網絡安全行業分類、技能要求
根據不同的安全規範、應用場景、技術實現等。,安全性可以通過多種方式進行分類。這裏我們可以簡單的將其分為網絡安全、Web安全、雲安全、移動安全(手機)、桌面安全(電腦)、主機安全(服務器)、工業安全、無線安全、數據安全。和其他不同的領域。下面根據個人行業和關註點,重點介紹網絡/Web/雲的安全方向。
1?網絡安全性
網絡安全是安全行業最經典、最基礎的領域,也是目前國內安全公司發家致富的領域。該領域研究的技術領域主要集中在防火墻/NGFW/UTM、網關、入侵檢測/防禦、VPN網關(IPsec/SSL)、反DDOS、在線行為管理、負載均衡/應用交付、流量分析、漏洞掃描等。通過以上網絡安全產品和技術,我們可以設計並提供安全可靠的網絡架構,為政府/國企、互聯網、銀行、醫院、學校等各行各業的網絡基礎設施保駕護航。
大型安全工程(肥肉……)主要集中在政務網/稅務網/社保網/電力網……運營商(移動/電信/聯通)要求的電信網/城域網(MAN),銀行主導的金融網,互聯網企業要求的數據中心網等。這些網絡承載著核心基礎設施和人們的敏感數據。壹旦它們被泄露或非法入侵,影響範圍將不僅僅是壹個企業/公司/組織的事務,如政府或軍隊的涉密數據、國家社保身份信息、骨幹網絡基礎設施、金融交易賬戶信息等。
當然,除了以上這些,還有其他的企業網、教育網也需要大量的安全產品和服務。網絡安全工程壹般由具有國家認可的計算機系統集成資質、安全等行業資質的網絡安全企業、系統集成商、網絡與安全代理、IT服務提供商等技術單位提供。
[技能要求]
網絡協議:TCP/IP,VLAN/中繼/MSTP/VRRP/QoS/802.1x,OSPF/BGP/MPLS/IPv6,SDN/Vxlan/Openflow…
主流網絡和安全設備部署:思科/華為/H3C/銳捷/瞻博/飛塔、路由器/交換機、防火墻、IDS/IPS、VPN、AC/AD…
網絡安全架構和設計:企業網絡/電信網絡/政府網絡/教育網絡/數據中心網絡的設計和部署…
信息安全標準,金土/金稅項目...
[補充說明]
不要被電影和新聞的節奏所左右。有很多安全工程師在這個領域戰鬥,而不是那些天天攻擊別人寫攻擊代碼和病毒的人。
除了防禦和安全,相關的黑客技術還包括協議安全(arp中間人攻擊、dhcp flood欺騙、STP欺騙、DNS劫持攻擊、HTTP/VPN弱版本或中間人攻擊…)、訪問安全(MAC flood and spoofing、802.1x、WiFi暴力破解…)、硬件安全(利用NSA leak toolkit攻擊知名防火墻、設備遠程代碼執行漏洞、網絡設備弱口令。
學習這個安全方向不需要太多的計算機編程技能(不是走R&D路線而是走安全服務工程師路線),更多的是需要掌握常見的安全網絡架構,分析網絡協議和故障,熟悉網絡和安全設備的配置;
2?網絡安全
狹義的Web安全領域是研究【網站安全】的技術。相對於[網絡安全]領域,普通用戶更能直觀地感知。比如網站無法訪問,網站頁面被惡意篡改,網站被黑客攻擊,核心數據泄露(比如新浪微博或淘寶的用戶賬號泄露,會引起恐慌,陸續修改密碼)。當然,在壹個大型的安全項目中,Web安全只是壹個分支,它需要與【網絡安全】相輔相成,但是Web安全關註上層的應用和數據,網絡安全關註底層的網絡安全。
隨著web技術的飛速發展,從最初的【Web不就是幾個靜態頁面嗎?現在的【Web即互聯網】,越來越多的服務和應用直接基於Web應用,而不僅僅是壹個企業網站或者論壇。如今,幾乎所有的網絡應用,如社交網絡、電子商務、遊戲、網上銀行、電子郵件、辦公自動化...可以基於Web技術直接提供。
由於Web的意義越來越大,相應的圍繞Web安全的攻擊手段和防禦技術也層出不窮,如WAF (Web防火墻)、Web漏洞掃描、網頁防篡改、網站入侵防禦等更垂直的Web安全產品也相繼出現。
【技能要求】?Web安全的技巧太多了,因為要保障Web的方向,就意味著初學者要對Web開發技術有所了解。比如通過前端和後端技術創建壹個網站,像搞【網絡安全】,首先要知道如何建網。那麽,Web技術涉及到以下內容:
通信協議:TCP,HTTP,HTTPs。
操作系統:Linux,Windows。
服務架設:Apache,Nginx,LAMP,LNMP,MVC架構。
數據庫:MySQL,SQL Server,Oracle。
編程語言:前端語言(HTML/CSS/JavaScript)和後端語言(PHP/Java/ASP/Python)。
3終端安全(移動安全/桌面安全)
移動安全主要研究手機、平板、智能硬件等移動終端產品的安全,如iOS和Android安全。我們常說的“越獄”,其實就是移動安全的範疇。最近全球爆發的Windows電腦蠕蟲病毒——“wanna cry勒索病毒”或“熊貓燒香”就是桌面安全的範疇。
桌面安全和移動安全研究的技術方面都是在終端安全領域。簡單來說,壹個學電腦,壹個學手機。隨著我們的工作和生活從PC遷移到移動,終端安全也從桌面安全遷移到移動安全。最熟悉的終端安全產品有360、騰訊、金山毒霸、瑞星、賽門鐵克、邁克菲、諾頓。
從商業角度來看,終端安全(移動安全加桌面安全)是a to C業務,更面向終端個人和用戶;網絡安全、Web安全、雲安全更多的是a到B的業務,面向政府和企業。比如:360就是典型的從to C安全業務延伸到to to B安全業務的公司。比如360企業安全是為政企提供安全產品和服務,而大家熟悉的360安全衛士和殺毒主要是針對個人用戶。
4雲安全
【雲安全】?是另壹個基於雲計算技術的安全領域。雲安全研究的課題包括:軟件定義安全、超融合安全、虛擬化安全、機器學習+大數據+安全...目前基於雲計算的安全產品很多,涵蓋了原有的網絡安全、Web安全、移動安全等方向,包括雲防火墻、雲反DDOS、雲泄露掃描、雲桌面等。,還有騰訊雲,中國的雲桌面。
雲安全全是產品形態和商業交付,實現了安全從硬件到軟件再到雲的轉變,大大降低了傳統中小企業使用安全產品的門檻。以前壹個安全項目都是百萬級別,但是基於雲安全,實現了真正的按需柔性采購,大大降低了采購成本。此外,雲時代的安全也給原有行業的標準化和實施帶來了更多的挑戰和變化。比如,對於雲端托管的商業服務,如何區分雲服務商和客戶的安全建設責任和邊界?雲安全項目如何做信息安全評估?
網絡安全崗位分類、招聘要求
(1)安全崗位
根據保安公司的招聘情況,保安崗位可分為R&D部、工程部、銷售部。不同的公司對保安崗位有不同的稱呼,按業內常用名稱分類如下:
R&D部:安全R&D,安全攻擊和防禦研究,逆向分析。
工程部:安全工程師、安全運維工程師、安全服務工程師、安全技術支持、安全售後、滲透測試工程師、Web安全工程師、應用安全審計、移動安全工程師。
銷售部門:安全銷售工程師、安全售前工程師、技術解決方案工程師。