背景
サイバースペースが第5の空間になり、基礎的な社会産業が完全にインターネットに接続されるにつれて、ネットワークセキュリティ(または広義の情報セキュリティ)の脅威は増大しており、ネットワークセキュリティ人材の需要も急増しています。
多くの人が独学で学ぶことができ、「サイバースペースセキュリティ」は初級の分野となっていますが、「第11回サイバースペースセキュリティ規律専門構築と人材育成セミナー」の結論によれば、「我が国のサイバースペースセキュリティ人材年」の研修は、規模は約 3 万人で、訓練を受けた情報セキュリティ専門家の総数は 10 万人未満で、現在必要とされている 70 万人とは大きな隔たりがあります。」 Zhaopin Recruitment と 360 Internet Security Center の共同研究統計によると、 2018 年上半期、インターネットセキュリティ人材需要規模指数は、2017 年上半期と比較して前年比 44.9% 増加しました。
我が国のネットワーク セキュリティに対する全体的な投資はそれほど高くありません。ネットワークセキュリティ構築に関しては、国内のネットワークセキュリティ投資が情報化投資に占める割合は3%未満であるのに対し、欧米などの先進国では10%以上、中には15%を超える国もあります。投資規模やネットワークセキュリティへの意識において、海外との間には大きな差があります。私たちのデジタル依存と比較すると、これは依然として非常に大きな対照です。
Tencent Security の「2017 年上半期のインターネット セキュリティ レポート」によると、近年、我が国の大学教育で情報セキュリティ専門家が育成されているのは 3 万人強にすぎないのに対し、ネットワーク セキュリティ人材の総需要は 70 万人を超えており、そのギャップは次のとおりです。 95% という高さです。
サイバーセキュリティ ラーニング パス (雇用レベル)
繰り返しますが、この学習ルートは主に就職を目的としたものです。興味があるだけでハッカーの友達になりたい場合は、ここから離れても問題ありません。
「ネットワークセキュリティ業界に入りたい」と言いながら、方向性も分からないまま勉強を始めて、結局無駄に終わってしまう人も多いです。ハッキングは多くの方向性を含む大きな概念であり、方向性が異なれば必要な学習内容も異なります。
ネットワーク セキュリティは、ネットワーク侵入、逆解析、脆弱性攻撃、カーネル セキュリティ、モバイル セキュリティ、PWN のクラッキング、およびその他の多くの下位分野にさらに細分化できます。今日の記事は主にネットワークの浸透の方向についての記事で、それ以外の方向は参考程度で、学習ルートは全く同じではないので、機会があれば別途整理したいと思います。
今日は、企業レベルでのネットワーク セキュリティを自習するための最も主流のキャリア プランニング ルート学習プロセスをまとめます。
就学前のスピーチ
- 1. これは忍耐の道であり、3 分熱意があれば、諦めて次に進むことができます。
- 2. チュートリアルをやめないと何も分からないので、もっと練習して、もっと考えてください チュートリアルを読んだ後、独自に技術開発を完了するのが最善です。
- 3. Google や Baidu で検索すると、雑談せずに答えてくれる心優しいマスターに出会えないことがよくあります。
- 4. 本当に理解できない問題に遭遇した場合は、それを一旦横に置いて、後で解決することができます。
ステップ 1: 学習ルートを明確にする
完全なナレッジ アーキテクチャ システム図が必ず必要です。
画像が大きすぎてプラットフォームによる圧縮により不鮮明な場合は、記事の最後にある透かしなしの高解像度バージョンをダウンロードできます。
ステップ 2: 段階的な学習目標と計画
エンタープライズ レベル: ジュニア サイバーセキュリティ エンジニア
ジュニアネットワークエンジニア
1. ネットワークセキュリティの理論的知識(2日間)
① 業界の背景と展望を理解し、発展の方向性を決定する。
②ネットワークセキュリティに関する法令を学びます。
③ネットワークセキュリティ運用の考え方。
④MLPS、MLPSの規制、プロセス、仕様の紹介。(とても重要です)
2. ペネトレーションテストの基礎(1週間)
① ペネトレーションテストのプロセス、分類、基準
② 情報収集技術:能動的/受動的な情報収集、Nmap ツール、Google ハッキング
③ 脆弱性スキャン、脆弱性悪用、原則、利用方法、ツール(MSF)、IDS のバイパス、ウイルス対策偵察
④ ホスト攻撃および防御訓練: MS17-010、MS08-067、MS10-046、MS12-20など。
3. オペレーティング システムの基礎 (1 週間)
① Windows システムの共通機能とコマンド
② Kali Linux システムの共通機能とコマンド
③ オペレーティング システムのセキュリティ (システム侵入のトラブルシューティング/システム強化の基礎)
4. コンピュータネットワークの基礎(1週間)
①コンピュータネットワークの基礎、プロトコルとアーキテクチャ
②ネットワーク通信の原理、OSIモデル、データ転送プロセス
③共通プロトコル解析(HTTP、TCP/IP、ARPなど)
④ネットワーク攻撃技術とネットワークセキュリティ防御技術
⑤Web脆弱性の原理と防御:能動攻撃/受動攻撃、DDOS攻撃、CVE脆弱性再発
5. データベースの基本操作(2日)
①データベースの基礎
②SQL言語の基礎
③データベースのセキュリティ強化
6. Web 浸透 (1 週間)
①HTML、CSS、JavaScriptの概要
②OWASP Top10
③Web脆弱性スキャンツール
④Webペネトレーションツール:Nmap、BurpSuite、SQLMap、その他(Chopper、Miss Scanなど)
おめでとうございます。これを学べば、基本的に侵入テスト、Web ペネトレーション、セキュリティ サービス、セキュリティ分析などのネットワーク セキュリティ関連の仕事に就くことができます。また、標準の保護モジュールをよく学べば、次のような仕事に就くこともできます。標準的な保護エンジニア。給与範囲 6,000~15,000
ここまでで約1ヶ月。あなたは「スクリプトキディ」になっています。さらに詳しく調査したいですか?
7. スクリプトプログラミング(初級・中級・上級)
サイバーセキュリティの分野で。プログラミング能力は、「スクリプトキディ」と本物のハッカーの決定的な違いです。実際の侵入テストのプロセスでは、複雑で変化しやすいネットワーク環境に直面して、一般的に使用されているツールでは実際のニーズを満たせない場合、既存のツールを拡張したり、要件を満たすツールや自動スクリプトを作成したりすることが必要になることがよくあります。特定のプログラミングスキルが必要です。一秒一秒を争うCTF競技において、自作のスクリプトツールを有効に活用してさまざまな目的を達成するには、プログラミングスキルが必要です。
初心者の場合は、Python/PHP/Go/Java のいずれかのスクリプト言語を選択し、共通ライブラリのプログラミングを学習することをお勧めします。開発環境を構築して IDE を選択します。PHP 環境には Wamp と XAMPP が推奨され、Sublime はIDE に強くお勧めします。 · Python プログラミングを学習します。学習内容には、文法、規則性、ファイル、ネットワーク、マルチスレッド、その他の一般的なライブラリが含まれます。「Python コア プログラミング」をお勧めします。すべてを読む必要はありません。 · Python を使用して、脆弱性のエクスプロイトを作成し、簡単な Web クローラーを作成します。 · PHP の基本構文を学習し、簡単なブログ システムを作成します。 MVC アーキテクチャに精通し、PHP フレームワークまたは Python フレームワーク (オプション) を学習してください。 · ブートストラップ レイアウトを理解します。またはCSS。
8. スーパーインターネットワーカー
この部分の内容は、基礎ゼロの学生にとってはまだ比較的遠いところにあるため、詳細には触れず、大まかなルートを掲載します。子供靴に興味がある方は調べてみてください、場所が分からない方は[ここをクリック]して参加して学び、コミュニケーションをとることができます。
サイバーセキュリティの学習ルートと学習リソース
下のカードをスキャンして、ネットワーク セキュリティ資料の最新コレクション (200 冊の電子ブック、標準質問バンク、CTF 試合前資料、一般的に使用されるツール、知識脳マップなどを含む) を入手して、誰もが向上できるようにしてください。
結論
ネットワーク セキュリティ業界は、さまざまな肌の色の人が集まる川と湖のようなものです。しっかりとした基礎(暗号化を理解し、保護する方法を知っており、穴を掘ることができ、エンジニアリングに優れている)を備えたヨーロッパやアメリカ諸国の多くの有名でまともな人々と比較すると、我が国の才能はむしろ異端です(多くの白人)納得できない方もいるかもしれませんが、今後は人材育成や構築面において、「ビジネス」と「データ」や「自動化」を組み合わせた「積極的」な「システム構築」をより多くの人に行ってもらう仕組みを整えていく必要があります。この方法によってのみ、人材への渇望を満たし、真に包括的なサービスを社会に提供することができます。インターネットはセキュリティを提供します。
特別な声明:
このチュートリアルは純粋に技術的な共有を目的としています。本書の目的は、悪意のある人たちに技術的なサポートを提供することでは決してありません。また、テクノロジーの悪用から生じる連帯責任も負いません。この本の目的は、ネットワーク セキュリティに対するすべての人の注意を最大限に喚起し、それに対応するセキュリティ対策を講じることにより、ネットワーク セキュリティによって引き起こされる経済的損失を軽減することです。!!