01 什么是網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全可以基于攻擊和防御視角來(lái)分類(lèi)，我們經(jīng)常聽(tīng)到的 “紅隊(duì)”、“滲透測(cè)試” 等就是研究攻擊技術(shù)，而“藍(lán)隊(duì)”、“安全運(yùn)營(yíng)”、“安全運(yùn)維”則研究防御技術(shù)。

無(wú)論網(wǎng)絡(luò)、Web、移動(dòng)、桌面、云等哪個(gè)領(lǐng)域，都有攻與防兩面性，例如 Web 安全技術(shù)，既有 Web 滲透，也有 Web 防御技術(shù)（WAF）。作為一個(gè)合格的網(wǎng)絡(luò)安全工程師，應(yīng)該做到攻守兼?zhèn)洌吘怪褐?，才能百?zhàn)百勝。

02 怎樣規(guī)劃網(wǎng)絡(luò)安全

如果你是一個(gè)安全行業(yè)新人，我建議你先從網(wǎng)絡(luò)安全或者Web安全/滲透測(cè)試這兩個(gè)方向先學(xué)起，一是市場(chǎng)需求量高，二則是發(fā)展相對(duì)成熟入門(mén)比較容易。

值得一提的是，學(xué)網(wǎng)絡(luò)安全，是先網(wǎng)絡(luò)后安全；學(xué)Web安全，也是先Web再有安全。

安全不是獨(dú)立存在的，而是建立在其他技術(shù)基礎(chǔ)之上的上層應(yīng)用技術(shù)。脫離了這個(gè)基礎(chǔ)，就很容易變成紙上談兵，變成“知其然，不知其所以然”，在安全的職業(yè)道路上也很難走遠(yuǎn)。

**如果你是原本從事網(wǎng)工運(yùn)維，那么可以選擇網(wǎng)絡(luò)安全方向入門(mén)；如果你原本從事程序開(kāi)發(fā)，推薦選擇Web安全/滲透測(cè)試方向入門(mén)。**當(dāng)然學(xué)到一定程度、或者有了一定工作經(jīng)驗(yàn)，不同方向的技術(shù)耦合會(huì)越來(lái)越高，各個(gè)方向都需要會(huì)一點(diǎn)。

根據(jù)以上網(wǎng)絡(luò)安全技能表不難看出，網(wǎng)絡(luò)安全需要接觸的技術(shù)還遠(yuǎn)遠(yuǎn)很多，常見(jiàn)的技能需要學(xué)習(xí)：外圍打點(diǎn)能力、釣魚(yú)遠(yuǎn)控能力、域滲透能力、流量分析能力、漏洞挖掘能力、代碼審計(jì)能力等。

03網(wǎng)絡(luò)安全的知識(shí)多而雜，怎么科學(xué)合理安排？

一、基礎(chǔ)階段

★中華人民共和國(guó)網(wǎng)絡(luò)安全法 （包含18個(gè)知識(shí)點(diǎn)）

★L(fēng)inux操作系統(tǒng) （包含16個(gè)知識(shí)點(diǎn)）

★計(jì)算機(jī)網(wǎng)絡(luò) （包含12個(gè)知識(shí)點(diǎn)）

★SHELL （包含14個(gè)知識(shí)點(diǎn)）

★HTML/CSS （包含44個(gè)知識(shí)點(diǎn)）

★JavaScript （包含41個(gè)知識(shí)點(diǎn)）

★PHP入門(mén) （包含12個(gè)知識(shí)點(diǎn)）

★MySQL數(shù)據(jù)庫(kù) （包含30個(gè)知識(shí)點(diǎn)）

★Python （包含18個(gè)知識(shí)點(diǎn)）

————————————————

入門(mén)的第一步是系統(tǒng)化的學(xué)習(xí)計(jì)算機(jī)基礎(chǔ)知識(shí)，也就是學(xué)習(xí)以下這幾個(gè)基礎(chǔ)知識(shí)模塊:操作系統(tǒng)、協(xié)議/網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、開(kāi)發(fā)語(yǔ)言、常用漏洞原理。前面的基礎(chǔ)知識(shí)學(xué)完之后，就要進(jìn)行實(shí)操了。

因?yàn)榛ヂ?lián)網(wǎng)與信息化的普及網(wǎng)站系統(tǒng)對(duì)外的業(yè)務(wù)比較多,而且程序員的水平參差不齊和運(yùn)維人員的配置事物，所以需要掌握的內(nèi)容比較多。

二、滲透階段

■SQL注入的滲透與防御（包含36個(gè)知識(shí)點(diǎn)）

■XSS相關(guān)滲透與防御（包含12個(gè)知識(shí)點(diǎn)）

■上傳驗(yàn)證滲透與防御（包含16個(gè)知識(shí)點(diǎn)）

■|文件包含滲透與防御（包含12個(gè)知識(shí)點(diǎn)）

■CSRF滲透與防御（包含7個(gè)知識(shí)點(diǎn)）

■SSRF滲透與防御（包含6個(gè)知識(shí)點(diǎn)）

■XXE滲透與防御（包含5個(gè)知識(shí)點(diǎn)）

■遠(yuǎn)程代碼執(zhí)行滲透與防御（包含7個(gè)知識(shí)點(diǎn)）

■…（包含…個(gè)知識(shí)點(diǎn)）

————————————————

掌握常見(jiàn)漏洞的原理、使用、防御等知識(shí)。Web滲透階段還是需要掌握一些必要的工具。

主要要掌握的工具和平臺(tái)：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等，以上工具的練習(xí)完全可以利用上面的開(kāi)源靶場(chǎng)去練習(xí)，足夠了；

三、安全管理（提升）

★滲透報(bào)告編寫(xiě)（包含21個(gè)知識(shí)點(diǎn)）

★等級(jí)保護(hù)2.0（包含50個(gè)知識(shí)點(diǎn)）

★應(yīng)急響應(yīng)（包含5個(gè)知識(shí)點(diǎn)）

★代碼審計(jì)（包含8個(gè)知識(shí)點(diǎn)）

★風(fēng)險(xiǎn)評(píng)估（包含11個(gè)知識(shí)點(diǎn)）

★安全巡檢（包含12個(gè)知識(shí)點(diǎn)）

★數(shù)據(jù)安全（包含25個(gè)知識(shí)點(diǎn)）

————————————————

主要包括滲透報(bào)告編寫(xiě)、網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)、應(yīng)急響應(yīng)、代碼審計(jì)、風(fēng)險(xiǎn)評(píng)估、安全巡檢、數(shù)據(jù)安全、法律法規(guī)匯編等。

這一階段主要針對(duì)已經(jīng)從事網(wǎng)絡(luò)安全相關(guān)工作需要提升進(jìn)階成管理層的崗位。如果你只學(xué)習(xí)參加工程師方面的崗位，這一階段可學(xué)可不學(xué)。

四、提升階段（提升）

■密碼學(xué)（包含34個(gè)知識(shí)點(diǎn)）

■JavaSE入門(mén)（包含92個(gè)知識(shí)點(diǎn)）

■C語(yǔ)言（包含140個(gè)知識(shí)點(diǎn)）

■C++語(yǔ)言（包含181個(gè)知識(shí)點(diǎn)）

■Windows逆向（包含46個(gè)知識(shí)點(diǎn)）

■CTF奪旗賽（包含36個(gè)知識(shí)點(diǎn)）

■Android逆向（包含40個(gè)知識(shí)點(diǎn)）

————————————————

主要包括密碼學(xué)、JavaSE、C語(yǔ)言、C++、Windows逆向、CTF奪旗賽、Android逆向等。

主要針對(duì)已經(jīng)從事網(wǎng)絡(luò)安全相關(guān)工作需要提升進(jìn)階安全架構(gòu)需要提升的知識(shí)。

結(jié)語(yǔ)

給小伙伴們的意見(jiàn)是想清楚，自學(xué)網(wǎng)絡(luò)安全沒(méi)有捷徑，相比而言系統(tǒng)的網(wǎng)絡(luò)安全是最節(jié)省成本的方式，因?yàn)槟軌驇湍愎?jié)省大量的時(shí)間和精力成本。給自學(xué)的小伙伴們的意見(jiàn)是堅(jiān)持住，既然已經(jīng)走到這條路上，雖然前途看似困難重重，只要咬牙堅(jiān)持，最終會(huì)收到你想要的效果。