案例075-网络安全-网络安全企业

网络安全-网络安全企业

搞安全关键是啥？不是技术多牛，是安全意识到位。

你以为学会几个工具、能挖几个漏洞就了不起了？错。你连最基本的社工攻击都防不住，你怎么保护公司的系统？

我见过太多技术牛逼哄哄的人，一问安全意识，脑子里一片空白。密码123456，密码两年不换，公共WiFi直接连内网——这种选手，我直接 pass。

网络安全这行，技术是基础，意识是天花板。你技术再好，一个钓鱼邮件就能让你所有努力白费。

所以今天不讲那些高大上的技术，就讲讲我是怎么从一个小白变成安全工程师的。

---

我的入坑故事

我高三那年，有一次在网吧打游戏，旁边一个学长在敲代码。我凑过去看了一眼，满屏的Linux命令，看得我一愣一愣的。他头也不抬地说：“小子，这叫命令行，学好了能黑进任何系统。”

就这一句话，我入坑了。

你们有没有发现，现在的网络安全行业特别缺人？各大公司都在招安全工程师，工资开得比开发岗还高。原因很简单：没有哪家互联网公司能承受数据泄露的代价。

我是211信息安全专业的毕业生，现在在一家头部安全公司做安全工程师。年薪30万加起步，朝九晚六不加班，节假日正常休。

说实话，当初选这个专业的时候，爸妈都反对。他们说：“网络安全？听起来像是做网管的。“我说：“网管跟网络安全是两码事好吧！”

结果证明，我的选择是对的。

---

兴趣是最好的老师

我的黑客梦

说实话，我能走到今天，全靠两个字：兴趣。

高二的时候，偶然看到一本讲黑客的书，封面上写着”没有入侵不了的系统”。我当时觉得太酷了，回家立刻百度搜索怎么当黑客。

后来我在网上找到了很多免费教程，从最简单的网络基础开始学起。TCP/IP协议是什么？HTTP协议怎么工作的？这些问题我一个个搞懂，花了大概三个月。

然后我开始学编程。入门语言是Python，因为我听说黑客都用Python写脚本。

后来我开始学Web安全。SQL注入、XSS、CSRF、文件上传……每一个漏洞类型我都亲手测试过。当然是用靶场环境测试，比如DVWA、Sqlilabs这些。不是真去攻击别人的网站，那是违法的。

记得第一次挖到漏洞的时候，我激动得整晚没睡着觉。

那是一个学校的论坛系统，存在SQL注入漏洞。我用sqlmap跑了一下，居然真的能跑出数据库里的用户名和密码。

那一刻我既兴奋又害怕。兴奋是因为我成功了，害怕是因为我突然意识到：网络安全真的太重要了，一个漏洞就能让所有人的信息暴露。

从那以后，我更加坚定了学习网络安全的决心。不是为了做坏事，而是为了防止坏事发生。

---

大学四年的规划

大一：找到方向

高考完那个暑假，我开始系统学习网络安全。B站上找教程、GitHub上找项目、在各大漏洞平台注册账号开始刷SRC。

开学第一天我就加了学校的网络安全社团，问学长：“咱们学校有CTF战队吗？“学长说没有，但你想搞可以组建。我当时就报名了，自己拉了几个同样感兴趣的同学，开始学习CTF。

CTF是Capture The Flag的缩写，中文叫”夺旗赛”，是网络安全领域最流行的比赛形式。比赛分为多个方向：Web安全、PWN（二进制安全）、Crypto（密码学）、Reverse（逆向工程）、Misc（杂项）。

我们几个新手从Web安全开始学起，因为这个方向入门最快。

大一的课程主要是公共课和基础课：高数、线代、C语言、数据结构、离散数学……我跟大多数人一样，上课认真听，课后完成作业。

但说实话，这些课跟网络安全关系不大。我大部分时间都花在自学安全技术上了。

大一的课程最让我头疼的是C语言。指针、内存管理、链表……这些东西让我头晕眼花。后来我才知道，这些基础知识对二进制安全非常重要。

大一结束的时候，我在某漏洞平台提交了第一个漏洞，是一个某小型网站的存储型XSS。虽然只是个低危漏洞，但那一刻的成就感无与伦比。

我立刻截图发到宿舍群里：“兄弟们，我挖到漏洞了！”

室友们发来一串”666”，虽然他们也不太懂这是什么意思。

---

大二：积累技术

大二开始学专业课：计算机网络、操作系统、计算机组成原理、密码学、网络安全……

这些课我学得很认真。因为我发现，安全工程师不是只会渗透就行，还需要懂原理。

大二上学期发生了一件事，让我彻底对网络安全产生了敬畏。

有一次CTF比赛，我和队友破解一个加密题目，用的是RSA算法。那次比赛我们只拿到了优秀奖，看着其他高校的队伍捧走一二等奖，我心里很不是滋味。

赛后复盘的时候，我发现自己对RSA的原理理解不深，只会用工具，不知道原理。这让我很受打击。

后来我花了两个月时间，把密码学的基础知识补了一遍。从古典密码到现代密码，从对称加密到非对称加密，从DES到RSA……每一个知识点我都认真学透。

不懂原理的安全工程师，永远只是脚本小子。

大二下学期，我又参加了几次CTF比赛，这次成绩明显好多了。我们拿了省赛的三等奖，虽然不是最好，但进步是肉眼可见的。

除了比赛，我也开始挖一些真实漏洞。那时候每天下课后就泡在漏洞平台上，挖厂商的SRC。

慢慢地，我从只会挖XSS的小白，变成了能挖高危漏洞的安全研究员。

---

大三：实习和证书

大三上学期的寒假，我开始找实习。投了十几份简历，大部分石沉大海。有一家公司让我去面试，我紧张得要死，结果面试官问的几个技术问题我都答上来了，最后顺利拿到了offer。

这家公司是一家做企业安全服务的创业公司，虽然不大，但团队很专业。我跟着他们做了一个月的安全评估项目，学到了很多东西。

大三暑假，我去了一家安全公司实习。这家公司不大，但团队很专业，做的是企业安全服务。

每天的工作流程是：拿到目标网站、信息收集、扫描、漏洞验证、写报告。重复、重复、再重复。

说实话，一开始觉得挺无聊的。但后来我才明白，安全评估不是挖漏洞那么简单，还需要系统的方法和专业的报告。

有一次我写的一份漏洞报告被客户表扬了，说写得详细、专业。这让我很有成就感。

证书方面，我考了两个：CISP-PTE和OSCP。

CISP-PTE是注册信息安全专业人员渗透测试工程师，这个证书是安全行业比较认可的。考试是选择题加实操，我准备了两个月，花了5000块报名费，最后通过了。

OSCP是国际认证的渗透测试证书，号称”黑客认证”，考试是24小时实操，很硬核。这个证书我花了三个月时间准备，报名费花了8000块。

两个证书考下来花了大概三个月时间，脱产学习。那段时间每天刷题、练靶场、记笔记，眼睛都熬红了。

但拿到证书的那一刻，觉得值了。

---

秋招

大四上学期，我开始找工作。我投了10家公司：360、奇安信、深信服、安恒信息、绿盟科技……全是安全公司。

大公司的面试流程很正规，技术面通常分三轮：基础笔试、在线编程、专家面。我发现大公司问的问题很注重原理，不会问你工具怎么用，而是问”如果WAF拦截了你的payload，你有哪些绕过思路？""SQL注入的原理是什么？”

这些问题答不上来，学历再高也没用。

我记得面360的时候，面试官问了一道很有意思的题：“如果让你设计一个安全扫描器，你会怎么做？”

我想了想，从信息收集、漏洞检测、结果整理三个模块回答，还提到了多线程、分布式等提高效率的方法。

面试官点点头说：“思路不错，看来是真正做过项目的。”

最后我拿到了6个offer：360安全、安恒信息、深信服、奇安信……综合考虑后，我选择了深信服，base深圳，年薪30万加，包含期权，朝九晚六不加班。

签约那天，我给我爸打了个电话。

“爸，我签了深信服，年薪30万。”

我爸沉默了一会儿，说：“儿子，干得好。爸虽然不懂你们这行，但你开心就行。”

那一刻我的眼眶有点湿润。

---

入职体验

第一个月是入职培训，公司给我配了一个导师，是部门里经验很丰富的老员工，比我大五岁，大家都叫他海哥。

海哥带我做的第一个项目是某省政务云的安全评估。这个项目很大，涉及几十个子系统，上百个网站。

第一个星期我就挖到了三个高危漏洞：一个是SQL注入，一个是文件上传绕过，一个是未授权访问。

海哥看了我的报告，说：“不错，比我预期的进度快。但是SQL注入那个，你只证明了能注入，有没有进一步利用？”

我愣住了。我只是证明了漏洞存在，没有进一步利用。

“在真实攻防环境中，证明漏洞存在只是第一步。“海哥说，“你还需要证明这个漏洞能造成多大的危害。”

那一刻我受到了很大冲击。原来挖漏洞和做安全评估是两码事。

后来我按照海哥的指导，尝试利用SQL注入获取到了后台管理员的账号密码，然后登录后台演示了数据泄露的风险。

海哥看了我的演示，点点头说：“这才是完整的安全评估。记住，我们的工作不是炫技，而是帮助客户发现风险、修复漏洞。”

这句话我记了很久。

---

工资结构

我现在是安全工程师职级，base深圳。

工资构成：

• 月薪：基本工资18000加岗位工资2000等于20000元每月
• 绩效：季度绩效奖金，约5000到8000每季度
• 年终奖：通常2到4个月工资，约40000到80000
• 五险一金：按全额工资缴纳，公积金12%
• 其他福利：餐补500每月，交通补贴300每月，通讯补贴100每月

**综合年薪：**税前约32到35万，扣除五险一金和个税后，到手约25到28万每年。

如果未来升到高级安全工程师，年薪能到40到50万；如果升到安全专家，年薪能到60万加。

说实话，这个收入比我预期的高一些。当初选网络安全的时候，没想到工资能这么高。

---

未来规划

一年规划：熟悉公司业务，提升技术水平，适应职场环境。独立完成2到3个安全评估项目，考取CISP-PTS渗透测试专家。

三年规划：升职为高级安全工程师，独立负责大型安全项目，发表2到3篇安全研究报告。

五年规划：升职为安全专家或安全组长，在某个细分领域深入，考取OSCP、GPEN等国际认证，年薪50万加。

长期规划：如果技术走得通，继续走技术路线，成为行业内有影响力的安全专家。如果技术遇到瓶颈，考虑转型：安全产品经理、安全售前、安全咨询。

---

碎碎念

搞安全关键是啥？我再强调一遍：不是技术多牛，是安全意识到位。

面试的时候，面试官会问你技术细节：某个漏洞的原理是什么？怎么绕过某个防护？有没有实战经验？

这些问题答不上来，学历再高也没用。

没有捷径，只有积累。

给大家几条建议：

多挖漏洞，多参加比赛，多做项目

你的经历比证书重要，你的技能比学历重要。我大二就在漏洞平台挖漏洞了，这些实战经验是我后来找到好工作的关键。

建议从大一就开始挖漏洞，不要觉得自己技术不行。低危漏洞也是漏洞，积少成多。

学好计算机基础

操作系统、计算机网络、数据结构、数据库……这些都是地基，地基不稳，后面学什么都浮着。

我知道这些课很枯燥，但它们真的很重要。你要理解系统是怎么工作的，才能发现系统的漏洞。

选一个方向深入

Web安全、移动安全、二进制安全、云安全……每个方向都有很多知识要学，不可能全部精通。选择一个方向深耕，成为这个方向的专家。

我选择的是Web安全方向，因为入门相对容易，工作机会也多。但无论选哪个方向，都要深耕，不要浅尝辄止。

英语很重要

安全领域的最新技术、漏洞研究，大部分是英文资料。英语不好，你看不懂英文文档，跟国际前沿脱节。

我每天都会看一些英文安全博客，比如PortSwigger、Offensive Security等。虽然看英文很累，但收获很大。

建立技术人脉

加入安全社区，参加线下活动，认识更多同行。我现在的好几个朋友都是CTF比赛认识的，平时会交流技术、分享资源。

最后我想说，安全行业相对公平，技术好的人永远不缺工作。

学历是敲门砖，但进门之后靠的是真本事。211的学生在这个行业有一定优势，但不代表一定能找到好工作。关键还是看你自己愿不愿意学，愿不愿意钻研。

加油！只要你有兴趣、肯努力，这个行业不会亏待你。

---

关联阅读

• 专业参考 计算机类.md
• 案例索引 0000_1001案例总索引
• 知识库总索引 0000浪尖大学四年知识库_总索引