劉一廷 鄭立琴

摘要：隨著國內(nèi)社會經(jīng)濟快速發(fā)展，計算機技術和網(wǎng)絡技術行業(yè)獲得新的發(fā)展空間。網(wǎng)絡環(huán)境安全已經(jīng)是社會發(fā)展的重要保證。個人信息與商業(yè)信息、甚至是國家敏感信息與機密等，必然招致來自全球各行各業(yè)的攻擊（如信息盜取、信息泄密、數(shù)據(jù)修改、數(shù)據(jù)破壞及病毒入侵等），引發(fā)網(wǎng)絡安全人才緊缺?；诖?，從計算機網(wǎng)絡安全的基本知識著手，分析各網(wǎng)絡安全崗位的特點與其所需的特質(zhì)，對專業(yè)課理論知識和實踐路線作分類與梳理，分析總結(jié)出指導初學者科學合理學習的方法，同時提出學習規(guī)劃與發(fā)展的方向性建議，就網(wǎng)絡安全的學習策略與職業(yè)規(guī)劃的關聯(lián)性進行簡要梳理探討。

關鍵詞：網(wǎng)絡安全;信息對抗;課程路線;學習方法;職業(yè)規(guī)劃

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）19-0033-04

1 引言

隨著《網(wǎng)安法》的落地，越來越多的大眾全面深刻認識了網(wǎng)絡空間安全，對網(wǎng)絡空間安全的學習亦逐漸系統(tǒng)化。

當今計算機技術和網(wǎng)絡技術高速發(fā)展，人們對網(wǎng)絡空間安全問題更加重視與關注，侵害網(wǎng)絡安全的因素很多，如各種惡意軟件（病毒和木馬）。迫使網(wǎng)絡安全技術得以快速提升與發(fā)展，網(wǎng)絡安全人才需求大幅提高。

2 網(wǎng)絡空間安全學科課程，社會對人才需求，專業(yè)特色及要求情況

2.1 學科課程知識點要求及社會對人才需求狀況

網(wǎng)絡空間安全學院的網(wǎng)絡安全與信息對抗學生是電子信息通信計算類人才，國際化企業(yè)對此類人才素質(zhì)最基本的要求是有過硬的專業(yè)知識技能和出色的語言能力。許多進入華為、中興等有海外市場的電子信息類畢業(yè)生，不管是從事研發(fā)、測試還是從事產(chǎn)品服務，都需要掌握扎實的專業(yè)知識與技能，與海外本土員工的交流更離不開出色的語言能力[1] ， 而在網(wǎng)絡空間安全領域需具有堅實的網(wǎng)絡信息的獲取、入侵檢測與應急響應、滲透測試、處理、防御及進攻等方面的基礎知識理論和工程實戰(zhàn)綜合技術能力，才能成為政府、公安、部隊、情報及企業(yè)等部門急需的高素質(zhì)網(wǎng)絡空間安全工程應用型人才。當代社會需要理論扎實，動手實踐能力強的大學生。

因此網(wǎng)絡空間安全學院本科生主干學科與課程較多：如網(wǎng)絡空間安全、計算機科學與技術、網(wǎng)絡空間安全導論、網(wǎng)絡攻防技術、高級語言與程序設計、計算機網(wǎng)絡、數(shù)據(jù)結(jié)構與算法、Python語言程序設計、大數(shù)據(jù)技術及應用、操作系統(tǒng)、安全數(shù)據(jù)庫、密碼學基礎、網(wǎng)絡安全編程、網(wǎng)絡安全法、移動終端安全、物聯(lián)網(wǎng)安全、惡意代碼檢測技術、Web安全實踐及滲透測試實踐等，以及電子信息工程與通信工程、數(shù)字電路與邏輯設計、電子科學與技術、數(shù)理基礎課程、微機原理與接口技術、電路分析基礎、模擬電子技術基礎、信號與系統(tǒng)、數(shù)字信號處理、通信原理、通信對抗原理、嵌入式系統(tǒng)及安全、軟件無線電、FPGA設計、DSP設計、網(wǎng)絡攻防技術擴頻通信及計算機病毒檢測等。

上述科目多知識點繁雜， 外界對此新學科與行業(yè)不甚了解，基于此，給剛踏入校園的學子進行學習策略梳理，學生可在整體認知后，進一步確認后續(xù)專業(yè)科目的學習方向及適合自己的人生職業(yè)規(guī)劃，來擴展學習領域。

計算機網(wǎng)絡空間安全，從消費者的視角分析會著重關注用戶的敏感信息與公司商業(yè)信息，或技術信息在網(wǎng)絡上的安全，避免被竊取、篡改及偽造等;從網(wǎng)絡供應商的角度分析，除在網(wǎng)絡傳輸中信息防護安全外，還注重突發(fā)的自然災害、軍事打擊、黑客攻擊等對網(wǎng)絡設備硬件的破壞，以及在網(wǎng)絡傳輸中出現(xiàn)異常時怎樣快速恢復網(wǎng)絡傳輸通信的連續(xù)性。

本質(zhì)上計算機網(wǎng)絡安全是指：利用計算機網(wǎng)絡安全控制及技術安全保護[2]，對計算機硬件保護、數(shù)據(jù)的保密性、完整性、可使用性、不因偶然和惡意的因素而受到破壞、篡改、偽造及泄漏等。而網(wǎng)絡安全亦是確保網(wǎng)絡系統(tǒng)連續(xù)可靠地正常運行及網(wǎng)絡服務正常有序。安全的核心是保障信息資產(chǎn)的完整性、可用性與保密性，大致分為網(wǎng)絡安全、終端安全及應用安全等。信息系統(tǒng)安全劃分為4個層次：設備安全、數(shù)據(jù)安全、內(nèi)容安全及行為安全等。

2018年全國網(wǎng)絡信息安全人才缺口已大于70萬，國內(nèi)3000所高校僅120所開設相關專業(yè)，年培養(yǎng)1萬～2萬人，加上10～20家社會機構，全國每年相關人才輸送量約為3萬，距離70萬缺口差距達95%。此外，2020年網(wǎng)絡安全人才需求量直線增長，預計達140萬。2021年上半年，網(wǎng)絡安全產(chǎn)業(yè)人才需求總量較去年增長39.87%，安全研究、應急響應等崗位需求量很高，以下兩組數(shù)據(jù)充分顯現(xiàn)需求狀況，行業(yè)高薪的背后，是巨大的人才缺口。

圖1顯示網(wǎng)絡安全人員就業(yè)薪資分布情況。

工業(yè)和信息化部人才交流中心和網(wǎng)絡安全產(chǎn)業(yè)發(fā)展中心發(fā)布了《2021網(wǎng)絡安全產(chǎn)業(yè)人才發(fā)展報告》，顯示網(wǎng)絡安全行業(yè)的人才短缺分布方向：

2.2 網(wǎng)絡安全專業(yè)各門類的特點及要求的技能需求分類

目前互聯(lián)網(wǎng)、通信、新能源、房地產(chǎn)、金融證券及電子技術等行業(yè)迫切需要網(wǎng)絡安全人才，因為網(wǎng)絡安全的重要性，每一行業(yè)同時又催生出不同的需求方向，初學者可以根據(jù)自身的知識結(jié)構、能力特點及興趣來選擇學習工作方向。

網(wǎng)絡安全崗位有三大類可選：A研發(fā)類：網(wǎng)絡安全研究工程師、網(wǎng)絡安全設備開發(fā)及攻防安全研究員等。B安服類：安全服務工程師、滲透測試工程師、反病毒工程師、代碼審計工程師、風險評估分析師、網(wǎng)絡安全建設工程師及等保測評師等。C運維類：安全運維工程師、技術服務工程師等。

按技術門類分，網(wǎng)絡安全工作崗位有以下三類：A安全研發(fā)，B安全研究：二進制方向，C安全研究：網(wǎng)絡滲透方向[4]。

網(wǎng)絡安全有不同的技術門類，學子們可依據(jù)各自的主攻的方向，進行系統(tǒng)性學習，并結(jié)合實戰(zhàn)學習網(wǎng)絡安全。注重老師教授的基礎學科與專業(yè)理論原理外，更重要的是還要自學實用的技巧性知識，把理論知識和實踐貫通起來，通過大量的實戰(zhàn)累積提升能力。下面按門類方向展開學習策略梳理。

安全研發(fā)方向：開發(fā)安全產(chǎn)品（如軟件+工具）用來檢測搜尋發(fā)現(xiàn)、防御、攻擊終端硬件（手機、桌面PC、NB及網(wǎng)絡設施等）及網(wǎng)絡方向等[4]，相對安全研究二進制網(wǎng)絡滲透崗位，安全技術較淺更容易學成，分為防護（數(shù)據(jù)庫網(wǎng)關等）安全產(chǎn)品開發(fā)和攻擊（殺毒軟件等）的安全工具開發(fā)?？山梃b如圖3總結(jié)的思維導圖來快速地學好安全研發(fā)技術。

安全研究二進制安全方向：研究二進制安全是安全技術研究領域兩方向中的分支。二進制安全需要漏洞挖掘分析、逆向安全開發(fā)及木馬病毒（或統(tǒng)稱為惡意程序）分析等工作[4]，需要Linux內(nèi)核分析、調(diào)試與反調(diào)試、病毒識別處理等網(wǎng)絡安全技術， 如能掌握由Ring0-Ring3進入Ring-1層次那是更上一層樓。因為日常工作是分析處理二進制的數(shù)據(jù)，技術難度系數(shù)和復雜程度更大，要求勤奮努力和更多天分才能應對挑戰(zhàn)?？山梃b圖4的導圖更有效地學習。

安全研究網(wǎng)絡滲透方向：容易入門，掌握了部分基本技術，借用業(yè)界現(xiàn)有的工具可以攻擊手機、PC、NB、網(wǎng)站、服務器及內(nèi)網(wǎng)等[4]。

初學者要先掌握最簡單的基本知識，再去深造完善：掌握HTTP協(xié)議的工作機制→Web技術（含前、后端如何協(xié)同工作/瀏覽器如何工作/服務器如何處理一個HTTP請求/一個網(wǎng)站如何搭建等）→再學習使用一些Web漏洞掃描工具，學習網(wǎng)站漏洞的概念，建立“安全”概念。

網(wǎng)絡滲透的高階是成長為一個安全頂尖專家，在廣度上提升深度，深度上拓展廣度走實，專業(yè)上有更深的造詣，拓展自己的知識：從網(wǎng)絡硬件（網(wǎng)卡、中繼站、集線器、橋連接器、交換機及路由器等）、網(wǎng)絡TCP/IP協(xié)議、Web服務（Web、E-mail、file及database等）、至OS及攻擊方法手段等都需要懂得，涉獵比如二進制漏洞攻擊、逆向工程、木馬技術、內(nèi)核安全、移動安全及側(cè)信道攻擊等，成為多面手的IT技術專家。 初學者可參照下述匯總的思維線路進行。

3 掌握專業(yè)課程的理論與實踐相結(jié)合學習路線及學習方法

3.1 進行專業(yè)課程理論與實踐相結(jié)合的學習

第一步：計算機基礎理論的掌握

五大課程： 計算機網(wǎng)絡、算法與數(shù)據(jù)結(jié)構、計算機組成原理、操作系統(tǒng)及數(shù)據(jù)庫等。

第二步：編程能力培養(yǎng)

世界上有很多種編程語言， 當前排前10名的編程語言是JavaScript、Python、Java、PHP、HTML、C#、SQL、CSS、C++和R。每種語言有不同的優(yōu)勢，眾多編程語言其實是非常相似的。雖然編程語言語法不同，外觀不同，甚至功能完全不同，然而核心層面的相似程度高。幾乎所有的編程語言都會有分支、循環(huán)、調(diào)用方法或過程以及代碼組織方式等。有的甚至相似到精通一門語言后自然會了另一門語言。

網(wǎng)絡安全行業(yè)最好都能掌握以下三類語言：

Shell腳本：與Windows/Dos下的批處理相似，它使用了Linux/Unix下的命令，比Windows下的批處理更強大，效率更高于用其他編程程序編輯的程序。只需學會基本的Linux命令，學會編簡易Shell腳本，做一些簡易的編程。

C語言（C++可選）：是現(xiàn)代編程語言的元祖，是面向過程的，廣泛應用于底層開發(fā)，抽象化的通用語言。C語言能以簡易的方式進行編譯和處理低級存儲器，有跨平臺的特性。掌握C編程語言，結(jié)合學習數(shù)據(jù)結(jié)構、數(shù)據(jù)庫及操作系統(tǒng)等能更容易幫助初學者非常透徹領會內(nèi)存、算法及操作系統(tǒng)等IT知識。

Python 程序設計語言：語言簡單靈活，有龐大的外部庫，使用極方便，具有較高的開發(fā)效率;在網(wǎng)絡運維中借助其他模塊，提升運維的效率;可提供多種開發(fā)框架，可用Python代碼編寫運維腳本，提升網(wǎng)絡運維的自動化。Python具備靈活、簡單、強大功能及滿足腳本處理的優(yōu)勢等，因此被廣泛應用到運維領域中，在網(wǎng)絡運維過程中使用Python，能夠使網(wǎng)絡運維工作效率得到提高[6]。

C語言幫助學生們理解底層知識機制，Python能提升編程技能，且可大數(shù)據(jù)分析、網(wǎng)絡蜘蛛、自動化運維、人工智能及識別漏洞并發(fā)現(xiàn)如何解決該問題等，在網(wǎng)絡安全職業(yè)生涯中極具有優(yōu)勢。

第三步：安全技術基礎實踐

掌握上述的基礎理論知識，進一步接觸各方面的技術技能，對網(wǎng)絡安全技術例如：物理安全分析技術、網(wǎng)絡結(jié)構安全分析技術、系統(tǒng)安全分析技術、管理安全分析技術，及其他的安全服務和安全機制策略有基本的認知[7]。

掌控網(wǎng)絡信息安全技術重要的一點是要多實踐且不斷挑戰(zhàn)與探索，如： 網(wǎng)絡TCP/IP協(xié)議攻擊、網(wǎng)站服務器攻擊、Web 頁面安全、瀏覽器網(wǎng)絡安全和瀏覽器系統(tǒng)安全、漏洞bug攻擊、逆向破解（匯編指令→脫殼→修復程序→破解（算法））及防攻工具開發(fā)都去實戰(zhàn)摸索等，掌握各技術的基本流程步驟與應用，在實踐中獲得成就感的同時找到自己的優(yōu)勢、興趣和未來發(fā)展方向。

初始實踐是要從最基本的接網(wǎng)線、路由、網(wǎng)上截包及掃描漏洞等開始，再到高級一點的搭服務器，制定安全策略，分級權限等都需要摸索。

第四步：分方向發(fā)展

在安全技術基礎實踐中了解并判定自己的特長、優(yōu)勢及興趣方向（安全產(chǎn)品軟件工具開發(fā)/二進制安全研究方向涉及操作系統(tǒng)內(nèi)核分析、調(diào)試與反調(diào)試、反病毒等技術/網(wǎng)絡滲透方向）等， 確認了發(fā)展方向并擁有了一定知識基礎后，可有目的地去各種講座、社群、網(wǎng)站及技術論壇等獵取技能、知識及技巧等，了解行業(yè)最新知識與發(fā)展趨勢。借鑒學習前人經(jīng)驗至關重要，提高學習效率亦是非常明智的選擇。創(chuàng)造條件多閱讀相關領域的英文文獻，了解前沿知識并尋找適合自己的方向。專注自己的目標領域并在此方向上不斷提升自己，將理論和技能進行應用和實踐，將成為某一個領域的行家。

3.2 學習方法

閱讀是課程學習核心根本的方式。首先是對安全技術的理論基礎作系統(tǒng)性全面的了解。

其次是明確學習網(wǎng)絡安全的目標方向，以目標為導向按目標重點課程知識合理分配時間與精力：每一門都是大學學習科目，其實用到安全上的只是一部分，畢竟人的精力是有限的。如果在暫時用得不多的課程內(nèi)容上花費了大量時間，學習效率必然低下，抓不到重點，甚至會打擊信心，導致實現(xiàn)目標的時間大大拉長。

網(wǎng)絡信息安全學習特別需要注重實踐，做技術需要非常多的實踐經(jīng)驗，動手實踐是學習成效的關鍵。

安全研發(fā)開發(fā)方向?qū)嵺`拓展訓練實施：需要多練習網(wǎng)絡安全系統(tǒng)碼，分析前輩的優(yōu)秀開源代碼能學習到實現(xiàn)強大特定模塊化的功能、嚴密的邏輯、提高寫代碼水平、提升抽象思維能力，閱讀代碼時粗略瀏覽它的運作流程整體性與模塊之間協(xié)作，再關注具體實現(xiàn)模塊化細節(jié)。

安全研究二進制方向?qū)嵺`拓展訓練實施： 首先，分析樣本，其過程用查殼工具、監(jiān)測工具及調(diào)試工具通過靜態(tài)分析信息和動態(tài)分析信息完成等。其次，實踐編寫EXP（漏洞利用）其漏洞挖掘，一般先用通用應用程序（挖掘）→發(fā)現(xiàn)漏洞（調(diào)試）→POC/EXP（編寫）， POC/EXP是在漏洞挖掘后的最后一個環(huán)節(jié)，與此同時可挑戰(zhàn)使用IDA、GDB逆向調(diào)試工具等。

安全研究網(wǎng)絡滲透方向?qū)嵺`拓展訓練實施：可用測試掃描器找免費開源的用于滲透測試的網(wǎng)站練手（掌握各種漏洞的檢測、漏洞利用方法及滲透步驟等）等，打奪旗賽，多參與一些網(wǎng)絡安全比賽，接近實戰(zhàn)的環(huán)境下鍛煉動手能力， 培養(yǎng)自己的科技實踐能力和創(chuàng)新意識。

最后強調(diào)下網(wǎng)絡安全必備的5個基礎的知識，如圖6。

4 結(jié)束語

根據(jù)安全規(guī)范、應用場景及技術實現(xiàn)等，網(wǎng)絡安全行業(yè)可以有很多分類，簡單分為網(wǎng)絡安全、Web安全、云安全、移動安全（手機等）、桌面安全（電腦）、主機安全（服務器）、工控安全、無線安全及數(shù)據(jù)安全等不同領域。

崗位劃分成：網(wǎng)絡安全運維、滲透測試、Web安全、逆向、安全開發(fā)、代碼審計及安全服務類崗位等。不同的崗位需要具備不同的技術技能。編程能力較好可以從事Web安全、逆向、代碼審計及安全開發(fā)等崗位。不喜愛代碼編程的人員適合從事安全運維、滲透測試、Web安全及網(wǎng)絡安全架構等工作。

在學校學習掌握理論基礎只是入行起點，要正式踏入網(wǎng)絡安全行業(yè)需要在大學及后階段花更多精力去努力學習更深更專業(yè)的技能與行業(yè)知識，參加相關的比賽來豐富實戰(zhàn)技能。必要時亦可參加滲透之類培訓。自身能力提升是最重要的一環(huán)，提升的途徑與方式：數(shù)據(jù)顯示，絕大多數(shù)人員都會通過職業(yè)培訓來提升增強自己的實戰(zhàn)能力，占比高達73.89%，其次是工作單位內(nèi)部培訓（49.12%）和自學（46.46%）[8]。

不管學什么技術，選擇好后要不遺余力地走下去，堅持下去，細化目標，制定具體的學習內(nèi)容，才能學有所成，走上技術道路。

參考文獻：

[1] 趙波，張志華.創(chuàng)新型國際化人才培養(yǎng)模式初探——以電子信息類高校為視角[J].黑龍江高教研究，2010，28（7）：138-140.

[2] 林建紅.軍事網(wǎng)絡信息安全系統(tǒng)的研究與設計[D].長沙：中南大學，2004.

[3] 付京波，色云峰，李學林，等.2021網(wǎng)絡安全產(chǎn)業(yè)人才發(fā)展報告[R].北京：工業(yè)和信息化部人才交流中心，網(wǎng)絡安全產(chǎn)業(yè)發(fā)展中心，2021.

[4] 小風.網(wǎng)絡安全有哪些職業(yè)方向？[EB/OL].（2020-09-09）[2021-10-18].https：//www.xf1433.com/4377.html.

[5] 代碼熬夜敲.網(wǎng)絡安全的學習方向和路線是怎么樣的？[EB/OL].（2021-09-29）[2021-10-18].https：//www.bilibili.com/read/cv13383009.

[6] 宋焱宏.Python在網(wǎng)絡運維中的應用[J].電腦知識與技術，2018，14（19）：33-35.

[7] 周剛偉，蘇凱.對網(wǎng)絡安全技術的淺析[J].數(shù)字技術與應用，2009（10）：196-197.

[8] 中國信息安全評測中心，杭州安恒信息技術股份有限公司，獵聘網(wǎng).2018網(wǎng)絡安全人才發(fā)展白皮書 [R].“網(wǎng)絡安全人才培養(yǎng)”成都分論壇：中國信息安全測評中心，安恒信息，獵聘網(wǎng)，2018.

收稿日期：2022-03-26

作者簡介：劉一廷（2001—），男，湖南湘潭人，學士，主要研究方向為網(wǎng)絡空間安全與信息對抗技術;鄭立琴（1968—），女，貴州遵義人，副教授，學士，主要研究方向為信息用戶教育、信息技術教育、雙創(chuàng)教育。