網絡安全行業分類、技能需求
根據不同的安全規範、應用場景、技術實現等,安全可以有很多分類方法,在這裏我們簡單分為網絡安全、Web安全、雲安全、移動安全(手機)、桌面安全(電腦)、主機安全(服務器)、工控安全、無線安全、數據安全?等不同領域。下面以個人所在行業和關註點,重點探討 網絡 / Web / 雲這幾個安全方向。
1? 網絡安全
[網絡安全] 是安全行業最經典最基本的領域,也是目前國內安全公司發家致富的領域。這個領域研究的技術範疇主要圍繞防火墻/NGFW/UTM、網閘、入侵檢測/防禦、VPN網關(IPsec/SSL)、抗DDOS、上網行為管理、負載均衡/應用交付、流量分析、漏洞掃描等。通過以上網絡安全產品和技術,我們可以設計並提供壹個安全可靠的網絡架構,為政府/國企、互聯網、銀行、醫院、學校等各行各行的網絡基礎設施保駕護航。
大的安全項目(肥肉…)主要集中在以政府/國企需求的政務網/稅務網/社保網/電力網… 以運營商(移動/電信/聯通)需求的電信網/城域網、以銀行為主的金融網、以互聯網企業需求的數據中心網等。以上這些網絡,承載著國民最核心的基礎設施和敏感數據,壹旦泄露或者遭到非法入侵,影響範圍就不僅僅是壹個企業/公司/組織的事情,例如政務或軍工涉密數據、國民社保身份信息、骨幹網絡基礎設施、金融交易賬戶信息等。
當然,除了以上這些,還有其他的企業網、教育網等也需要大量的安全產品和服務。網絡安全項目壹般會由網絡安全企業、系統集成商、網絡與安全代理商、IT服務提供商等具備國家認定的計算機系統集成資質、安全等保等行業資質的技術單位來提供。
[技能需求]
網絡協議:TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…
主流網絡與安全設備部署:思科/華為/華三/銳捷/Juniper/飛塔、路由器/交換機、防火墻、IDS/IPS、VPN、AC/AD…
網絡安全架構與設計:企業網/電信網/政務網/教育網/數據中心網設計與部署…
信息安全等保標準、金土/金稅工程… ……
[補充說明]
不要被電影和新聞等節奏帶偏,戰鬥在這個領域的安全工程師非常非常多,不是天天攻擊別人寫攻擊代碼寫病毒的才叫做安全工程師;
這個安全領域研究的內容除了defense(防禦)和security(安全),相關的Hacking(攻擊)技術包括協議安全(arp中間人攻擊、dhcp泛洪欺騙、STP欺騙、DNS劫持攻擊、HTTP/VPN弱版本或中間人攻擊…)、接入安全(MAC泛洪與欺騙、802.1x、WiFi暴力破解…)、硬件安全(利用NSA泄露工具包攻擊知名防火墻、設備遠程代碼執行漏洞getshell、網絡設備弱口令破解.. )、配置安全(不安全的協議被開啟、不需要端口服務被開啟…)…
學習這個安全方向不需要太多計算機編程功底(不是走研發路線而是走安全服務工程師路線),更多需要掌握常見安全網絡架構、對網絡協議和故障能抓包分析,對網絡和安全設備能熟悉配置;
2? Web安全
Web安全領域從狹義的角度來看,就是壹門研究[網站安全]的技術,相比[網絡安全]領域,普通用戶能夠更加直觀感知。例如,網站不能訪問了、網站頁面被惡意篡改了、網站被黑客入侵並泄露核心數據(例如新浪微博或淘寶網用戶賬號泄露,這個時候就會引發恐慌且相繼修改密碼等)。當然,大的安全項目裏面,Web安全僅僅是壹個分支,是需要跟[網絡安全]是相輔相成的,只不過Web安全關註上層應用和數據,網絡安全關註底層網絡安全。
隨著Web技術的高速發展,從原來的[Web不就是幾個靜態網頁嗎?]到了現在的[Web就是互聯網],越來越多的服務與應用直接基於Web應用來展開,而不再僅僅是壹個企業網站或論壇。如今,社交、電商、遊戲、網銀、郵箱、OA…..等幾乎所有能聯網的應用,都可以直接基於Web技術來提供。
由於Web所承載的意義越來越大,圍繞Web安全對應的攻擊方法與防禦技術也層出不窮,例如WAF(網頁防火墻)、Web漏洞掃描、網頁防篡改、網站入侵防護等更加細分垂直的Web安全產品也出現了。
[技能需求]?Web安全的技能點同樣多的數不過來,因為要搞Web方向的安全,意味初學者要對Web開發技術有所了解,例如能通過前後端技術做壹個Web網站出來,好比要搞[網絡安全],首先要懂如何搭建壹個網絡出來。那麽,Web技術就涉及到以下內容:
通信協議:TCP、HTTP、HTTPs
操作系統:Linux、Windows
服務架設:Apache、Nginx、LAMP、LNMP、MVC架構
數據庫:MySQL、SQL Server、Oracle
編程語言:前端語言(HTML/CSS/JavaScript)、後端語言(PHP/Java/ASP/Python)
3 終端安全(移動安全/桌面安全)
移動安全主要研究例如手機、平板、智能硬件等移動終端產品的安全,例如iOS和Android安全,我們經常提到的“越獄”其實就是移動安全的範疇。而近期爆發的危機全球的Windows電腦蠕蟲病毒 - “WannerCry勒索病毒”,或者更加久遠的“熊貓燒香”,便是桌面安全的範疇。
桌面安全和移動安全研究的技術面都是終端安全領域,說的簡單壹些,壹個研究電腦,壹個研究手機。隨著我們工作和生活,從PC端遷移到了移動端,終端安全也從桌面安全遷移到移動安全。最熟悉不過的終端安全產品,便是360、騰訊、金山毒霸、瑞星、賽門鐵克、邁克菲McAfee、諾頓等全家桶……
從商業的角度看,終端安全(移動安全加桌面安全)是壹門to C的業務,更多面向最終個人和用戶;而網絡安全、Web安全、雲安全更多是壹門to B的業務,面向政企單位。舉例:360這家公司就是典型的從to C安全業務延伸到to B安全業務的公司,例如360企業安全便是面向政企單位提供安全產品和服務,而我們熟悉的360安全衛士和殺毒則主要面向個人用戶。
4 雲安全
[雲安全]?是基於雲計算技術來開展的另外壹個安全領域,雲安全研究的話題包括:軟件定義安全、超融合安全、虛擬化安全、機器學習+大數據+安全….. 目前,基於雲計算所展開的安全產品已經非常多了,涵蓋原有網絡安全、Web安全、移動安全等方向,包括雲防火墻、雲抗DDOS、雲漏掃、雲桌面等,國內的騰訊雲、阿裏雲已經有相對成熟的商用解決方案出現。
雲安全在產品形態和商用交付上面,實現安全從硬件到軟件再到雲的變革,大大減低了傳統中小型企業使用安全產品的門檻,以前壹個安全項目動輒百萬級別,而基於雲安全,實現了真正的按需彈性購買,大大減低采購成本。另外,雲時代的安全也給原有行業的規範和實施帶來更多挑戰和變革,例如,托管在雲端的商用服務,雲服務商和客戶各自承擔的安全建設責任和邊界如何區分?雲端安全項目如何做信息安全等保測評?
網絡安全職位分類、招聘需求
① 安全崗位
以安全公司招聘的情況來分,安全崗位可以以研發系、工程系、銷售系來區分,不同公司對於安全崗位叫法有所區分,這裏以行業常見的叫法歸類如下:
研發系:安全研發、安全攻防研究、逆向分析
工程系:安全工程師、安全運維工程師、安全服務工程師、安全技術支持、安全售後、滲透測試工程師、Web安全工程師、應用安全審計、移動安全工程師
銷售系:安全銷售工程師、安全售前工程師、技術解決方案工程師