身份从业十余年的老鸟，这个问题很容易回答！

信息安全和网络安全从理论有差异的，但是实际工作岗位和工作应用中并没啥差异。所以题主不需要太过于纠结。题主真正需要关注的应该在安全岗位上需要具备哪一些技能。

那接下来我就给题主从：技术划分，岗位划分，学习误区及如何学？。几个大点说一下，希望对你有帮助。

一、从技术标准划分，给你科普一下哦网络安全的四个级别：

脚本小子（难度系数：?）

这个级别是很容易达到的安全工程师级别，其实最初的时候还有一些贬义的成分在，它是指能够使用一些黑客工具和程序，但是对于其编写原理完全不了解的人。

网络安全工程师（难度系数：??）

能凭借技术在各级行政、企事业单位、网络公司、信息中心、互联网接入单位中从事信息安全服务、运维、管理工作，薪资相对不错。这个水平在网络安全领域是一个比较普遍的。

实验室研究员（难度系数：???）

精通至少一门领域，审计经验出色，脚本、POC、二进制相关都了解。个人认为达到这个程度，已经算是小有成就了吧。

安全大咖级（难度系数：?????）

精通某一领域知识点并有自己的了解建树。一个人能支撑APT某一职能的所有需求树。这个就是题主询问的在安全领域颇有成就的提现啦。

二、从职位上划分

信息安全分析师（公司中级职员）

负责数据保护（数据防泄漏与数据分类）和风险保护，包括安全信息与事件管理（SIEM）、用户行为分析（UEBA）、入侵检测与入侵防御（IDS/IPS）以及渗透测试等内容。还需要完成安全控制措施的管理、安全访问监控、内外部安全审计、安全违规事件分析以及安全工具与方法的推荐、安全意识培训及与第三方供应商关于安全方面的合作。

安全工程师（公司中级职员）

建立和维持公司的IT安全解决方案。需要配置防火墙、测试新的安全解决方案、调查入侵事件并完成其它任务，同时向安全经理汇报。必须掌握漏洞挖掘、渗透测试、虚拟化安全、应用和加密、网络和相关协议方面的技术。

安全架构师（公司高级职员）

建立和维护计算机网络安全基础设施，能够针对企业的技术和信息需求制定一份全面的规划，并在此基础上开发和测试安全基础设施，保护企业的系统。

三、学习误区

下面说一说我对安全入门误区的看法，因为安全覆盖知识面广，所以新手入门通常会遇到两个误区问题：

1、以编程基础为方向的自学误区。

行为：从编程开始掌握，前端后端、通信协议、什么都学。

缺点：花费时间太长、实际向安全过渡后可用到的关键知识并不多。

很多安全函数知识甚至名词都不了解

2、以黑客技能、兴趣为方向的自学误区：

行为：疯狂搜索安全教程、加入各种小圈子，逢资源就下，逢视频就看，只要是黑客相关的。

缺点： 就算在考虑资源质量后的情况下，能学习到的知识点也非常分散，重复性极强。

代码看不懂、讲解听不明白，一知半解的情况时而发生。

在花费大量时间明白后，才发现这个视频讲的内容其实和自己看的其他知识点是一样的。

题主看起来也是陷入了迷茫，一看推荐一大堆： 什么tcp/ip原理，各种网络协议，/linux操作系统，Linux C ，数据库等。

实际上，这很难学成也很容易成为一个开发、运维人员，和安全关联并不大。

那么应该怎么学习呢？

1、学习Web安全相关概念

熟悉基本概念，例如：SQL注入、上传、XSS、CSRF等。

了解web功能系统和系统原理。

了解Web前后端基础与服务器通信原理。其中前后端包括H5、JS、PHP、SQL，服务器包含、Nginx、等

2. 熟悉渗透相关工具

熟悉AWVS、、Burp、、、nmap、等工具的使用，不仅是需要学习工具的用途还要知道使用的场景。

相关工具的软件安装建议选择无后门版的，然后可以寻找具体的教程学习并进行使用

3、渗透实战操作

首先在网上找渗透视频观看并思考其中的思路和原理，查找关键字包括：渗透、SQL注入视频、文件上传入侵、数据库备份、漏洞利用等。

其次，寻找授权站点或者尝试自己搭建测试环境进行测试。

然后，掌握SQL注入的种类、原理以及手动注入技巧。学习文件上传的原理，例如如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、、）等。学习XSS形成的原理和种类。研究/Linux提权的方法和具体使用。

4、关注安全圈动态

关注安全圈的最新漏洞、安全事件与技术分享文章。通过学习他人的漏洞挖掘思路和技巧，拓宽自己的挖掘思路，提高自身技术，积累经验。

这里也跟大家分享一下训练营中的学习路线，论从零到大牛的学习之路。

男生有优势，但是因为女生又有些优势，因为女生少啊，如果题主真的确定转型安全的话安全工程师级别，行动起来要比思考性别优势容易的多。