網路安全是指網路系統的硬體、軟體及其系統中的資料受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、洩露，系統連續可靠正常地執行，網路服務不中斷。

網路安全措施有哪些

1、物理措施：例如，保護網路關鍵裝置(如交換機、大型計算機等)，制定嚴格的網路安全規章制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。

2、訪問控制：對使用者訪問網路資源的許可權進行嚴格的認證和控制。例如，進行使用者身份認證，對口令加密、更新和鑑別，設定使用者訪問目錄和檔案的許可權，控制網路裝置配置的許可權，等等。

3、資料加密：加密是保護資料安全的重要手段。加密的作用是保障資訊被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。

4、網路隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。隔離卡主要用於對單臺機器的隔離，網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。

5、其他措施：其他措施包括資訊過濾、容錯、資料映象、資料備份和審計等。近年來，圍繞網路安全問題提出了許多解決辦法，例如資料加密技術和防火牆技術等。資料加密是對網路中傳輸的資料進行加密，到達目的地後再解密還原為原始資料，目的是防止非法使用者截獲後盜用資訊。防火牆技術是透過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。

網路安全隨著智慧手機的發展已經進入高速發展期，在未來將更不可或缺。

那麼網路安全工程師需要做什麼？

現在我們的個人資訊都在手機上，那麼怎麼保證個人的資訊不被不法分子所獲取？這就是網路安全工程師需要做的。當然我所說的只是其中關於個人部分，網路安全還包括企業及國家層面的。

現在很多方面的發展其實正是受限於網路安全，比如說，無人駕駛技術。無人駕駛技術現在受限的兩個因素就是：網路安全，感測技術。試想一下，如果網路安全得不到保證，那麼不法分子就可以透過系統入侵更改車輛駕駛軌跡，完全可以讓受害者自己“送貨上門”，這是很可怕的。

所以網路安全在未來將越來越重要，選擇網路安全相關的工作會很有前途。

這是一個非常好的問題，作為一名IT從業者，我來回答一下。

首先，隨著當前大資料、物聯網和人工智慧技術的發展，網際網路正在逐漸向產業領域深入，這對於網路安全提出了新的要求和挑戰。在工業網際網路時代，網路安全不再僅僅發生在虛擬世界，網路安全問題對於現實世界也將形成新的影響，如果網路安全不能得到保障，那麼大資料、物聯網和人工智慧等一眾技術將面臨巨大的挑戰，這些新技術也無法在產業領域走得更遠。從這個角度來看，網路安全未來的重要程度還是非常高的。

當前網路安全涉及到的崗位非常多，不同領域的網路安全工程師也需要面對不同的網路安全環境，所以各自的任務也有不同的界定。比如有的網路安全工程師會專注於資料儲存安全，有的網路安全工程師要注重網路傳輸安全等等。從當前IT（網際網路）行業的發展趨勢來看，物聯網領域將釋放出大量的網路安全崗位。

從物聯網的技術體系結構來看，安全層覆蓋了裝置層、網路層、物聯網平臺層、資料分析層和應用層，每一層需要面對的網路安全環境也有一定的區別，所以整體的知識量還是比較龐大的。目前物聯網安全的問題還主要集中在裝置層和網路層，但是這並不意味著其他層次的安全問題比較小，實際上主要原因是其他層目前的應用並不多，隨著大資料和人工智慧技術的發展，其他層次的網路安全問題也會日益嚴峻。

最後，網路安全領域不僅知識量比較大，而且學習難度也相對比較高，需要從業者具有較強的學習能力和實踐能力，對於本科生來說，如果想在網路安全領域獲得更好的發展，可以考慮讀一下研究生。

1. 安全行業到底有多少領域？具體在做什麼？區別與聯絡是什麼？

根據不同的安全規範、應用場景、技術實現等，安全可以有很多分類方法，在這裡我們簡單分為網路安全、Web安全、雲安全、移動安全（手機）、桌面安全（電腦）、主機安全（伺服器）、工控安全、無線安全、資料安全 等不同領域。下面以個人所在行業和關注點，重點探討網路/Web/雲這幾個安全方向。

1.1 網路安全

[網路安全] 是安全行業最經典最基本的領域，也是目前國內安全公司發家致富的領域，例如啟明星辰、綠盟科技、天融信這幾個企業（“老三大” ）。這個領域研究的技術範疇主要圍繞防火牆/NGFW/UTM、網閘、入侵檢測/防禦、VPN閘道器（IPsec/SSL）、抗DDOS、上網行為管理、負載均衡/應用交付、流量分析、漏洞掃描等。透過以上網路安全產品和技術，我們可以設計並提供一個安全可靠的網路架構，為政府/國企、網際網路、銀行、醫院、學校等各行各行的網路基礎設施保駕護航。

大的安全專案（肥肉…）主要集中在以政府/國企需求的政務網/稅務網/社保網/電力網… 以運營商（移動/電信/聯通）需求的電信網/都會網路、以銀行為主的金融網、以網際網路企業需求的資料中心網等。以上這些網路，承載著國民最核心的基礎設施和敏感資料，一旦洩露或者遭到非法入侵，影響範圍就不僅僅是一個企業/公司/組織的事情，例如政務或軍工涉密資料、國民社保身份資訊、骨幹網路基礎設施、金融交易賬戶資訊等。

當然，除了以上這些，還有其他的企業網、教育網等也需要大量的安全產品和服務。網路安全專案一般會由網路安全企業、系統整合商、網路與安全代理商、IT服務提供商等具備國家認定的計算機系統整合資質、安全等保/分保等行業資質的技術單位來提供。

[技能需求]

網路協議：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…

主流網路與安全裝置部署：思科/華為/華三/銳捷/Juniper/飛塔、路由器/交換機、防火牆、IDS/IPS、VPN、AC/AD…

網路安全架構與設計：企業網/電信網/政務網/教育網/資料中心網設計與部署…

資訊保安等保/分保理論、金土/金稅工程…

……

[補充說明]

1、不要被電影和新聞等節奏帶偏，戰鬥在這個領域的安全工程師非常非常多，不是天天攻擊別人寫攻擊程式碼寫病毒的才叫做安全工程師；

2、這個安全領域研究的內容除了defense（防禦）和security（安全），相關的Hacking（攻擊）技術包括協議安全（arp中間人攻擊、dhcp泛洪欺騙、STP欺騙、DNS劫持攻擊、HTTP/VPN弱版本或中間人攻擊…）、接入安全（MAC泛洪與欺騙、802.1x、WiFi暴力破解…）、硬體安全（利用NSA洩露工具包攻擊知名防火牆、裝置遠端程式碼執行漏洞getshell、網路裝置弱口令破解.. ）、配置安全（不安全的協議被開啟、不需要埠服務被開啟…）…

3、學習這個安全方向不需要太多計算機程式設計功底（不是走研發路線而是走安全服務工程師路線），更多需要掌握常見安全網路架構、對網路協議和故障能抓包分析，對網路和安全裝置能熟悉配置；

4、參考課程：《拼客學院全棧網路安全專家》。

1.2 Web安全

Web安全領域從狹義的角度來看，就是一門研究[網站安全]的技術，相比[網路安全]領域，普通使用者能夠更加直觀感知。例如，網站不能訪問了、網站頁面被惡意篡改了、網站被駭客入侵併洩露核心資料（例如新浪微博或淘寶網使用者賬號洩露，這個時候就會引發恐慌且相繼修改密碼等）。當然，大的安全專案裡面，Web安全僅僅是一個分支，是需要跟[網路安全]是相輔相成的，只不過Web安全關注上層應用和資料，網路安全關注底層網路安全。

隨著Web技術的高速發展，從原來的[Web不就是幾個靜態網頁嗎？]到了現在的[Web就是網際網路]，越來越多的服務與應用直接基於Web應用來展開，而不再僅僅是一個企業網站或論壇。如今，社交、電商、遊戲、網銀、郵箱、OA…..等幾乎所有能聯網的應用，都可以直接基於Web技術來提供。

由於Web所承載的意義越來越大，圍繞Web安全對應的攻擊方法與防禦技術也層出不窮，例如WAF（網頁防火牆）、Web漏洞掃描、網頁防篡改、網站入侵防護等更加細分垂直的Web安全產品也出現了。

[技能需求]

Web安全的技能點同樣多的數不過來，因為要搞Web方向的安全，意味初學者要對Web開發技術有所瞭解，例如能透過前後端技術做一個Web網站出來，好比要搞[網路安全]，首先要懂如何搭建一個網路出來。那麼，Web技術就涉及到以下內容：

通訊協議：TCP、HTTP、HTTPs

作業系統：Linux、Windows

服務架設：Apache、Nginx、LAMP、LNMP、MVC架構

資料庫：MySQL、SQL Server、Oracle

程式語言：前端語言（HTML/CSS/JavaScript）、後端語言（PHP/Java/ASP/Python）

如果按照上面的技能全部學完，不僅時間週期非常長，估計大部分人連學後面安全的興趣都沒有了。所以，這就說到Web安全這個行業另外一個常態了：大部分做Web安全的，並不是剛開始就對Web開發技術非常熟悉的，很多都是半路殺出來了，甚至連Web網站都沒有架設過的，這種大有人在。因此有更加狹義的Web安全技術點：

安全理論：OWASP TOP 10 、PETS、ISO 27001…

後端安全：SQL注入、檔案上傳、Webshell（木馬）、檔案包含、命令執行…

前端安全：XSS跨站指令碼攻擊、CSRF跨站請求偽造…

安全產品：Web漏洞掃描（Burp/WVS/Appscan）、WAF（Web應用防火牆）、IDS/IPS（Web入侵防禦）、Web主機防護

因此，Web開發技術和Web安全技術其實是相輔相成的，如果對Web開發比較熟悉，意味著研究Web安全時能夠更加底層，而不止於安全工具和指令碼層面。

[補充說明]

1、學習Web安全方向需要有一定的程式設計基礎，如果對程式碼沒興趣，建議走[網路安全]方向；

2、[網路安全]和[Web安全]在安全領域裡面剛好是對立面存在，一硬一軟、一防一攻、一上（上層）一下（底層）；

3、參考課程:《拼客學院Web安全滲透系列課》、《拼客學院Linux運維精品班》、

1.3 終端安全（移動安全/桌面安全）

移動安全主要研究例如手機、平板、智慧硬體等移動終端產品的安全，例如iOS和Android安全，我們經常提到的“越獄”其實就是移動安全的範疇。而近期爆發的危機全球的Windows電腦蠕蟲病毒 - “WannerCry勒索病毒”，或者更加久遠的“熊貓燒香”，便是桌面安全的範疇。

桌面安全和移動安全研究的技術面都是終端安全領域，說的簡單一些，一個研究電腦，一個研究手機。隨著我們工作和生活，從PC端遷移到了移動端，終端安全也從桌面安全遷移到移動安全。最熟悉不過的終端安全產品，便是360、騰訊、金山毒霸、瑞星、賽門鐵克、邁克菲McAfee、諾頓等全家桶……

從商業的角度看，終端安全（移動安全加桌面安全）是一門to C的業務，更多面向最終個人和使用者；而網路安全、Web安全、雲安全更多是一門to B的業務，面向政企單位。舉例：360這家公司就是典型的從to C安全業務延伸到to B安全業務的公司，例如360企業安全便是面向政企單位提供安全產品和服務，而我們熟悉的360安全衛士和防毒則主要面向個人使用者。

1.4 雲安全

[雲安全] 是基於雲計算技術來開展的另外一個安全領域，雲安全研究的話題包括：軟體定義安全、超融合安全、虛擬化安全、機器學習+大資料+安全….. 目前，基於雲計算所展開的安全產品已經非常多了，涵蓋原有網路安全、Web安全、移動安全等方向，包括雲防火牆、雲抗DDOS、雲漏掃、雲桌面等，國內的騰訊雲、阿里雲已經有相對成熟的商用解決方案出現。

雲安全在產品形態和商用交付上面，實現安全從硬體到軟體再到雲的變革，大大減低了傳統中小型企業使用安全產品的門檻，以前一個安全專案動輒百萬級別，而基於雲安全，實現了真正的按需彈性購買，大大減低採購成本。另外，雲時代的安全也給原有行業的規範和實施帶來更多挑戰和變革，例如，託管在雲端的商用服務，雲服務商和客戶各自承擔的安全建設責任和邊界如何區分？雲端安全專案如何做資訊保安等保測評？

[補充說明]

1、安全發展趨勢：從硬體到軟體再到雲安全、從被動防禦到主動防禦、從單點到全域性

2、安全的未來：“機器學習+大資料+ 雲安全” 或 “AI + 安全”，會不會成為行業終點？（舉例：越來越多的服務直接基於雲展開，以雲服務商為代表的阿里雲/騰訊雲對其他安全企業的跨界打擊）

3、求職情況：目前國內的雲服務廠商在不斷挖角傳統網路安全廠商的人才（無論是研發還是工程實施），而且已經到了批次挖角的局面（具體哪裡的，這裡暫時就不提了...）

1.5 工控安全

以震網病毒（stuxnet）攻擊伊朗核電廠並使其癱瘓的全球事件，從安全領域活生生撕開一道口並告訴我們，工控病毒才是真正代替核武器戰爭的代表。相比其他安全方向，工控安全研究的攻防物件是工業基礎設施，真正影響人類生活的方方面面，例如核電、電力、水力、城市交通等基礎設施。隨著萬物互聯/物聯網的程序不斷推進，工控安全會成為我們繼網際網路和移動網際網路安全之後研究的重心。

2. 安全行業到底有多少崗位？技術需求和崗位職責是什麼？適合我們的安全崗位又有哪些？

2.1 安全崗位

以安全公司招聘的情況來分，安全崗位可以以研發系、工程系、銷售系來區分，不同公司對於安全崗位叫法有所區分，這裡以行業常見的叫法歸類如下：

研發系：安全研發、安全攻防研究、逆向分析

工程系：安全工程師、安全運維工程師、安全服務工程師、安全技術支援、安全售後、Web滲透測試工程師、Web安全工程師、應用安全審計、移動安全工程師

銷售系：安全銷售工程師、安全售前工程師、技術解決方案工程師

2.2 適合我們的崗位有哪些？

拼客學院這邊畢業學員主要走安全工程系，我們目前主要應聘的崗位是：安全工程師、安全運維、安全服務工程師、Web滲透測試、Web安全工程師，當然，也有部分學員在做安全研發和安全售前崗位。

例如在安全公司如綠盟科技、深信服、360、天融信等做安全工程師、安全服務、滲透測試等崗位，在甲方單位例如運營商（中國移動、中國電信）、金融類公司（平安科技、招商銀行）等更多做安全運維、Web應用審計、Web滲透測試等崗位

2.3 常見的安全崗位職責

[安全工程師]（產品與售後方向） 職位描述

負責網路安全專案中的產品除錯和交付

負責網路安全專案中的技術方案編寫

負責客戶的安全應急和售後駐場

職位要求

具備紮實的計算機與網路原理，熟悉各類網路與安全裝置（路由、交換、防火牆、VPN、漏洞掃描）

對網路資料包具備分析實踐能力，熟練使用資料包分析工具；

熟悉常見網路通訊協議（TCP/IP、交換路由協議、VPN協議等）

熟悉防火牆原理，能夠熟練配置防火牆策略；

熟悉主流網路與安全廠商產品（思科/華為/華三/Juniper…）

較好的文件撰寫能力、語言表達和與溝通能力。

[安全服務工程師] 職位描述

負責安全服務專案中的實施部分，包括：漏洞掃描、滲透測試、安全基線檢查、程式碼審計、應急響應等；

爆發高危漏洞後時行漏洞的分析應急；

對公司安全產品的後端支援；

掌握專業文件編寫技巧；

關注行業態勢和熱點。

職位要求

掌握一門及以上程式語言；

熟悉常見安全攻防技術；

有較強學習能力，能快速學習新的技術；

熟悉風險評估、應急響應、滲透測試、安全加固等安全服務；

具有良好的語言表達能力、文件組織能力。

[安全運維工程師] 職位描述

伺服器與網路基礎裝置的安全加固；

安全事件排查與分析，配合定期編寫安全分析報告，專注業內安全事件；

跟蹤最新漏洞資訊，進行業務產品的安全檢查；

負責資訊保安策略/流程的制定,安全培訓/宣傳及推廣；

負責Web漏洞和系統漏洞修復工作推進，跟蹤解決情況，問題收集。

職位要求

熟悉主流的Web安全技術，包括SQL注入、XSS、CSRF等OWASP TOP 10安全風險；

熟悉TCP/IP協議，路由交換、常用的應用層協議；

熟悉Linux/Windows下系統和軟體的安全配置與加固；

熟悉常見的安全產品及原理，例如IDS、IPS、防火牆等；

熟練掌握C/PHP/Python/Shell等一或多種語言；

較好的文件撰寫能力、語言表達和與溝通能力。

[Web安全工程師/滲透測試] 職位描述

對公司各類系統進行安全加固；

對公司網站、業務系統進行安全評估測試（黑盒、白盒測試）；

對公司安全事件進行響應，清理後門，根據日誌分析攻擊途徑；

安全技術研究，包括安全防範技術，駭客技術等；

跟蹤最新漏洞資訊，進行業務產品的安全檢查。

職位要求

熟悉Web滲透測試方法和攻防技術，包括SQL注入、XSS跨站、CSRF偽造請求、命令執行等安全漏洞與防禦；

熟悉Linux、Windows不同平臺的滲透測試，對網路安全、系統安全、應用安全有深入的理解和自己的認識；

熟悉國內外主流安全工具，包括Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等；

至少掌握一門程式語言C/JS/Python/PHP/Java/JS等；

對Web安全整體有深刻理解，有一定的程式碼審計和漏洞分析和挖掘能力；

具有較強的團隊意識、高度的責任感，有良好的文件和溝通能力；

2.4 安全崗位總結

走安全行業的工程方向的，技術上面其實有很大的重疊性，拋開甲乙方、崗位名稱、崗位職責等因素來看，作為學技術的，也根據以往我們給學員推薦就業和入職情況來看，只要好好掌握以下幾種技術（網路協議與安全裝置、Linux作業系統、Web服務部署/開發、主流滲透測試/安全工具、一門及以上的程式語言）中的2到3個，都可以較好的勝任工作需求。

當然，從行業新人入職到真正通往大神，這裡是“0到1”和“1到100”的區別了，到了工作場景中，能否根據工作需求，再橫向和縱向拓展個人技術棧，這塊修行就完全靠個人了，例如，這邊畢業的學員，有從安全運維和售後轉向安全滲透崗的，有從安全滲透崗轉到安全研發的，有從安全公司跳到網際網路公司的，有從網際網路公司跳到安全初創企業的……）

3. 有哪些公司在招聘安全人才？薪酬標準是如何的？安全行業的薪酬標準是如何的？去哪裡如何找到合適的安全公司和崗位

3.1 有哪些公司在招聘？

安全工程師已經成為一個必選項，所以已經沒法再一一列舉出來了，無論是網際網路公司，還是網路與安全公司，還是銀行、運營商、政府等，都需要安全人才加入，所以，這裡更多列舉拼客學院剛畢業學員拿到過的校園招聘的崗位。

網路安全公司：360企業安全、綠盟科技、天融信、啟明星辰、深信服、藍盾科技、網康、鬥象科技（Freebuf）、華為、銳網路……

網際網路公司：騰訊（安平部安全實施-DDOS方向）、YY（安全研發）、4399（安全運維）…..

運營商/國企：中國移動（安全運維）、中國電信（安全運維）、平安科技（安全運維）…….

系統整合商：神州數碼（F5工程師）、華訊網路（安全專案部署、亞信科技（安全運維）、中通服科技（安全售後與交付）