01 什么是网络安全
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
02 如果规划网络安全学习路线
如果你是一个安全行业的新人,我建议你先从网络安全或者Web安全/渗透测试这两个方向学起,一是市场需求量高,二则是发展相对成熟入门较为容易。
值得一提的是,学习网络安全,是先学网络后学安全;学Web安全,也是先学Web再学安全。
安全不是独立存在的,而是建立在其他技术基础之上的上层应用技术。脱离了这个基础,就很容易变成纸上谈兵,变成“知其然,不知其所以然”,在安全的职业道路上也很难走远。
如果你是原本从事网工运维,那么可以选择网络安全方向入门;如果你原本从事程序开发,推荐选择Web安全/渗透测试方向入门。
当然学到一定程度、或者有了一定工作经验,不同方向的技术耦合会越来越高,各个方向都需要会一点。
03 网络安全的知识多而杂,怎么科学合理安排?
一、基础阶段
★网络安全安全与法规 (包含23个知识点)
★Linux操作系统 (包含81个知识点)
★计算机网络(包含27个知识点)
★HTML(包含9个知识点)
★PHP入门 (包含11个知识点)
★MySQL数据库 (包含13个知识点)
★Python (包含17个知识点)
入门的第一步是系统化的学习计算机基础知识,也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后,就要进行实操了。因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物,所以需要掌握的内容比较多。
二、渗透阶段
■渗透初级
■渗透高级
掌握常见漏洞的原理、使用、防御等知识。Web渗透阶段还是需要掌握一些必要的工具。
主要要掌握的工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等,以上工具的练习完全可以利用上面的开源靶场去练习,足够了;
三、安全管理(提升)
★等级保护(包含7个知识点)
★风险评估(包含11个知识点)
★应急响应(包含7个知识点)
★数据安全(包含8个知识点)
主要包括渗透报告编写、网络安全等级保护的定级、应急响应、风险评估、数据安全。
这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。如果你只学习参加工程师方面的岗位,这一阶段可学可不学。
四、提升阶段(提升)
■H5+CSS(包含8个知识点)
■Shell编程(包含14个知识点)
■JavaSE入门、中阶、进阶(包含20个知识点)
■C语言(包含11个知识点)
■C++语言(包含9个知识点)
■Golang(包含14个知识点)
■汇编(包含22个知识点)
主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。
结语
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,能够帮大家节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
对于网络安全方面,我自己也做了很多的研究,整理了很多网络安全的资源,从入门到进阶的都有,包括红蓝对抗的完整学习路线图、配套的视频教程、工具包和技术文档等等:
