我认为“信息安全如何入门”这个问题需要分成三部分来回答:信息安全包括哪些内容?什么是引子?你打算怎么学习?
注意:本文中的信息安全并没有具体区分网络安全、数据安全等。
1.信息安全包括什么?
个人觉得这个问题我不能完全回答。我只能尽力回答了。
首先,我们来看看知乎。“信息安全如何入门”的相关问题有哪些?
黑客是如何学习的?网络安全怎么学?谁能给我一个安全的网上学习路线?你挣多少钱?我想转行。因为篇幅的原因,大家可以自己搜索一下,然后再来看看QQ里的常见问题:
师傅,我想学挖洞。你能带我去吗?其实面对这种问题的时候,我真的很想说“我带你”,但事实是我太胖了,飞不起来,怎么带你呢?表哥,我是想改教务系统的成绩还是想黑xxx网站?你知道这是违法的吗?多读点网络安全法也没关系好吗?老同学,能帮我偷个QQ吗?你不能偷它!你不是搞信息安全的吗?我是!那你就偷不到了?我来看看吧。姐不是这么玩的。我们要不要换10年前的电脑?
回到正题,信息安全是一门涉及面很广的学科。从本质上讲,当代的信息安全问题大部分都是源于信息时代,并且主要体现在计算机领域。我们先来看几个案例:
《出埃及记》1:想做黑客,真的不需要了解计算机领域。比如《速度与激情5》中,格尔加多获得了黑老大的指纹。如果你很漂亮,你也可以。再举几个例子:2014年的12306用户数据泄露事件,2014年的苹果艳照门事件,2017年的JD.COM数据泄露事件等等。再来看计算机领域的安全。这一部分以当前安全就业的方向来分析。首先,我在这里提供一张目前国内保安岗位的地图:
外部图像传输失败,源站可能有防盗链机制。建议保存图片直接上传]
图表包含了计算机领域信息安全的一般内容。如果你想走这条路,可以了解一下这些岗位的具体职责。
当然,现在很多公司在招聘的时候都是照搬职位描述,甚至不知道自己需要什么样的安全工程师。如果你遇到这样的公司,那就不要去!
推荐一些靠谱的JD查询网站:
阿里招聘官网美团招聘官网腾讯招聘官网在了解了这些岗位的需求后,你也算是意识到了信息安全的一角。
2.什么是引子?
成熟度模型:精通->熟练->精通->分享。任何工作的基本要求是精通。前几天听到一个不像笑话的段子:“大学毕业了还能在简历上写的很熟练,以后会发现只有会写才会掌握。”这个笑话给了我们另外一个东西:“不断学习”。
那么对于信息安全来说,怎样才算进门呢?这里有几个例子:
对于安全测试:你要熟练使用不同类型的安全测试工具,如BurpSuite、Drozer、SQLMap、Astra等。你需要了解OWASP Top 10的漏洞,业务逻辑漏洞等。你应该有一套完整的渗透测试方法:包括你的测试点包括什么,以及在处理不同系统时关注什么。关于测试,如何使你熟练的技能自动化,已经想得够多了。......一句话总结入门:对于你学习的这个方向或者专业,有自己的知识和思考就是入门。
3.你想怎么学习?
学习信息安全最好的工具是搜索引擎。
3.1阅读:高楼拔地而起。
第一类书:计算机操作系统、计算机网络、编程语言。推荐:《计算机与网络安全系列》第二册:选择你的方向,根据它去找书。第三种书:当你有了一个专业方向,需要深化的时候,不仅要看书,还要从一些技术博客、官网文档甚至一些论文中学习。关于看书我有几个建议:第一,查阅整本书的章节目录,通过章节目录获取大概信息,找到自己感兴趣或者急需深入阅读的章节。
3.2练习:纸上谈兵容易学。
当你练够了,你会发现你的技术进步很快。请在实践中牢记网络安全法。
如何练习:
建立各种漏洞学习项目;为安全测试和代码审计建立各种CMS环境;建立一个内部网环境来模拟渗透过程;SRC和公测平台:可以探索一下SRC和公测平台,可能需要一定的基础,但是多看看网上的文章会有一些想法。在这里我放了一些关于小白如何学习利用漏洞的文章:https://www.secpulse.com/archives/55634.htmlSRC漏洞挖掘:http://www.mottoin.com/detail/864.html从哪里开始SRC之旅:https://security.ele.me/? Blog-detail.html ID = 1 SRC漏洞挖掘技巧:https://xz.aliyun.com/t/6155综合【收集的部分SRC挖掘技巧】:https://www.ctolib.com/Wh0ale-SRC-experience.html进企业实习:只要你肯学,相信还是有很多场景供你实践。3.3总结:提炼过程和结果
无论是读书还是练习,都需要总结,读书的总结会帮助你提炼书中的知识点;实践的总结有助于你以后不断复习,少踩坑。
总结的两种最佳方式是:
画思维导图:思维导图更适合整理自己的思路。写一个总结文档:一个比较完整的记录,可以是思维导图的延伸,可以是你渗透或者推动项目的全过程的记录,也可以是你自己的一些感受等等。文档也可以用于后续的共享。3.4分享:认知自我真实水平
在你写分享之前,一定要做好心理准备:因为当关注度达到一定程度时,人们对你的分享可能会褒贬不一,我就遇到过。一定要记住:写文章是给别人喷的。没人喷,说明文笔不够好,被喷了又怎样?从别人喷你的地方提取重点,验证自己是不是没做好,从而提升自己。如果是纯喷,狗咬你,你要咬狗吗?
分享你的想法,无论是博客、微信官方账号还是其他形式。这不仅是对你的技术提升,也是对你自己的全面提升。同时可以帮助你认清自己的掌握程度。
示例:渗透技术学习
首先是工具使用的学习,穿透技术的知识点,大多来源于博文和书籍。其次是环境建设,请记住,未经授权对系统进行扫描、测试和攻击是违法的。想学的话,自己搭建一个虚拟机环境。不要怕麻烦。在构建整个环境的过程中,你也将能够提高你的技能。然后就是进行渗透测试,忘记你构建过程中的那些东西,模拟黑客来攻击。进攻的时候不要限制自己的思维。最后写一篇文章:第一,记录你的环境建设过程,第二,记录你的渗透过程。你用了什么技术进行渗透,渗透是否成功,成功了用了什么方法,不成功为什么需要反思?例如:甲方的安全保护
明白目标:明白自己到底要保护什么?是数据、业务系统、主机还是别的。进行研究:了解技术、工具、系统、策略等。你需要使用。模拟测试:模拟你所学的技术。如果公司有测试环境给你,你可以在边缘业务的本地部分进行测试。如果没有,您仍然可以设置自己的环境。报告:本次测试使用的手段,取得的结果,是否可以优化,存在的风险等需要考虑的问题。生产推广:如果你的检测报告在各方评估下被允许在生产中推广,那么这个时候你就可以开始推广了。记住推广策略:“农村包围城市,星星之火,可以燎原”。最后,最近10年信息安全越来越受到重视,很多高校也开展了相关专业和课程。不管你是专业的还是非专业的毕业生。记住一点:学而不思则罔,思而不学则殆。
不要害怕困难。学习是一个快乐的过程。如果你不快乐,你就不能把学习变成快乐。放弃吧。安全不适合你。不要怕麻烦,不断学习。如果你克服了一个困难,总会有另一个困难等着你。这篇文章转载自https://segmentfault.com/a/119000038378530 CSDN
