信息安全這條路到底該怎么走?
一位在這條路上越走越穩(wěn)當(dāng)、越走越順的網(wǎng)絡(luò)安全人士回答您這個問題。
我不清楚到底這么走,我只知道哪一步該當(dāng)機立斷、果斷前行,哪一步需要深思熟慮、小心謹(jǐn)慎。因為信息安全是一個外行看熱鬧,覺得很神秘、很酷但是內(nèi)行看門道、拼耐心和獨特的思維,需要敏銳的洞察力的領(lǐng)域。
如果你只是覺得它只是個很酷、很神秘,可以做到彈指間灰飛煙滅,那我建議你不要入這行。
因為入門的學(xué)習(xí)不會讓你覺得多酷的,只會讓你覺得多苦。如果你對這個專業(yè)沒有極大的興趣和耐心,你是沒有辦法沉下心來滿屏滿屏地在那些代碼中尋找漏洞。更不可能在別人(本行業(yè)從事人員,我們的對手——網(wǎng)絡(luò)管理人員)都沒有發(fā)現(xiàn)或者想到的地方有自己獨特的理解。是的,你沒有看錯,這條路注定是每一個孤獨(特指喜歡單獨思考的人)者的孤僻小道,我們沉浸在自己的孤芳自賞中。
如果你堅持看到了這里,那說明你有一定機會和決心走這條路。那我就不多廢話了,我把我自己的經(jīng)歷大概總結(jié)了一下,可以分三點。
1.夯實網(wǎng)絡(luò)安全基礎(chǔ),了解計算機網(wǎng)絡(luò)與通訊的各種原理。(liunx操作系統(tǒng)的命令行或者windows的DOS(cmd.exe)是最基礎(chǔ)的。)這是最開始的步驟。你要想從事某些行業(yè),你首先必須得了解它是什么?怎么用?如何實現(xiàn)?沒有它怎么辦?還有沒有其他辦法?等等問題。說直白一點就是,信息安全所謂的安全攻防就是漏洞的尋找與修補,而無論是漏洞的尋找還是修補,你必須要知道它的實現(xiàn)原理是什么。這樣你才能捕捉到漏洞或者想辦法修補它。這里具體說說有哪些你必須了解的基礎(chǔ)性東西:TCP-IP五層模型(物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層)、工作在這五層的網(wǎng)絡(luò)協(xié)議或協(xié)議簇(http,https,ip,ftp,smtp,pptp,arp等等)、工作在這五層的網(wǎng)絡(luò)硬件設(shè)施(交換機、網(wǎng)橋、路由器、防火墻)以及相關(guān)概念(端口,服務(wù),網(wǎng)關(guān),廣播,域,用戶權(quán)限、文件管理系統(tǒng)等等)。
2.具有閱讀高級編程語言,使用編程語言編程的能力。這是進(jìn)階的步驟。一個厲害的信息(網(wǎng)絡(luò))安全領(lǐng)域的人,不僅僅要明白原理,更要知道怎么去實現(xiàn)它或者說如何避開它運行的安全機制。而這就需要代碼審計甚至是動手編寫,這樣你的能力才能更好地鍛煉。一個僅僅會使用網(wǎng)絡(luò)安全測試與數(shù)據(jù)滲透相關(guān)軟件(工具)的從業(yè)者只是一般從業(yè)者。通過審計開發(fā)人員編寫的代碼,嘗試進(jìn)行字符串注入、數(shù)據(jù)庫注入、報錯注入、緩沖區(qū)溢出操作,這樣的成功率往往更高。這里推薦學(xué)習(xí)和使用C#,C++,或者ruby語言,JAVA和python也可以。具體多深入就看你自己的興趣了。這里我大概說一下,算法漏洞一般不好利用,業(yè)務(wù)邏輯漏洞很多開發(fā)者都在所難免——因為他們不是本專業(yè)人員,更多追求開發(fā)的效率而忽視了安全。所以,算法這些太過深入的內(nèi)容看你自己的精力和興趣。
3熟悉操作系統(tǒng)、熟練匯編助記碼,知道硬件的參數(shù)好壞、了解一定ARM(AMD)指令集,可以反編譯軟件,看得懂操作系統(tǒng)內(nèi)核代碼、能夠添加模塊、設(shè)計進(jìn)程調(diào)度算法等等。這便是這條路的末尾,只是少數(shù)真正地大神涉足這個境界。他們要么是編寫了行業(yè)經(jīng)常使用的工具,投身白帽事業(yè),賺得盆滿缽滿;要么是黑客大佬,現(xiàn)在不知道是在監(jiān)獄還是在給國家安全部門打工。。。。。。
大概講講這一塊需要學(xué)習(xí)的東西,操作系統(tǒng)是肯定的,它的進(jìn)程、線程、死鎖、開鎖,各種調(diào)度算法都必須了解,甚至要自己開發(fā)符合要求的操作系統(tǒng)。匯編指令是必須要學(xué)的,至于ARM指令集這個看情況。
另外我推薦兩個線上自學(xué)軟件——非常適合喜歡自學(xué)的新人學(xué)習(xí)的軟件。中國大學(xué)MOOC和B站。中國大學(xué)MOOC是許多優(yōu)質(zhì)的中國大學(xué)提供的線上MOOC課,非常有體系(基本上每門課都安排了試驗課和隨堂作業(yè))、有目的。而B站,著名軍事評論家、戰(zhàn)忽局局長張紹忠將軍稱之為沒有圍墻的大學(xué)。里面也有很多適合初學(xué)者學(xué)習(xí)的課程,而且大多數(shù)老師講得很棒。
大概,這條路就是這樣咯。
PS:夢馬的金大虎子,一個熱愛生活,酷愛科技,對計算機硬件和網(wǎng)絡(luò)通信、網(wǎng)絡(luò)安全測試和數(shù)據(jù)滲透有一定了解的優(yōu)質(zhì)科技領(lǐng)域創(chuàng)作者。
同時,作為一名重慶大學(xué)生,我時不時還會分享重慶本地的美食、美景和小姐姐。歡迎大家關(guān)注我,私信我領(lǐng)取計算機方面的知識書籍。
各位條友們,有什么想說的,歡迎評論區(qū)交流。
