談談資訊保安入門這事 New Address

本周一在發布"計算機與網路安全系列書單推薦"時，hblf的朋友圈給了我一定觸動，"資訊保安如何入門"這個問題讓我想到了一些有趣的東西，所以抽空寫一寫自己的答案。

"資訊保安如何入門"這個問題我覺得需要拆成3個部分來回答：資訊保安包括什麼？什麼算入門？你要如何學習？

備註：本文中的資訊保安沒有特意區分cyber security、data security等。

我個人覺得我是回答不完全這個問題的，只能盡我所能來回答。

首先我們來看看知乎上，關於"資訊保安如何入門"的相關問題都有哪些？

黑客如何學起？

如何學習網路安全？

誰能給個網路安全的學習路線啊？

掙錢多不多，我想轉行

**師傅，我想學挖洞，可以帶帶我嘛？**其實在面對這型別問題的時候，我很想說一句：「我帶你」，可是真相是我自己都胖的飛不起來，如何帶你。

**表哥，我想改教務系統的成績 or 我想把*****黑下來？**你們知道這是犯法的嘛？沒事多去看看網路安全法好麼？

**老同學，幫我盜個qq好麼？**盜不下來啊！**你不是搞資訊保安的嘛？**我是啊！**那你還盜不下來？**我………………

當然了還有最過分的就是：**你幫我修個電腦吧，我電腦卡的不行，一定是中毒了。**看了一下，大姐不帶這麼玩的，10年前的電腦我們換一下好嗎？

回到正題，資訊保安是乙個範圍極廣的學科，本質上當代的資訊保安問題大多是由於資訊化時代衍生出來的，著重體現在計算機領域。我們先來看幾個案例：

再來看計算機領域的安全，這部分我通過目前安全就業的方向來分析，首先我這裡提供了一張目前國內關於安全崗位的圖：

[外鏈轉存失敗,源站可能有防盜煉機制,建議將儲存下來直接上傳(img-rcz8bz5s-1605621424582)(

圖中包含了資訊保安在計算機領域的大致內容。如果你要去走向這條路，你可以了解這些崗位具體的職責。

當然了現在很多公司招聘都是抄襲job describtion，甚至不知道自己到底需要乙個什麼樣的安全工程師，如果你遇到了這樣的企業，那麼就不要去了吧！

了解完這些崗位的需求，你也算是認識到了資訊保安的一角。

技能成熟度模型：掌握 --> 熟練 --> 精通 --> 分享。從事任何乙份工作基本要求是掌握，前幾天聽到了乙個不像段子的段子：「大學畢業我的簡歷上還能寫熟練，越到了後期就會發現我只能寫掌握」，這個段子反饋給我們另外乙個東西：「持續學習」。

那麼對於資訊保安，你怎麼樣才算是入了門，舉幾個例子：

一句話總結入門：對於你學習或專攻的這個方向，有了自己的認識與思考就算是入門了(是不是對入門要求太高了)。

學習資訊保安最好的工具是搜尋引擎。

關於看書我這裡有一些建議：首先是檢視整本書的章節目錄，通過章節目錄獲取大概資訊，找到自己感興趣的或者所急需的章節進行深入閱讀(這種方式適用於前後章節關聯性不強，或對部分章節已經熟知的情況)。

當你實踐足夠多的時候你就會發現自己的技能在飛速提公升。實踐請謹記《網路安全法》。

如何實踐：

進入企業進行實踐：企業中只要你願意學習，我相信能提供給你實踐的場景還是多的。

不論是看書，還是實踐，你都需要總結，看書的總結會幫助你提煉書本中的知識點；實踐的總結會幫助你在以後的路上可以不斷去回顧與少踩坑。

總結最好的兩個方式是：

在你寫分享之前，一定要做好心理準備：因為當關注度達到一定程度時，大家對於你的分享可能出現褒貶不一的時候，我也遇到過。一定要記住：寫文章是給別人噴的，沒人噴說明寫的不夠好，所以被噴了又如何呢？從中提取別人噴你的關鍵點，驗證是否自己沒有做好，來提公升自己。如果是那種純粹的噴子，狗咬你，你要咬狗嗎？

其次就是環境搭建，請大家牢記未經授權對系統進行掃瞄、測試、攻擊都是違法行為。如果你想要學習，自己搭建乙個虛擬機器環境吧，不要怕麻煩，你在搭建整個環境的過程中，你也能得到技能上的提公升。

然後就是進行滲透測試，忘記你搭建過程中的那些東西，模擬黑客進行攻擊。攻擊的時候一定不要侷限自己的思路(做滲透很多時候思路就是要猥瑣多變)。

最後就是寫文章：一是記錄這次你的環境搭建過程，二是記錄這次你的滲透過程，你使用了哪些技術進行滲透、是否滲透成功、如果成功了你使用的是什麼方法，沒有成功需要反思為什麼？

不要怕困難，學習是乙個快樂的過程，如果不快樂也不能把學習變成快樂，放棄吧安全不適合你。

不要怕麻煩，堅持不斷學習，克服乙個困難總會有下乙個困難等著你的。

整就牛–來自我的學長。

分享乙個我不成熟的關於資訊保安的知識體系：(想要獲取思維導圖的朋友可以加我：lzero2012)