网络安全行业热门岗位必备那些技能？-编程实验室

全球经济都笼罩在不确定性阴影下，但网络安全就业市场却正以历史最高速度迅猛发展。

报告数据显示，2023年至2027年美国网络安全市场将保持10.09%的高增长率，未来五年美国网络安全工作岗位需求量很大，就业机会年增长率将高达18%左右。

作为美国之外规模最大发展最快的网络安全市场之一，中国网络安全人才和就业市场也正进入高速发展期，2022年中国网络安全市场增速超过了20%，人才缺口进一步扩大。虽然2023年科技行业融资规模放缓，一些企业甚至开始大规模裁员，但网络安全人才就业和培训市场的总体需求未来五年依然将保持强劲增长。

随着网络安全对各行业人才的吸引力不断提升，相关职位、认证和培训不断增加，如何跻身“高薪赛道”成为网络安全新人面临的职场规划难题之一，以下，我们整理了北美网络安全市场薪酬最高的网络安全职位，供大家参考：

薪酬最高的入门级网络安全职位

大多数网络安全专家的职业生涯都是从初级IT职位开始的。以下是网络安全职场最受欢迎的入门级职位：

1.信息安全分析师

信息安全分析师的作用是通过以下方式确保组织的计算机网络和系统的安全：

检查、记录和报告安全漏洞
跟踪网络是否存在安全漏洞
研究最新的IT安全趋势
向计算机用户介绍安全产品和程序
制定策略以确保组织安全

根据美国劳工统计局的数据，到2031年，信息安全分析师的就业机会预计将增加35%。

如果您是网络安全职场新人，请确保参加了相关网络安全认证培训计划，以获得胜任这一角色所需的技能。

平均年薪：8.9万美元

2.数字取证检查员

如果您是解决复杂谜题的高手，那么这个角色可能适合您。数字取证调查员负责从计算机和各种数字设备中检索重要信息。日常任务包括：

收集、保存和分析数字证据
从损坏的硬盘中恢复
记录数据检索过程并保持监管链
协助执法部门进行刑事调查
在法庭诉讼中提供专业证词

事实证明，数字取证检察员是开启网络安全职业生涯的理想职位之一。

平均年薪：6.1万美元

3.信息安全专家

作为公司的信息安全专家，您需要确保数据免受非法访问和网络攻击。安全专家的职责因组织而异，但可能涉及以下内容：

防火墙、防病毒软件测试与维护
安全培训实施
研究新出现的安全威胁
改善安全弱点的建议

平均年薪：10.9万美元

4.IT审计员

IT审计员的职责是检查组织的技术是否存在任何效率、安全性和合规性问题，一些日常职责可能包括：

计划与审核
记录并展示审计结果
就建议的和基本的安全措施提供指导
制定解决任何安全风险的计划

拥有适当的网络安全技能可以帮助您更好地履行这一职责。

平均年薪：11万美元

薪酬最高的中高级网络安全职位

以下是薪酬待遇最高的中级和高级网络安全职位：

1.安全系统管理员

安全系统管理员通常负责公司网络安全系统的日常运营，责任可能包括以下内容：

跟踪系统并定期备份
个人用户账户管理
创建并记录组织安全程序
与安全团队合作应对未经授权的入侵
参与公司安全审计

对于想要晋升到更高职位的网络安全专业人士来说，这一职位的需求量很大。

平均年薪：7.9万美元

2. 安全工程师

安全工程师负责开发系统以确保公司的计算机、数据和网络免受网络攻击。防火墙和入侵检测系统也可能是这些安全系统的一部分。日常职责可能包括：

制定安全标准和适当的实践
向管理层提出安全改进建议
确保安全系统的安装和配置
测试安全解决方案
管理事件响应团队
开发自动化漏洞检测程序

平均年薪：7.98-11.2万美元

3.安全架构师

安全架构师的角色是为公司的安全系统设定正确的愿景。为了让企业领先风险一步，安全架构师角色整合了威胁研究、规划和政策制定等任务。因此，要想成为一名有才华的安全架构师需要进行全面的网络安全知识和技能学习。

安全架构师的职责可能涉及：

开发和维护安全网络
规划预算和管理安全费用
指导IT部门的安全运营
针对漏洞和安全事件的系统改进
进行网络攻防演习

平均年薪：20.7万美元

4.网络安全经理

网络安全经理属于管理职位，负责管理组织的安全架构。这可能包括：

人力资源和技术资源管理
跟踪内部和外部安全策略的变化
确保遵守安全标准和法规
为公司获取网络安全工具
领导风险缓解工作

因此，作为管理角色，网络安全经理需要掌握大量技能来管理整个公司的安全架构。获得顶级网络安全认证可以使您成为雇主的首选。

平均年薪：13.2-16.2万美元

总结

北美是全球最大的区域网络安全市场，也是全球网络安全技术市场的风向标和晴雨计。北美网络安全人才市场的职位数量正在逐年快速增长，由于网络安全人员可以现场办公也可以异地远程办公，这进一步增强了北美市场对全球网络安全人才市场的辐射和带动作用。对于网络安全人才来说，北美网络安全职位的“薪情”热点可作为职业规划的一个重要参考，因为特定岗位所需的能力和安全认证在全球范围都是通行的。

END

根据文章中提到的入门级的岗位和高薪酬岗位，分析其岗位职责可以看出来，大部分的职业技能与网络行业相关的认证相匹配。推荐的认证有CISP-PTE、CISD、CISSP

✦

CISSP

信息系统安全专业认证

✦

CISSP即信息系统安全专业认证，证书代表国际信息系统安全从业人员的权威认证。参加 CISSP 培训目的在于帮助从业人员系统理解和掌握信息安全知识领域的各种概念、原则、实务和运作，即使不报考 CISSP 考试，也能够借此了解信息安全国际最新进展，健全安全知识，提高安全技能。

CISSP

课程大纲

安全与风险管理

安全与风险管理的概念
机密性、完整性与可用性
安全治理
完整与有效的安全体系
合规性
全球性法律与法规问题
理解专业道德
开发与实施安全策略
业务连续性与灾难恢复需求
管理人员安全
风险管理的概念
威胁建模
采购策略与实践
安全教育、培训与意识

资产安全

资产安全概念
数据管理：决定与维护所有者
数据标准
数据寿命与使用
信息分级与支持资产
资产管理
保护隐私
确保合适的保存
数据安全控制
标准选择

安全工程

在工程生命周期中应用安全设计原则
安全模型的基本概念
信息系统安全评价模型
安全架构的漏洞
数据库安全
软件和系统的漏洞与威胁
嵌入式设备和网络物理系统的漏洞
密码积应用
站点和设施的设计考虑
站点规划
设施安全的设计与实施
设施安全的实施与运营

通信与网络安全

通信与网络安全概念
安全网络架构与设计
多层协议的含义
各类协议
网络组件安全
通信通道安全
网络攻击

身份与访问管理

身份与访问管理概念
资产的物理与逻辑访问
人员和设备的身份识别与认证
身份管理实施
身份即服务（IDaaS）
集成第三方身份服务
授权机制的实施与管理
防护或缓解对访问控制攻击
识别与访问规定的生命周期

安全评估与测试

安全评估与测试概念
评估与测试策略
收集安全流程数据
内部与第三方审计

安全运营

安全运营概念
调查
为资源提供配置管理
安全运营的基本概念
资源保护
事件响应
针对攻击的防御性措施
补丁和漏洞管理
变更与配置管理
灾难恢复流程
演练计划回顾
业务连续性与其他风险领域
访问控制
人员安全

软件开发生命周期安全

软件开发生命周期安全概念
软件开发安全概要
环境与安全控制
软件环境安全
软件保护机制
评估软件安全的有效性
评估软件采购安全

✦

CISP-PTE

注册渗透测试工程师认证

✦

CISP-PTE——国家注册信息安全渗透测试工程师认证。作为中国信息安全测评中心颁发的渗透测试领域证书，其持有人员不仅更容易得到更多企业的认可，同时具备从事信息安全技术领域网站渗透测试工作能力，具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。

CISP-PTE

课程大纲

基础知识

Http请求
常见渗透工具使用
内网渗透

WEB安全漏洞

信息泄露
信息收集
SQL注入漏洞
注入漏洞其他利用方式
文件上传
文件上传利用方式
XSS漏洞
CSRF漏洞
SSRF漏洞
命令执行漏洞
RCE常见利用方式
文件处理漏洞
XXE漏洞
PHP函数安全

数据库安全

MsSQL数据库安全
MySQL数据库安全
Oracle数据库安全
Redis数据库安全

中间件安全

Apache安全
IIS安全
JBoss安全
Tomcat安全
WebLogic安全
Web应用服务器安全加固

操作系统安全

Windows操作系统安全
Linux操作系统安全

✦

CISD

注册信息安全开发人员

✦

CISD注册信息安全开发人员认证，由中国信息安全测评中心实施，面向信息系统研发领域的工作人员，通过该培训将使相关人员熟悉软件安全开发的背景和过程，掌握软件安全开发各阶段的目的、主要任务和技术手段。CISD证书持有人主要从事信息系统软件编码、软件测试、软件集成、软件架构设计等软件开发相关工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统安全开发能力、熟练掌握应用安全。

CISD课程大纲

信息安全保障

网络安全监管

安全工程与运营

计算环境安全

软件安全开发基础

软件安全需求分析

软件安全设计

安全编码

软件安全测试

软件安全部署和安全开发项目管理

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

网络安全学习路线&学习资源

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。