從《黑客帝國(guó)》風(fēng)靡全球到如今信息技術(shù)迅猛發(fā)展,網(wǎng)絡(luò)安全or黑客一直在許多人心里都有著一份向往的心。今天,我們就來聊聊,關(guān)于網(wǎng)絡(luò)安全學(xué)習(xí)的一些事兒。
什么是網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。具有保密性、完整性、可用性、可控性、可審查性的特性。
網(wǎng)絡(luò)安全工程師的定義
首先,我們來看看網(wǎng)絡(luò)安全工程師的定義:指遵照信息安全管理體系和標(biāo)準(zhǔn)工作,防范黑客入侵并進(jìn)行分析和防范,通過運(yùn)用各種安全產(chǎn)品和技術(shù),設(shè)置防火墻、防病毒、IDS、PKI、攻防技術(shù)等。同時(shí)進(jìn)行安全制度建設(shè)與安全技術(shù)規(guī)劃、日常維護(hù)管理、信息安全檢查與審計(jì)系統(tǒng)帳號(hào)管理與系統(tǒng)日志檢查等的人員。
從這個(gè)定義中,我們能清楚的看到從事網(wǎng)絡(luò)安全工作需要掌握的技能。這些知識(shí)和技能不是一朝一夕就能修成正果的。需要注意的是:計(jì)算機(jī)知識(shí)與網(wǎng)絡(luò)安全息息相關(guān),學(xué)校學(xué)習(xí)的計(jì)算機(jī)基礎(chǔ)知識(shí)是進(jìn)階到網(wǎng)絡(luò)安全學(xué)習(xí)的基石,因?yàn)榫W(wǎng)絡(luò)安全工程師是網(wǎng)絡(luò)安全眾多分支中的一條路徑,所以,必須要把計(jì)算機(jī)知識(shí)這個(gè)根基打牢,這樣,后期在學(xué)習(xí)或應(yīng)用中,才能在網(wǎng)絡(luò)安全眾多分支中自如切換。
黑客(網(wǎng)絡(luò)安全)入門必備
關(guān)于「黑客」,可能每個(gè)人都有自己的定義和理解。但作為一名合格的黑客,拋開技術(shù)層面,首先應(yīng)該具備以下這些能力或品質(zhì):
- 正直善良的價(jià)值觀:遵法守紀(jì)、嚴(yán)守底線、拒絕黑灰產(chǎn)
- 科學(xué)合理的方法論:終身成長(zhǎng)、知識(shí)管理、第一性原理
- 持續(xù)有效的執(zhí)行力:自我驅(qū)動(dòng)、實(shí)踐為先、結(jié)果導(dǎo)向
【價(jià)值觀】
學(xué)習(xí)并掌握了所謂的「黑客技術(shù)」之后,即便從事的不是保家衛(wèi)國(guó)護(hù)網(wǎng)之類的網(wǎng)絡(luò)安全職位,仍有較大幾率聽聞或接觸到這些關(guān)鍵詞:拿站、脫褲、掛馬、菠菜、資金盤、黑帽 seo、殺豬盤、薅羊毛……在互聯(lián)網(wǎng)上,拒絕黑灰產(chǎn)要跟拒絕黃賭毒一樣堅(jiān)決,一旦你碰了,是很難回頭的。人性在巨大的金額回報(bào)誘惑下,是很容易搖擺的。到底向左還是向右走,真的取決于你的價(jià)值觀取向。
因此,秉持正直善良的價(jià)值觀、遵法守紀(jì)、嚴(yán)守底線,是你進(jìn)入黑客之旅務(wù)必要攜帶的護(hù)符,它能為你驅(qū)除雜念、為你的職業(yè)生涯保衛(wèi)護(hù)航。
【方法論】
黑客或網(wǎng)絡(luò)安全學(xué)科,起源計(jì)算機(jī)科學(xué),但又不止于計(jì)算機(jī),還涉及社會(huì)工程學(xué)、心理學(xué)、信息戰(zhàn)等多個(gè)領(lǐng)域,學(xué)習(xí)曲線屬于典型的「入門易精深難」,而很多人走著走著就迷路了,本質(zhì)是缺少方法論的支撐。因此,關(guān)于「如何學(xué)習(xí)」、「如何堅(jiān)持」則需要相應(yīng)的方法論支撐,包括了:
終身成長(zhǎng),即采用持續(xù)成長(zhǎng)的心態(tài),將學(xué)習(xí)與成長(zhǎng)周期無限拉長(zhǎng)到一生。
知識(shí)管理,即 PKM(Personal Knowledge Management ),是研究如何科學(xué)高效管理知識(shí)的一套方法論。
第一性原理,即 First Principle Thinking,簡(jiǎn)單來說就是透過事物現(xiàn)象看本質(zhì)。
【執(zhí)行力】
價(jià)值觀再正,方法論再好,若沒有執(zhí)行力,那便是紙上談兵。因此,持續(xù)有效的執(zhí)行力也是黑客必備的能力。那么,如何做到持續(xù)有效執(zhí)行(學(xué)習(xí)/工作/成長(zhǎng))?這里就有3點(diǎn):
自我驅(qū)動(dòng)。對(duì)各類技術(shù)知識(shí)足夠狂熱、有強(qiáng)烈的興趣和好奇心、遇到問題刨根問底、有較強(qiáng)的自律能力…… 只有保持這樣的自我驅(qū)動(dòng),才能真正做到持續(xù)穩(wěn)定。
實(shí)踐為先。學(xué)到的知識(shí)是否真的有用,先動(dòng)手再說,所謂“實(shí)踐出真知”。
結(jié)果導(dǎo)向。同樣是干活,也有“干了”和“干好”的差別。因此,無論看書做實(shí)驗(yàn)搞項(xiàng)目,一定要結(jié)果導(dǎo)向,用數(shù)據(jù)和效果說話。
簡(jiǎn)單來說,保持自我驅(qū)動(dòng)的狀態(tài),多動(dòng)手實(shí)踐,以結(jié)果為依據(jù),以此獲得持續(xù)有效的執(zhí)行力,這是學(xué)習(xí)或從事黑客(網(wǎng)絡(luò)安全)工作的基石。
黑客(網(wǎng)絡(luò)安全)職業(yè)指南
過去,黑客在公眾眼里甚至是個(gè)貶義詞,在企業(yè)里面,安全工程師甚至是可有可無的“消耗型”崗位。而隨著《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》《等保2.0》等一系列政策/法規(guī)/標(biāo)準(zhǔn)的持續(xù)落地,網(wǎng)絡(luò)安全產(chǎn)業(yè)從小眾產(chǎn)業(yè)逐步發(fā)展成為國(guó)家戰(zhàn)略性新興產(chǎn)業(yè),與人工智能、大數(shù)據(jù)、云計(jì)算等領(lǐng)域并駕齊驅(qū)。
政企單位的網(wǎng)絡(luò)安全建設(shè)也從以往的“可選項(xiàng)”逐步變?yōu)?ldquo;必選項(xiàng)”甚至是“強(qiáng)制項(xiàng)”,很多企業(yè)在進(jìn)行 IT 部門及崗位劃分時(shí),以往往往只有研發(fā)和運(yùn)維部門,安全人員直接歸屬到基礎(chǔ)運(yùn)維部;而現(xiàn)在,越來越多企業(yè)成立獨(dú)立的安全部門,拉攏各方安全人才、組建 SRC(安全響應(yīng)中心),為自己的產(chǎn)品、應(yīng)用、數(shù)據(jù)保衛(wèi)護(hù)航。
越來越多高校也陸續(xù)開設(shè)了網(wǎng)絡(luò)空間安全 / 信息安全學(xué)科,為互聯(lián)網(wǎng)、金融、電商、運(yùn)營(yíng)商、政企等各行各業(yè)輸送人才。
短短幾年間,黑客不僅成為了正規(guī)軍,還直接躍升為國(guó)家戰(zhàn)略型資源,成為企業(yè)“一將難求”的稀缺資源。
因此,要想體系化的了解黑客的職業(yè)發(fā)展道路,那我們就必須了解網(wǎng)絡(luò)安全行業(yè)的方方面面。
首先,根據(jù)不同的安全規(guī)范、應(yīng)用場(chǎng)景、技術(shù)實(shí)現(xiàn)等,安全可以有很多分類方法,在這里我們簡(jiǎn)單分為網(wǎng)絡(luò)安全、Web安全、云安全、移動(dòng)安全(手機(jī))、桌面安全(電腦)、主機(jī)安全(服務(wù)器)、工控安全、無線安全、數(shù)據(jù)安全等不同領(lǐng)域。針對(duì)不同的領(lǐng)域,其技能需求也不盡相同。
[網(wǎng)絡(luò)安全] 便是安全行業(yè)最經(jīng)典最基本的領(lǐng)域,也是目前國(guó)內(nèi)安全公司發(fā)家致富的領(lǐng)域。這個(gè)領(lǐng)域研究的技術(shù)范疇主要圍繞防火墻/NGFW/UTM、網(wǎng)閘、入侵檢測(cè)/防御、VPN網(wǎng)關(guān)(IPsec/SSL)、抗DDoS、上網(wǎng)行為管理、負(fù)載均衡/應(yīng)用交付、流量分析、漏洞掃描等。通過以上網(wǎng)絡(luò)安全產(chǎn)品和技術(shù),我們可以設(shè)計(jì)并提供一個(gè)安全可靠的網(wǎng)絡(luò)架構(gòu),為政府/國(guó)企、互聯(lián)網(wǎng)、銀行、醫(yī)院、學(xué)校等各行各行的網(wǎng)絡(luò)基礎(chǔ)設(shè)施保駕護(hù)航。
其次,有關(guān)網(wǎng)絡(luò)安全職位分類,以安全公司招聘的情況來分,安全崗位可以以研發(fā)系、工程系、銷售系來區(qū)分,不同公司對(duì)于安全崗位叫法有所區(qū)分,這里以行業(yè)常見的叫法歸類如下:
研發(fā)系:安全研發(fā)、安全攻防研究、逆向分析
工程系:安全工程師、安全運(yùn)維工程師、安全服務(wù)工程師、安全技術(shù)支持、安全售后、滲透測(cè)試工程師、Web安全工程師、應(yīng)用安全審計(jì)、移動(dòng)安全工程師
銷售系:安全銷售工程師、安全售前工程師、技術(shù)解決方案工程師
走安全行業(yè)的工程方向的,技術(shù)上面其實(shí)有很大的重疊性,拋開甲乙方、崗位名稱、崗位職責(zé)等因素來看,作為學(xué)技術(shù)的,好好掌握以下幾種技術(shù)(網(wǎng)絡(luò)協(xié)議與安全設(shè)備、linux操作系統(tǒng)、Web服務(wù)部署/開發(fā)、主流滲透測(cè)試/安全工具、一門及以上的編程語(yǔ)言)中的2到3個(gè),都可以較好的勝任工作需求。
當(dāng)然,從行業(yè)新人入職到真正通往大神,這里是“0到1”和“1到100”的區(qū)別了,到了工作場(chǎng)景中,能否根據(jù)工作需求,再橫向和縱向拓展個(gè)人技術(shù)棧,這塊修行就完全靠個(gè)人了。
黑客(網(wǎng)絡(luò)安全)學(xué)習(xí)導(dǎo)航
1、法律法規(guī)政策,知道在什么框架下行事。
《中華人民共和國(guó)刑法》
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》
《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0》
2、國(guó)家政府機(jī)構(gòu),知道誰(shuí)在管事。
中央網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組:http://www.cac.gov.cn/
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心:http://www.cert.org.cn/
中國(guó)國(guó)家信息安全漏洞庫(kù):http://www.cnnvd.org.cn/
國(guó)家信息安全漏洞共享中心:http://www.cnvd.org.cn/
中國(guó)信息安全測(cè)評(píng)中心:http://www.itsec.gov.cn/
中國(guó)信息安全等級(jí)保護(hù)網(wǎng):http://www.djbh.net/
中國(guó)反網(wǎng)絡(luò)病毒聯(lián)盟:https://www.anva.org.cn/
中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心:http://www.cnnic.net.cn/
3、安全工具
sectool:http://sectools.org/
kali:https://www.kali.org/
nmap:https://nmap.org/
wireshark:https://www.wireshark.org/
metaspolit:https://www.metasploit.com/
nessus:http://www.tenable.com/
openvas:http://www.openvas.org/
sqlmap:http://sqlmap.org/
w3af:http://w3af.org/
burpsuite:https://portswigger.net/burp/
awvs:https://www.acunetix.com/
Appscan:https://www.ibm.com/developerworks/cn/downloads/r/appscan/
shodan:https://www.shodan.io/
cobaltstrike:https://www.cobaltstrike.com/
masscan:https://github.com/robertdavidgraham/masscan
hydra:https://www.thc.org/thc-hydra/
John the Ripper:http://www.openwall.com/john
modsecurity:http://www.modsecurity.org/
4、網(wǎng)絡(luò)安全學(xué)習(xí)路線
