安全工程师培训方案

网络安全工程师需要学服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范、计算机语言等内容，还需要懂得网络安全产品的配置和使用。网络安全工程师的工作职责：主持项目网络安全产品的需求分析、项目可行性分析、技术评测、方案规划和搭建，提供相关技术支持；设计满足顾客和网络安全性要求的网络安全解决方案；通过数据分析和其他相关工具，排查解决项目实施过程中的复杂网络故障问题；根据公司流程，规范化的进行项目实施并编写输出实施报告；处理和解决客户的疑问与困难，做好客户的支持与服务工作；其他专项或上级领导安排或支撑工作。一般情况下，企业招聘网络安全工程师，要求应聘者具备网络安全通信协议、系统漏洞、恶意代码检测与分析、安全攻防、信息安全技术及产品等方面的理论基础和实践经验，同时具有较强的沟通协作能力。

作为一位即将成为网络工程师的我们是不是真的清楚网络工程师到底是什么呢？那么我就来对大家说一下网络工程师应具备的基本素质：1：通晓计算机理论以及网络基础理论，熟悉网络技术系统基础。 2：精通网络设备调试技术，服务器调试技术，基础应用平台调试技术或其中之一。掌握一种售后调试技术，是网络工程师必备的技能。 3：精通网络平台设计，服务器平台设计，基础应用平台设计或其中之一。能够设计相应的网络系统和应用系统，是售前技能掌握情况的重要指标。 4：良好的口头语言表达能力和文字表达能力。在系统集成实施的各个阶段，诸如用户交流，方案与标书撰写，述标与答疑，用户培训和竣工文档编写等工作中，写作能力和口才是重要的基本素质。 5：较高的计算机专业英语水平。越是高端的产品，英语使用的几率越高，有时还需要英语听说能力，而在某些国际招标项目中，英文写作能力将受到考验。 6：良好的人际交流能力和与他人协同工作能力，团体合作意识。网络工程师应是一个善于与人沟通，善于与人建立良好关系的人。 7：具有在压力环境下现场解决问题的能力。尤其是在用户现场安装调试或售后故障维修时遇到技术难题的情况下，现场可用资源很少，打电话寻求支援又不方便，一旁更有用户审视的目光，这种环境是对工程师的智商，情商，技术水平和调试经验的综合考验。 8：广博的知识面。系统集成涵盖的范围很广，网络工程师应该一专多能，一精多通。 以 上八点是我认为作为一个合格的网络工程师必备的工作素质，也就是基本素材。希望大一大二计算机系的师弟师妹们做的心中有数！但如果具备了以上的所有条件， 并且也能够很好的体现在工作中，我认为还不能算是一个优秀的网络工程师。当然，离顶尖的高级网络工程师更是有一段距离。怎 样算是真正的网络工程师呢？ 网络时代已经来临。我们都知道，社会生活高度电子化，使网络已经成为人们生活不可或缺的一部分。电子商务、电子政务、远程教育已充斥着人们的生活、工作、 学习中的每一个环节。而这一切，都需要大量的网络人才来支撑，可以说，网络人才是当今的宠儿。网络工程师已成为现在最热门的职业之一，那么，具备什么样的 素质才能称之为真正的工程师呢？从知识结构的角度看，网络工程师必须有比较全面的理论架构。网络工程与网络维护者是两个完全不同的概念，后者只要求对某个操作系统，或某个基于网络的软件 熟悉，并能够处理这方面的问题就可以了。而网络工程师则要求对网络整体有清晰的把握，能够处理随时可能发生的问题。网络是复杂的，可能出现的问题涉及到方 方面面，没有较完整的知识结构是不可能胜任这方面的工作的。举个简单的例子，网络由于调整或升级突然出现局域断网的情况，这其中的原因可能是路由模块配置 问题，也可能是光纤收发故障，或者又是某个代理服务器停止服务……网络工程师只有掌握这些软硬件知识，才可能在很短的时间内找出问题所在，顺利解决问题。 网络工程师分很多种，我就以一般的局域网设计与管理员来举例，一个合格的网络工程师，应具备如下知识：首先，要有扎实的硬件基础，包括精通服务器及路由器、交换机设备等硬件的结构、性能指标等。进行系统设计时，硬件的性能指标都是网络工程师要充分考虑的因素。进行维护就更不用讲了。其次，要掌握最常用的网络操作系统，如Win2003和Linux。现在架构一个局域网可能会用到多种操作系统，多掌握一些毕竟可以更好地处理问题。其三，要掌握路由交换设备的配置方法。可以说，Internet就是由路由器和交换机搭建而成的，合格的网络工程师必须能够单独完成局域网的架构工作，如果没有相关的知识是不敢想象的。其四，还要掌握综合布线和网络集成的相关知识。在做项目计划时，要充分考虑到设备的选型和拓朴的设计，必须对综合布线有所了解，才可能做到网络畅通，硬件 匹配，不产生网络瓶颈。对这一点，有的人可能不以为然，举个实际的例子吧。前段时间，本市某个公司要组建一个局域网，中心骨干设备选择了Cisco的 6509千兆交换机，而接入层则为了省钱，选择使用百兆的单模收发器。结果，设备买回后却怎么也调不通。原因很简单，就是因为单模收发器的光纤无法和 Cisco的千兆模块相匹配。最后只能全部改用了Cisco3500系列做为接入层交换设备，实际比计划多投入了近20万，造成了巨大浪费。当然，以上的 知识结构只是针对网络管理和维护的工程师而言，如果是专业的数据库管理员，精通SQL语句，熟悉某种数据库则是必须的了。再者，网络工程师需要在实践中培 养一种创新能力。网络需求是千变万化的，必须以不变应万变。同样一个网络设计需求，对于不同层次的网络工程师，其制作的解决方案也不尽相同。可以说，水平 越高的越能通过特定的设计最贴切地体现用户的需求。而相反，有的网络工程师将网络设计当作了一种固定模式，其中有的人就已习惯了照搬方案，对于自己的发展 是相当不利的，对于用户而言，也是一种浪费。所以，在工作和学习中只有多思考，多实践才可能走上更高的台阶。希望能解决您的问题。

1、编程语言： Python，PHP，web前端三件套（HTML/CSS/JavaScript 基础），Mysql。作为一种高级编程语言，Python越来越受到网络专家的欢迎。它之所以吸引人，主要是因为它代码的可读性、语法清晰和简单，以及大量库的可用性。PHP是用于开发网站的服务器端编程语言。由于大多数网站都是使用PHP创建的，因此学习该语言可以让你了解如何抵御入侵者。SQL(结构化查询语言)主要用于管理存储在数据库中的数据。由于当前数据存储系统的爆炸式增长，SQL被广泛用于维护和检索数据。同样，黑客越来越多地编排语言来破坏或泄露存储的数据。例如，SQL注入攻击涉及利用SQL漏洞来窃取或修改数据库中保存的数据。因此，充分了解SQL语言对于网络安全至关重要。2、开发工具： Phpstrom、Pycharm、Navicat 等。PhpStorm 是 JetBrains 公司开发的一款商业的PHP集成开发工具，旨在提高用户效率，可深刻理解用户的编码，提供智能代码补全，快速导航以及即时错误检查。PyCharm是一种Python IDE（Integrated Development Environment，集成开发环境），带有一整套可以帮助用户在使用Python语言开发时提高其效率的工具，比如调试、语法高亮、项目管理、代码跳转、智能提示、自动完成、单元测试、版本控制。“Navicat”是一套可创建多个连接的数据库管理工具，用以方便管理 MySQL、Oracle、PostgreSQL、SQLite、SQL Server、MariaDB 和/或 MongoDB 等不同类型的数据库，并支持管理某些云数据库。3、安全工具： Kali-linux、Metasploit（漏洞监测工具）、Burp Suite（网络漏洞扫描器）、Awvs、Sqlmap、Nmap（端口扫描器）、Cobaltstrike、Nessus、Xary、 Wireshark（手动分析包工具）、John The Ripper（密码破解）、蚁剑、冰蝎、哥斯拉等。4、安全技能：熟悉 OWASP TOP10 相关漏洞原理、利用方法及防范措施。OWASP:开放式Web应用程序安全项目(Open Web Application Security Project)，OWASP是一家国际性组织机构，并且是一个开放的、非盈利组织，它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。5、熟悉 PTES 渗透测试流程并输出报告。第一阶段：前期交互第二阶段：信息收集分析第三阶段：威胁建模第四阶段：漏洞分析第五阶段：渗透攻击第六阶段：后渗透测试第七阶段：渗透测试报告6、熟悉内网渗透思路及免杀方法。常用的内网渗透方法：（1）端口转发因为目标处于内网，通常外网无法访问导致渗透存在一定难度，这时就需要一些端口转发工具和反弹代理等操作。Windows工具：端口转发工具；端口转发工具；ReDuh端口转发；Linux工具：、Puttp+ssh Socks代理；Msf。（2）HASH值抓取工具：Pwdump7；Gsecdump；WCE；Getpass（基于mimikatz）工具逆向获取铭文密码。（3）密码记录工具：WinlogonHack——劫取远程3389登录密码；NTPass——获取管理员口令；键盘记录专家；Linux下的openssh后门；Linux键盘记录sh2log。（4）漏洞扫描Nmap——可以对操作系统进行扫描，对网络系统安全进行评估Metasploit——强大的内网渗透工具HScan——扫描常见漏洞（5）第三方服务攻击1433——SQL server服务攻击3306——Mysql服务攻击其他第三方服务漏洞（6）ARP和DNS欺骗利用内网嗅探工具抓取网络信息继而发起攻击CAIN——网络嗅探工具7、熟悉 TCP/IP 模型及常见网络协议。（1）OSI的七层协议：从上到下：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。（2）TCP/IP四层协议：从上到下：应用层，传输层、网络层、数据链路层、网络接口层。（3）五层协议：从上到下：应用层、传输层、网络层、数据链路层、物理层。8、熟悉 windows、linux 系统基线检查与应急响应。9、了解代码审计流程及工具使用。（1）配置审计分析环境（2）熟悉业务流程（3）分析程序架构（4）工具自动化分析（5）人工审计结果（6）整理审计报告

工作内容

1、制定和执行安全管理制度和规范，监督和检查各部门的安全生产情况，发现和纠正安全隐患，提出改进措施和建议。

2、分析和评估企业或机构的安全风险，制定和实施风险防范和控制方案，提高安全防护能力和水平。

3、组织和开展安全教育和培训，提高员工的安全意识和技能，营造良好的安全文化氛围。

4、参与或组织安全技术研究和创新，引进和应用先进的安全理论和方法，提升安全管理水平和效果。

5、参与或组织事故调查和分析，确定事故原因和责任，提出整改措施和预防对策，防止事故的再次发生。

6、参与或组织应急救援演练和实施，制定和完善应急预案，指挥和协调应急救援工作，减少事故的损失和影响。

报考条件

一、初级注册安全工程师报考条件:

具有安全工程及相关专业中专学历，从事安全生产业务满4年;或具有其他专业中专学历，从事安全生产业务满5年。遵守中华人民共和国宪法、法律、法规，具有良好的业务素质和道德品行。

二、中级注册安全工程师报考条件:

具有安全工程及相关专业大学专科学历，从事安全生产业务满5年;或具有其他专业大学专科学历，从事安全生产业务满6年。

具有安全工程及相关专业大学本科学历，从事安全生产业务满3年;或具有其他专业大学本科学历，从事安全生产业务满4年。

具有安全工程及相关专业第二学士学位，从事安全生产业务满2年;或具有其他专业第二学一学位，从事安全生产业务满3年。

具有安全工程及相关专业硕士学位，从事安全生产业务满1年;或具有其他专业硕士学位，从事安全生产业务满2年。

报考条件

具有博士学位，从事安全生产业务满1年。取得初级注册安全工程师职\资格后，从事安全生产业务满3年。遵守中华人民共和国宪法、法律、法规，具有良好的业务素质和道德品行。

三、高级注册安全工程师报考条件:

取得中级注册安全工程师职业资格后，从事安全生产管理或技术咨询服务满5年，并在本领域取得突出成绩。遵守中华人民共和国宪法、法律、法规，具有良好的业务素质和道德品行。

薪资待遇

安全工程师是一种专业的职业，主要负责企业或机构的安全管理、风险评估、事故预防和应急处理等工作。安全工程师的薪资待遇受到多方面的影响，包括行业、地区、学历、资质、经验和绩效等因素。

一般来说，安全工程师的平均月薪在6000元至15000元之间，具体情况要根据不同的岗位和单位而定。安全工程师的薪资待遇也会随着市场需求和行业发展而变化，因此安全工程师应该不断提升自己的专业能力和竞争力，以适应不断变化的环境和挑战。

就业前景

安全生产是国家和社会的重要课题，各行各业都需要安全工程师来保障生产经营活动的安全性和合法性，市场需求量大。

安全工程师是一种国家认可的职业资格，通过考试取得注册安全工程师证书后，可以在相关领域享受一定的政策优惠和职业保障，如职称评定、税收减免、岗位补贴等。

安全工程师是一种技术性很强的专业，需要掌握多方面的知识和技能，如法律法规、安全标准、安全分析方法、安全管理体系等，具有较高的专业门槛和竞争力。

安全工程师是一种具有社会责任感和使命感的专业，能够为保护人民生命财产安全、维护社会稳定和谐、促进经济可持续发展做出贡献，具有较高的职业荣誉和价值。

综上所述，安全工程师是一种前景广阔、待遇优厚、发展空间大的专业，值得大家选择和努力。

当然，要成为一名合格的安全工程师，也需要不断地学习和实践，提高自己的专业水平和综合素质，才能在这个行业中脱颖而出。

网络安全工作现在也有细分很多岗位，比如系统安全工程师、网络安全工程师、Web安全工程师、安全架构师等等，具体的会根据公司业务需求来划分。 招聘时的岗位需求基本就描述清楚了所要做的工作，日常工作和JD差不多。 比如Web安全工程师，主要的工作有： 网站渗透测试，就是通过一些黑客的手段去找网站的漏洞; 代码安全审计，对网站代码进行审计，发现其中可能存在的漏洞; 漏洞修补方案制定，对发现的漏洞制定修补方案; web安全培训，主要针对开发人员、运维人员的安全培训，提升安全人员意识; 安全事件应急响应，当发生安全事件的时候，如何去处理，处理完后，写处理报告，发现其中存在的安全问题，再进行修补; 新漏洞攻防研究，研究一些新的安全漏洞，比如最近的struts2的漏洞研究，域名被黑的研究等，制定相应防护方案; 开源/第三方组件漏洞跟踪，针对公司使用的第三方，开源组件，进行跟踪，发现漏洞后第一时间修复; 安全产品的推动实施等，仅仅通过技术是不够的，有的时候，需要将技术转换为安全产品，来减少人的工作量; 我一直不觉得把信息安全工程师分为很多种有什么好，虽然大家都说术业有专攻，但从目前的安全从业者形式来看，搞web的`看不起搞系统的，搞系统的看不起搞web的，搞系统的看不起搞网络的，搞网络看不起搞系统的，web安全和系统安全以及网络安全本来就是一体的，对于甲方工作来说，我觉得知识全面一些没啥不好，不要将岗位职能定死，搞web的就不会搞系统?搞渗透测试的就不会搞web安全?这都不科学，个人技能的提升不能依靠公司给你定死的title! 上边有朋友回答说调试产品、安全加固、漏洞扫描是低级安全工程师的工作，这点我不敢苟同，搞渗透测试的在乙方我相信很多人都会遇到搞应急响应、加固工作，在甲方相反，运维基础打的好的情况下这些都可以做为安全基线和日常工作比如加固可以做成上线加固服务包，而不是频繁救火，当然这些是基础工作，对于level高的人来说或许不重要，但对甲方来说，能把这些做好完全可以独挡一面，什么!你不信?那就等出了事情，这些人就会浮出水面了，显示其工作重要性。 网络安全工程师这个职位我特定看了下51job，很多公司叫信息安全工程师、或者叫网络安全工程师，但职位职能都差不多，说到底企业对于信息安全的重点源于“丢钱了，丢面子了”，很少有公司会主动来做安全方面的事情，这也是目前的现况。 对于安全工程师的工作，相比程序员来说，工作会相对轻松些，因为你大概听一句话，安全工程师为什么那么闲?其实他们在扫描、在测试、写了程序在自动跑，所以安全工程师应该普遍比程序员空限度高，在往上一级来说，安全研究员更主动对漏洞的利用和漏洞挖掘，安全架构师关注的是企业整体的运维安全工作。安全里难度较高的工种就是安全开发和漏洞挖掘了，很多安全工程师普遍没啥开发能力。