网络安全学习路线与职业指南
一、黑客(网络安全)入门必备
关于「黑客」,每个人都有自己的定义和理解。我认为,一名合格的黑客,抛开技术层面,首先应该具备以下这些能力或品质:
1. 正直善良的价值观
遵法守纪、严守底线、拒绝黑灰产。
学习并掌握了所谓的「黑客技术」之后,即便从事的不是保家卫国护网之类的网络安全职位,你仍有较大几率听闻或接触到这些关键词:拿站、脱裤、挂马、菠菜、资金盘、黑帽 SEO、杀猪盘、薅羊毛……
在互联网上,拒绝黑灰产要跟拒绝黄赌毒一样坚决,一旦你碰了,是很难回头的。人性在巨大的金额回报诱惑下,是很容易摇摆的。到底向左还是向右走,真的取决于你的价值观取向。
因此,秉持正直善良的价值观、遵法守纪、严守底线,是你进入黑客之旅务必要携带的护符,它能为你驱除杂念、为你的职业生涯保卫护航。
2. 科学合理的方法论
黑客或网络安全学科,起源计算机科学,但又不止于计算机,还涉及社会工程学、心理学、信息战等多个领域,学习曲线属于典型的「入门易精深难」。
大部分人走着走着就迷路了,本质是缺少方法论的支撑。这里分享对我个人影响最为深刻的 3 个:
- 终身成长:采用持续成长的心态,将学习与成长周期无限拉长到一生。不要跟任何人比较,给自己多点时间和耐心,戒骄戒躁并持续精进。
- 知识管理(PKM):研究如何科学高效管理知识的一套方法论。考虑到黑客或网络安全领域的跨学科特性,需要掌握的知识量非常繁杂,推荐采用 PKM 来构建自己的知识管理系统,持续优化输入输出路径,打造最优学习闭环。
- 第一性原理(First Principle Thinking):透过事物现象看本质。例如,学编程核心不是学语法,而更应重视算法、数据结构、代码逻辑这些底层;做软件开发是用代码研制出产品,而做网络安全就是给产品找 bug,两者相辅相成。「不懂软件开发的程序员不是一个合格的黑客」。
3. 持续有效的执行力
价值观再正,方法论再好,若没有执行力,那便是纸上谈兵。
如何做到持续有效执行?有 3 个点:
- 自我驱动:对各类技术知识足够狂热、有强烈的兴趣和好奇心、遇到问题刨根问底、有较强的自律能力。
- 实践为先:学到的知识是否真的有用,先动手再说,所谓'实践出真知'。
- 结果导向:无论看书做实验搞项目,一定要结果导向,用数据和效果说话。
二、黑客(网络安全)职业指南
随着《国家网络空间安全战略》《网络安全法》《等保 2.0》等一系列政策/法规/标准的持续落地,网络安全产业从小众产业逐步发展成为国家战略性新兴产业。
政企单位的网络安全建设也从以往的'可选项'逐步变为'必选项',越来越多企业成立独立的安全部门,拉拢各方安全人才、组建 SRC(安全响应中心)。
1. 行业分类与技能需求
根据不同的安全规范、应用场景、技术实现等,安全可以有很多分类方法,重点探讨以下几个方向:
① 网络安全
这是安全行业最经典最基本的领域,主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN 网关、抗 DDoS、流量分析、漏洞扫描等。
- 技能需求:网络协议(TCP/IP、VLAN、OSPF/BGP 等)、主流网络与安全设备部署(思科/华为/华三等)、网络安全架构与设计、信息安全等保标准。
② Web 安全
Web 安全领域从狭义的角度来看,就是一门研究网站安全的技术。如今社交、电商、游戏、网银等几乎所有能联网的应用,都可以直接基于 Web 技术来提供。
- 技能需求:通信协议(HTTP/HTTPS)、操作系统(Linux/Windows)、服务架设(Apache/Nginx/LAMP)、数据库(MySQL/Oracle)、编程语言(前端/后端)。安全理论(OWASP TOP 10)、后端安全(SQL 注入、文件上传、Webshell)、前端安全(XSS、CSRF)、安全产品(WAF、漏洞扫描)。
③ 终端安全(移动安全/桌面安全)
移动安全主要研究手机、平板、智能硬件等移动终端产品的安全(如 iOS/Android),桌面安全则研究电脑(如 Windows 蠕虫病毒)。
④ 云安全
基于云计算技术来开展的安全领域,包括软件定义安全、超融合安全、虚拟化安全等。云安全在产品形态和商用交付上面,实现安全从硬件到软件再到云的变革。
