网络安全入门指南
在探讨如何进入网络安全领域之前,首要任务是端正思想。作为一名网络安全从业者,必须具备正直善良的价值观。
端正价值观
或许你听过这么一句话'能力越大,责任越大'。作为一名黑客或安全工程师,技术越精湛,责任就越大,就越不能去干错误的事情。学习并掌握了相关技术之后,即使你不从事保家卫国或护网之类的网络安全职位,你依旧有很大几率听闻或者接触到这些关键词:拿站、菠菜、脱裤、资金盘、黑帽 SEO、薅羊毛等。
当你收到一些付费单子的时候,你是坚定地拒绝还是拿钱办事?千万不要挑战人性,这句话简直就是金科玉律。在互联网上,拒绝黑灰产就要跟拒绝黄赌毒一样坚决,因为一旦你碰了,就没有回头路了。人性是经不起挑战的,在巨大的金钱诱惑下,人性根本不值一提。
一旦你进入了网络安全这一领域,价值观取向就尤为重要。正直善良的价值观、遵法守纪、严守底线,才能为你保驾护航,去除杂念。
科学的方法论
网络安全也可以称作黑客技术,它是计算机专业的一个分支,涉及的范围非常广,且不仅仅局限于计算机专业。比如社会工程学、心理学、信息战等多个领域,学习曲线也属于典型的入门易精通难。
很多人怀揣着对网络安全的一点兴趣,没走多久就半途而废了,原因是缺乏科学的方法论。而且很多人在选择进入这个圈子之前,就已经了解到如何学习、要学什么,但是面对海量的知识、敲不完的代码、数不胜数的漏洞时,坚持下来就一定要知道这一点:终身学习。任何学科都是学无止境的,特别是计算机行业,技术的更新换代是非常快的,一旦停止学习就有可能会被超越。只有不断地学习,才能把网络安全当成一生的事业。一旦你把网络安全当成一生的事业之后,你的学习耐心、学习深度、学习广度也会无限放大。三个月不行就六个月、六个月不行就一年、一年不行就两年。这个方法论能够让你在学习的路上保持活力,让网络安全成为你终身可持续发展的职业。
持续有效的执行力
持续有效的执行力是安全从业者的必备能力。正确的价值观、科学的方法论有了,如果没有行动,那就是纸上谈兵。
持续有效的执行力离不开自我驱动、实践以及结果导向。自我驱动是指对安全技术的热爱程度,强烈的兴趣和好奇心能够支撑你遇到问题不气馁。打破砂锅问到底的精神和自律能力是持续有效行动力的保证。
实践是学习的有效检验,是否是真学到知识?纸上谈兵、闭门造车都是学习网络安全最不可取的。以结果为导向,能够保证学习的有效性。同样是干活,'干了'和'干好'的差别就在于效果的差异。
行业发展现状
在 2017 年 6 月 1 号之前,即网络安全法出台之前,黑客在公众眼里甚至是个贬义词,在企业里面,安全工程师甚至是可有可无的'消耗型'岗位。
而随着《国家网络空间安全战略》《网络安全法》《等保 2.0》等一系列政策/法规/标准的持续落地,网络安全产业从小众产业逐步发展成为国家战略性新兴产业,与人工智能、大数据、云计算等领域并驾齐驱。
政企单位的网络安全建设也从以往的'可选项'逐步变为'必选项'甚至是'强制项',很多企业在进行 IT 部门及岗位划分时,以往往往只有研发和运维部门,安全人员直接归属到基础运维部;而现在,越来越多企业成立独立的安全部门,拉拢各方安全人才、组建 SRC(安全响应中心),为自己的产品、应用、数据保驾护航。
越来越多高校也陆续开设了网络空间安全 / 信息安全学科,为互联网、金融、电商、运营商、政企等各行各业输送人才。
短短几年间,安全人才不仅成为了正规军,还直接跃升为国家战略型资源,成为企业'一将难求'的稀缺资源。
网络安全工程师已经成为了企业的必选项,所以公司的选择也很多,比如:
- 网络安全公司:奇安信、绿盟科技、深信服、天融信、360、启明星辰…
- 互联网公司:腾讯、阿里、百度、网易…
- 运营商:中国移动、中国联通、中国电信…
- 系统集成商:亚信科技、神州数码、华讯网络…
从近几年的网络安全行业趋势来看,应届刚入职的行业起薪越来越高,2013 年入职知名安全公司,才月薪 5K。现在入职安全公司最低月薪也有 8-10K。
核心技术学习路径
为了真正掌握网络安全技术,建议按照以下路径系统学习:
1. 操作系统基础
熟练掌握 Linux 操作系统是安全从业者的基本功。推荐使用 Kali Linux 作为渗透测试环境,Ubuntu 作为日常开发环境。
- 常用命令:文件管理、权限控制、进程管理、网络配置等。
- Shell 脚本:编写自动化脚本以提高工作效率。
2. 计算机网络
深入理解网络协议是发现漏洞的基础。
- 核心协议:TCP/IP 模型、HTTP/HTTPS、DNS、FTP、SSH 等。
