谈谈信息安全入门这事

"信息安全如何入门"这个问题我以为须要拆成3个部分来回答：信息安全包括什么？什么算入门？你要如何学习？

备注：本文中的信息安全没有特地区分cyber security、data security等。

1.信息安全包括什么

我我的以为我是回答不彻底这个问题的，只能尽我所能来回答。

首先咱们来看看知乎上，关于"信息安全如何入门"的相关问题都有哪些？

1. 黑客如何学起？
2. 如何学习网络安全？
3. 谁能给个网络安全的学习路线啊？
4. 挣钱多很少，我想转行

由于篇幅缘由，你们能够本身去搜索查看(看完请会心一笑)，而后咱们再来看看常常在QQ被问的问题：

1. 师傅，我想学挖洞，能够带带我嘛？其实在面对这类型问题的时候，我很想说一句：“我带你”，但是真相是我本身都胖的飞不起来，如何带你。
2. 表哥，我想改教务系统的成绩 or 我想把xxx网站黑下来？大家知道这是犯法的嘛？没事多去看看网络安全法好么？
3. 老同窗，帮我盗个QQ好么？盗不下来啊！你不是搞信息安全的嘛？我是啊！那你还盗不下来？我………………

固然了还有最过度的就是：你帮我修个电脑吧，我电脑卡的不行，必定是中毒了。看了一下，大姐不带这么玩的，10年前的电脑咱们换一下好吗？

回到正题，信息安全是一个范围极广的学科，本质上当代的信息安全问题大可能是因为信息化时代衍生出来的，着重体如今计算机领域。咱们先来看几个案例：

• 例1：你想成为一个"黑客"，真的不须要你必定会计算机领域的知识。好比：速度与激情5中，盖尔加朵获取黑老大的指纹，若是你貌美如花，你也能够的。
• 再举几个例子：2014年12306用户数据泄露事件、2014年苹果艳照门事件、2017年京东数据泄露事件等等。

再来看计算机领域的安全，这部分我经过目前安全就业的方向来分析，首先我这里提供了一张目前国内关于安全岗位的图：

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rCz8BZ5S-1605621424582)([https://bloodzer0-0x01.oss-cn-beijing.aliyuncs.com/1.8/job_list_v1.png)]

图中包含了信息安全在计算机领域的大体内容。若是你要去走向这条路，你能够了解这些岗位具体的职责。

固然了如今不少公司招聘都是抄袭Job Describtion，甚至不知道本身到底须要一个什么样的安全工程师，若是你遇到了这样的企业，那么就不要去了吧！

推荐一些靠谱的JD查询网站(按字母排序)：

• 阿里招聘官网
• 美团招聘官网
• 腾讯招聘官网

了解完这些岗位的需求，你也算是认识到了信息安全的一角。

2.什么才算入门

技能成熟度模型：掌握 --> 熟练 --> 精通 --> 分享。从事任何一份工做基本要求是掌握，前几天听到了一个不像段子的段子：“大学毕业个人简历上还能写熟练，越到了后期就会发现我只能写掌握”，这个段子反馈给咱们另一个东西：“持续学习”。

那么对于信息安全，你怎么样才算是入了门，举几个例子：

• 对于安全测试：
• 你要熟练使用不一样类型(Web、API、APP、小程序、公众号等)的安全测试工具，好比：BurpSuite、Drozer、SQLMap、Astra等。
• 你要了解OWASP Top 10的漏洞、业务逻辑漏洞等。
• 你要有一套完整的渗透测试方法论：包括应对不一样系统时，你的测试点包括什么(checklist)、侧重什么。
• 有足够关于测试的思考，如何将本身熟练的技能自动化。
• ……

一句话总结入门：对于你学习或专攻的这个方向，有了本身的认识与思考就算是入门了(是否是对入门要求过高了)。

3.你要如何学习

学习信息安全最好的工具是搜索引擎。

3.1 看书：万丈高楼平地起

• 第一类书(基础书籍)：计算机操做系统(至少你要熟悉Linux)、计算机网络、编程语言(选择你喜欢的)。推荐：“计算机与网络安全系列书籍”
• 第二类书(专业书籍)：选择你的方向，根据方向来找书。
• 第三类书(技术博文)：当你有了专业方向，须要在专业方向上深刻的时候，你就不光要看书了，还须要结合一些技术博客、官网文档甚至一些论文中去学习。

关于看书我这里有一些建议：首先是查看整本书的章节目录，经过章节目录获取大概信息，找到本身感兴趣的或者所急需的章节进行深刻阅读(这种方式适用于先后章节关联性不强，或对部分章节已经熟知的状况)。

3.2 实践：纸上得来终觉浅

当你实践足够多的时候你就会发现本身的技能在飞速提高。实践请谨记《网络安全法》。

如何实践：

• 搭建各类漏洞学习项目(DVWA、OWASP系列、PentesterLab、vulhub)；
• 搭建各类CMS环境进行安全测试和代码审计；
• 搭建内网环境进行模拟渗透过程(诸葛建伟老师的Metasploit魔鬼训练营附带了渗透靶场)；
• SRC与众测平台：能够去挖掘SRC与众测平台，可能须要必定的基础，可是多看看网上的文章会获得一些思路。我这里放几篇(挖掘SRC或在众测平台挖掘漏洞请遵循《网络安全法》)
• 小白如何学习挖掘漏洞：https://www.secpulse.com/archives/55634.html
• SRC漏洞挖掘小看法：http://www.mottoin.com/detail/864.html
• 从哪里开始SRC之旅：https://security.ele.me/blog-detail.html?id=1
• SRC漏洞挖掘的使用技巧：https://xz.aliyun.com/t/6155
• 综合【收集到的一些SRC挖掘技巧】：https://www.ctolib.com/Wh0ale-SRC-experience.html
• 进入企业进行实践：企业中只要你愿意学习，我相信能提供给你实践的场景仍是多的。

3.3 总结：提炼过程与结果

不管是看书，仍是实践，你都须要总结，看书的总结会帮助你提炼书本中的知识点；实践的总结会帮助你在之后的路上能够不断去回顾与少踩坑。

总结最好的两个方式是：

• 画思惟导图：思惟导图更适合梳理本身的思路点。
• 写总结文档：比较完整的记录，能够是思惟导图的延伸、是记录你渗透或推进项目的整个过程、也能够是你本身的一些感悟等。文档也能够用来后续的分享。

3.4 分享：认知自我真实水平

在你写分享以前，必定要作好心理准备：由于当关注度达到必定程度时，你们对于你的分享可能出现褒贬不一的时候，我也遇到过。必定要记住：写文章是给别人喷的，没人喷说明写的不够好，因此被喷了又如何呢？从中提取别人喷你的关键点，验证是否本身没有作好，来提高本身。若是是那种纯粹的喷子，狗咬你，你要咬狗吗？

把你的思路分享出来，不管是博客、公众号仍是其余的形式。这不光是对你技术上的提高，也是对你自身的综合提高，同时还能帮你认清自我掌握的程度。

举例1：渗透技术学习

• 首先是工具使用学习，以及渗透技术的知识点，这些大多来源于博客文章、书籍。
• 其次就是环境搭建，请你们牢记未经受权对系统进行扫描、测试、攻击都是违法行为。若是你想要学习，本身搭建一个虚拟机环境吧，不要怕麻烦，你在搭建整个环境的过程当中，你也能获得技能上的提高。
• 而后就是进行渗透测试，忘记你搭建过程当中的那些东西，模拟黑客进行攻击。攻击的时候必定不要局限本身的思路(作渗透不少时候思路就是要猥琐多变)。
• 最后就是写文章：一是记录此次你的环境搭建过程，二是记录此次你的渗透过程，你使用了哪些技术进行渗透、是否渗透成功、若是成功了你使用的是什么方法，没有成功须要反思为何？

举例2：甲方安全防御

• 明白目标：明白你到底要保护的是什么？是数据、业务系统、主机仍是其余。
• 进行调研：了解你所须要使用的技术、工具、系统、策略等。
• 模拟测试：对你了解到的技术等进行模拟，若是公司有测试环境给你折腾能够在边缘业务的局部中进行测试，若是没有仍是能够本身弄个环境。
• 测试报告：本次测试使用的手段、达到的效果、是否能够优化、存在的风险等问题都是须要考虑的。
• 生产推进：若是你的测试报告在各方评估之下容许在生产推进，那么此时你就能够开始推广了，记住推广策略：“农村包围城市、星星之火能够燎原”。

最后结一下尾：信息安全自最近10年来愈加被重视，不少高校也开展了相关的专业、课程。不论你是科班出身、仍是非科班转行。记住一个点：学而不思则罔，思而不学则殆。

1. 不要怕困难，学习是一个快乐的过程，若是不快乐也不能把学习变成快乐，放弃吧安全不适合你。
2. 不要怕麻烦，坚持不断学习，克服一个困难总会有下一个困难等着你的。