從《黑客帝國》風(fēng)靡全球到如今信息技術(shù)迅猛發(fā)展,網(wǎng)絡(luò)安全or黑客一直在許多人心里都有著一份向往的心。今天,我們就來聊聊,關(guān)于網(wǎng)絡(luò)安全學(xué)習(xí)的一些事兒。
什么是網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。具有保密性、完整性、可用性、可控性、可審查性的特性。
網(wǎng)絡(luò)安全工程師的定義
首先,我們來看看網(wǎng)絡(luò)安全工程師的定義:指遵照信息安全管理體系和標準工作,防范黑客入侵并進行分析和防范,通過運用各種安全產(chǎn)品和技術(shù),設(shè)置防火墻、防病毒、IDS、PKI、攻防技術(shù)等。同時進行安全制度建設(shè)與安全技術(shù)規(guī)劃、日常維護管理、信息安全檢查與審計系統(tǒng)帳號管理與系統(tǒng)日志檢查等的人員。
從這個定義中,我們能清楚的看到從事網(wǎng)絡(luò)安全工作需要掌握的技能。這些知識和技能不是一朝一夕就能修成正果的。需要注意的是:計算機知識與網(wǎng)絡(luò)安全息息相關(guān),學(xué)校學(xué)習(xí)的計算機基礎(chǔ)知識是進階到網(wǎng)絡(luò)安全學(xué)習(xí)的基石,因為網(wǎng)絡(luò)安全工程師是網(wǎng)絡(luò)安全眾多分支中的一條路徑,所以,必須要把計算機知識這個根基打牢,這樣,后期在學(xué)習(xí)或應(yīng)用中,才能在網(wǎng)絡(luò)安全眾多分支中自如切換。
黑客(網(wǎng)絡(luò)安全)入門必備
關(guān)于「黑客」,可能每個人都有自己的定義和理解。但作為一名合格的黑客,拋開技術(shù)層面,首先應(yīng)該具備以下這些能力或品質(zhì):
- 正直善良的價值觀:遵法守紀、嚴守底線、拒絕黑灰產(chǎn)
- 科學(xué)合理的方法論:終身成長、知識管理、第一性原理
- 持續(xù)有效的執(zhí)行力:自我驅(qū)動、實踐為先、結(jié)果導(dǎo)向
【價值觀】
學(xué)習(xí)并掌握了所謂的「黑客技術(shù)」之后,即便從事的不是保家衛(wèi)國護網(wǎng)之類的網(wǎng)絡(luò)安全職位,仍有較大幾率聽聞或接觸到這些關(guān)鍵詞:拿站、脫褲、掛馬、菠菜、資金盤、黑帽 seo、殺豬盤、薅羊毛……在互聯(lián)網(wǎng)上,拒絕黑灰產(chǎn)要跟拒絕黃賭毒一樣堅決,一旦你碰了,是很難回頭的。人性在巨大的金額回報誘惑下,是很容易搖擺的。到底向左還是向右走,真的取決于你的價值觀取向。
因此,秉持正直善良的價值觀、遵法守紀、嚴守底線,是你進入黑客之旅務(wù)必要攜帶的護符,它能為你驅(qū)除雜念、為你的職業(yè)生涯保衛(wèi)護航。
【方法論】
黑客或網(wǎng)絡(luò)安全學(xué)科,起源計算機科學(xué),但又不止于計算機,還涉及社會工程學(xué)、心理學(xué)、信息戰(zhàn)等多個領(lǐng)域,學(xué)習(xí)曲線屬于典型的「入門易精深難」,而很多人走著走著就迷路了,本質(zhì)是缺少方法論的支撐。因此,關(guān)于「如何學(xué)習(xí)」、「如何堅持」則需要相應(yīng)的方法論支撐,包括了:
終身成長,即采用持續(xù)成長的心態(tài),將學(xué)習(xí)與成長周期無限拉長到一生。
知識管理,即 PKM(Personal Knowledge Management ),是研究如何科學(xué)高效管理知識的一套方法論。
第一性原理,即 First Principle Thinking,簡單來說就是透過事物現(xiàn)象看本質(zhì)。
【執(zhí)行力】
價值觀再正,方法論再好,若沒有執(zhí)行力,那便是紙上談兵。因此,持續(xù)有效的執(zhí)行力也是黑客必備的能力。那么,如何做到持續(xù)有效執(zhí)行(學(xué)習(xí)/工作/成長)?這里就有3點:
自我驅(qū)動。對各類技術(shù)知識足夠狂熱、有強烈的興趣和好奇心、遇到問題刨根問底、有較強的自律能力…… 只有保持這樣的自我驅(qū)動,才能真正做到持續(xù)穩(wěn)定。
實踐為先。學(xué)到的知識是否真的有用,先動手再說,所謂“實踐出真知”。
結(jié)果導(dǎo)向。同樣是干活,也有“干了”和“干好”的差別。因此,無論看書做實驗搞項目,一定要結(jié)果導(dǎo)向,用數(shù)據(jù)和效果說話。
簡單來說,保持自我驅(qū)動的狀態(tài),多動手實踐,以結(jié)果為依據(jù),以此獲得持續(xù)有效的執(zhí)行力,這是學(xué)習(xí)或從事黑客(網(wǎng)絡(luò)安全)工作的基石。
黑客(網(wǎng)絡(luò)安全)職業(yè)指南
過去,黑客在公眾眼里甚至是個貶義詞,在企業(yè)里面,安全工程師甚至是可有可無的“消耗型”崗位。而隨著《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》《等保2.0》等一系列政策/法規(guī)/標準的持續(xù)落地,網(wǎng)絡(luò)安全產(chǎn)業(yè)從小眾產(chǎn)業(yè)逐步發(fā)展成為國家戰(zhàn)略性新興產(chǎn)業(yè),與人工智能、大數(shù)據(jù)、云計算等領(lǐng)域并駕齊驅(qū)。
政企單位的網(wǎng)絡(luò)安全建設(shè)也從以往的“可選項”逐步變?yōu)?ldquo;必選項”甚至是“強制項”,很多企業(yè)在進行 IT 部門及崗位劃分時,以往往往只有研發(fā)和運維部門,安全人員直接歸屬到基礎(chǔ)運維部;而現(xiàn)在,越來越多企業(yè)成立獨立的安全部門,拉攏各方安全人才、組建 SRC(安全響應(yīng)中心),為自己的產(chǎn)品、應(yīng)用、數(shù)據(jù)保衛(wèi)護航。
越來越多高校也陸續(xù)開設(shè)了網(wǎng)絡(luò)空間安全 / 信息安全學(xué)科,為互聯(lián)網(wǎng)、金融、電商、運營商、政企等各行各業(yè)輸送人才。
短短幾年間,黑客不僅成為了正規(guī)軍,還直接躍升為國家戰(zhàn)略型資源,成為企業(yè)“一將難求”的稀缺資源。
因此,要想體系化的了解黑客的職業(yè)發(fā)展道路,那我們就必須了解網(wǎng)絡(luò)安全行業(yè)的方方面面。
首先,根據(jù)不同的安全規(guī)范、應(yīng)用場景、技術(shù)實現(xiàn)等,安全可以有很多分類方法,在這里我們簡單分為網(wǎng)絡(luò)安全、Web安全、云安全、移動安全(手機)、桌面安全(電腦)、主機安全(服務(wù)器)、工控安全、無線安全、數(shù)據(jù)安全等不同領(lǐng)域。針對不同的領(lǐng)域,其技能需求也不盡相同。
[網(wǎng)絡(luò)安全] 便是安全行業(yè)最經(jīng)典最基本的領(lǐng)域,也是目前國內(nèi)安全公司發(fā)家致富的領(lǐng)域。這個領(lǐng)域研究的技術(shù)范疇主要圍繞防火墻/NGFW/UTM、網(wǎng)閘、入侵檢測/防御、VPN網(wǎng)關(guān)(IPsec/SSL)、抗DDoS、上網(wǎng)行為管理、負載均衡/應(yīng)用交付、流量分析、漏洞掃描等。通過以上網(wǎng)絡(luò)安全產(chǎn)品和技術(shù),我們可以設(shè)計并提供一個安全可靠的網(wǎng)絡(luò)架構(gòu),為政府/國企、互聯(lián)網(wǎng)、銀行、醫(yī)院、學(xué)校等各行各行的網(wǎng)絡(luò)基礎(chǔ)設(shè)施保駕護航。
其次,有關(guān)網(wǎng)絡(luò)安全職位分類,以安全公司招聘的情況來分,安全崗位可以以研發(fā)系、工程系、銷售系來區(qū)分,不同公司對于安全崗位叫法有所區(qū)分,這里以行業(yè)常見的叫法歸類如下:
研發(fā)系:安全研發(fā)、安全攻防研究、逆向分析
工程系:安全工程師、安全運維工程師、安全服務(wù)工程師、安全技術(shù)支持、安全售后、滲透測試工程師、Web安全工程師、應(yīng)用安全審計、移動安全工程師
銷售系:安全銷售工程師、安全售前工程師、技術(shù)解決方案工程師
走安全行業(yè)的工程方向的,技術(shù)上面其實有很大的重疊性,拋開甲乙方、崗位名稱、崗位職責(zé)等因素來看,作為學(xué)技術(shù)的,好好掌握以下幾種技術(shù)(網(wǎng)絡(luò)協(xié)議與安全設(shè)備、linux操作系統(tǒng)、Web服務(wù)部署/開發(fā)、主流滲透測試/安全工具、一門及以上的編程語言)中的2到3個,都可以較好的勝任工作需求。
當然,從行業(yè)新人入職到真正通往大神,這里是“0到1”和“1到100”的區(qū)別了,到了工作場景中,能否根據(jù)工作需求,再橫向和縱向拓展個人技術(shù)棧,這塊修行就完全靠個人了。
黑客(網(wǎng)絡(luò)安全)學(xué)習(xí)導(dǎo)航
1、法律法規(guī)政策,知道在什么框架下行事。
《中華人民共和國刑法》
《中華人民共和國網(wǎng)絡(luò)安全法》
《網(wǎng)絡(luò)安全等級保護制度2.0》
2、國家政府機構(gòu),知道誰在管事。
中央網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組:http://www.cac.gov.cn/
國家互聯(lián)網(wǎng)應(yīng)急中心:http://www.cert.org.cn/
中國國家信息安全漏洞庫:http://www.cnnvd.org.cn/
國家信息安全漏洞共享中心:http://www.cnvd.org.cn/
中國信息安全測評中心:http://www.itsec.gov.cn/
中國信息安全等級保護網(wǎng):http://www.djbh.net/
中國反網(wǎng)絡(luò)病毒聯(lián)盟:https://www.anva.org.cn/
中國互聯(lián)網(wǎng)絡(luò)信息中心:http://www.cnnic.net.cn/
3、安全工具
sectool:http://sectools.org/
kali:https://www.kali.org/
nmap:https://nmap.org/
wireshark:https://www.wireshark.org/
metaspolit:https://www.metasploit.com/
nessus:http://www.tenable.com/
openvas:http://www.openvas.org/
sqlmap:http://sqlmap.org/
w3af:http://w3af.org/
burpsuite:https://portswigger.net/burp/
awvs:https://www.acunetix.com/
Appscan:https://www.ibm.com/developerworks/cn/downloads/r/appscan/
shodan:https://www.shodan.io/
cobaltstrike:https://www.cobaltstrike.com/
masscan:https://github.com/robertdavidgraham/masscan
hydra:https://www.thc.org/thc-hydra/
John the Ripper:http://www.openwall.com/john
modsecurity:http://www.modsecurity.org/
4、網(wǎng)絡(luò)安全學(xué)習(xí)路線
