如何区分网络安全行业?网络安全有哪些岗位?
不关注网络安全的人,很难感受到这个从无到有,仅过去20多年时间的新兴行业变化有多大。今天,北大青鸟带你感受一下这些变化。
传统网络安全
2015年以前,互联网还没有现在这么发达,网络安全产品主要集中在防火墙、入侵检测、杀毒,称为“老三样。”
当时网络设备单一,网络安全很少涉及业务,数据资产比较低,“老三样”基本能满足企业对网络安全的需求。例如2015年前,企业仍然有明显的内外网之分,业务只在内网运营,需要防火墙进行隔离保证安全。从1995年到2015年“老三样”加上周边的加密硬件产品,总体规模在300亿到500亿之间。
新兴网络安全
随着移动互联网的兴起,云、工业控制等技术的发展,内外网的区分慢慢弱化,业务逐渐被拉到外网处理,特别是以前银行、政府等机构,只能到柜台办理业务,能在线办理后,网络安全越来越严峻。网络安全问题,甚至还会给社会带来不稳定因素。2018年,WannaCry病毒肆虐,主机系统被该病毒入侵后,所有重要文件会被加密,会弹出对话框,勒索比特币。导致车管所有的车辆无法办理变更事务,一部分加油站无法加油,一些医院因电脑中毒,无法诊断患者等。更早的时候,斯诺登时间还历历在目,美国国家安全局通过各种入侵工具和手段,对各个国家的政要进行网络窃听和监控。
无数的例子都在说明,网络安全已不再是单纯的网络安全问题,它已经涉及数据安全,业务安全,甚至是军事安全和国家安全
快速发展的网络安全行业
2018年到2020年这短短的两年间,网络安全需求呈指数级增长。这归功于许多因素。
一方面,企业上云成为大趋势,传统行业迎来新的互联网化高潮,网络安全需求与日俱增。互联网化需求进一步增加了联网设备数量,以前的网联设备仅PC和服务器,现在扩散到手机、互联网、工业互联网、云基础设施等方方面面,加聚了对网络安全的需求。
另一方面是网络安全相关法律法规的出台,仅2020年一年,就有12部涉及网络安全的法律法规实施或起草,新的网络安全需求不断出现。比如,现在保护个人隐私的相关法律法规被加强,企业在这方面的风险急剧提升,迫切需要一款网络安全产品保驾护航
还有一方面是数据资产化、货币数字化带来的问题,它们生于互联网,又能通过互联网获利,引起了黑灰产的兴趣,由此带来的经济损失呈指数级增长,近两年,每年因此造成的损失高达几百亿美元。
全民网络安全意识提升
根据《第47次中国互联网络发展状况统计报告》数据显示,2020年国家信息安全漏洞共享平台收集整理信息系统安全漏洞20721个,同比去年增长28.%,高危漏洞数量为7422个,同比增长52.2%。随着各大云服务提供商发力升级网络安全产品,以及企业安全意识的提升,2020年网络安全造成的损失不升反降。我国境内网站被篡改数量为243709个,同比下降22.7%。被植入后门的网站数量为61948个,同比下降39.7%。政府网站被植入后门的数量由1045下降至276,同比下降73.6%。网络安全形势虽然严峻,但得益于企业安全意识的提升,近两年来遭受网络攻击的网站不断减少,普通网民的个人隐私及其他敏感数据得到更多的保证。随着十四五规划内容的提出,网络安全已上升至过年战略层面,未来5年内,网络安全安全将迎来新的发展阶段。
那么,网络安全行业如何区分?网络安全岗位到底有哪些?不同网络安全岗位的技术需求和岗位职责有什么区别?适合我们的网络安全岗位又有哪些?有哪些公司在招聘安全人才?安全行业企业有哪些及薪酬如何?
别急,北大青鸟这就来给你解答。
1. 安全行业到底有多少领域?具体在做什么?区别与联系是什么?
根据不同的安全规范、应用场景、技术实现等,安全可以有很多分类方法,在这里我们简单分为网络安全、Web安全、云安全、移动安全(手机)、桌面安全(电脑)、主机安全(服务器)、工控安全、无线安全、数据安全等不同领域。下面是北大青鸟对网络/Web这几个安全方向的一些见解。
网络安全
[网络安全] 是安全行业最经典最基本的领域,也是目前国内安全公司发家致富的领域,例如启明星辰、绿盟科技、天融信这几个企业(“老三大” )。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关(IPsec/SSL)、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术,我们可以设计并提供一个安全可靠的网络架构,为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。
大的安全项目(肥肉…)主要集中在以政府/国企需求的政务网/税务网/社保网/电力网… 以运营商(移动/电信/联通)需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络,承载着国民最核心的基础设施和敏感数据,一旦泄露或者遭到非法入侵,影响范围就不仅仅是一个企业/公司/组织的事情,例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。
当然,除了以上这些,还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT服务提供商等具备国家认定的计算机系统集成资质、安全等保/分保等行业资质的技术单位来提供。
[技能需求]
· 网络协议:TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…
· 主流网络与安全设备部署:思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD…
· 网络安全架构与设计:企业网/电信网/政务网/教育网/数据中心网设计与部署…
· 信息安全等保/分保理论、金土/金税工程…
[补充说明]
· 1、不要被电影和新闻等节奏带偏,战斗在这个领域的安全工程师非常非常多,不是天天攻击别人写攻击代码写病毒的才叫做安全工程师;
· 2、这个安全领域研究的内容除了defense(防御)和security(安全),相关的Hacking(攻击)技术包括协议安全(arp中间人攻击、dhcp泛洪欺骗、STP欺骗、DNS劫持攻击、HTTP/VPN弱版本或中间人攻击…)、接入安全(MAC泛洪与欺骗、802.1x、WiFi暴力破解…)、硬件安全(利用NSA泄露工具包攻击知名防火墙、设备远程代码执行漏洞getshell、网络设备弱口令破解.. )、配置安全(不安全的协议被开启、不需要端口服务被开启…)…
· 3、学习这个安全方向不需要太多计算机编程功底(不是走研发路线而是走安全服务工程师路线),更多需要掌握常见安全网络架构、对网络协议和故障能抓包分析,对网络和安全设备能熟悉配置;
Web安全
Web安全领域从狭义的角度来看,就是一门研究[网站安全]的技术,相比[网络安全]领域,普通用户能够更加直观感知。例如,网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据(例如新浪微博或淘宝网用户账号泄露,这个时候就会引发恐慌且相继修改密码等)。当然,大的安全项目里面,Web安全仅仅是一个分支,是需要跟[网络安全]是相辅相成的,只不过Web安全关注上层应用和数据,网络安全关注底层网络安全。
随着Web技术的高速发展,从原来的[Web不就是几个静态网页吗?]到了现在的[Web就是互联网],越来越多的服务与应用直接基于Web应用来展开,而不再仅仅是一个企业网站或论坛。如今,社交、电商、游戏、网银、邮箱、OA…..等几乎所有能联网的应用,都可以直接基于Web技术来提供。
由于Web所承载的意义越来越大,围绕Web安全对应的攻击方法与防御技术也层出不穷,例如WAF(网页防火墙)、Web漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的Web安全产品也出现了。Web安全的技能点同样多的数不过来,因为要搞Web方向的安全,意味初学者要对Web开发技术有所了解。
青鸟毕业学生90%以上从事计算机相关工作,并且也一直在持续就业状态跟踪中,相信大家一定能在行业岗位中发挥自己最大的价值作用,为企业的发展添砖加瓦,为自己的美好生活继续开拓进取。如果你也想成为他们中的一员,请在下方留下你的电话,不久的将来,互联网大厂的门将直接为你敞开。
