談談信息安全入門這事

"信息安全如何入門"這個問題我以爲須要拆成3個部分來回答：信息安全包括什麼？什麼算入門？你要如何學習？

備註：本文中的信息安全沒有特地區分cyber security、data security等。

1.信息安全包括什麼

我我的以爲我是回答不徹底這個問題的，只能盡我所能來回答。

首先咱們來看看知乎上，關於"信息安全如何入門"的相關問題都有哪些？

1. 黑客如何學起？
2. 如何學習網絡安全？
3. 誰能給個網絡安全的學習路線啊？
4. 掙錢多很少，我想轉行

由於篇幅緣由，你們能夠本身去搜索查看(看完請會心一笑)，而後咱們再來看看常常在QQ被問的問題：

1. 師傅，我想學挖洞，能夠帶帶我嘛？其實在面對這類型問題的時候，我很想說一句：「我帶你」，但是真相是我本身都胖的飛不起來，如何帶你。
2. 表哥，我想改教務系統的成績 or 我想把xxx網站黑下來？大家知道這是犯法的嘛？沒事多去看看網絡安全法好麼？
3. 老同窗，幫我盜個QQ好麼？盜不下來啊！你不是搞信息安全的嘛？我是啊！那你還盜不下來？我………………

固然了還有最過度的就是：你幫我修個電腦吧，我電腦卡的不行，必定是中毒了。看了一下，大姐不帶這麼玩的，10年前的電腦咱們換一下好嗎？

回到正題，信息安全是一個範圍極廣的學科，本質上當代的信息安全問題大可能是因爲信息化時代衍生出來的，着重體如今計算機領域。咱們先來看幾個案例：

• 例1：你想成爲一個"黑客"，真的不須要你必定會計算機領域的知識。好比：速度與激情5中，蓋爾加朵獲取黑老大的指紋，若是你貌美如花，你也能夠的。
• 再舉幾個例子：2014年12306用戶數據泄露事件、2014年蘋果豔照門事件、2017年京東數據泄露事件等等。

再來看計算機領域的安全，這部分我經過目前安全就業的方向來分析，首先我這裏提供了一張目前國內關於安全崗位的圖：

外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-rCz8BZ5S-1605621424582)([https://bloodzer0-0x01.oss-cn-beijing.aliyuncs.com/1.8/job_list_v1.png)]

圖中包含了信息安全在計算機領域的大體內容。若是你要去走向這條路，你能夠了解這些崗位具體的職責。

固然瞭如今不少公司招聘都是抄襲Job Describtion，甚至不知道本身到底須要一個什麼樣的安全工程師，若是你遇到了這樣的企業，那麼就不要去了吧！

推薦一些靠譜的JD查詢網站(按字母排序)：

• 阿里招聘官網
• 美團招聘官網
• 騰訊招聘官網

瞭解完這些崗位的需求，你也算是認識到了信息安全的一角。

2.什麼纔算入門

技能成熟度模型：掌握 --> 熟練 --> 精通 --> 分享。從事任何一份工做基本要求是掌握，前幾天聽到了一個不像段子的段子：「大學畢業個人簡歷上還能寫熟練，越到了後期就會發現我只能寫掌握」，這個段子反饋給咱們另一個東西：「持續學習」。

那麼對於信息安全，你怎麼樣纔算是入了門，舉幾個例子：

• 對於安全測試：
• 你要熟練使用不一樣類型(Web、API、APP、小程序、公衆號等)的安全測試工具，好比：BurpSuite、Drozer、SQLMap、Astra等。
• 你要了解OWASP Top 10的漏洞、業務邏輯漏洞等。
• 你要有一套完整的滲透測試方法論：包括應對不一樣系統時，你的測試點包括什麼(checklist)、側重什麼。
• 有足夠關於測試的思考，如何將本身熟練的技能自動化。
• ……

一句話總結入門：對於你學習或專攻的這個方向，有了本身的認識與思考就算是入門了(是否是對入門要求過高了)。

3.你要如何學習

學習信息安全最好的工具是搜索引擎。

3.1 看書：萬丈高樓平地起

• 第一類書(基礎書籍)：計算機操做系統(至少你要熟悉Linux)、計算機網絡、編程語言(選擇你喜歡的)。推薦：「計算機與網絡安全系列書籍」
• 第二類書(專業書籍)：選擇你的方向，根據方向來找書。
• 第三類書(技術博文)：當你有了專業方向，須要在專業方向上深刻的時候，你就不光要看書了，還須要結合一些技術博客、官網文檔甚至一些論文中去學習。

關於看書我這裏有一些建議：首先是查看整本書的章節目錄，經過章節目錄獲取大概信息，找到本身感興趣的或者所急需的章節進行深刻閱讀(這種方式適用於先後章節關聯性不強，或對部分章節已經熟知的狀況)。

3.2 實踐：紙上得來終覺淺

當你實踐足夠多的時候你就會發現本身的技能在飛速提高。實踐請謹記《網絡安全法》。

如何實踐：

• 搭建各類漏洞學習項目(DVWA、OWASP系列、PentesterLab、vulhub)；
• 搭建各類CMS環境進行安全測試和代碼審計；
• 搭建內網環境進行模擬滲透過程(諸葛建偉老師的Metasploit魔鬼訓練營附帶了滲透靶場)；
• SRC與衆測平臺：能夠去挖掘SRC與衆測平臺，可能須要必定的基礎，可是多看看網上的文章會獲得一些思路。我這裏放幾篇(挖掘SRC或在衆測平臺挖掘漏洞請遵循《網絡安全法》)
• 小白如何學習挖掘漏洞：https://www.secpulse.com/archives/55634.html
• SRC漏洞挖掘小看法：http://www.mottoin.com/detail/864.html
• 從哪裏開始SRC之旅：https://security.ele.me/blog-detail.html?id=1
• SRC漏洞挖掘的使用技巧：https://xz.aliyun.com/t/6155
• 綜合【收集到的一些SRC挖掘技巧】：https://www.ctolib.com/Wh0ale-SRC-experience.html
• 進入企業進行實踐：企業中只要你願意學習，我相信能提供給你實踐的場景仍是多的。

3.3 總結：提煉過程與結果

不管是看書，仍是實踐，你都須要總結，看書的總結會幫助你提煉書本中的知識點；實踐的總結會幫助你在之後的路上能夠不斷去回顧與少踩坑。

總結最好的兩個方式是：

• 畫思惟導圖：思惟導圖更適合梳理本身的思路點。
• 寫總結文檔：比較完整的記錄，能夠是思惟導圖的延伸、是記錄你滲透或推進項目的整個過程、也能夠是你本身的一些感悟等。文檔也能夠用來後續的分享。

3.4 分享：認知自我真實水平

在你寫分享以前，必定要作好心理準備：由於當關注度達到必定程度時，你們對於你的分享可能出現褒貶不一的時候，我也遇到過。必定要記住：寫文章是給別人噴的，沒人噴說明寫的不夠好，因此被噴了又如何呢？從中提取別人噴你的關鍵點，驗證是否本身沒有作好，來提高本身。若是是那種純粹的噴子，狗咬你，你要咬狗嗎？

把你的思路分享出來，不管是博客、公衆號仍是其餘的形式。這不光是對你技術上的提高，也是對你自身的綜合提高，同時還能幫你認清自我掌握的程度。

舉例1：滲透技術學習

• 首先是工具使用學習，以及滲透技術的知識點，這些大多來源於博客文章、書籍。
• 其次就是環境搭建，請你們牢記未經受權對系統進行掃描、測試、攻擊都是違法行爲。若是你想要學習，本身搭建一個虛擬機環境吧，不要怕麻煩，你在搭建整個環境的過程當中，你也能獲得技能上的提高。
• 而後就是進行滲透測試，忘記你搭建過程當中的那些東西，模擬黑客進行攻擊。攻擊的時候必定不要侷限本身的思路(作滲透不少時候思路就是要猥瑣多變)。
• 最後就是寫文章：一是記錄此次你的環境搭建過程，二是記錄此次你的滲透過程，你使用了哪些技術進行滲透、是否滲透成功、若是成功了你使用的是什麼方法，沒有成功須要反思爲何？

舉例2：甲方安全防禦

• 明白目標：明白你到底要保護的是什麼？是數據、業務系統、主機仍是其餘。
• 進行調研：瞭解你所須要使用的技術、工具、系統、策略等。
• 模擬測試：對你瞭解到的技術等進行模擬，若是公司有測試環境給你折騰能夠在邊緣業務的局部中進行測試，若是沒有仍是能夠本身弄個環境。
• 測試報告：本次測試使用的手段、達到的效果、是否能夠優化、存在的風險等問題都是須要考慮的。
• 生產推進：若是你的測試報告在各方評估之下容許在生產推進，那麼此時你就能夠開始推廣了，記住推廣策略：「農村包圍城市、星星之火能夠燎原」。

最後結一下尾：信息安全自最近10年來愈加被重視，不少高校也開展了相關的專業、課程。不論你是科班出身、仍是非科班轉行。記住一個點：學而不思則罔，思而不學則殆。

1. 不要怕困難，學習是一個快樂的過程，若是不快樂也不能把學習變成快樂，放棄吧安全不適合你。
2. 不要怕麻煩，堅持不斷學習，克服一個困難總會有下一個困難等着你的。