洞的时候却一筹莫展,而 SRC 是一个非常好的技能应用机会。
2.从技术分享帖(漏洞挖掘类型)学习
观看学习近十年所有 0day 挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维
3.靶场练习
自己搭建靶场或者去免费的靶场网站练习,有条件的话可以去购买或者报靠谱的培训机构,一般就有配套的靶场练习
第三阶段:参加 CTF 比赛或者 HVV 行动
推荐:CTF 比赛
CTF 有三点:
【1】接近实战的机会。现在网络安全法很严格,不像之前大家能瞎搞
【2】题目紧跟技术前沿,而书籍很多落后了
【3】如果是大学生的话,以后对找工作也很有帮助 如果你想打 CTF 比赛,直接去看赛题,赛题看不懂,根据不懂的地方接着去看资料
推荐:HVV(护网)
HVV 有四点:
【1】也能极大的锻炼你,提高自身的技术,最好是参加每年举行的 HVV 行动
【2】能认识许多圈内的大佬,扩大你的人脉
【3】HVV 的工资也很高,所以参加的话也能让你赚到不少钱
【4】和 CTF 比赛一样如果是大学生的话,以后对找工作也很有帮助
四、学习资料的推荐
书单推荐:
计算机操作系统:
【1】编码:隐藏在计算机软硬件背后的语言
【2】深入理解操作系统
【3】深入理解 windows 操作系统
【4】Linux 内核与实现
编程开发类:
【1】 windows 程序设计
【2】windwos 核心变成
【3】Linux 程序设计
【4】unix 环境高级变成
【5】IOS 变成
【6】第一行代码 Android
【7】C 程序语言设计
【8】C primer plus
【9】C 和指针
【10】C 专家编程
我下面也给大家整理了一些网络安全的资料,大家不想一个一个去找的话,可以参考一下这些资料哈 部分内容展示
视频教程
SRC 资料包 &HW 护网行动
