關於信息安全的學習

0x00.前言

    應鐘老師的邀請，給304實驗室的同窗們作了一個關於如何學習信息安全的講座。

　　　正好總結一下關於信息安全方面的學習方法，之後也能夠給學弟學妹們參考一下。

0x01.正文

　　（1）信息安全簡介：

　　　　信息安全呢，是目前一個發展勢頭正逐年呈上升趨勢的這麼一個專業方向，國家近年來也是愈來愈重視這個方面，可是每一年高校向社會輸出的信息安全人才遠遠小於社會的需求量。這個緣由是多方面的，一方面信息安全很差系統地來學習，高校也很差系統地來培養學生，本科開辦這個學科的高校不多，因此不少學校都是一些愛好信息安全的學生組織在一塊兒相互學習，咱們學校也就是這樣；另外一方面這個方向的學習也是頗有難度的，能堅持下來走到底的人很少。不少從事這方面的人都是野路子出來的。

　　　　信息安全實際上是一個很大的概念，初步地分的話，能夠分爲硬件安全和軟件安全：

　　　　　　硬件安全主要涉及硬件的破解、像門禁卡系統、POS機、僞基站等等

　　　　　　目前比較主流的仍是軟件安全，軟件安全又分不少種，目前比較明確的分類呢就是滲透和逆向。

　　　　　　　　滲透又分web、代碼審計、內網滲透等

　　　　　　　　逆向有二進制安全、病毒分析、遊戲反外掛等

　　　　滲透，通俗地講就是模擬黑客的攻擊，來測試一個系統的安全性，滲透方向通常門檻比較低，相對容易入門，通常以web方向爲主，須要瞭解網頁的運做原理，會一門網頁設計的語言（主流的PHP和JAVA）；

　　　　逆向呢，就是跟二進制有關，相對底層，好比軟件逆向、軟件破解等，逆向入門門檻就稍微要高些，須要彙編和C語言基礎比較好。

　　　　方向不少，涉及的知識面很廣，因此學習信息安全必定要選好一個方向去下功夫。若是不清楚本身究竟適合什麼方向，能夠都稍微嘗試一下再來作選擇，必定不要想着什麼都想學，到最後什麼都沒學好。學技術必定要讓本身有一個最擅長的方面。

　　（2）學習方法：

　　　　選好方向後，有了目標就要爲之奮鬥。那麼如何學好信息安全呢？我結合我本身的經歷總結了一些學習方法，我把這些學習方法歸爲兩大類，一類是外在的學習技術方面的、一類是自身的學習習慣方面的。

　　　　學習技術方面：

　　　　①首先是多看，多看別人的技術文章、博客等等，從中學習基礎的技術、別人的解決方法和思想。網上有很是很是多的教程和資源，本身也能夠去開一個博客，記錄下本身遇到的問題以及本身最後是怎麼解決的，記錄一下本身的學習歷程。
　　　　②而後還要多關注最新的安全事件，學習不能閉門造車，多關注那些安全論壇網站，好比FreeBuf、i春秋、吾愛破解等等，瞭解最新的安全熱點、最新的漏洞，出了什麼新漏洞的話，能夠都去復現一下。這些網站不只有最新的安全方面的新聞，也有不少技術大牛的寫的高質量的文章，都是很值得去多看看的。
　　　　③光看還不行，關鍵是要記住，信息安全涉及的知識面比較雜比較廣，因此這就須要記筆記，好記性不如爛筆頭，要養成記筆記的好習慣。筆記不必定非要找個本子手寫，網上也有不少記筆記的軟件，像有道雲筆記、印象筆記等等都很不錯的。記了筆記必定也要常常看、回顧一下學到的知識，光記下來而不去看的話，那記筆記自己也就失去意義了。
　　　　④學習過程當中最重要的一點，就是多實踐，對於信息安全的學習，實踐是很是很是重要的，實踐少了一切都是紙上談兵。像好比搭建環境、復現漏洞，必定要親手試一試，把整個流程都本身走一遍，流程中遇到問題也都是一次次寶貴的經驗，走一遍流程以後收穫是很是大的。那除了像搭建環境、復現漏洞這樣實驗性的實踐以外呢，最重要還有要實戰，去找一個真實的網站，去試着挖掘一些漏洞，這就是考驗綜合能力的時候，將學到知識運用於實戰。
　　　　⑤提升代碼能力，代碼能力是很基礎也很重要的能力，要能很輕鬆地寫出本身想實現的功能來幫助本身解決問題。
　　　　⑥信息安全這方面也是有比賽的。通常比較廣泛的是CTF比賽，CTF是Captrue the Flag的縮寫，翻譯過來就是奪旗，這種比賽也就至關於作題同樣，flag就是答案，找到正確flag提交就好了。作CTF題也是一種學習方式，這種學習方式也是挺不錯的，既有趣又能學到知識。平時能夠組隊打一些CTF比賽，網上也有很多CTF練習的網站，好比實驗吧、網絡安全實驗室、南郵網絡攻防訓練平臺等等。
　　　　⑦看書也是一個不錯的學習途徑，這裏給你們推薦一些比較好的入門書籍：
　　　　　　滲透：《白帽子講web安全》、《web安全攻防：滲透測試實戰指南》、《python核心編程》、《Linux命令行與shell腳本編程大全》
　　　　　　逆向：《逆向工程核心原理》、《彙編語言》（王爽著）、《深刻理解計算機系統》

　　　　學習習慣方面：

　　　　①首先必定要有充分的興趣，興趣是最好的老師，興趣帶動學習。
　　　　②學會獨立解決問題，可否獨立解決問題是我的學習能力的體現。由於不少狀況下，求人不如求本身，本身有能力解決問題纔是真本事。這也是成長路上必定要學會的。
　　　　③不懂多問，可是不能一有什麼不懂就去處處問，應該先問本身，再問百度，基本上大多數問題百度都能解決，最後若是仍是沒消除疑惑就能夠去請教一下有經驗之人。
　　　　④堅持，這也是一個典型的話題了，關於這方面的話，其實我以爲說太多道理就太空洞了。總之，學海無涯苦做舟，要有「會當凌絕頂，一覽衆山小」的志向吧，遇到困難必定要堅持下來。

　　（3）注意事項：

　　　　最後呢，再說一些注意事項吧，就是說學習信息安全的過程當中一些比較敏感的事。

　　　　首先第一個就是態度必定要端正，學習信息安全是爲了安全而不是爲了搞破壞，違法的事沾不得，黑產、灰產碰不得。

　　　　而後就是在實戰的過程當中，注意一些禁忌是不能碰的，好比涉及到我的信息、數據可的信息等等，若是遇到這些漏洞呢點到爲止便可。由於2017年6月1日正式實施《網絡安全法》，規範了不少關於網絡安全的一些行爲的法律責任，因此須要注意一下。

0x03.結語

　　書山有路勤爲徑，學海無涯苦做舟

　　勉之