如何成为一名合格的网络安全从业者
很多朋友在学习安全方面都会半路转行,因为不知如何去学。本文将详细讲解网络安全入门必备、职业指南及学习导航三大章节,涉及价值观、方法论、执行力、行业分类、职位解读、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等细分专题。
1. 黑客(网络安全)入门必备
关于「黑客」,每个人都有自己的定义和理解。我认为,一名合格的黑客,抛开技术层面,首先应该具备以下这些能力或品质:
- 正直善良的价值观:遵法守纪、严守底线、拒绝黑灰产
- 科学合理的方法论:终身成长、知识管理、第一性原理
- 持续有效的执行力:自我驱动、实践为先、结果导向
以上排序,权重应该是从上到下的。毕竟,一个人的价值观会影响他选择的方法论,而一个人的方法论则会决定他做事的结果。
1.1 正直善良的价值观
学习并掌握了所谓的「黑客技术」之后,即便从事的不是保家卫国护网之类的网络安全职位,你仍有较大几率听闻或接触到这些关键词:拿站、脱裤、挂马、菠菜、资金盘、黑帽 SEO、杀猪盘、薅羊毛……
相信我,在互联网上,拒绝黑灰产要跟拒绝黄赌毒一样坚决,一旦你碰了,是很难回头的。人性在巨大的金额回报诱惑下,是很容易摇摆的。到底向左还是向右走,真的取决于你的价值观取向。
因此,秉持正直善良的价值观、遵法守纪、严守底线,是你进入黑客之旅务必要携带的护符,它能为你驱除杂念、为你的职业生涯保卫护航。
1.2 科学合理的方法论
黑客或网络安全学科,起源计算机科学,但又不止于计算机,还涉及社会工程学、心理学、信息战等多个领域,学习曲线属于典型的「入门易精深难」。
进入这个圈子之前,相信聪明的你已经积累了很多关于「如何学习」「如何坚持」等各种方法,但当面对的是海量涌来的知识、敲不完的代码、无法穷尽的漏洞时,你真的能坚持下来吗?
大部分人走着走着就迷路了,本质是缺少方法论的支撑,各行各业的方法论很多,这里仅分享对我个人影响最为深刻的 3 个:
-
终身成长:即采用持续成长的心态,将学习与成长周期无限拉长到一生。很多人喜欢将'过了 xx 岁就学不动了'之类的挂在嘴边,在我看来要么是误区要么是借口。如果你接受这些传统观念,那只能说明你不适合做一名黑客。相反地,采用终身成长这套方法论,将「做一名黑客」的时间跨度无限拉长到一生,把它当成一生的事业而不是一个短暂的职位,那么,我们的学习耐心、学习深度、学习广度也将会无限放大。不要跟任何人比较,给自己多点时间和耐心,3 个月不行就 6 个月,6 个月不行就 1 年,1 年不行就 2 年……这个方法论的实践,可以让我们在成长路上戒骄戒躁并持续精进,不妄求短时间内'大跃进',也抛弃了'一口吃撑'的激进做法。
-
知识管理 (PKM):即 Personal Knowledge Management,是研究如何科学高效管理知识的一套方法论。考虑到黑客或网络安全领域的跨学科特性,需要掌握的知识量非常繁杂,超过了大部分人的承载能力。因此,如果你要做黑客,那么我推荐你采用 PKM 来构建自己的知识管理系统,持续优化输入输出路径,打造最优学习闭环。采用这个方法论,最终可以让我们得到这个结果:学习能力比别人强一点、成长速度比别人快一点。
-
第一性原理 (First Principle Thinking):简单来说就是透过事物现象看本质。很多人在刚学习黑客或网络安全技术时,经常会有这些问题:我在学校学的编程语言是 C/C++,Java / Python 这些能学会吗?我是做软件开发的,能从事网络安全方向吗?我是搞 Web 安全的,能转移动安全吗?……有这些问题的人,大体缺乏这套方法论的使用经验。例如,学编程,以第一性原理的视角来看,核心不是学语法,而更应重视算法、数据结构、代码逻辑这些,搞定这些底层,其实根本不存在语言切换的问题。同理,做软件开发就是用代码研制出产品(网站/业务系统/APP 等),而做网络安全就是给产品找 bug,两者相辅相成,即「不懂软件开发的程序员不是一个合格的黑客」。
1.3 持续有效的执行力
价值观再正,方法论再好,若没有执行力,那便是纸上谈兵。例如,看书学习处于'三天打鱼两天晒网'的状态,这就是典型的执行力出了问题。
那么,如何做到持续有效执行(学习/工作/成长)?我认为有 3 个点:
- 自我驱动:对各类技术知识足够狂热、有强烈的兴趣和好奇心、遇到问题刨根问底、有较强的自律能力……只有保持这样的自我驱动,才能真正做到持续稳定。
- 实践为先:学到的知识是否真的有用,先动手再说,所谓'实践出真知'。
- 结果导向:同样是干活,也有'干了'和'干好'的差别。因此,无论看书做实验搞项目,一定要结果导向,用数据和效果说话。
