首页 > 其他分享 >网络安全之学习方向

网络安全之学习方向

时间:2024-11-06 18:19:36浏览次数:4  
标签:网络安全 Web www 学习 安全 https 方向 com

一、简言

我和很多朋友一样,在学习安全方面的时候不知从何学起,最近在知乎看到个不错的导向,个人认为讲的很好,至少我看完之后不再像以前那样像个无头苍蝇一样学习,有兴趣的同学可以参考。

黑客或网络安全学科,起源计算机科学,但又不止于计算机,还涉及社会工程学、心理学、信息战等多个领域,学习曲线属于典型的「入门易  精深难」。

进入这个圈子之前,相信聪明的你已经积累了很多关于「如何学习」「如何坚持」等各种方法,但当面对的是海量涌来的知识、敲不完的代码、无法穷尽的漏洞时,试问自己真的能坚持下来吗?

大部分人走着走着就迷路了,本质是缺少方法论的支撑,各行各业的方法论很多,这里仅分享对我个人影响最为深刻的 3 个:

  • 终身成长,即采用持续成长的心态,将学习与成长周期无限拉长到一生。 很多人喜欢将 “过了 xx 岁就学不动了” 之类的挂在嘴别,在我看来要么是误区要么是借口,这样观念无非是用来掩饰自己懒惰不愿成长不想改变的心态。如果你接受这些传统观念,那只能说明你不适合做一名黑客。相反地,采用终身成长这套方法论,将「做一名黑客」的时间跨度无限拉长到一生,把它当成一生的事业而不是一个短暂的职位,那么,我们的学习耐心、学习深度、学习广度也将会无限放大。不要跟任何人比较,给自己多点时间和耐心,3 个月不行就 6 个月, 6 个月不行就 1 年,1 年不行就 2 年…… 这个方法论的实践,可以让我们在成长路上戒骄戒躁并持续精进,不妄求短时间内“大跃进”,也抛弃了“一口吃撑”的激进做法。
  • 总结——记笔记。虑到黑客或网络安全领域的跨学科特性,需要掌握的知识量非常繁杂,超过了大部分人的承载能力,面对如此多的知识体系,我们的脑容量有限,所以我们需要将自己学习过的东西,按照自己的思路总结或者记录下来。这里我要说的是一定要拒绝无效做笔记这种行为,就像以前读书时很多同学一味的“抄书”,这种做笔记只会感动自己,至于记没记住,只有自己知道,你要想的是记笔记这个,是给自己做笔记,也就是说挑你认为重要的东西以及联想记忆法这种,精简的去记,然后当你拿到时一眼就能想起来。
  • 习惯用why而不是what、思考更深入一点、知识更通透一点。

二、职业技能

根据不同的安全规范、应用场景、技术实现等,安全可以有很多分类方法,在这里我们简单分为网络安全、Web安全、云安全、移动安全(手机)、桌面安全(电脑)、主机安全(服务器)、工控安全、无线安全、数据安全 等不同领域。下面以个人所在行业和关注点,重点探讨 网络 / Web / 云这几个安全方向。

① 网络安全

[网络安全] 是安全行业最经典最基本的领域,也是目前国内安全公司发家致富的领域,例如启明星辰、绿盟

[技能需求]

  • 网络协议:TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…
  • 主流网络与安全设备部署:思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD…
  • 网络安全架构与设计:企业网/电信网/政务网/教育网/数据中心网设计与部署…
  • 信息安全等保标准、金土/金税工程… ……

[说明]

  • 不要被电影和新闻等节奏带偏,战斗在这个领域的安全工程师非常非常多,不是天天攻击别人写攻击代码写病毒的才叫做安全工程师
  • 这个安全领域研究的内容除了defense(防御)和security(安全),相关的Hacking(攻击)技术包括协议安全(arp中间人攻击、dhcp泛洪欺骗、STP欺骗、DNS劫持攻击、HTTP/VPN弱版本或中间人攻击…)、接入安全(MAC泛洪与欺骗、802.1x、WiFi暴力破解…)、硬件安全(利用NSA泄露工具包攻击知名防火墙、设备远程代码执行漏洞getshell、网络设备弱口令破解.. )、配置安全(不安全的协议被开启、不需要端口服务被开启…)…
  • 学习这个安全方向不需要太多计算机编程功底(不是走研发路线而是走安全服务工程师路线),更多需要掌握常见安全网络架构、对网络协议和故障能抓包分析,对网络和安全设备能熟悉配置;

科技、天融信这几个企业(“老三大” )。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关(IPsec/SSL)、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术,我们可以设计并提供一个安全可靠的网络架构,为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。

大的安全项目(肥肉…)主要集中在以政府/国企需求的政务网/税务网/社保网/电力网… 以运营商(移动/电信/联通)需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络,承载着国民最核心的基础设施和敏感数据,一旦泄露或者遭到非法入侵,影响范围就不仅仅是一个企业/公司/组织的事情,例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。

当然,除了以上这些,还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT服务提供商等具备国家认定的计算机系统集成资质、安全等保等行业资质的技术单位来提供。

② Web安全

Web安全领域从狭义的角度来看,就是一门研究[网站安全]的技术,相比[网络安全]领域,普通用户能够更加直观感知。例如,网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据(例如新浪微博或淘宝网用户账号泄露,这个时候就会引发恐慌且相继修改密码等)。当然,大的安全项目里面,Web安全仅仅是一个分支,是需要跟[网络安全]是相辅相成的,只不过Web安全关注上层应用和数据,网络安全关注底层网络安全。

随着Web技术的高速发展,从原来的[Web不就是几个静态网页吗?]到了现在的[Web就是互联网],越来越多的服务与应用直接基于Web应用来展开,而不再仅仅是一个企业网站或论坛。如今,社交、电商、游戏、网银、邮箱、OA…..等几乎所有能联网的应用,都可以直接基于Web技术来提供。

由于Web所承载的意义越来越大,围绕Web安全对应的攻击方法与防御技术也层出不穷,例如WAF(网页防火墙)、Web漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的Web安全产品也出现了。

[技能需求] Web安全的技能点同样多的数不过来,因为要搞Web方向的安全,意味初学者要对Web开发技术有所了解,例如能通过前后端技术做一个Web网站出来,好比要搞[网络安全],首先要懂如何搭建一个网络出来。那么,Web技术就涉及到以下内容:

  • 通信协议:TCP、HTTP、HTTPs
  • 操作系统:Linux、Windows
  • 服务架设:Apache、Nginx、LAMP、LNMP、MVC架构
  • 数据库:MySQL、SQL Server、Oracle
  • 编程语言:前端语言(HTML/CSS/JavaScript)、后端语言(PHP/Java/ASP/Python)

【说明】

如果按照上面的技能全部学完,不仅时间周期非常长,估计大部分人连学后面安全的兴趣都没有了。所以,这就说到Web安全这个行业另外一个常态了:大部分做Web安全的,并不是刚开始就对Web开发技术非常熟悉的,很多都是半路杀出来了,甚至连Web网站都没有架设过的,这种大有人在。因此有更加狭义的Web安全技术点:

  • 安全理论:OWASP TOP 10 、PETS、ISO 27001…
  • 后端安全:SQL注入、文件上传、Webshell(木马)、文件包含、命令执行…
  • 前端安全:XSS跨站脚本攻击、CSRF跨站请求伪造…
  • 安全产品:Web漏洞扫描(Burp/WVS/Appscan)、WAF(Web应用防火墙)、IDS/IPS(Web入侵防御)、Web主机防护

因此,Web开发技术和Web安全技术其实是相辅相成的,如果对Web开发比较熟悉,意味着研究Web安全时能够更加底层,而不止于安全工具和脚本层面。

[补充说明]

  • 学习 Web 安全方向需要有一定的编程基础,如果对代码没兴趣,建议走[网络安全]方向;
  • [网络安全]和[Web安全]在安全领域里面刚好是对立面存在,一硬一软、一防一攻、一上(上层)一下(底层)

③ 终端安全(移动安全/桌面安全)

移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全,例如iOS和Android安全,我们经常提到的“越狱”其实就是移动安全的范畴。而近期爆发的危机全球的Windows电脑蠕虫病毒 - “WannerCry勒索病毒”,或者更加久远的“熊猫烧香”,便是桌面安全的范畴。

桌面安全和移动安全研究的技术面都是终端安全领域,说的简单一些,一个研究电脑,一个研究手机。随着我们工作和生活,从PC端迁移到了移动端,终端安全也从桌面安全迁移到移动安全。最熟悉不过的终端安全产品,便是360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲McAfee、诺顿等全家桶……

从商业的角度看,终端安全(移动安全加桌面安全)是一门to C的业务,更多面向最终个人和用户;而网络安全、Web安全、云安全更多是一门to B的业务,面向政企单位。举例:360这家公司就是典型的从to C安全业务延伸到to B安全业务的公司,例如360企业安全便是面向政企单位提供安全产品和服务,而我们熟悉的360安全卫士和杀毒则主要面向个人用户。

④ 云安全

[云安全] 是基于云计算技术来开展的另外一个安全领域,云安全研究的话题包括:软件定义安全、超融合安全、虚拟化安全、机器学习+大数据+安全….. 目前,基于云计算所展开的安全产品已经非常多了,涵盖原有网络安全、Web安全、移动安全等方向,包括云防火墙、云抗DDOS、云漏扫、云桌面等,国内的腾讯云、阿里云已经有相对成熟的商用解决方案出现。

云安全在产品形态和商用交付上面,实现安全从硬件到软件再到云的变革,大大减低了传统中小型企业使用安全产品的门槛,以前一个安全项目动辄百万级别,而基于云安全,实现了真正的按需弹性购买,大大减低采购成本。另外,云时代的安全也给原有行业的规范和实施带来更多挑战和变革,例如,托管在云端的商用服务,云服务商和客户各自承担的安全建设责任和边界如何区分?云端安全项目如何做信息安全等保测评?

⑤ 工控安全

以震网病毒(stuxnet)攻击伊朗核电厂并使其瘫痪的全球事件,从安全领域活生生撕开一道口并告诉我们,工控病毒才是真正代替核武器战争的代表。相比其他安全方向,工控安全研究的攻防对象是工业基础设施,真正影响人类生活的方方面面,例如核电、电力、水力、城市交通等基础设施。随着万物互联/物联网的进程不断推进,工控安全会成为我们继互联网和移动互联网安全之后研究的重心。

三、职业分类

① 安全岗位

以安全公司招聘的情况来分,安全岗位可以以研发系、工程系、销售系来区分,不同公司对于安全岗位叫法有所区分,这里以行业常见的叫法归类如下:

  • 研发系:安全研发、安全攻防研究、逆向分析
  • 工程系:安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、渗透测试工程师、Web安全工程师、应用安全审计、移动安全工程师
  • 销售系:安全销售工程师、安全售前工程师、技术解决方案工程师

② 适合我们的岗位有哪些?

安全工程师、安全运维、安全服务工程师、渗透测试工程师、Web安全工程师安全研发、安全售前岗位。

例如在安全公司如绿盟科技、深信服、360、天融信等做安全工程师、安全服务、渗透测试等岗位,在甲方单位例如运营商(中国移动、中国电信)、金融类公司(平安科技、招商银行)等更多做安全运维、Web应用审计、Web渗透测试等岗位

三、职责描述

[安全工程师](产品与售后方向) 职位描述 负责网络安全项目中的产品调试和交付 负责网络安全项目中的技术方案编写 负责客户的安全应急和售后驻场

职位要求 具备扎实的计算机与网络原理,熟悉各类网络与安全设备(路由、交换、防火墙、VPN、漏洞扫描) 对网络数据包具备分析实践能力,熟练使用数据包分析工具; 熟悉常见网络通信协议(TCP/IP、交换路由协议、VPN协议等) 熟悉防火墙原理,能够熟练配置防火墙策略; 熟悉主流网络与安全厂商产品(思科/华为/华三/Juniper…) 较好的文档撰写能力、语言表达和与沟通能力。

[安全服务工程师] 职位描述 负责安全服务项目中的实施部分,包括:漏洞扫描、渗透测试、安全基线检查、代码审计、应急响应等; 爆发高危漏洞后时行漏洞的分析应急; 对公司安全产品的后端支持; 掌握专业文档编写技巧; 关注行业态势和热点。

职位要求 掌握一门及以上编程语言; 熟悉常见安全攻防技术; 有较强学习能力,能快速学习新的技术; 熟悉风险评估、应急响应、渗透测试、安全加固等安全服务; 具有良好的语言表达能力、文档组织能力。

[安全运维工程师] 职位描述 服务器与网络基础设备的安全加固; 安全事件排查与分析,配合定期编写安全分析报告,专注业内安全事件; 跟踪最新漏洞信息,进行业务产品的安全检查; 负责信息安全策略/流程的制定,安全培训/宣传及推广; 负责Web漏洞和系统漏洞修复工作推进,跟踪解决情况,问题收集。

职位要求 熟悉主流的Web安全技术,包括SQL注入、XSS、CSRF等OWASP TOP 10安全风险; 熟悉TCP/IP协议,路由交换、常用的应用层协议; 熟悉Linux/Windows下系统和软件的安全配置与加固; 熟悉常见的安全产品及原理,例如IDS、IPS、防火墙等; 熟练掌握C/PHP/Python/Shell等一或多种语言; 较好的文档撰写能力、语言表达和与沟通能力。

[Web安全工程师/渗透测试] 职位描述 对公司各类系统进行安全加固; 对公司网站、业务系统进行安全评估测试(黑盒、白盒测试); 对公司安全事件进行响应,清理后门,根据日志分析攻击途径; 安全技术研究,包括安全防范技术,黑客技术等; 跟踪最新漏洞信息,进行业务产品的安全检查。

职位要求 熟悉Web渗透测试方法和攻防技术,包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等安全漏洞与防御; 熟悉Linux、Windows不同平台的渗透测试,对网络安全、系统安全、应用安全有深入的理解和自己的认识; 熟悉国内外主流安全工具,包括Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等; 至少掌握一门编程语言C/JS/Python/PHP/Java/JS等; 对Web安全整体有深刻理解,有一定的代码审计和漏洞分析和挖掘能力; 具有较强的团队意识、高度的责任感,有良好的文档和沟通能力;

④ 安全岗位总结

走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。

  • 网络安全公司:华为、奇虎360、奇安信、绿盟科技、深信服、天融信、启明星辰、斗象科技(Freebuf)……
  • 互联网公司:腾讯、阿里、百度、网易、YY、虎牙、4399、唯品会…..
  • 运营商/国企:中国移动、中国电信、中国联通、…….
  • 系统集成商:神州数码、华讯网络、亚信科技、中通服科技…….

薪酬这块,根据岗位的入职薪酬来看,一般都是遵循:【安全研发 > 安全服务/渗透测试/Web渗透 > 安全售后/安全技术支持】。当然,不同类型的公司,发展过程中给出的薪酬也会有所差异

法律法规政策
知道在什么框架下行事
  • 《中华人民共和国刑法》
  • 《中华人民共和国网络安全法》
  • 《网络安全等级保护制度2.0》

 国家政府机构
知道谁在管事

安全企业站点
知道安全圈的主要玩家都有谁

国外安全公司:

国内安全公司:

安全媒体

安全工具

安全标准/框架
  • OWASP TOP10
  • PTES渗透测试标准
  • ISO 27001
  • 信息安全等级保护
书籍教材

网络安全推荐书单:

  • 《CCNA学习指南》
  • 《TCP/IP详解卷一》
  • 《局域网交换机安全》
  • 《Cisco防火墙》
  • 《网络安全原理与实践》
  • 《网络安全技术与解决方案》
  • 《华为防火墙技术漫谈》
  • 《Cisco网络黑客大曝光》
  • 《Wireshark网络分析实战》
  • 《Wireshark数据包分析实战》
  • 《DDoS攻击与防范深度剖析》
  • 《Cisco VPN完全配置指南》
  • 《Cisco安全入侵检测系统》

Web安全/渗透测试推荐书单:

  • 《白帽子讲Web安全》
  • 《Web安全深度剖析》
  • 《Metaspolit渗透测试魔鬼训练营》
  • 《Web前端安全揭秘》
  • 《Web渗透测试使用Kali Linux》
  • 《黑客攻防技术宝典Web实战篇》
  • 《BurpSuite实战指南》
  • 《SQL注入攻击与防御》
  • 《XSS跨站脚本攻击剖析与防御》
  • 《互联网企业安全高级指南》

云计算安全推荐书单:

  • 《云安全原理与实践》
  • 《云安全深度剖析》
  • 《软件定义安全》
  • 《软件定义数据中心》
  • 《云数据中心构建实战》
  • 《腾云:云计算和大数据时代网络技术揭秘》
  • 《大数据时代下的云安全》
  • 《云安全基础设施构建》

以上均是从知乎看的一些总结,相信看完这个很多人已经对安全这块有了一个大体上的了解,我之前也是迷茫中,现在选择一个自己感兴趣的分支,然后慢慢去学好,再往精通学。大家一起加油!!

标签:网络安全,Web,www,学习,安全,https,方向,com
From: https://blog.csdn.net/Hacker_Oldv/article/details/143572329

相关文章

  • 2024网络安全面试题大全(附答案详解)看完表示入职大厂稳了
    今天为大家各大厂面试题1.深信服面试题难度系数:中一面:时间太久了,记不太清了,难度相对还是可以的二面:~sql注入的原理是什么–本质:将用户输入的不可信数据当作代码去执行–条件:用户能控制输入;;;原本程序要执行的代码,拼接了用户输入的内容,然后执行~说说Linux的信号机制?~J......
  • 网络安全常见面试题,收藏这一篇就够了
    网络安全常见面试题(一)在这个数字化、信息化的时代,网络安全已经变得至关重要。当我们足迹遍布网络时,自身信息安全、财产安全、合法权益等易受到侵害。对此,我们应加大对网络安全的重视度,并协同做好问题的攻克工作,构筑健康优良的网络空间。这里给大家准备了网络安全常见的面试......
  • 史上最全网络安全面试题汇总
    最近有不少小伙伴跑来咨询:想找网络安全工作,应该要怎么进行技术面试准备?工作不到2年,想跳槽看下机会,有没有相关的面试题呢?为了更好地帮助大家高薪就业,今天就给大家分享一份网络安全工程师面试题,希望它们能够帮助大家在面试中,少走一些弯路、更快拿到offer!php爆绝对路径方法?......
  • Java网络安全常见面试题
    列举常见的WEB攻击,及解决方案一、SQL注入1、什么是SQL注入攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。2、如何预防SQL注入使用预编译语句(Prepa......
  • 信息安全工程师(79)网络安全测评概况
    一、定义与目的    网络安全测评是指参照一定的标准规范要求,通过一系列的技术、管理方法,获取评估对象的网络安全状况信息,并对其给出相应的网络安全情况综合判定。其对象主要为信息系统的组成要素或信息系统自身。网络安全测评的目的是为了提高信息系统的安全防护能力,......
  • 商密学习-分组密码加密模式笔记
    利于并行:ECB(加解密均利于并行)、CTR(加解密均并行)不利于并行:CBC(加密串行,解密可并行)、CFB(加密串行,解密可并行)、OFB(不可并行,每个密钥流块的生成依赖于前一个块的结果)需要填充:ECB、CBC不需要填充:CFB、OFB、CTR错误有扩散:CBC(加密过程错误影响随后所有,解密过程长度不改变最多影响两个......
  • 【毕业设计】基于深度学习的水族馆生物识别 人工智能 深度学习 目标检测 Python
    一、背景意义    随着水族馆的普及和水生生态保护意识的提高,生物识别技术在水族馆管理、教育和研究中的重要性日益凸显。传统的生物识别方法往往依赖于人工观察和专家判断,效率低、准确性差且容易受到主观因素影响。水族馆中涉及的生物种类繁多,包括鱼类、虾类、海洋哺乳......
  • 【毕业设计】基于机器视觉的学生课堂行为检测 目标检测 深度学习 计算机视觉 yolo
    一、背景意义    随着教育技术的不断进步,课堂管理和学生行为分析逐渐成为教育研究的重要课题。传统的课堂观察方法往往依赖于教师的主观判断,不仅效率低下,而且容易受到观察者偏差的影响。基于机器视觉的学生课堂行为检测系统,利用深度学习和计算机视觉技术,能够实现对学生......
  • 吴恩达深度学习笔记:卷积神经网络(Foundations of Convolutional Neural Networks)4.7-4.
    目录第四门课卷积神经网络(ConvolutionalNeuralNetworks)第四周特殊应用:人脸识别和神经风格转换(Specialapplications:Facerecognition&Neuralstyletransfer)4.7深度卷积网络学习什么?(WhataredeepConvNetslearning?)4.8代价函数(Costfunction)第四门课卷......
  • 机器学习3_支持向量机_线性不可分——MOOC
    线性不可分的情况如果训练样本是线性不可分的,那么上一节问题的是无解的,即不存在  和  满足上面所有N个限制条件。对于线性不可分的情况,需要适当放松限制条件,使得问题有解。放松限制条件的基本思路: 对每个训练样本及标签  设置松弛变量(slackvariable)对于线性不可......