信息安全从入门到精通

  • A+
所属分类:安全闲碎

这里说信息安全其实也不太准确,应该说网络空间安全,在互联网出现之前,我们只有一个世界就是现实生活,而随着互联网的发展,互联网成了我们生活的另一个世界,这个是一个新的世界,是有一根根网线将人与人连接起来的,大家可以在这里娱乐、学习、赚钱、实现人生目标,体现个人价值。

随着这个世界在人民的心中越来越重要,也逐渐出现了一些因为网络上的不安全因素导致的人身伤害,比如之前因为网络诈骗而自杀的学生、因为网络暴力而抑郁的人,网络世界对于现实世界的影响越来越大,未来只会更严重。

现实世界的安全由国家军队、国民警察维护人民的人身财产安全,而网络世界一样需要这样的人来维护治安,而我们就是这样一群为了维护网络世界安全有序运行而存在的人。

关于从入门到精通大致分为三个解读:入门、熟练和精通,关于这三个阶段,入门可以理解为一个工具我们可以正常使用;熟练即对于某个工具我们可以使用它的所有功能,能够发挥工具的所有能力;精通更多的是可以创新创造,理解工具的原理,发现并填补工具本身的不足,超越工具本身。

就拿单反照相机来说吧,入门即为我们知道怎么使用,比如按快门拍照、拍摄视频等基本功能;而熟练即为我们熟练使用单反相机的所有功能,比如调焦距、调色彩、合理使用闪光等;精通的话即为超出照相机本身,利用外界的光、景来补助照相机本身的不足,也就是我们所说的艺术家吧。

入门

大家都在说想要入门安全,那么怎么样算是入门安全呢?也没有一个好的评判标准,按照上面的理解,入门即为了解+会用,了解安全行业,知道安全行业都有哪些职位和方向,会用则为理解行业之后的选择,选择适合自己和自己想要的方向和工作,有奋斗和努力的方向,这是我认为的安全入门的标准。

对于一个外行还说,关于信息安全的领域是陌生的,了解最多的可能是在网络、媒体上了解的黑客,因为媒体的过分夸大,导致大家对于黑客的认识就是诈骗、盗窃、破坏等,在网络的世界来去自由、无拘无束。

在任何一个世界或者领域都是存在好与不好,就跟现实世界有好人有坏人一样,网络世界因为有攻击者坏人的存在,那么就有防御者好人的存在,随着社会的发展,国家的重视,网络警察和监管法律等一系列的安防措施逐步完善,网络世界的治安也会像现实世界一样变得美好。

关于入门,首先要知道为什么要入门?如果你选择要入门一个行业,那么就预示着你要在这个行业发展下去,花费大量的时间和精力在这个方向,所以选择入门之前一定要想清楚你为什么要入门安全,是否已经下定决心,是否真的喜欢,想清楚之后,那么就是选择方向的问题。

对于信息安全从业者,抛开安全,首先是一名程序员,是一个互联网的深度用户,因为安全不是单独存在而是依托于一个安全主体,比如应用安全,那么核心是应用系统,应用系统如何工作?由哪些组件组成?各个组件是否熟悉?然后才有安全,在正常的处理流程中,可能存在处理不到位或者忽略的地方,可能会被恶意利用,如果连应用系统都不了解,那么应用安全这个方向也很难入门。

安全行业分多个方向,比如:数据安全、移动安全、应用安全、终端安全、主机安全、网络安全等,每个方向都有一个安全主体,比如:数据、移动设备、应用系统、终端设备、服务器主机、网络设备等,对于安全初学者来说首先要确定自己的发展方向,行业内百分之九十的安全从业者都是从应用安全起步,然后横向扩展到多个安全领域,如果你不知道该向哪个方向发展,那么就选择应用安全吧。

应用安全领域有多种工作岗位,比如:安全测试、代码审计、SDL 等,入门应用安全领域我认为需要做的就是知道应用系统是如何运行,熟悉各种漏洞的测试方法,所以想要入门的同学可以给自己制定一个目标:

1、设计开发一款 web 应用,包括:登录、注册、留言、查询个人信息等功能

2、独立完成 DVWA 的各种漏洞测试,不可使用工具自动化,要纯手工完成,还可以调节不同漏洞的防护级别来绕过防御,如果你可以不看任何参考,独立完成,那么我认为你已经算入门了。

熟练

熟练一个事情一定是重复做了很多遍,已经形成了肌肉的记忆,就拿应用安全来说,当我们看到一个应用功能时,我们就知道它可能存在哪些漏洞,然后根据这些漏洞来进行安全测试,验证其是否真实存在,这样熟练的独立完成一个应用系统的安全测试,尽可能多的发现安全问题,那么就算达到熟练的程度了。

从入门到熟练,需要长时间的积累,大量的实践,没有任何捷径。当你已经入门一个领域之后,已经不是别人可以影响你,或者给你提供方式方法的阶段,剩下就是时间和实践的问题。

万事开头难,入门是最难的,其他的时间可以证明一切,共勉!

精通

精通这个一般人是不敢在简历上写,一个方向没有十年八年的实践和研究,都不敢说自己精通,精通意味着你已经对它了如指掌,不只是用的得心应手,还要在他的基础上创新创造更多的用法,甚至是推倒重造。

因为我也没有精通的经历也不太好给大家建议,这里就大致略过,欢迎讨论。

总结

说了这么多,都是些废话,主要想跟大家说的是,如果你真的想并且确定了未来从事安全行业,那么你就要做好花费大量时间和精力的准备,安全是一个动态的过程,需要不断的学习才能跟上时代的发展。

互联网是在高速发展的,那么伴随的不安全因素也在不断变化,我们能做的就是跟随时代,他变我也变,变速相同才能走的更远。

古代信息传输的闭塞,人与人之间的差距在于信息资源差,而如今互联网时代,一切你想要的信息都可以获取,处于信息过剩的年代,人与人的差距不在资源而在于从海量信息中能吸收多少,拼的是转化率而不是信息差,希望大家能够摆脱浮躁,踏实沉淀,一切加油。

信息安全从入门到精通

本文始发于微信公众号(信安之路):信息安全从入门到精通

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: