关于信息安全:谈谈信息安全入门这事

“ 信息安全如何入门 ” 这个问题我感觉须要拆成 3 个局部来答复：信息安全包含什么？什么算入门？你要如何学习？

备注：本文中的信息安全没有特意辨别 cyber security、data security 等。

1. 信息安全包含什么

我集体感觉我是答复不齐全这个问题的，只能尽我所能来答复。

首先咱们来看看知乎上，对于 ” 信息安全如何入门 ” 的相干问题都有哪些？

1. 黑客如何学起？
2. 如何学习网络安全？
3. 谁能给个网络安全的学习路线啊？
4. 挣钱多不多，我想转行

因为篇幅起因，大家能够本人去搜寻查看(看完请会心一笑)，而后咱们再来看看常常在 QQ 被问的问题：

1. 徒弟，我想学挖洞，能够带带我嘛？其实在面对这类型问题的时候，我很想说一句：“我带你”，可是假相是我本人都胖的飞不起来，如何带你。
2. 表哥，我想改教务零碎的问题 or 我想把 xxx 网站黑下来？你们晓得这是犯法的嘛？没事多去看看网络安全法好么？
3. 老同学，帮我盗个 QQ 好么？盗不下来啊！你不是搞信息安全的嘛？我是啊！那你还盗不下来？我………………

当然了还有最过分的就是：你帮我修个电脑吧，我电脑卡的不行，肯定是中毒了。看了一下，大姐不带这么玩的，10 年前的电脑咱们换一下好吗？

回到正题，信息安全是一个范畴极广的学科，实质上当代的信息安全问题大多是因为信息化时代衍生进去的，着重体现在计算机领域。咱们先来看几个案例：

• 例 1：你想成为一个 ” 黑客 ”，真的不须要你肯定会计算机领域的常识。比方：速度与激情 5 中，盖尔加朵获取黑老大的指纹，如果你貌美如花，你也能够的。
• 再举几个例子：2014 年 12306 用户数据泄露事件、2014 年苹果艳照门事件、2017 年京东数据泄露事件等等。

再来看计算机领域的平安，这部分我通过目前平安待业的方向来剖析，首先我这里提供了一张目前国内对于平安岗位的图：

外链图片转存失败, 源站可能有防盗链机制, 倡议将图片保留下来间接上传(img-rCz8BZ5S-1605621424582)([https://bloodzer0-0x01.oss-cn-beijing.aliyuncs.com/1.8/job_list_v1.png)]

图中蕴含了信息安全在计算机领域的大抵内容。如果你要去走向这条路，你能够理解这些岗位具体的职责。

当然了当初很多公司招聘都是剽窃 Job Describtion，甚至不晓得本人到底须要一个什么样的平安工程师，如果你遇到了这样的企业，那么就不要去了吧！

举荐一些靠谱的 JD 查问网站(按字母排序)：

• 阿里招聘官网
• 美团招聘官网
• 腾讯招聘官网

理解完这些岗位的需要，你也算是意识到了信息安全的一角。

2. 什么才算入门

技能成熟度模型：把握 –> 纯熟 –> 精通 –> 分享。从事任何一份工作根本要求是把握，前几天听到了一个不像段子的段子：“大学毕业我的简历上还能写纯熟，越到了前期就会发现我只能写把握”，这个段子反馈给咱们另外一个货色：“继续学习”。

那么对于信息安全，你怎么样才算是入了门，举几个例子：

• 对于平安测试：
• 你要纯熟应用不同类型 (Web、API、APP、小程序、公众号等) 的平安测试工具，比方：BurpSuite、Drozer、SQLMap、Astra 等。
• 你要理解 OWASP Top 10 的破绽、业务逻辑破绽等。
• 你要有一套残缺的浸透测试方法论：包含应答不同零碎时，你的测试点包含什么(checklist)、偏重什么。
• 有足够对于测试的思考，如何将本人纯熟的技能自动化。
• ……

一句话总结入门：对于你学习或专攻的这个方向，有了本人的意识与思考就算是入门了(是不是对入门要求太高了)。

3. 你要如何学习

学习信息安全最好的工具是搜索引擎。

3.1 看书：万丈高楼平地起

• 第一类书(根底书籍)：计算机操作系统(至多你要相熟 Linux)、计算机网络、编程语言(抉择你喜爱的)。举荐：“计算机与网络安全系列书籍”
• 第二类书(专业书籍)：抉择你的方向，依据方向来找书。
• 第三类书(技术博文)：当你有了业余方向，须要在业余方向上深刻的时候，你就不光要看书了，还须要联合一些技术博客、官网文档甚至一些论文中去学习。

对于看书我这里有一些倡议：首先是查看整本书的章节目录，通过章节目录获取大略信息，找到本人感兴趣的或者所急需的章节进行深刻浏览(这种形式实用于前后章节关联性不强，或对局部章节曾经熟知的状况)。

3.2 实际：纸上得来终觉浅

当你实际足够多的时候你就会发现自己的技能在飞速晋升。实际请谨记《网络安全法》。

如何实际：

• 搭建各种破绽学习我的项目(DVWA、OWASP 系列、PentesterLab、vulhub)；
• 搭建各种 CMS 环境进行平安测试和代码审计；
• 搭建内网环境进行模仿浸透过程(诸葛建伟老师的 Metasploit 魔鬼训练营附带了浸透靶场)；
• SRC 与众测平台：能够去开掘 SRC 与众测平台，可能须要肯定的根底，然而多看看网上的文章会失去一些思路。我这里放几篇(开掘 SRC 或在众测平台开掘破绽请遵循《网络安全法》)
• 小白如何学习开掘破绽：https://www.secpulse.com/archives/55634.html
• SRC 破绽开掘小见解：http://www.mottoin.com/detail/864.html
• 从哪里开始 SRC 之旅：https://security.ele.me/blog-detail.html?id=1
• SRC 破绽开掘的应用技巧：https://xz.aliyun.com/t/6155
• 综合【收集到的一些 SRC 开掘技巧】：https://www.ctolib.com/Wh0ale-SRC-experience.html
• 进入企业进行实际：企业中只有你违心学习，我置信能提供给你实际的场景还是多的。

3.3 总结：提炼过程与后果

不论是看书，还是实际，你都须要总结，看书的总结会帮忙你提炼书本中的知识点；实际的总结会帮忙你在当前的路上能够一直去回顾与少踩坑。

总结最好的两个形式是：

• 画思维导图：思维导图更适宜梳理本人的思路点。
• 写总结文档：比拟残缺的记录，能够是思维导图的延长、是记录你浸透或推动我的项目的整个过程、也能够是你本人的一些感悟等。文档也能够用来后续的分享。

3.4 分享：认知自我实在程度

在你写分享之前，肯定要做好心理准备：因为当关注度达到肯定水平时，大家对于你的分享可能呈现褒贬不一的时候，我也遇到过。肯定要记住：写文章是给他人喷的，没人喷阐明写的不够好，所以被喷了又如何呢？从中提取他人喷你的关键点，验证是否本人没有做好，来晋升本人。如果是那种纯正的喷子，狗咬你，你要咬狗吗？

把你的思路分享进去，不论是博客、公众号还是其余的模式。这不光是对你技术上的晋升，也是对你本身的综合晋升，同时还能帮你认清自我把握的水平。

举例 1：浸透技术学习

• 首先是工具应用学习，以及浸透技术的知识点，这些大多来源于博客文章、书籍。
• 其次就是环境搭建，请大家牢记未经受权对系统进行扫描、测试、攻打都是违法行为。如果你想要学习，本人搭建一个虚拟机环境吧，不要怕麻烦，你在搭建整个环境的过程中，你也能失去技能上的晋升。
• 而后就是进行浸透测试，遗记你搭建过程中的那些货色，模仿黑客进行攻打。攻打的时候肯定不要局限本人的思路(做浸透很多时候思路就是要猥琐多变)。
• 最初就是写文章：一是记录这次你的环境搭建过程，二是记录这次你的浸透过程，你应用了哪些技术进行浸透、是否浸透胜利、如果胜利了你应用的是什么办法，没有胜利须要反思为什么？

举例 2：甲方平安防护

• 明确指标：明确你到底要爱护的是什么？是数据、业务零碎、主机还是其余。
• 进行调研：理解你所须要应用的技术、工具、零碎、策略等。
• 模仿测试：对你理解到的技术等进行模仿，如果公司有测试环境给你折腾能够在边缘业务的部分中进行测试，如果没有还是能够本人弄个环境。
• 测试报告：本次测试应用的伎俩、达到的成果、是否能够优化、存在的危险等问题都是须要思考的。
• 生产推动：如果你的测试报告在各方评估之下容许在生产推动，那么此时你就能够开始推广了，记住推广策略：“农村突围城市、星星之火能够燎原”。

最初结一下尾：信息安全自最近 10 年来越发被器重，很多高校也发展了相干的业余、课程。不管你是科班出身、还是非科班转行。记住一个点：学而不思则罔，思而不学则殆。

1. 不要怕艰难，学习是一个高兴的过程，如果不高兴也不能把学习变成高兴，放弃吧平安不适宜你。
2. 不要怕麻烦，保持一直学习，克服一个艰难总会有下一个艰难等着你的。