黑客和程序员一样吗，大学应该学什么专业

大学有网络信息安全专业呀，可以学到网络安全技术，不过有的大学没有这个专业；程序员则是应该学计算机程序设计专业，不过有一定编程基础后，也可以自学黑客技术的。黑客和程序员还是不太一样的，黑客的技术更加底层，和程序设计是相反的方向，但是有些地方还是相关的，所以程序员也可以自学黑客技术。

网络安全这个专业怎么样呢？

明确的回答：如果是本科，网络安全不是一个好专业！

首先，许多人说网络安全岗位缺口多大多大，但是网络安全专业很多学生却不愿意做网络安全。所以为什么企业不提高薪水吸引这些人来呢？答案是市场决定了不值得这么做。

换句话说，当前市场给网络安全定价很低，而且不只是在中国，全球都如此，这也是为什么网络安全的所谓巨头在真正的IT巨头看来就是个婴儿大小。（如果互联网厂商不需要为安全事件而赔偿用户，那么他们为什么要花钱买安全服务？）关于这个话题你可以去quora看，有很多答案。另外，我记得2018年的全球安全市场市值好像是800多亿还是一千多亿美元出头点，对比全球IT总市值，你觉得很多么？

另外，始终记得：安全是成本项，不会直接带来收益，所以和金融企业的风控部门一样，地位无比尴尬（低下）。

另外，从学习曲线上来说，安全难度极高，你只要选一门编程语言干1-3年就可以成为熟手，而安全则不一样，操作系统内核，浏览器内核，x86硬件特性，软件调试（0环+3环），主流编程语言等等你要精通好几项才能真正脱离“菜鸟”的水平，你一个本科生连系统和主要软件（浏览器，web容器，各种中间件等等等等）如何运行都不知道，还谈何安全？研究生再来考虑这个问题吧。

尽管安全行业入门很难，然而事实上确是：网络安全大量从业者（尤其是安服人员）甚至连许多基础计算机知识都没打牢靠（不会基础编程，脚本不会写等等），就开始混迹于安全公司，以至于某位老板酒后吐真言：“安全行业水浅王八多”。你跟这些水货混多了，又怎么会有提高？（我并不打算一棍子打死安服人员，许多大佬，包括把我领进门的那位都是安服人员，但是仍不能否认安服很水的事实）。

对人员高素质的要求，和实际人员素质的低下带来的问题就是很多安全公司实际上并不能为客户解决问题，多跟甲方聊聊，你会听到很多吐槽。

而且以国内的现状来看，安全公司客户主要是非商业机构和体制内大公司，所以这本质上是个牌照生意，并未完全市场化，也不是完全的创新/技术驱动，所以公司运转效率比2C的互联网公司差一个档次（虽然他们做的事情价值可能比很多互联网公司高，但是低效就是低效）。所以你会遇到大量的愚蠢的产品设计，傲慢的产品，愤怒却人微言轻的安服，裙带关系，中层内斗等等。

废话了那么多，就是想说：除非是真爱，否则不要做网络安全！尤其不要把它作为本科专业！（就算是真爱，比如我，现在也有了转行的想法）

网络安全主要学什么呢？

计算机网络安全专业大学的基础课程主要是数学、计算机知识，具体开设的课程不同大学是有所差异的，核心课程都会涉及以下方向：离散数学、信号与系统、通信原理、软件工程、编码理论、信息安全概论、信息论、数据结构、操作系统、信息系统工程、现代密码学、网络安全、信息伪装等

主干课程包括：计算机原理、计算机体系结构、计算机网络、操作系统原理、数据结构、C语言程序设计、汇编语言程序设计、网络程序设计、分布式系统、计算机安全入门、编码理论与应用；

同时还有，网络和计算机系统的攻击方法、安全程序设计、应用密码技术、计算机和网络安全、容错系统、信息系统安全、数据库安全、计算机取证、电子商务安全。

就业面向：在计算机网络公司、软件公司、科研部门、教育单位和行政管理部门及现代化企业，从事计算机安全系统的研究、设计、开发和管理工作。

也可在IT领域从事网络日常管理与维护、网站设计与开发、网络数据库的应用与维护工作或信息安全产品销售与服务等工作。计算机网络安全不仅包括网的硬件、管理控制网络的软件，也包括共享的资源，快捷的网络服务，所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。 参照ISO给出的计算机安全定义，认为计算机网络安全是指：“保护计算机网络系统中的硬件，软件和数据资源，不因偶然或恶意的原因遭到破坏、更改、泄露，使网络系统连续可靠性地正常运行，网络服务正常有序。” 本专业学生除了学习必要的数理与计算机基础知识外，还要掌握计算机网络技术与网络通信，网络技术应用、网络系统管理和黑客的防御和攻击，网络入侵防御系统等专业技能训练； 将计算机网络技术、网络系统管理、网络安全技术等专业课程与组网、建网、网络编程、网络测试等相应的实训环节有机结合，使学生具有较强的职业工作技能和素质。

网络安全专业主要学习什么呀？

网络安全的定义是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。具有保密性、完整性、可用性、可控性、可审查性的特性.

网络安全行业分类、技能需求

根据不同的安全规范、应用场景、技术实现等，安全可以有很多分类方法，在这里我们简单分为网络安全、Web安全、云安全、移动安全（手机）、桌面安全（电脑）、主机安全（服务器）、工控安全、无线安全、数据安全 等不同领域。下面以个人所在行业和关注点，重点探讨 网络 / Web / 云这几个安全方向。

1  网络安全

[网络安全] 是安全行业最经典最基本的领域，也是目前国内安全公司发家致富的领域。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关（IPsec/SSL）、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术，我们可以设计并提供一个安全可靠的网络架构，为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。

大的安全项目（肥肉…）主要集中在以政府/国企需求的政务网/税务网/社保网/电力网… 以运营商（移动/电信/联通）需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络，承载着国民最核心的基础设施和敏感数据，一旦泄露或者遭到非法入侵，影响范围就不仅仅是一个企业/公司/组织的事情，例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。

当然，除了以上这些，还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT服务提供商等具备国家认定的计算机系统集成资质、安全等保等行业资质的技术单位来提供。

[技能需求]

网络协议：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…

主流网络与安全设备部署：思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD…

网络安全架构与设计：企业网/电信网/政务网/教育网/数据中心网设计与部署…

信息安全等保标准、金土/金税工程… ……

[补充说明]

不要被电影和新闻等节奏带偏，战斗在这个领域的安全工程师非常非常多，不是天天攻击别人写攻击代码写病毒的才叫做安全工程师；

这个安全领域研究的内容除了defense（防御）和security（安全），相关的Hacking（攻击）技术包括协议安全（arp中间人攻击、dhcp泛洪欺骗、STP欺骗、DNS劫持攻击、HTTP/VPN弱版本或中间人攻击…）、接入安全（MAC泛洪与欺骗、802.1x、WiFi暴力破解…）、硬件安全（利用NSA泄露工具包攻击知名防火墙、设备远程代码执行漏洞getshell、网络设备弱口令破解.. ）、配置安全（不安全的协议被开启、不需要端口服务被开启…）…

学习这个安全方向不需要太多计算机编程功底（不是走研发路线而是走安全服务工程师路线），更多需要掌握常见安全网络架构、对网络协议和故障能抓包分析，对网络和安全设备能熟悉配置；

2  Web安全

Web安全领域从狭义的角度来看，就是一门研究[网站安全]的技术，相比[网络安全]领域，普通用户能够更加直观感知。例如，网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据（例如新浪微博或淘宝网用户账号泄露，这个时候就会引发恐慌且相继修改密码等）。当然，大的安全项目里面，Web安全仅仅是一个分支，是需要跟[网络安全]是相辅相成的，只不过Web安全关注上层应用和数据，网络安全关注底层网络安全。

随着Web技术的高速发展，从原来的[Web不就是几个静态网页吗？]到了现在的[Web就是互联网]，越来越多的服务与应用直接基于Web应用来展开，而不再仅仅是一个企业网站或论坛。如今，社交、电商、游戏、网银、邮箱、OA…..等几乎所有能联网的应用，都可以直接基于Web技术来提供。

由于Web所承载的意义越来越大，围绕Web安全对应的攻击方法与防御技术也层出不穷，例如WAF（网页防火墙）、Web漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的Web安全产品也出现了。

[技能需求] Web安全的技能点同样多的数不过来，因为要搞Web方向的安全，意味初学者要对Web开发技术有所了解，例如能通过前后端技术做一个Web网站出来，好比要搞[网络安全]，首先要懂如何搭建一个网络出来。那么，Web技术就涉及到以下内容：

通信协议：TCP、HTTP、HTTPs

操作系统：Linux、Windows

服务架设：Apache、Nginx、LAMP、LNMP、MVC架构

数据库：MySQL、SQL Server、Oracle

编程语言：前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）

3 终端安全（移动安全/桌面安全）

移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全，例如iOS和Android安全，我们经常提到的“越狱”其实就是移动安全的范畴。而近期爆发的危机全球的Windows电脑蠕虫病毒 - “WannerCry勒索病毒”，或者更加久远的“熊猫烧香”，便是桌面安全的范畴。

桌面安全和移动安全研究的技术面都是终端安全领域，说的简单一些，一个研究电脑，一个研究手机。随着我们工作和生活，从PC端迁移到了移动端，终端安全也从桌面安全迁移到移动安全。最熟悉不过的终端安全产品，便是360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲McAfee、诺顿等全家桶……

从商业的角度看，终端安全（移动安全加桌面安全）是一门to C的业务，更多面向最终个人和用户；而网络安全、Web安全、云安全更多是一门to B的业务，面向政企单位。举例：360这家公司就是典型的从to C安全业务延伸到to B安全业务的公司，例如360企业安全便是面向政企单位提供安全产品和服务，而我们熟悉的360安全卫士和杀毒则主要面向个人用户。

4 云安全

[云安全] 是基于云计算技术来开展的另外一个安全领域，云安全研究的话题包括：软件定义安全、超融合安全、虚拟化安全、机器学习+大数据+安全….. 目前，基于云计算所展开的安全产品已经非常多了，涵盖原有网络安全、Web安全、移动安全等方向，包括云防火墙、云抗DDOS、云漏扫、云桌面等，国内的腾讯云、阿里云已经有相对成熟的商用解决方案出现。

云安全在产品形态和商用交付上面，实现安全从硬件到软件再到云的变革，大大减低了传统中小型企业使用安全产品的门槛，以前一个安全项目动辄百万级别，而基于云安全，实现了真正的按需弹性购买，大大减低采购成本。另外，云时代的安全也给原有行业的规范和实施带来更多挑战和变革，例如，托管在云端的商用服务，云服务商和客户各自承担的安全建设责任和边界如何区分？云端安全项目如何做信息安全等保测评？

网络安全职位分类、招聘需求

① 安全岗位

以安全公司招聘的情况来分，安全岗位可以以研发系、工程系、销售系来区分，不同公司对于安全岗位叫法有所区分，这里以行业常见的叫法归类如下：

研发系：安全研发、安全攻防研究、逆向分析

工程系：安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、渗透测试工程师、Web安全工程师、应用安全审计、移动安全工程师

销售系：安全销售工程师、安全售前工程师、技术解决方案工程师

网络安全专业主要学习什么？好就业吗？感觉平时不太用的到

网络空间安全专业简称“网络安全专业”，主要以信息构建的各种空间领域为主要研究对象，包括网络空间的组成、形态、安全、管理等。该专业致力于培养“互联网+”时代能够支撑和引领国家网络空间安全领域的具有较强的工程实践能力，系统掌握网络空间安全的基本理论和关键技术，能够在网络空间安全产业以及其他国民经济部门，从事各类网络空间相关的软硬件开发、系统设计与分析、网络空间安全规划管理等工作，具有强烈的社会责任感和使命感、宽广的国际视野、勇于探索的创新精神和实践能力的拔尖创新人才和行业高级工程人才。网络安全专业是2015年新设立的专业，作为新兴专业，网络安全专业网络安全专业就业前景怎么样？有哪些就业去向？一、就业工作岗位众多网络安全专业毕业生就业的岗位较多，可以在计算机科学与技术、信息通信、电子商务、互联网金融、电子政务等领域从事相关工作。也可以在在政府机关事业单位，银行、保险、证券等金融机构，电信、传媒等行业等从事信息安全产品的研发、信息系统安全分析与设计、信息安全技术咨询服务、信息安全教育以及信息安全管理等工作。具体的工作职位除了信息安全工程师、信息安全咨询师和系统安全管理员外，通过参加职业资格考试，获得相应资格证书之后，可以担任诸如通讯工程师、软件开发工程师、软件测试工程师、信息系统分析师等职务。二、就业领域前景广阔十四五发展规划建议明确提出建设网络强国，全面加强网络安全保障体系和能力建设，加强网络文明建设，发展积极健康的网络文化。这是国家从战略高度把网络建设上升到了一个顶尖层面。随着新一代信息技术的发展，网络将更加深入千家万户，融入到社会生活和经济发展的各个方面。在未来，无论是在物联网、人工智能等新兴领域还是在传统计算机科学技术领域，网络安全是始终不可缺少的重要组成部分，在整个网络安全产业中占有举足轻重的地位。正是由于网络安全人才缺口很大，所以网络空间安全专业才会于2015年设立，并且设立之后，在一大批“双一流”建设高校和其他重点院校建立了研究生专业研究方向。因此，网络安全专业的就业前景十分广阔，是一个不折不扣的朝阳行业，也是为数不多的职业寿命很长的计算机类工种。三、职业发展空间较大从网络安全专业的主干课程来看，包括程序设计与问题求解、数据结构与算法、计算机网络、信息安全导论、密码学、网络安全技术、计算机病毒与防范、操作系统课程设计、信息安全课程设计等内容。可见该网络安全专业的技术性很强，具有鲜明的专业特点，是一门能够学到真正技术的工科类专业之一。因此，在职业发展上，网络安全专业除了就业岗位众多之外，由于专业技术性较强，在工作单位将处于技术核心骨干地位，职业发展空间很大。通过努力，可以从基层技术员上升到具有一定级别的技术管理人员。

网络安全专业的情况怎么样？

1、目前这个行业还偏系统集成和企业IT服务行业，这个行业主要商业销售靠关系，在公司老板和销售眼里，你一个做技术交付的无论多牛逼都和建筑工人没啥区别。千万不要以为自己是建筑师。因为根本没你真正做设计的份。

2、我前一段时间走访一个业内号称还是靠技术和产品打市场的优秀企业，对方在聊天中不经意透漏他们的红蓝对抗团队因为太过技术范，整个团队被整编了一次，你看这还是号称靠技术和产品打天下的先进头部企业，你要是在那些明确的项目集成型服务企业，那你基本连P都不是。

3、我估计很多人会说业内号称攻防技术服务最牛的某颜色公司，其实那家公司也大批招安全解决方案架构师，明白了吧，安全解决方案架构师还是解决方案架构师，说白了就是做IT集成解决方案业务。解决方案架构师又称售前，准确的讲这个角色根本不是做技术架构的，而是做销售方案的。这个职业角色无论从过程还是结果背后的主要因素都不是专业安全技术，而是攒PPT吹牛放炮这一类的业务技能。(吹牛放炮这词是售前自己描述自己工作的用词，不是我提出的)，有志于从事安全技术方向的同学，千万不要走这条路，这是偏销售的套路，只能让你陷进IT集成这个烂坑行业。因为在这个行业，所谓的解决方案架构和技术研发没啥关系，售前攒PPT打完单就完了，根本不管后面研发怎么交付的，售前的PPT架构和研发的具体研发技术架构完全没关系，研发到现场再根据交付能力重新攒一个易于交付的架构把甲方敷衍过去。

4、什么时候会吃香？当甲方安全技术服务要求高了以后，你的技术水平会在市场上扮演重要位置的时候，可能会吃香，但是我觉得那估计得等，因为短期来看安全行业属于传统企业IT服务软件集成产业，这是一个传统行业，更说明白一点：一个本身发展就处于二线的行业，我觉得第二条里面那家公司比大多数传统公司先进可能5年左右，他们还那个样子，你想靠网络安全技术出头估计得等10年之后了。

5、接触到的即便如互联网大厂的云安全BU对外输出的主力服务也是面向等保合规、护网漏扫这种说实话真的很无聊的需求。

6、这个行业目前的大型安全项目到底是个什么思路模式？销售和采购借用流行的安全技术噱头概念打造一些所谓的“高精尖”项目，为什么还要"高精尖", 为了向上面申请大笔的资金预算，投下来的资金预算当然不可能真的去做高精尖，因为那种前沿的东西对这个行业的绝大多数厂商来讲：根本做不出来。于是乎，就是找上一堆小厂商，一起攒出来一个凑活的东西最后应付交付，然后大家分钱。当然技术是分不到什么的，因为整个过程其实和技术没啥大的关系，就像房地产项目分钱和建筑工人没啥大关系一样。这种项目都是一般偏体制内之类机构的项目，分的是什么钱大家就知道了吧。

7、长期看，随着国家和行业的发展，也许15-20年后这个行业会越来越正规，所以刚毕业的小孩如果不介意，也可以进入行业苦逼奋斗一把。

8、上面都太现实太负能量了，下面来点正能量的，总得给新人们留点念想，我估计有不少人关注这个只是为了有份长期吃饭的职业而已，我下面谈谈我个人觉得比较靠谱的方向，因为有不少这个行业的从业者都已经给出网络安全服务的一些岗位工种，我根据CISSP后的三个高级认证方向：安全攻防、安全架构、安全管理三个方向看，之前很多从业者给出的工种偏安全攻防的传统安全服务，不过我个人觉得未来几年发展的重点方向是安全架构，系统安全架构加固和安全系统架构都是信息安全在被国家重视后可能逐渐会变得重要的高端岗位，这种岗位需要从业者对系统研发架构和安全攻防两个领域都有一定深度的浸淫，并且对威胁建模、防御建模、安全架构、安全评估等领域都有深度的理解和认知。比如现在比较流行的云安全、IoT安全工作方向，这些领域逐渐都对系统安全工作提出新的挑战。为什么说这些，如果有人像第7条那样想进入行业奋斗一把，总得给人家一个方向和念想。有人可能会问:这些新方向是不是证明行业已经进入正轨了，新方向和那些噱头概念一样，都有点偏市场，有点新东西，但真正落的时候，安全本身并不扎实。市场基本模式不变，有再多的新玩意也没多大意义。组织安全管理这个东西最后说一下，这种职位目前也已经出现不少，不过无论从IT行业的发展状况、还是安全行业的发展状况，甚至还有整个社会的浮躁的工程职业文化来讲，真正有组织安全管理CSO这个层面需求的企业(不仅仅设岗位那么简单)和称职的就业者都非常稀少。所以入行的同学如果把攻防、架构都做好了，也许N多年后也能到一家信息安全敏感且不差钱的甲方机构当个货真价实的CSO首席安全官(Chief Security Officer)。

9、在这个行业发展要选择什么样的公司？简单一点讲：有钱有人有需求；有钱：安全属于支持业务，没钱的公司等于没主力业务，要安全也没啥用。有人：主要是指要有专业的领导和团队技术文化氛围，因为没有这个前提，安全基本就是在过家家，火车跑得快全凭城车头带，你在专业工作上去驱动领导是个很麻烦的事情，况且你陪一个不专业的安全主管玩安全能有啥前途？有需求：公司主营业务必须对信息安全有一定紧迫程度的业务需求，不然肯定不会有钱，相关岗位角色人设也是摆设。国内安全投入最认真的地方可能是几大币所，会有真金白银的损失。